Hola, ¿qué tal? Bienvenida o bienvenido a este entrenamiento de Aruba Networking Seashells. Mi nombre es Ricardo Cobos y en este video voy a hablar de 802.1Q y VLAN "tagging". Cuando tú tienes usuarios que pertenecen a diferentes departamentos, generalmente se conectan en puertos que están asociados a diferentes VLANs. En el ejemplo del "slide" tenemos el "Switch Access" 1 que tiene la VLAN 99 y la VLAN 20. La VLAN 99 está asociada a los puertos 1 y 2 mientras que la 20 está asociada a los puertos 3 y 4. De esa manera podemos generar dos dominios de "broadcast" y evitar que los usuarios de VLAN 99 se hablen o se comuniquen en capa 2 con aquellos de la VLAN 20. Sin embargo, es posible, conforme crece la red, que necesites implementar más "switches" y estos también podrían usar el mismo rango de VLANs para usuarios que pertenecen al mismo departamento, por ejemplo, aquí tenemos "Access" 2 también con la VLAN 99 y 20. ¿Qué ocurre si yo quiero permitir la comunicación entre usuarios que pertenecen a la VLAN 99 pero se encuentran en diferentes "switches" y usuarios que pertenecen a la VLAN 20 pero del mismo modo, se encuentran en diferentes "switches"? Una de las cosas que yo podría hacer sería levantar un enlace, en este caso, utilizando los puertos 28 de cada "switch" y asociar ese puerto a la VLAN 99 con el comando VLAN Access que ya vimos en el video anterior. Del mismo modo, también podría colocar un segundo enlace y asociar este enlace, o voy a hacerlo exclusivo de la VLAN 20 con el comando VID Access 20, tanto para la puerta 27 del lado izquierdo como la puerta 27 del lado derecho. De esa manera, cuando los usuarios de la VLAN 99, en el "switch" 1 quieren comunicarse con aquellos del "switch" 2, el tráfico va a entrar en el "switch access" 1 y él automáticamente sabrá, basado en el contenido de la tabla MAC, que la dirección de destino del capsulado Ethernet está asociado con la puerta 28 en la VLAN 99 y, por ende, el mensaje va a salir a través de ese cable. Este mensaje va a salir tal como el cliente A lo envió; realmente, no hay ningún cambio en el contenido de los encabezados. No hay ningún cambio en el encabezado de capa 2 o en el encabezado de capa 3, es el mismo "frame", la misma trama la que el "switch access" 1 recibe que aquella que él envía en la puerta 28 y, eventualmente, la que el cliente de la derecha recibe. Del mismo modo, si yo tengo el cliente D que quiere enviar un mensaje, por ejemplo, para el cliente H, entonces, el mensaje llega en la puerta 4, el "switch" automáticamente lo asocia con la VLAN 20, ve la dirección de destino, sabe que se puede alcanzar, basado en los contenidos de la tabla MAC, a través de la puerta 27, este mensaje llega al "switch" de la derecha, lo recibe y va a repetir un proceso similar para entregarlo a la computadora H conectada en el puerto 4. Esta situación yo la podría repetir para cada VLAN, pero tiene un problema y es que esto utiliza un puerto en cada "switch" por cada una de las VLANs, lo cual hace que la solución no sea escalable. Por esa razón, nosotros podemos configurar a lo que llamamos 802.1Q o tageo con 802.1Q. Lo que esto hace es configurar un enlace troncal. Este enlace troncal va a permitir múltiples VLANs, tráfico que viene de múltiples VLANs. Por ejemplo, cuando el cliente A se quiere comunicar con el cliente E lo que pasa es un proceso similar a lo que aconteció en la lámina anterior, donde el "switch" 1 recibe el "frame", lo asocia a la VLAN 99, compara la dirección de destino con la tabla MAC y la tabla MAC va a, efectivamente, decir que la puerta de salida es la puerta 28. Sin embargo, esta puerta o interfaz fue configurada como una interfaz troncal. Esto quiere decir que ahora sí el "frame" de la VLAN 99 sale por esa interfaz, entonces, el encapsulado de capa 2 va a sufrir una modificación y se le va a agregar un tag de 802.1Q que va a incluir el identificador de la VLAN, el VLAN "Identifier" igual a 99. De esta manera, cuando este "frame" llegue al "switch" del lado derecho, él va a ver este identificador y asociar el "frame" automáticamente con la VLAN 99, por lo cual, él va a comparar la dirección de destino con la tabla MAC de esa VLAN y, finalmente, entregar el paquete. Del mismo modo, si la computadora D quiere hablar con la computadora H, el "frame" va a llegar en la puerta 4 del "Switch Access" 1, este lo asociará a la VLAN 20 por obvias razones, el puerto cuarto es un puerto VLAN de acceso asociado a esa VLAN y con la comparativa de la tabla MAC, el "switch" dirá que la dirección del C no se puede alcanzar a través de la puerta 28, pero con o a través de la VLAN 20. Sin embargo, una vez más, como la interfaz está configurada como puerta troncal, entonces el identificador de la VLAN va a ser agregado en el encapsulado de capa 2 con el VLAN "identifier" igual a 20 y, de esa manera, cuando este "frame" sea recibido por el "switch" de la derecha, este lo va a asociar con esa VLAN y, eventualmente, hacer la entrega del "frame". Hay una cosa importante a entender en este "slide" y es que para todas las VLAN se agregará un VLAN "identifier" y, por consecuencia, un tag 802.1Q en el encabezado de capa 2, excepto para algo que nosotros llamamos la "VLAN nativa". La VLAN nativa es una VLAN para la cual el identificador no va a ser necesario. Por defecto, la VLAN nativa es la VLAN 1 y entonces, cuando configuramos la puerta 28 de estos 2 "switches" como un puerto troncal, el tráfico de la VLAN 1 por defecto no sufrirá ningún tipo de modificación en capa 2 cuando los "frames" atraviesen el enlace troncal. Esto quiere decir que si el "frame" viene de la computadora conectada en la puerta número 2, que está en este ejemplo, asociado a la VLAN 1, el "frame" puede salir por la puerta 28 sin ninguna modificación, lo que no ocurre para los "frames" que vienen de la VLAN 99. De ese modo, cuando se recibe del lado derecho, el "switch" de lado derecho, que también asume que la VLAN 1 es la nativa para ese enlace, al no ver ningún VLAN "identifier" o ningún "tag" de 802.1Q, entonces automáticamente asociará el "frame" con la VLAN 1 y lo procesará por la tabla MAC de esa VLAN para, finalmente, hacer la entrega de la trama. Esta VLAN nativa tú la puedes modificar, es algo que nosotros podemos cambiar. Sin embargo, tenemos que tener cuidado de hacerlo por el mismo VLAN "identifier" en ambos lados. ¿Qué es lo que quiero decir? Que si quiero cambiar la VLAN nativa de la 1 a la 11, por ejemplo, asumiendo que esta fuera la VLAN 11, la VLAN nativa también tiene que ser reconfigurada del lado derecho, no solamente del lado izquierdo, porque si en este caso yo permito que la configuración nada más se encuentre en el lado izquierdo, entonces, un "frame" de un cliente que venga de la VLAN 11 podría ser recibido del lado derecho con ausencia del VLAN "tag", y en ese caso, el "switch" de la derecha automáticamente lo asociaría con la VLAN 1, porque esa es la VLAN nativa que dejé por defecto en ese lado. Y entonces se da el fenómeno de "VLAN Leaking o Traffic Leaky" entre VLANs, donde yo estoy enviando tráfico de VLAN 11 pero recibido en la VLAN 1. Es por eso que es muy importante configurar este cambio en ambos lados. Con esto concluimos lo que es el VLAN "tagging" con el tageo 802.1Q así como también la configuración de los enlaces troncales y la VLAN nativa que podemos colocar en ellos. Gracias por tu tiempo.
