Dudas con el uso de VLAN's

Buenos días,

Quiero configurar unas VLAN para mitigar el trafico que generan unas camaras de videovigilancia que conviven con otros dispositivos en una red. Las grabaciones van a un PC.

Mi idea inicial era crear una vlan con los puertos de los switches donde están conectados las cámaras y el pc, pero tengo varias dudas:

1. ¿Hay que taggear los puertos de interconexión de lo switches que van de un switch a otro para que la vlan se extienda entre diferentes swiches?
2. ¿Si hago eso, Esos puertos estarán completamente aislados? Quiero poder acceder al pc por RDP...

Lo que me gustaría conseguir es que el tráfico de video, salga sólo al puerto del PC grabador para 'quitar' ese tráfico del resto de la red.
 
Respondiendo a tus preguntas:

1. No necesariamente. Pero, si los switches son gestionables, es muy probable que los puertos que intercomunican los dos switches, los tengas que configurar como trunk de todas las VLANs que pasan por el switch, puesto que es más que probable que hagan “ingress filtering” (descartar el tráfico de VLANs que no vayan asociadas a ese puerto). Un switch no gestionable ni se entera, y deja pasa el tráfico taggeado con una vlan sin más.

2. Una VLAN no es más que una etiqueta, y no separa aísla nada “per sé”. A nivel de capa 2 (L2, tráfico entre equipos conectados a un switch), sólo dos equipos conectados a puertos donde se use la misma etiqueta en modo acceso, se verán entre sí. Esto quiere decir que si un switch maneja dos VLANs y tienes equipos conectados a puertos de distinta VLAN en modo acceso, esos equipos no se verán. Pero, si ese switch va conectado a un router, el tráfico saltará un nivel (L2 -> L3) y en L3 dos vlans pueden estar efectivamente comunicadas entre sí. Ojo con eso que es lo más complejo de entender cuando trabajas con VLANs: son una cosa de switches, de L2, pero se suelen direccionar (puerta de enlace, dhcp server, etc) desde routers. Y depende de este último que estén o no efectivamente visibles o no entre sí (vía firewall).


Motoko dijo:
Lo que me gustaría conseguir es que el tráfico de video, salga sólo al puerto del PC grabador para 'quitar' ese tráfico del resto de la red.
Haz clic para expandir...
Dibuja tu esquema de red y lo vemos en concreto. Y, si me dices los equipos que tienes, mejor. También dime si ese pc necesita salir internet o no, o si se va a acceder desde un equipo en otra VLAN. Depende mucho de tu setup el cómo implementar esto para que, efectivamente, esos equipos queden aislados del resto.

Saludos!
 
pokoyo dijo:
Respondiendo a tus preguntas:

1. No necesariamente. Pero, si los switches son gestionables, es muy probable que los puertos que intercomunican los dos switches, los tengas que configurar como trunk de todas las VLANs que pasan por el switch, puesto que es más que probable que hagan “ingress filtering” (descartar el tráfico de VLANs que no vayan asociadas a ese puerto). Un switch no gestionable ni se entera, y deja pasa el tráfico taggeado con una vlan sin más.

2. Una VLAN no es más que una etiqueta, y no separa aísla nada “per sé”. A nivel de capa 2 (L2, tráfico entre equipos conectados a un switch), sólo dos equipos conectados a puertos donde se use la misma etiqueta en modo acceso, se verán entre sí. Esto quiere decir que si un switch maneja dos VLANs y tienes equipos conectados a puertos de distinta VLAN en modo acceso, esos equipos no se verán. Pero, si ese switch va conectado a un router, el tráfico saltará un nivel (L2 -> L3) y en L3 dos vlans pueden estar efectivamente comunicadas entre sí. Ojo con eso que es lo más complejo de entender cuando trabajas con VLANs: son una cosa de switches, de L2, pero se suelen direccionar (puerta de enlace, dhcp server, etc) desde routers. Y depende de este último que estén o no efectivamente visibles o no entre sí (vía firewall).



Dibuja tu esquema de red y lo vemos en concreto. Y, si me dices los equipos que tienes, mejor. También dime si ese pc necesita salir internet o no, o si se va a acceder desde un equipo en otra VLAN. Depende mucho de tu setup el cómo implementar esto para que, efectivamente, esos equipos queden aislados del resto.

Saludos!
Haz clic para expandir...

El PC grabador tiene salida a internet pero no es completamente necesaria, pues se puede acceder a el por
VPN+RDP los switches son todos gestionables.

Con 'esquema' te refieres a algo así:
Camaras[varias]<->Switch1[EnGenius]<->Switch2[Dlink]<->PC[Grabador]
---------------------------------------------- Switch2[Dlink]<->FIREWALL<->WAN

Las cámaras comparten el switch con otros dispositivos y el PC[Grabador] también. Camaras y PC están en su propio segmento de red, todos con IP fija.

Desde mi ignorancia entiendo que el tráfico de las cámaras, los switches lo envian a todas partes y que mitigaría mucho el trabajo de los switches si lo limito a ir al grabador. De ahí que esté estudiando esta cuestión.
 
Motoko dijo:
Desde mi ignorancia entiendo que el tráfico de las cámaras, los switches lo envian a todas partes y que mitigaría mucho el trabajo de los switches si lo limito a ir al grabador. De ahí que esté estudiando esta cuestión.
Haz clic para expandir...
No, en absoluto. Un hub (lo que había antes de los switches) sí hacía eso. Pero los switches no lo hacen, son dispositivos inteligentes. Salvo que la cámara trabaje con algún protocolo de multicast, el tráfico se está enviando únicamente a quien lo pide, en este caso, ese PC. Es decir, si sólo lo estás haciendo por esto, no lo hagas, que para esto no necesitas VLANs.

Saludos!
 
Mil gracias, estaba imaginando por algunas cosas que estaba leyendo que debía estar equivocado, gracias por iluminarme.
 
De nada. Sigue siendo buena idea lo de meter ese tráfico en una vlan, especialmente si tienes ya switches gestionables. Pero por el tema de la inundación no te preocupes, que como te digo, salvo tráfico multicast (inunda por definición), eso no pasa.

Saludos!
 
Todo lo que te dice @pokoyo es correcto, y una cosa mas. Aunque metas el trafico en VLAN (es como tirar "otro cable" por asi decirlo, pero virtual), el trafico sigue en el mismo cable fisico y en el mismo switchs y sumando al trafico total. Por ejemplo, hagamos una suposicion

Tienes un puerto a 1 Mbps, y lo tienes saturado porque por alli vva la camara y un servidor FTP.... aunque separes el trafico por VLAN, en ese puerto seguiras teniendo FISICAMENTE el mismo 1 Mbps (incluso mas por la marquita, pero es despreciable). Es la misma cantidad de electrones jejeje....

Asi que con VLAN, en este caso en particular, no DESATORAS nada, el VLAN es para "separar" redes mas que nada, de forma virtual (con marquitas, colores.... tags...) pero no fisicamente del trafico.
 
hgonzale dijo:
Todo lo que te dice @pokoyo es correcto, y una cosa mas. Aunque metas el trafico en VLAN (es como tirar "otro cable" por asi decirlo, pero virtual), el trafico sigue en el mismo cable fisico y en el mismo switchs y sumando al trafico total. Por ejemplo, hagamos una suposicion

Tienes un puerto a 1 Mbps, y lo tienes saturado porque por alli vva la camara y un servidor FTP.... aunque separes el trafico por VLAN, en ese puerto seguiras teniendo FISICAMENTE el mismo 1 Mbps (incluso mas por la marquita, pero es despreciable). Es la misma cantidad de electrones jejeje....

Asi que con VLAN, en este caso en particular, no DESATORAS nada, el VLAN es para "separar" redes mas que nada, de forma virtual (con marquitas, colores.... tags...) pero no fisicamente del trafico.
Haz clic para expandir...
Correcto. Lo único que sí desatoras es el nivel de broadcast (mensajes que llegan a todos los dispositivos). Hay muchos protocolos que necesitan enviar mensajes usando la dirección de broadcast de una red, la cual funciona por inundación. Cuando las redes empiezan a crecer, separar dispositivos no relacionados en distintas vlans no sólo establece un límite virtual entre ellos, sino que además reduce el volumen del tráfico de broadcast enormemente. Para una red de 10-20 dispositivos, ni lo vas a notar. Pero a más se eleva ese número, más fácil es que ese tráfico de broadcast se coma un ancho de banda que no debería, si la red estuviera segregada en varias VLANs.

Dicho esto, el 90% de los mortales puede vivir con un router en su casa sin soporte para VLANs. No obstante, teniendo el chisme adecuado y a mano los conocimientos para hacerlo bien, ¿por qué no intentarlo?

Saludos y feliz año nuevo @hgonzale, se te echaba de menos por aquí!
 
pokoyo dijo:
Correcto. Lo único que sí desatoras es el nivel de broadcast (mensajes que llegan a todos los dispositivos). Hay muchos protocolos que necesitan enviar mensajes usando la dirección de broadcast de una red, la cual funciona por inundación. Cuando las redes empiezan a crecer, separar dispositivos no relacionados en distintas vlans no sólo establece un límite virtual entre ellos, sino que además reduce el volumen del tráfico de broadcast enormemente. Para una red de 10-20 dispositivos, ni lo vas a notar. Pero a más se eleva ese número, más fácil es que ese tráfico de broadcast se coma un ancho de banda que no debería, si la red estuviera segregada en varias VLANs.

Dicho esto, el 90% de los mortales puede vivir con un router en su casa sin soporte para VLANs. No obstante, teniendo el chisme adecuado y a mano los conocimientos para hacerlo bien, ¿por qué no intentarlo?

Saludos y feliz año nuevo @hgonzale, se te echaba de menos por aquí!
Haz clic para expandir...
Jajaja, totalmente cierto amigo jajaja. PEro hablamos de redes "inmensas"... te gusta meterme en "berenjenales, ehhhhhh"......

Pero apoyo lo que dices, el broadcast lo "mantienes controlado" por VLANs... y si, ahora hay cada vez mas cosas que se "auto descubren"... Antes, hace 20 años basicamente preocupaba nadaa mas el SMB... pero ahora cada vvez mas broadcast

Y feliz año a ti y a todos, y tuve un mes de "rutita"... en roaming... asi que poco hablar, pero ya de vuelta.

Un abrazo
 
Debes estar conectado o registrado para responder aquí.

Similar threads

T
Aclarando conceptos sobre VLANs de Operador e Internas
Respuestas
1
Visitas
814
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik VRF, compartiendo mi conexión con un par de vecinos
Respuestas
7
Visitas
980
roolezz
A
Dudas sobre Router TP-Link TL-4199G
Respuestas
11
Visitas
7,566
Bron
Dreadnought
Tutorial: Monta tu PC
2 3 4
Respuestas
68
Visitas
77,879
lokyx
Arriba