Definir una nueva VLAN

Antes de crear una nueva VLAN, asegúrese de comprender todos los conceptos y restricciones VLAN descritos en Acerca de las Redes Virtuales de Área Local (VLAN).

Este tema explica cómo:

Configurar una VLAN en Fireware Web UI

Cuando configura una VLAN en Fireware Web UI, debe seleccionar una configuración de etiqueta VLAN para por lo menos una interfaz VLAN. Antes de crear la VLAN, debe configurar por lo menos una interfaz como interfaz VLAN.

  1. Seleccione Red > Interfaces.
  2. Seleccione la interfaz conectada a su conmutador VLAN. Haga clic en Editar.
  3. En la lista desplegable Tipo de interfaz, seleccione VLAN.
  4. Haga clic en Guardar.
  1. Seleccione Red > VLAN.
    Aparece la página de VLAN, con una lista de las VLAN existentes y definidas por el usuario y sus configuraciones.
    También puede configurar interfaces de red desde la lista de Interfaces.

Screen shot of the VLAN Settings page

  1. Haga clic en Agregar.

    Aparece la página Configuraciones de VLAN.

Screen shot of the VLAN Settings page

  1. En el cuadro de texto Nombre, ingrese un nombre para la VLAN. El nombre no puede contener espacios.
  2. (Opcional) En el cuadro de texto Descripción, ingrese una descripción de VLAN.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione un valor para la VLAN.
  4. En el cuadro de texto Zona de Seguridad, seleccione de Confianza, Opcional, Personalizada o Externa.

    Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por ejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquiera-De Confianza como origen o destino.
  5. En el cuadro de texto de dirección IP, ingrese la dirección de la puerta de enlace de VLAN.

    Cualquier equipo en esta nueva VLAN debe usar esta dirección IP como su puerta de enlace predeterminada.
  6. En la lista Seleccionar una configuración de etiquetas VLAN para cada interfaz, seleccione una o más interfaces.

Configuración VLAN, configura interfaces para enviar/recibir tráfico etiquetado o no etiquetado.

  1. De la lista desplegable Seleccionar Tráfico, seleccione una opción para aplicar a las interfaces seleccionadas:
    • Tráfico etiquetado — La interfaz envía y recibe tráfico etiquetado.
    • Tráfico sin etiquetar — La interfaz envía y recibe tráfico sin etiquetar.
    • Sin tráfico — Eliminar la interfaz de esta configuración de VLAN.
  2. Haga clic en Guardar.

Para obtener información sobre los ajustes del tráfico interno de VLAN, consulte la sección Aplicar Políticas de Firewall al Tráfico Interno de VLAN en esta página.

Configurar una VLAN en Policy Manager

En Policy Manager, debe crear la VLAN antes para poder configurar interfaces como miembro de ella. Los ajustes de configuración de VLAN en Policy Manager no incluyen la lista de interfaces que son miembros de la VLAN.

  1. Seleccione Red > Configuración.
    Aparece el cuadro de diálogo Configuración de Red.
  2. Seleccione la pestaña VLAN.
    Aparece una tabla de VLAN actuales definidas por el usuario y sus configuraciones.

Screenshot of Network Configuration dialog box, VLAN tab

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Configuración de Nueva VLAN.

Screen shot of New VLAN Configuration dialog box

  1. En el cuadro de texto Nombre (Alias), ingrese un nombre para la VLAN.
  2. (Opcional) En el cuadro de texto Descripción, ingrese una descripción de VLAN.
  3. En el cuadro de texto ID de VLAN, ingrese o seleccione un valor para la VLAN.
  4. En el cuadro de texto Zona de Seguridad, seleccione de Confianza, Opcional, Personalizada o Externa.
    Las zonas de seguridad corresponden a los alias para las zonas de seguridad de la interfaz. Por ejemplo, las VLAN de tipo De confianza son administradas por políticas que usan el alias Cualquiera-De Confianza como origen o destino.
  5. En el cuadro de texto de dirección IP, ingrese la dirección de la puerta de enlace de VLAN.
    Cualquier equipo en esta nueva VLAN debe usar esta dirección IP como su puerta de enlace predeterminada.

Para obtener información sobre los ajustes del tráfico interno de VLAN, consulte la sección Aplicar Políticas de Firewall al Tráfico Interno de VLAN en esta página.

Después de crear la VLAN, puede configurar interfaces como un miembro de la VLAN. Para más información, vea Asignar Interfaces a una VLAN

Consultar qué interfaces son miembros de la VLAN

En la pestaña VLAN, puede ver un resumen de la configuración de VLAN, y una lista de las interfaces que son miembros de la VLAN.

En la pestaña VLAN, los números en la columna de Interfaces muestran las interfaces físicas que son miembro de esta VLAN. El número de interfaz en negrita es la interfaz que envía datos no etiquetados a esa VLAN.

Utilizar DHCP en una VLAN

Para una VLAN en la zona de seguridad de Confianza, Opcional o Personalizada puede configurar Firebox como un servidor DHCP para los equipos en su red VLAN.

  1. En los ajustes de VLAN, seleccione la pestaña Red.
  2. En la lista desplegable Modo DHCP, seleccione Servidor DHCP
  3. (Opcional) Ingrese su Nombre de Dominio para proporcionarlo a los clientes DHCP.
  4. Para cambiar el tiempo de concesión predeterminado, escriba o seleccione un número en el cuadro de texto Tiempo de Concesión y especifique una unidad de medida en la lista desplegable.
    Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obtener una nueva concesión.
  5. Para agregar un grupo de direcciones IP, en la sección Grupo de Direcciones, haga clic en Agregar.
  6. En los cuadros de texto IP Inicial e IP Final, escriba la primera y la última dirección IP en el grupo.
    Se puede configurar un máximo de seis grupos de direcciones.
  7. Para reservar una dirección IP específica para un cliente, en la sección Dirección Reservada, haga clic en Agregar.
  8. Escriba la dirección IP, el Nombre de Reserva y la Dirección MAC del dispositivo. Haga clic en Aceptar.
  9. Para agregar servidores DNS o WINS a su configuración DHCP, ingrese la dirección del servidor en el cuadro de texto junto a la lista. Haga clic en Agregar.
  10. Para eliminar un servidor de la lista, selecciónelo y haga clic en Eliminar.
  11. Para configurar opciones DHCP, haga clic en Opciones DHCP.
  12. (Fireware v12.1.1 y superior) De forma predeterminada, la dirección IP del Firebox es la puerta de enlace predeterminada. Para especificar una dirección IP diferente como la puerta de enlace predeterminada, seleccione Especificar e ingrese una dirección IP.
  1. En el cuadro de diálogo Nueva Configuración VLAN, seleccione Utilizar Servidor DHCP.
  2. Para agregar un grupo de direcciones IP, en la sección Grupo de Direcciones, haga clic en Agregar e ingrese la primera y la última dirección IP asignadas para distribución. Haga clic en Aceptar.
    Se puede configurar un máximo de seis grupos de direcciones.
  3. Para reservar una dirección IP específica para un cliente, en la sección Direcciones Reservadas, haga clic en Agregar. Ingrese un Nombre de Reserva para la reserva, la dirección IP que desea reservar y la dirección MAC de la tarjeta de red del cliente. Haga clic en Aceptar.
  4. Para modificar el tiempo de concesión predeterminado, de la lista desplegable Tiempo de concesión, seleccione un intervalo de tiempo diferente.
    Es el intervalo de tiempo en el que un cliente DHCP puede usar una dirección IP que recibe del servidor DHCP. Cuando el tiempo de concesión se está por agotar, el cliente envía una solicitud al servidor DHCP para obtener una nueva concesión.
  5. Para agregar servidores DNS o WINS a la configuración DHCP, haga clic en Configurar servidores DNS/WINS.
  6. (Opcional) En los ajustes de DNS/WINS, ingrese su Nombre de Dominio para proporcionarlo a los clientes DHCP.
  7. Para configurar opciones DHCP, haga clic en Opciones DHCP.
  8. (Fireware v12.1.1 y superior) De forma predeterminada, la dirección IP del Firebox es la puerta de enlace predeterminada. Para especificar una dirección IP diferente como la puerta de enlace predeterminada, seleccione Especificar e ingrese una dirección IP.

Para más información sobre opciones DNS/WINS y DHCP por interfaz, consulte Configurar un Servidor DHCP IPv4.

Utilizar Retransmisión DHCP en una VLAN

  1. En la pestaña Red, en la lista desplegable Modo DHCP, seleccione Retransmisión de DHCP.
  2. Agregar las direcciones IP de hasta tres servidores DHCP.
  1. En el cuadro de diálogo Nueva Configuración VLAN, seleccione Utilizar Retransmisión DHCP.
  2. Agregar las direcciones IP de hasta tres servidores DHCP.

Asegúrese de agregar una ruta al servidor DHCP si es necesario.

Para obtener más información sobre la retransmisión DHCP, consulte Configurar Retransmisión de DHCP.

Aplicar las Políticas de Firewall al Tráfico Interno con VLAN

Puede configurar más de una interfaz de Firebox como miembro de la misma VLAN. Para ver un ejemplo de este tipo de configuración, consulte Configurar una VLAN Conectada A Través de Dos Interfaces.

Para aplicar políticas de firewall al tráfico VLAN entre interfaces locales, seleccione la casilla de selección Aplicar políticas de firewall al tráfico interno con VLAN.

Screen shot of Apply firewall policies to intra-VLAN traffic check box

El tráfico interno con VLAN es el tráfico desde una VLAN que está destinado a la misma VLAN. Cuando activa esta característica, Firebox aplica políticas al tráfico que pasa por el firewall, entre hosts de distintas interfaces que se encuentran en la misma VLAN. Si desea aplicar políticas al tráfico interno de VLAN, asegúrese de que no exista una ruta alternativa entre el origen y el destino. Para que se apliquen las políticas de firewall el tráfico VLAN debe pasar a través de Firebox.

En una interfaz VLAN externa, debe habilitar esta función de modo que Firebox pueda:

  • Aplicar un enrutamiento basado en política y rutas de túnel VPN a tráfico enviado y recibido por la misma interfaz VLAN externa
  • Aplicar políticas y NAT de firewall a tráfico recibido y enviado por la misma interfaz VLAN externa

Las políticas de VLAN internas se aplican por dirección IP, usuario o alias. Si el tráfico de VLAN interno no coincide con ninguna política definida, el tráfico se rechaza como paquete no controlado. Se permiten paquetes de VLAN interna que no sean IP.

En Fireware v12.1.1 y superior, este ajuste está habilitado de forma predeterminada para las nuevas interfaces de VLAN externas.

Configurar Ajustes de Red para una VLAN en la Interfaz Externa

Cuando configura una VLAN en la interfaz externa, debe configurar cómo la VLAN obtiene la dirección IP externa.

  1. En la pestaña Ajustes de VLAN, de la lista desplegable Zona de Seguridad, seleccione Externa.
  2. Seleccione la pestaña Red.

Screen shot of the VLAN page, Network tab

  1. En la lista desplegable Modo de Configuración, seleccione IP Estática, DHCP o PPPoE.
  2. Establezca las configuraciones de red con el mismo método que usó para las otras interfaces externas.
    Para más información, consulte Configurar una interfaz externa.
  1. En la lista desplegable Zona de seguridad, seleccione Externa.

Screen shot of the New VLAN Configuration dialog box

  1. Seleccione una de estas opciones: Usar IP estática, Usar cliente DHCP o Usar PPPoE.
  2. Establezca las configuraciones de red con el mismo método que usó para las otras interfaces externas.
    Para más información, consulte Configurar una interfaz externa.

Habilitar IPv6 en una VLAN

Para habilitar IPv6 en una interfaz VLAN:

  1. Seleccione la pestaña IPv6.
  2. Seleccione la casilla de selección Habilitar IPv6.
  3. Configure los ajustes de red IPv6 de la misma manera que lo haría para cualquier otra interfaz.
    Para más información sobre cómo ajustar la configuración de IPv6, consulte

Configurar Direcciones IP Secundarias de VLAN

  1. Seleccione la pestaña Secondary.
  2. Ingrese una dirección IP de host no asignada en la notación diagonal desde la secondary network.
  3. Haga clic en Agregar.
  1. Seleccione la pestaña Secondary.
  2. Haga clic en Agregar.
  3. Ingrese una dirección IP de host no asignada de la secondary network.
  4. Haga clic en Aceptar.

Para más información acerca de direcciones IP de interfaz secundaria, consulte Agregar una Dirección IP de Secondary Network.

Habilitar el Protocolo de Árbol de Expansión

Puede habilitar el Protocolo de Árbol de Expansión para algunas configuraciones de VLAN. No se admiten todas las configuraciones de VLAN. Para obtener información sobre el Protocolo de Árbol de Expansión, consulte Acerca del Protocolo de Árbol de Expansión.

Para cambiar la configuración del Protocolo de Árbol de Expansión, debe usar la Command Line Interface de Fireware (CLI). Para obtener más información sobre la configuración del Protocolo de Árbol de Expansión, consulte Configurar los Ajustes del Protocolo de Árbol de Expansión en la CLI.

Para habilitar el Protocolo de Árbol de Expansión desde la Web UI:

  1. Haga clic en la pestaña Protocolos de Puente.
  2. Seleccione Habilitar el Protocolo de Árbol de Expansión.

Screen shot of Spanning Tree setting for a VLAN

  1. Haga clic en Guardar.

Para habilitar el Protocolo de Árbol de Expansión en Policy Manager:

  1. Haga clic en la pestaña Protocolos de Puente.
  2. Seleccione Habilitar el Protocolo de Árbol de Expansión.

Screen shot of Spanning Tree settings in Policy Manager

  1. Haga clic en Guardar.

Habilitar el Marcado 802.1p para Interfaces VLAN

En Fireware v12.7 o superior, puede habilitar el marcado de prioridad 802.1p (etiquetado) para las interfaces de VLAN en su Firebox.

802.1p es un método de calidad de servicio (QoS)/clase de servicio (CoS) que opera en la capa MAC (Capa 2). El equipo que admite 802.1p puede agregar y reconocer un valor que indica el nivel de prioridad del marco Ethernet. Puede habilitar 802.1p para ayudar a garantizar un alto nivel de calidad para comunicaciones en tiempo real sensibles a la latencia, como VoIP.

Para obtener información detallada sobre el marcado 802.1p, consulte Acerca del Marcado 802.1p para Interfaces VLAN.

Para habilitar el marcado 802.1p, en Fireware Web UI:

  1. Seleccione Red > VLAN.
  2. Seleccione una interfaz VLAN existente y haga clic en Editar.
  3. Seleccione la pestaña Protocolos Puente.
  4. Marque la casilla de selección Habilitar el etiquetado de prioridad 802.1p para los marcos de Capa 2.

Para habilitar el marcado 802.1p, en Policy Manager:

  1. Seleccione Red > Configuración > VLAN.
  2. Seleccione una interfaz VLAN existente y haga clic en Editar.
  3. Seleccione la pestaña Protocolos Puente.
  4. Marque la casilla de selección Habilitar el etiquetado de prioridad 802.1p para los marcos de Capa 2.

Próximos Pasos

Antes de poder guardar esta VLAN, debe Asignar Interfaces a una VLAN.

Ver También

Acerca de las Redes Virtuales de Área Local (VLAN)

Ajustes de Interfaz Comunes

Acerca de las Interfaces y los Modos de Red