Configura VLAN en WAN y LAN con el D-Link DSR-1000AC

El router D-Link DSR-1000AC nos permite configurar VLAN tanto en la WAN de Internet (en las dos WAN que tiene este router) como también en la LAN. Esto último es muy interesante para segmentar correctamente la red local profesional en diferentes subredes, y permitir o denegar la comunicación entre las diferentes subredes que vayamos a crear. Hoy en RedesZone os vamos a explicar cómo debemos crear estas VLANs en el router, para que posteriormente conectéis un switch gestionable con estas mismas VLAN.

Este router permite configurar VLAN tanto en la WAN de Internet como en la LAN, el proceso de configuración es diferente y el uso también. Configurar una VLAN en la WAN de Internet es necesario solamente en el caso de que tu operador de red necesite de esto, si no hace uso de VLAN ID, entonces no tendrás que configurar la WAN. Configurar una VLAN en la LAN sirve para crear diferentes subredes y segmentar el tráfico de red en LAN virtuales.

Crear VLAN para la LAN del router

En el menú principal del router D-Link DSR-1000AC tendremos todos los accesos a las diferentes configuraciones, debemos entrar vía web con la URL siguiente: https://192.168.10.1 que es la dirección IP por defecto, el nombre de usuario es «admin» y la contraseña también es «admin», aunque nos obligará a cambiar la contraseña de acceso.

Tenemos que irnos al menú de configuración de «Network / VLAN / VLAN Settings», aquí es donde crearemos las diferentes VLANs y subredes, posteriormente aplicaremos las VLAN por puerto a través de la opción «Port VLAN».

Lo primero que tenemos que hacer en este menú es pinchar en «VLAN Enable» y pinchar en «Save», de esta forma, estaremos habilitando el soporte para las VLANs. Por defecto, tenemos creada la VLAN ID 1 con la dirección IP 192.168.10.1/24, sin portal cautivo y sin autenticación. Siempre tendremos obligatoriamente la VLAN ID 1 en todas las redes, pero podremos crear de forma adicional las VLANs que nosotros necesitemos.

Si pinchamos en «Add New VLAN» crearemos un nuevo VLAN ID con su correspondiente configuración de subred, los menús que debes completar son los siguientes:

• VLAN ID: tienes que poner un identificador único, desde el 2 hasta el 4093, nosotros hemos elegido el VLAN ID 100. Este ID también lo deberán tener los switches gestionables, si es que conectas alguno a la parte LAN del router.
• Name: le damos un nombre descriptivo, «administración», «invitados», «gestión» o cualquier otro.
• Captive Portal: nos permite habilitar o no un portal cautivo para la autenticación de los clientes cableados e inalámbricos.
• Activate InterVLAN routing: si queremos que esta VLAN se pueda comunicar con otra VLAN que también tiene el inter-VLAN routing activado, entonces deberemos activar esta opción de configuración. Si no queremos que esta VLAN se comunique con ninguna, seleccionamos «OFF». En el caso de que solamente queramos cierta comunicación (permitir solamente ciertos PC o servicios), entonces tendrás que activarlo con «ON» y posteriormente en la sección de «Security / Firewall» configurar reglas avanzadas para permitir o denegar el tráfico de red.
• Multi VLAN Subnet: la subred nueva asociada a la VLAN, aquí introduciremos la dirección IP que tendrá el propio router como puerta de enlace predeterminada, y también la máscara de subred.
• DHCP Mode: podremos no tener ningún servidor DHCP (None), un servidor DHCP del propio router (DHCP Server) o un servidor DHCP externo que esté en otra subred (DHCP Relay). Lo más normal es tener un servidor DHCP propio en el router, así que seleccionamos esta opción.

Al seleccionar la opción de «DHCP Server», tendremos que rellenar las siguientes opciones de configuración:

• Domain name: nombre de dominio del router, es opcional.
• Starting IP Address: la primera dirección del servidor DHCP que puede proporcionar a los clientes, no debe estar en el rango de la dirección IP del router que hemos puesto antes. En nuestro caso, la IP del router es 192.168.100.1 y el DHCP empieza por la 192.168.100.2
• Ending IP Address: la última dirección del servidor DHCP del router que puede proporcionar a los clientes.
• Default Gateway: la dirección IP del router en esta subred.
• Primary y secondary DNS Server: los servidores DNS del router.
• LAN Proxy: lo habilitamos, es la opción por defecto.

Una vez que pinchemos en «Save» nos creará esta nueva subred con la VLAN ID 100 como hemos explicado antes.

En el caso de que queramos reconfigurar una de las subredes, simplemente pinchamos con el click derecho en «Edit» para que nos salga el mismo menú de antes, y podremos modificarlo como nosotros queramos.

Incluso podremos modificar también el servidor DHCP, una vez que lo hayamos hecho pinchamos en guardar.

Si estamos conectados a la misma subred que hemos cambiado, lógicamente perderemos la conexión con la interfaz web del router y tendremos que volver a entrar con la nueva dirección IP del router:

En el caso de querer crear más de una subred, lo podremos hacer sin problemas poniendo otro VLAN ID y otra subred privada, tal y como podéis ver:

Tendremos exactamente las mismas opciones de configuración que antes, incluyendo todo lo relacionado con el servidor DHCP.

Una vez que hayamos configurado todas las VLANs, podremos aplicarlas en los diferentes puertos LAN de este router profesional. Si pinchamos en cada uno de los puertos con el clic derecho del ratón y seleccionamos «Edit», podremos cambiar el PVID y también configurar el modo trunk. A continuación, se pueden ver los cuatro puertos de la LAN y los dos SSID que tenemos configurados actualmente:

En cada uno de los puertos LAN y SSID podremos configurar diferentes modos de configuración, por defecto todos están en modo «acceso» y en el PVID 1. Pero podremos cambiarlo dependiendo de nuestras necesidades. Por ejemplo, si queremos configurar en el puerto 4 la VLAN ID 100 que hemos creado, simplemente tendremos que pinchar en PVID y poner 100, guardar la configuración y se aplicará de forma instantánea.

También tenemos la posibilidad de configurar el modo «Trunk» con las VLANs Tagged que nosotros queramos, justo debajo nos saldrá el listado de VLANs que queremos que sean parte de este trunk. Debemos recordar que al estar las VLAN Tagged, deberemos poner un equipo en este puerto que «entienda» esto, es decir, switches gestionables, servidores que soporten 802.1Q etc.

Una vez que lo hayamos configurado con las diferentes VLANs, nos saldrá un resumen de todo lo que hemos hecho, tal y como podéis ver aquí:

En el caso de la configuración del WiFi, también tendremos las mismas opciones de configuración, pero lo más normal es que en un SSID lo configuremos en modo «access» siempre para enviar la VLAN untagged, y también con el PVID que nosotros deseemos.

Tal y como habéis visto, es realmente fácil crear nuevas VLAN en el router D-Link DSR-1000AC, ideal para segmentar correctamente la red local profesional y aislar o comunicar los diferentes equipos, pero siempre pasando el tráfico por el router para permitir o denegar las comunicaciones en función de las reglas del firewall.

Crear VLAN para la WAN

Respecto a cómo configurar VLAN en la WAN de Internet, nos metemos en la sección de «Network / Internet / WAN 1 Settings», habilitamos la opción de «Enable VLAN Tag», introducimos el VLAN ID, y ya nos podremos conectar correctamente con nuestro operador de Internet sin ningún problema.

Esta misma opción de configuración también la tenemos disponible en la WAN 2 de Internet del router, ambos menús de configuración son exactamente iguales. Por ejemplo, si tenemos FTTH de Movistar o de O2 pues tendremos que poner el VLAN ID 6, y si tenemos FTTH del Grupo Masmóvil ponemos el VLAN ID 20.

Hasta aquí hemos llegado con este completo tutorial de cómo configurar las VLANs en la LAN del router D-Link DSR-1000AC y también las VLAN en la WAN de Internet, siempre que nuestro operador lo requiera.

El artículo Configura VLAN en WAN y LAN con el D-Link DSR-1000AC se publicó en RedesZone.