Manual:Tabla VLAN de puente

Desde MikroTik Wiki

Se aplica a RouterOS: 6.41+

Contenido
[Ocultar]

 1Resumen
 2Fondo
 3Configuración del puerto troncal/acceso
 4Configuración del túnel VLAN
 4.1Apilamiento de etiquetas

Resumen
Puesto que RouterOS v6.41 es posible utilizar un Bridge para filtrar los VLA N
en su red. Para lograr esto, usted debe utilizar la característica del Filtrado del
VLA N del Bridge. Esta característica se debe utilizar en vez de muchas
configuraciones VLAN malas conocidas que probablemente le estén causando
problemas de rendimiento o problemas de conectividad, usted puede leer sobre
una de las configuraciones incorrectas más populares en el VLA N en un Bridge
con una sección de la interfaz física. La parte más importante de la característica
de filtrado del VLA N del Bridge es la tabla del VLA N del Bridge, que
especifica qué VLA N se permiten en cada puerto, pero configurarlo pudo llegar
bastante complejo si usted está tratando de hacer la configuración más avanzada,
para las configuraciones genéricas usted debe poder configurar su dispositivo
usando el ejemplo del trunk y de los puertos de acceso, pero el propósito de esta
guía es proporcionar una explicación en profundidad y señalar algunas de las
características del comportamiento al utilizar el Filtrado VLAN del Bridge.

Fondo
Antes de explicar el filtrado del VLA N del Bridge en profundidad, usted debe
entender algunos conceptos básicos que están implicados en el filtrado vlan del
Bridge.

 Etiquetado/Sin etiquetar: debajo de usted puede especificar una entrada

que contenga y los puertos. En general, los puertos etiquetados deben ser
sus puertos troncales y los puertos sin etiquetar deben ser sus puertos de
acceso. Al especificar un puerto etiquetado, el puente siempre establecerá
una etiqueta VLAN para los paquetes que se envían a través de este puerto
(salida). Al especificar un puerto sin etiquetar, el Puente siempre eliminará
la etiqueta VLAN de los paquetes de salida./interface bridge
vlantaggeduntagged
 vlan-ids - Bajo usted puede especificar una entrada que los VLA N se
permiten en los puertos específicos. El VLAN ID se marca en los puertos
de salida. Si el paquete contiene un VLAN ID que no exista en la tabla
VLAN del Bridge para el puerto de egreso, después el paquete se cae antes
de que consiga enviado./interface bridge vlan
 PVID - El VLAN ID del puerto se utiliza para que los puertos de acceso
etiqueten todo el tráfico de ingreso con un VLAN ID específico. Una
entrada dinámica se agrega en la tabla del VLA N del Bridge para cada
PVID usado, el puerto se agrega automáticamente como puerto sin
etiquetar.
 Filtrado de ingreso - Por abandono, los VLA N que no existen en la tabla
vlan del Bridge se caen antes de que se envíen (salida), pero esta
propiedad permite que usted caiga los paquetes cuando se reciben
(ingreso).
 Acceso de administración - El Bridge se supone que simplemente
adelante los paquetes entre los puertos del Bridge y parecería a otros
dispositivos que hay simplemente un alambre entre ellos. Con el filtrado
del VLA N del Bridge usted puede limitar qué paquetes se permiten
acceder el dispositivo que tiene el Bridge configurado, la práctica más
común es permitir el acceso al dispositivo solamente usando un VLAN ID
muy específico, pero hay otras maneras que usted puede conceder el
acceso al dispositivo. El acceso de administración es una gran manera de
agregar otra capa de seguridad al acceder al dispositivo a través de un
puerto de puente, este tipo de acceso se llama a veces el puerto de
administración y se relaciona con el puerto CPU de un Bridge.
 Puerto CPU - El Bridge sí mismo es un puerto también, esto se puede
llamar como el puerto CPU puesto que éste es el puerto que se utiliza para
comunicar con la CPU del dispositivo. Cuando se utiliza el filtrado de
VLAN de puente, el puerto CPU se utiliza principalmente para crear el
 acceso de administración. La configuración relacionada con el puerto de la
CPU está en /interface bridge
 tipo de trama - Usted puede filtrar los paquetes si tienen una etiqueta
VLAN o no, esto es útil para agregar una capa adicional de seguridad para
sus puertos de Bridge.
 EtherType - Por abandono, un Bridge consciente del VLA N filtrará los
VLA N marcando el C-TAG (0x8100), todas las otras etiquetas VLAN se
consideran como paquetes sin etiquetar (sin una etiqueta VLAN). El
EtherType seleccionado se utilizará para el filtrado de VLAN y el
etiquetado/desatagging VLAN.
 Tunnelling VLAN - Si el EtherType del paquete no hace juego con el
EtherType configurado para el Bridge, después los paquetes de ingreso se
consideran como paquetes sin etiquetar, este comportamiento da una
posibilidad de encapsular los VLA N en otro, diverso VLA N. Esto
también da la posibilidad de desviar el tráfico específico a través de
diferentes dispositivos en su red.
 Apilamiento de etiquetas : si un paquete tiene una etiqueta VLAN que
coincide con El EtherType, el paquete se considera como un paquete
etiquetado, pero puede forzar otra etiqueta VLAN independientemente del
contenido del paquete. Al establecer en un puerto de puente, agregará otra
etiqueta VLAN con el valor encima de cualquier otra etiqueta para todos
los paquetes de entrada.tag-stacking=yesPVID

Configuración del puerto troncal/acceso

A continuación puede encontrar un diagrama muy común para un tipo muy típico
de configuración que consta de un puerto troncal y varios puertos de acceso:
Conmutación VLAN básica

Esta configuración es muy común ya que da la posibilidad de dividir su red en

múltiples segmentos mientras se utiliza un solo conmutador y tal vez un solo
router, tal requisito es muy común para las empresas que quieren separar varios
departamentos. Con los VLA N usted puede utilizar diversos servidores DHCP,
que pueden dar una dirección IP de una diversa subred basada en el VLAN ID,
que hace que la creación de las reglas del Firewall y QoS sea mucho más fácil.

En tal configuración usted conectaría algunos dispositivos muy genéricos como

los PC de escritorio al ether2 y al ether3,éstos se pueden considerar como
estaciones de trabajo y generalmente utilizan solamente el tráfico sin etiquetar (es
posible forzar una etiqueta VLAN para todo el tráfico que se envía una estación
de trabajo genérica, aunque no es muy común). Para aislar algunas estaciones de
trabajo de otras estaciones de trabajo debe agregar una etiqueta VLAN a todos
los paquetes que ingresan ether2 o ether3,pero para decidir qué VLAN ID debe
el paquete conseguir es utilizar un concepto llamado VLAN basados en
puerto. En este concepto los paquetes consiguen una etiqueta VLAN con un
VLAN ID basado en el puerto de Bridge con el cual el dispositivo está
conectado. Por ejemplo, en esta configuración el dispositivo
en ether2 conseguirá una etiqueta VLAN con VLAN20 y el dispositivo
en ether3 conseguirá una etiqueta VLAN con VLAN30,este concepto es muy
escalable siempre y cuando usted tenga suficientes puertos de puente. Esto debe
darle la comprensión que el tráfico entre el Bridge y los dispositivos detrás
del ether2/ether3 es untagged (puesto que no hay etiqueta VLAN, por lo tanto el
nombre).
When we have determined our untagged ports, we can now determine our tagged
ports. Tagged ports are going to be the trunk ports (the port, that carries multiple
VLANs) and usually this port is connected to a router or another switch/bridge,
you can have multiple trunk ports as well. Tagged ports are always carrying
packets with a VLAN tag (hence the name) and you must ALWAYS specify the
tagged ports for each VLAN ID you want this port to forward. It is possible that a
port is a tagged port for one VLAN ID and the same port is an untagged port for
a different VLAN ID, but this is for a different type of setup (Hybrid port setup).

Special note must be added for the property. This property should be used on
access ports, but it can be used for trunk ports as well (in Hybrid port setup). By
using the property you are adding a new VLAN tag with a VLAN ID that is
specified in the to all UNTAGGED packets that are received on that specific
bridge port. The does not have any effect on tagged packets, this means that, for
example, if a packet with a VLAN tag of VLAN40 is received on ether2 that
has , then the VLAN tag is NOT changed and forwarding will depend on the
entries from the bridge VLAN table. PVIDPVIDPVIDPVIDPVID=20

To configure the trunk/access port setup, you need to first create a bridge:

/interface bridge
add name=bridge1

Advertencia: No habilite el filtrado de VLAN todavía como usted puede

conseguir bloqueado del dispositivo debido a la falta del acceso de administración,
que se configura al final.

Agregue los puertos del Bridge y especifique para cada puerto de acceso: PVID

/interface bridge port

add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=30

Nota: no tiene ningún efecto hasta que se habilite el filtrado de VLAN. PVID
Agregue las entradas apropiadas en la tabla del BRIDGE VLAN:

/interface bridge vlan

add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30

Usted podría pensar que usted podría simplificar esta entrada con una sola
entrada, similar a esto:

/interface bridge vlan

add bridge=bridge1 tagged=ether1 untagged=ether2,ether3 vlan-ids=20,30

NO utilice varios ID de VLAN en los puertos de acceso. Esto permitirá

involuntariamente VLAN20 y VLAN30 en ambos puertos de acceso. En el
ejemplo anterior, el ether3 se supone que fija una etiqueta VLAN para que todos
los paquetes de ingreso utilicen el VLAN30 (puesto), pero esto no limita los
VLA N permitidos en este puerto cuando los VLA N se envían a través de este
puerto. La tabla VLAN del Bridge es responsable de decidir si un VLA N se
permite ser enviado a través de un puerto específico o no. La entrada antedicha
especifica que el VLAN20 y el VLAN30 se permite ser enviado a través
del ether2 y del ether3 y encima de eso la entrada especifica que los paquetes se
deben enviar sin una etiqueta VLAN (los paquetes se envían como paquetes sin
etiquetar). Como consecuencia usted puede crear una fuga del paquete de los
VLA N a los puertos que ni siquiera se supone que reciban tal tráfico, vea la
imagen abajo. PVID=30
La tabla VLAN mal configurada permite que VLAN20 se envíe a través de ether3, también permitirá
VLAN30 a través de ether2

Advertencia: No utilice más de un VLAN ID especificado en una entrada de tabla

VLAN de puente para los puertos de acceso, solo debe especificar varios ID de
VLAN para los puertos troncales.

No es necesario agregar un puerto de puente como puerto sin etiquetar, porque

cada puerto de puente se agrega como un puerto sin etiquetar dinámicamente con
un IDENTIFICADOR de VLAN que se especifica en la propiedad. Esto es
debido a una característica que agregará automáticamente una entrada apropiada
en la tabla del BRIDGE VLAN por razones de conveniencia y de rendimiento,
esta característica tiene algunas advertencias que usted debe ser consciente de.
Todos los puertos que tienen lo mismo se agregarán a una sola entrada para el
VLAN ID apropiado como puertos sin etiquetar, pero observe que el puerto
CPU también tiene un VLAN ID. PVIDPVID

Para los propósitos de la prueba vamos a habilitar el filtrado de VLAN, pero

observe que podría hacer que usted pierda el acceso al dispositivo puesto que no
tiene un acceso de administración configurado todavía (lo configuraremos más
adelante). Siempre se recomienda configurar el filtrado de VLAN mientras que
utiliza una consola serie, aunque también puede configurar un dispositivo a
través de un puerto, que no se agrega a un Puente. Aseegurese le está utilizando
una consola serial o conectado a través de un diverso puerto (que no está en un
Bridge) y habilite el filtrado VLAN:

/interface bridge set bridge1 vlan-filtering=yes

Nota: Usted puede ser que no pierda el acceso al dispositivo tan pronto como
usted habilite el Filtrado VLAN, pero usted puede ser que consiga desconectado
puesto que el Bridge debe reajustarse para que el Filtrado VLAN tome cualquier
efecto, que le obligará a volver a conectar (esto es sobre todo relevante cuando
utiliza MAC-telnet). Existe la posibilidad de que pueda acceder a su dispositivo
mediante tráfico sin etiquetar, este escenario se describe a continuación.

Si usted ha habilitado el filtrado de VLAN ahora e impreso la tabla VLAN

actual, usted vería tal tabla:

[admin@MikroTik] > /interface bridge vlan print

Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 20 ether1 ether2
1 bridge1 30 ether1 ether3
2 D bridge1 1 bridge1
ether1

Hay una entrada dinámica agregada para el VLAN1 puesto que se fija por
abandono a todos los puertos del Bridge (incluyendo nuestro puerto
troncal, ether1),pero usted debe también notar que la interfaz bridge1 (el puerto
CPU) también se agrega dinámicamente. Cuando los puertos se agregan a una
sola entrada de la tabla VLAN del Bridge, el Bridge puede saltar agregando una
etiqueta VLAN y quitándola cuando los paquetes se remiten entre estos puertos
(puesto que el cambio de los paquetes no es necesario y disminuye el
rendimiento), por esta razón todos los puertos con el mismo se agregan como
puertos sin etiquetar dinámicamente. PVID=1PVID

Usted debe ser consciente que el puerto CPU (bridge1) es también un puerto del
Bridge y por lo tanto pudo conseguir agregado a la tabla VLAN del Bridge
dinámicamente. Existe la posibilidad de que usted pueda permitir
involuntariamente el acceso al dispositivo debido a esta característica. Por
ejemplo, si usted ha seguido esta guía y el conjunto izquierdo para el puerto
troncal (ether1) y no cambió el para el puerto CPU (bridge1) también, después
el acceso a través del ether1 al dispositivo usando el tráfico sin etiquetar se
permite, esto también es visible cuando usted imprime hacia fuera la tabla del
VLA N del Bridge. Este escenario se ilustra en la imagen de abajo: PVID=1PVID

Acceso de administración involuntariamente permitido usando tráfico sin etiquetar a través del puerto
troncal

Advertencia: Marque siempre la tabla del VLA N del Bridge si usted no ha

permitido involuntariamente ciertos VLA N o tráfico sin etiquetar a los puertos
específicos, especialmente al puerto CPU (puente).

Hay una manera simple de evitar que el Bridge (puerto CPU) sea agregado como
puerto sin etiquetar, usted puede simplemente fijar el en el puerto troncal para ser
diferente del Bridge (o cambiar el Bridge), pero hay otra opción, que es más
intuitiva y recomendada. Puesto que usted está esperando que el puerto troncal se
supone solamente para recibir el tráfico marcado con etiqueta (en este ejemplo,
debe recibir solamente el VLAN20/VLAN30),pero ningún tráfico sin etiquetar,
después usted puede utilizar junto con para filtrar hacia fuera los paquetes no
deseados, pero para entender completamente el comportamiento del filtrado del
ingreso, primero debemos entender los detalles del acceso de
administración. PVIDPVIDPVIDingress-filteringframe-type

El acceso de administración se utiliza para crear una manera de acceder a un

dispositivo a través de un Bridge que tenga el filtrado VLAN habilitado.
Simplemente podría permitir el acceso sin etiquetar y hacerlo es bastante simple.
Digamos que querías que la estación de trabajo detrás de ether3 pudiera acceder
al dispositivo, asumimos antes que la estación de trabajo es un equipo genérico
que no utilizará paquetes etiquetados y por lo tanto sólo enviará paquetes sin
etiquetar, esto significa que debemos agregar el puerto de CPU (bridge1) como
una interfaz sin etiquetar a la tabla VLAN del Puente, para hacerlo, simplemente
especifique el bridge1 y el ether3 como puertos sin etiquetar, pero usted debe
fijar estos puertos sin etiquetar para la entrada VLAN que coincida con el en el
puerto, desde el cual usted se conectará. En este caso, usted va a conectar
del ether3 que tiene, así que usted cambia los puertos sin etiquetar para el
VLAN30: PVIDPVID=30

/interface bridge vlan set [find vlan-ids=30] untagged=bridge1,ether3

Nota: Usted puede utilizar la característica que agrega dinámicamente los puertos
sin etiquetar con el mismo valor, usted puede simplemente cambiar el para hacer
juego entre el ether3 y el bridge1. PVIDPVID

Permitir el acceso al dispositivo mediante el tráfico sin etiquetar no se considera

como una buena práctica de seguridad, una manera mucho mejor es permitir el
acceso al dispositivo usando un VLA N muy específico a veces llamado el VLA
N de la administración, en nuestro caso esto va a ser VLAN99. Esto agrega una
capa significativa de seguridad ya que un atacante debe adivinar el ID de VLAN
que se está utilizando para fines de administración y luego adivinar las
credenciales de inicio de sesión, además de esto puede incluso agregar otra capa
de seguridad al permitir el acceso al dispositivo utilizando solo una determinada
dirección IP. El propósito de esta guía es proporcionar una explicación en
profundidad, por esa razón estamos agregando un nivel de complejidad a nuestra
configuración para entender algunas posibles advertencias que debe tener en
cuenta. Vamos a permitir el acceso desde un puerto de acceso utilizando el
tráfico etiquetado (ilustrado en la imagen de abajo). Para permitir el acceso al
dispositivo usando el VLAN99 del ether3,debemos agregar una entrada
apropiada en la tabla del VLA N del Bridge:

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=99

Acceso de administración mediante tráfico etiquetado a través de un puerto de acceso (lo que lo
convierte en un puerto híbrido)

Nota: Si para las coincidencias del ether1 y del bridge1 (por abandono, hace
juego con 1), después el acceso al dispositivo se permite usando el tráfico sin
etiquetar del ether1 debido a la característica que agrega dinámicamente los
puertos sin etiquetar a la tabla VLAN del Bridge. PVID

Pero usted puede ser que observe que el acceso usando el VLAN99 no trabaja en
este momento, esto es porque usted necesita una interfaz VLAN que escuche
para el tráfico marcado con etiqueta, usted puede crear simplemente esta interfaz
para el VLAN ID apropiado y usted puede fijar una dirección IP para la interfaz
también:

/interface vlan
 add interface=bridge1 name=VLAN99 vlan-id=99
/ip address
add address=192.168.99.2/24 interface=VLAN99

Nota: Nuestro puerto de acceso (ether3) en este punto espera el tráfico etiquetado
y sin etiquetar al mismo tiempo, tal puerto se llama un puerto híbrido.

En este punto podemos beneficiarnos del uso y . Primero vamos a centrarnos en ,

lo que limita los tipos de paquetes permitidos (etiquetados, sin etiquetar, ambos),
pero para que funcione correctamente, debe estar habilitado, de lo contrario no
tendrá ningún efecto. En nuestro ejemplo, donde queríamos permitir el acceso
desde ether3 usando el tráfico etiquetado (VLAN99) y al mismo tiempo permitir
que una estación de trabajo genérica acceda a la red, podemos concluir que este
puerto necesita permitir los paquetes etiquetados y sin etiquetar, pero el
ether1 y el ether2 se supone que reciben solamente tipos específicos de
paquetes, por esto podemos mejorar la seguridad de nuestra red. Puesto que el
ether1 es nuestro puerto troncal, se supone solamente llevar los paquetes
marcados con etiqueta, pero el ether2 es nuestro puerto de acceso así que no
debe llevar ningún paquete etiquetado, basado en estas conclusiones podemos
caer los paquetes no válidos: ingress-filteringframe-typeframe-
typeframe-typeingress-filtering

/interface bridge port

set [find where interface=ether1] ingress-filtering=yes frame-types=admit-only-vlan-
tagged
set [find where interface=ether2] ingress-filtering=yes frame-types=admit-only-untagged-
and-priority-tagged

Digamos que usted olvidó habilitar y cambiar la propiedad en el ether1,esto

agregaría involuntariamente el acceso al dispositivo a través del ether1 usando el
tráfico sin etiquetar puesto que hace juego para bridge1 y ether1,pero usted está
esperando solamente el tráfico etiquetado para poder acceder al dispositivo. Es
posible caer todos los paquetes sin etiquetar que están destinados al puerto
CPU: ingress-filteringframe-typePVID

/interface bridge
 set bridge1 frame-types=admit-only-vlan-tagged ingress-filtering=yes

Esto no sólo cae los paquetes sin etiquetar, pero esto inhabilita la característica
que agrega dinámicamente los puertos sin etiquetar a la tabla VLAN del Bridge.
Si usted imprime la tabla actual del BRIDGE VLAN usted notaría
que bridge1 no se agrega dinámicamente como puerto sin etiquetar:

[admin@MikroTik] > /interface bridge vlan print

Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge1 20 ether1
1 bridge1 30 ether1 ether3
2 D bridge1 1 ether1
3 bridge1 99 bridge1
ether3

Nota: Cuando se utiliza en un puerto, después el puerto no se agrega

dinámicamente como puerto sin etiquetar para el . frame-type=admit-only-
vlan-taggedPVID

Mientras que se puede utilizar para caer un cierto tipo de paquete, el se puede
utilizar para filtrar los paquetes antes de que se puedan enviar. Para entender
completamente la necesidad de filtrado de ingreso, considere el siguiente
escenario: EL VLAN99 se permite en el ether3 y el bridge1,pero usted puede
todavía enviar el tráfico VLAN99 del ether1 al ether3,esto es porque la tabla del
VLA N del Bridge marca si un puerto se permite llevar un cierto VLA N
solamente en los puertos de salida. En nuestro caso, el ether3 se permite llevar el
VLAN99 y por esta razón se remite. Para evitar esto DEBE utilizar . Con el
filtrado de ingreso, los paquetes de ingreso también se marcan, en nuestro caso la
tabla VLAN del Bridge no contiene una entrada que EL VLAN99 se permita
en el ether1 y por lo tanto será caído inmediatamente. Por supuesto, en nuestro
escenario sin la conexión del filtrado del ingreso no se puede establecer
puesto que el VLAN99 se puede remitir del ether1->ether3,pero no del ether3-
>ether1,aunque todavía hay posibles ataques que se pueden utilizar en tal
configuración incorrecta (por ejemplo, la intoxicación ARP). El comportamiento
de la caída del paquete se ilustra en la imagen abajo: frame-typeingress-
filteringingress-filtering
Configuración del puerto troncal/acceso con y sin filtrado de entrada. El filtrado de entrada puede
impedir que se reenvíe el tráfico no deseado. Observe que el ether1 no se permite llevar el VLAN99 en
la tabla del VLA N del Bridge.
 Advertencia: Siempre trate de utilizar donde sea posible, añade una capa
significativa de seguridad. ingress-filtering

El se puede utilizar en el puerto CPU (puente) también, esto se puede utilizar

para prevenir algunos vectores de ataque posibles y limitar los VLA N permitidos
que pueden acceder el CPU. Es mejor caer un paquete en un puerto de ingreso,
bastante que en un puerto de salida, esto reduce la carga de la CPU, esto es
bastante crucial cuando usted está usando la descarga de hardware con el filtrado
vlan del Bridge. ingress-filtering

Nota: La propiedad sólo tiene efecto en el tráfico de ingreso, pero tiene efecto en
la salida y el tráfico de entrada. ingress-filteringframe-type

Aunque usted puede limitar los VLA N permitidos y los tipos de paquetes en un
puerto, nunca es una buena práctica de seguridad permitir el acceso a un
dispositivo a través de los puertos de acceso puesto que un atacante podría oler
los paquetes y extraer el ID del VLA N de la administración, usted debe permitir
solamente el acceso al dispositivo desde el puerto troncal (ether1) puesto que los
puertos troncales generalmente tienen mejor seguridad física, usted debe quitar la
entrada anterior y permitir el acceso al dispositivo a través del puerto que está
conectado a su router (ilustrado en la imagen abajo):

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=99
Conmutación VLAN básica

Configuración del túnel VLAN

En algunos casos es posible que desee reenviar el tráfico ya etiquetado a través
de ciertos switches. Esta es una configuración bastante común para las
infraestructuras de estructura básica puesto que proporciona una posibilidad
encapsular el tráfico de, por ejemplo, sus routers de borde y remitirlo sin
problemas sobre su estructura básica a otro router de borde. A continuación
puede encontrar un ejemplo de una topología de tunelización VLAN:

Topología de puente de proveedor

 Nota: Para entender completamente cómo configurar la tunelización VLAN
correctamente, usted debe primero leer la sección de configuración del puerto
troncal/de acceso antes de proceder más lejos.

Dado que RouterOS v6.43 hay dos maneras posibles de lograr esto, una es la
manera estandarizada IEEE 802.1ad, la otra manera es utilizar el apilamiento de
etiquetas,primero revisaremos la manera estandarizada ya que los mismos
principios se aplican a ambas maneras y sólo un par de parámetros deben ser
cambiados para utilizar el otro método. La forma en que la tunelización VLAN
trabaja es que el Bridge marca si la etiqueta VLAN externa está utilizando la
misma etiqueta VLAN especificada como. Si la etiqueta VLAN coincide, el
paquete se considera como un paquete etiquetado, de lo contrario se considera
como un paquete sin etiquetar. ether-type

Nota: El Bridge marca solamente la etiqueta externa (más cercana a la dirección

MAC), cualquier otra etiqueta se ignora en cualquier lugar en la configuración del
Bridge. El Bridge no es consciente del contenido del paquete, aunque pudo haber
otra etiqueta VLAN, solamente se marca la primera etiqueta VLAN.

La propiedad le permite seleccionar los siguientes EtherTypes para la etiqueta

VLAN: ether-type

 0x88a8 - SVID, IEEE 802.1ad, VLAN de servicio

 0x8100 - CVID, IEEE 802.1Q, VLAN del cliente
 0x9100 - Doble etiqueta (no muy común)

Para configurar correctamente el filtrado del VLA N del Bridge, usted debe
entender cómo el Bridge distingue los paquetes marcados con etiqueta y sin
etiquetar. Como se mencionó antes, el Bridge marcará si EtherType hace juego
con la etiqueta VLAN externa en el paquete. Por ejemplo, considere el siguiente
paquete:

FFFFFFFFFFFF 6C3B6B7C413E 8100 6063 9999

----------------------------------------
DST-MAC = FFFFFFFFFFFF
SRC-MAC = 6C3B6B7C413E
Outer EtherType = 8100 (IEEE 802.1Q VLAN tag)
VLAN priority = 6
VLAN ID = 99 (HEX = 63)
Inner EtherType = 9999

Supongamos que hemos fijado, en este caso el paquete anterior va a ser

considerado como untagged puesto que el Bridge está buscando una diversa
etiqueta VLAN. Ahora consideremos el siguiente paquete: ether-type=0x88a8

FFFFFFFFFFFF 6C3B6B7C413E 88A8 6063 8100 5062 9999

----------------------------------------
DST-MAC = FFFFFFFFFFFF
SRC-MAC = 6C3B6B7C413E
Outer EtherType = 88A8 (IEEE 802.1ad VLAN tag)
VLAN priority = 6
VLAN ID = 99 (HEX = 63)
Inner EtherType 1 = 8100 (IEEE 802.1Q VLAN tag)
VLAN priority = 5
VLAN ID = 98 (HEX = 62)
Innter EtherType 2 = 9999

Este tiempo asumamos que hemos fijado, en este caso el paquete anterior se
considera como untagged también puesto que la etiqueta externa está utilizando
una etiqueta VLAN IEEE 802.1ad. Los mismos principios se aplican a otras
funciones relacionadas con VLAN, por ejemplo, la propiedad agregará una nueva
etiqueta VLAN en los puertos de acceso y la etiqueta VLAN utilizará el
EtherType especificado en . ether-type=0x8100PVIDether-type

Sw1 y SW2 están utilizando la misma configuración:

/interface bridge
add name=bridge1 vlan-filtering=yes ether-type=0x88a8
/interface bridge port
add interface=ether1 bridge=bridge1 pvid=200
add interface=ether2 bridge=bridge1 pvid=300
add interface=ether3 bridge=bridge1
/interface bridge vlan
add bridge=bridge1 tagged=ether3 untagged=ether1 vlan-ids=200
add bridge=bridge1 tagged=ether3 untagged=ether2 vlan-ids=300

En este ejemplo el tráfico entre SW1 y SW2 va a ser etiquetado y estará usando
la etiqueta VLAN SVID. Aquí estamos asumiendo que todos los routers están
pasando el tráfico que está usando una etiqueta VLAN CVID y tal tráfico será
considerado como tráfico sin etiquetar basado en el principio descrito arriba.

Nota: Todos los principios que se aplican a la configuración regular del puerto
troncal/de acceso usando IEEE 802.1Q, también se aplican a las configuraciones
de tunelización VLAN, aseegurese usted está limitando los VLA N y el tipo de
paquete correctamente usando la tabla VLAN del Bridge y el filtrado del ingreso.

En caso de que usted quiera crear el acceso de administración de,

digamos, ether3 al dispositivo y quisiera utilizar el VLAN99,después usted
utilizaría tales comandos:

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=99
/interface vlan
add interface=bridge1 name=VLAN99 use-service-tag=yes vlan-id=99
/ip address
add address=192.168.99.2/24 interface=VLAN99

Como usted puede notar, la única diferencia es que la interfaz VLAN está
usando, esto fija la interfaz VLAN para escuchar las etiquetas VLAN SVID
(IEEE 802.1ad). Esto requerirá que utilice la etiqueta VLAN IEEE 802.1ad para
acceder al dispositivo mediante la VLAN de administración. Esto significa que
usted no podrá conectar con el dispositivo usando una etiqueta VLAN CVID
mientras que usa el filtrado del VLA N del Bridge, el se fija globalmente y tendrá
un efecto a todas las funciones de filtrado vlan del Bridge. use-service-
tag=yesether-type

Apilamiento de etiquetas
En la configuración del Túnel VLAN estábamos agregando una nueva etiqueta
VLAN que fuera diferente de la etiqueta VLAN, pero es posible agregar una
nueva etiqueta VLAN independientemente del contenido del paquete. La
diferencia entre la configuración regular de la tunelización VLAN es que el
Bridge no marca si el paquete está marcado con etiqueta o sin etiquetar, asume
que todos los paquetes que se reciben en un puerto específico son todos los
paquetes sin etiquetar y agregará una nueva etiqueta VLAN independientemente
de si una etiqueta VLAN está presente o no, esto se llama apilamiento de
etiquetas puesto que "apila" las etiquetas VLAN en la parte superior de la
etiqueta anterior, independientemente del tipo de etiqueta VLAN. Esta es una
configuración muy común para las redes que no soportan el estándar IEEE
802.1ad, pero todavía quieren encapsular el tráfico VLAN en un nuevo VLA N.

La etiqueta VLAN que se va a agregar depende de y . Por ejemplo, si usted tiene

y en un puerto, después el Bridge agregará una nueva etiqueta VLAN IEEE
802.1Q derecha encima de cualquier otra etiqueta (si tal está presente). Los
mismos principios de filtrado de VLAN todavía se aplican, usted tiene que
determinar qué puertos van a ser sus puertos troncales y marcarlos como puerto
etiquetado, determinar sus puertos de acceso y agregarlos como puertos sin
etiquetar. ether-typePVIDether-type=0x8100PVID=200

Para explicar cómo funciona el etiquetado y el desatascamiento de VLAN con el

apilamiento de etiquetas, vamos a utilizar la misma topología de red que antes:

Conmutación VLAN básica

Lo que queremos lograr es que independientemente de lo que se está recibiendo

en ether2 y ether3,se agregará una nueva etiqueta VLAN para encapsular el
tráfico que viene de esos puertos. Lo que hace es obligar a una nueva etiqueta
VLAN, por lo que podemos utilizar esta propiedad para lograr nuestra
configuración deseada. Vamos a utilizar la misma configuración que en
la configuración del puerto troncal/de acceso,pero con el apilamiento de etiquetas
habilitado en los puertos de acceso: tag-stacking
 /interface bridge
add name=bridge1 vlan-filtering=yes ether-type=0x8100
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 tag-stacking=yes pvid=20
add bridge=bridge1 interface=ether3 tag-stacking=yes pvid=30
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30

Nota: La etiqueta VLAN agregada utilizará el archivo . El EtherType seleccionado

también se utilizará para el filtrado de VLAN. Solo se comprueba la etiqueta
externa, pero con el apilamiento de etiquetas se omite la etiqueta y se supone que
se debe agregar una nueva etiqueta de cualquier manera. ether-type

Supongamos que los dispositivos detrás de ether2 y ether3 están enviando

tráfico VLAN40 etiquetado. Con esta configuración TODOS los paquetes
conseguirán encapsulados con una nueva etiqueta VLAN, pero usted debe
aseegurarse que usted ha agregado el VLAN ID de la etiqueta externa a la tabla
vlan del Bridge. El VLAN40 no se agrega a la tabla VLAN del Bridge puesto
que es la etiqueta interna y no se marca, estamos solamente preocupados por la
etiqueta externa, que es VLAN20 o VLAN30 dependiendo del puerto.

Semejantemente a otras configuraciones, la tabla VLAN del Bridge se va a

utilizar para determinar si la etiqueta VLAN necesita ser quitada o no. Por
ejemplo, el ether1 recibe los paquetes VLAN20 etiquetados, el Bridge marca
que el ether2 se permite llevar el VLAN20 así que está a punto de enviarlo a
través del ether2,pero también marca la tabla vlan del Bridge si la etiqueta
VLAN debe ser quitada y puesto que el ether2 se marca como puerto sin
etiquetar, después el Bridge remitirá estos paquetes del ether1 al ether2 sin la
etiqueta VLAN20 VLAN.

Desde la perspectiva del puerto de acceso se aplican las mismas entidades de

seguridad que en la configuración del puerto troncal/de acceso. Todos los
paquetes que se reciben en el ether2 conseguirán una nueva etiqueta VLAN con
el VLAN ID que se especifica en , en este caso se agregará una nueva etiqueta
VLAN con VLAN20 y esta VLAN será sometida al filtrado de VLAN. PVID