Para configurar VLANs en switches con Cisco Packet Tracer debes combinar tres ideas: crear VLANs, asignar puertos (access/trunk) y, si hay varios switches, permitir que esas VLANs crucen los enlaces.
Vamos a ver que formas hay de hacerlo pero primero de todo, ¿qué es una vlan?
Una VLAN es una red lógica independiente que se crea dentro de una misma red física, normalmente usando switches gestionables. Aunque todos los equipos estén conectados al mismo switch (y cables), una VLAN hace que se comporten como si estuvieran en redes distintas y separadas.
VLAN significa Virtual LAN (Red de Área Local Virtual).
Es una forma de dividir una red física en varias redes lógicas, separando el tráfico de unos dispositivos del de otros.
Funciona en la capa 2 del modelo OSI (capa de enlace), normalmente usando el estándar IEEE 802.1Q, que etiqueta las tramas con un identificador de VLAN (VLAN ID).
Los dispositivos de una misma VLAN pueden comunicarse directamente entre sí, pero no con otras VLAN salvo que haya un router o un switch capa 3 que haga inter‑VLAN routing.
Para qué se usan las VLAN
Las VLAN se usan principalmente para:
Segmentar la red y organizarla mejor: permiten dividir una red grande en segmentos lógicos (por departamento, tipo de servicio, planta del edificio, etc.).
Mejorar la seguridad: al separar el tráfico, evitas que equipos de una VLAN vean o accedan fácilmente a recursos de otra; puedes limitar qué VLAN puede hablar con cuál mediante reglas en el router o firewall.
Reducir dominio de broadcast y mejorar rendimiento: cada VLAN es su propio dominio de difusión, con lo que se reduce el tráfico innecesario y se mejora la eficiencia de la red.
Aumentar la flexibilidad: puedes agrupar usuarios que están físicamente en sitios distintos dentro de la misma VLAN, simplemente configurando puertos del switch, sin cambiar el cableado.
Separar tipos de tráfico: por ejemplo, VLAN de datos de usuarios, VLAN de voz (VoIP), VLAN de gestión para administrar equipos de red, VLAN de invitados para visitantes, etc.
Vamos a empezar con un ejemplo sencillo donde un solo switch va a tener diferentes puntos de acceso para diferentes VLANs y un router con un enlace troncal todo ello conectado de forma estática y manual.
La distribución de VLANs será ls siguiente:
VLAN
Nombre
Subred
Puertos
VLAN 10
Directivos
192.168.5.0/24
Fa0/2-6
VLAN 11
Jefes
192.168.6.0/24
Fa0/7-12
VLAN 12
Trabajadores
192.168.7.0/24
Fa0/13-18
VLAN 13
Clientes
192.168.8.0/24
Fa0/19-24
Cuyas conexiones Principales son:
Switch Puerto Fa0/1: Trunk hacia el Router (permite paso de todas las VLANs)
Router Fa0/0: Conectado al puerto Fa0/1 del Switch en modo trunk
VLAN 1: Se mantiene para gestión, no se segmenta
Vamos con los pasos:
Paso 1: Crear VLAN 10 (Directivos) y asignar puertos
Explicación:
vlan 10: Crea la VLAN con ID 10
name directivos: Asigna un nombre descriptivo
exit: Vuelve al modo configuración
Seguimos asignando puertos de acceso:
Explicación:
interface range fa0/2 - 6: Selecciona puertos del 2 al 6
switchport mode access: Pone los puertos en modo access (no trunk)
switchport access vlan 10: Asigna estos puertos a la VLAN 10
no shutdown: Activa los puertos
exit: Vuelve al modo configuración
Paso 2: Crear VLAN 11 (Jefes de Sección) y asignar puertos
Paso 3: Crear VLAN 12 (Trabajadores) y asignar puertos
Paso 4: Crear VLAN 13 (Clientes) y asinar puertos
Paso 5: Configurar Puerto Trunk (Fa0/1) y verificar configuración
Explicación:
switchport mode trunk: Pone el puerto en modo trunk (permite múltiples VLANs)
switchport trunk encapsulation dot1q: Usa el protocolo 802.1Q para etiquetar VLANs
Finalmente guardamos la configuración completa con:
Explicación:
do write: Guarda la configuración en la memoria (equivalente a copy running-config startup-config)
Para verificar la información podemos usar:
Paso 6: Configuración de interfaz y subinterfaces del router
Lo primero es activar la interfaz física de este:
Y ahora toca ir una por una con las subinterfaces:
Explicación:
interface fa0/0.10: Crea una subinterfaz virtual para VLAN 10
encapsulation dot1Q 10: Especifica etiquetado 802.1Q con ID 10
ip address 192.168.5.1 255.255.255.0: Asigna IP del router (puerta de enlace para VLAN 10)
no shutdown: Activa la subinterfaz
De nuevo, guardamos la configuración y verificamos esta:
Paso 7. CONFIGURACIÓN DE LOS PCs
Ubicación: Desktop > IP Configuration
Pasos:
Haz clic derecho en PC0
Selecciona "Desktop" → "IP Configuration"
Selecciona "Static"
Ingresa los valores de arriba
PC0 (VLAN 10 - Directivos)
Parámetro
Valor
IPv4 Address
192.168.5.2
Subnet Mask
255.255.255.0
Default Gateway
192.168.5.1
DNS Server
(opcional) 8.8.8.8
PC1 (VLAN 11 - Jefes)
Parámetro
Valor
IPv4 Address
192.168.6.2
Subnet Mask
255.255.255.0
Default Gateway
192.168.6.1
PC2 (VLAN 12 - Trabajadores)
Parámetro
Valor
IPv4 Address
192.168.7.2
Subnet Mask
255.255.255.0
Default Gateway
192.168.7.1
PC3 (VLAN 13 - Clientes)
Parámetro
Valor
IPv4 Address
192.168.8.2
Subnet Mask
255.255.255.0
Default Gateway
192.168.8.1
Paso 8. VERIFICACIÓN Y PRUEBAS
VERIFICACIÓN EN EL SWITCH
VERIFICACIÓN EN EL ROUTER
Con esto ya puedes realizar las pruebas de conectividad con ping.
PRÁCTICA - VLANs en Router-on-a-stick
Vamos a partir del siguiente ejemplo para poder realizar la práctica:
VLAN 10 - Ventas
VLAN 20 - Administración
Necesitamos una separación real y lógica entre ambas redes por temas de seguridad y segmentación. Tenemos un solo router conectado por una vlan nativa 1 y dos vlans separadas por switches.
Tendremos tres enlaces troncales, los dos al switch-troncal cada uno asignado a una vlan respectivamente y luego el enlace con el router.
El router proporcionará red a todos los PCs mediante DHCP
Nombre
VLAN
Puertos
SW0
VLAN 10 - Ventas
Todos
SW1
VLAN 20 Administración
Todos
Switch troncal
VLAN 1
Puerto Fa0/1 - VLAN 10
Puerto Fa0/2 - VLAN 20
Puerto Gi0/1 - VLAN 1
Paso 1. Crear VLANs en el switch
Desde la CLI de los tres switches vamos a crear ambas vlans siguiendo los mismos pasos:
Comando clave: vlan <id> y name <texto> para nombrarla.
Verificación:
Ahí verás las VLAN 10 y 20 creadas.
Paso 2. Configuración de trunk
Toca configurar el switch central para que admita SOLO una VLAN por puerto y switch, para ello vamos por cada interfaz:
Ahora para verificar que Fa0/1 solo admite VLAN10 y Fa0/2 solo admite VLAN20 podemos:
Debería aparecer esto:
Paso 3. Asignar puertos como access a una VLAN
Un puerto access pertenece solo a una VLAN y se usa normalmente para PCs o dispositiovs finales, en nuestro caso los puertos access serán los de los dos switches separados (0 y 1).
Para el SW0 (Solo VLAN10):
Y hacemos lo mismo con SW1 (VLAN 20):
Puedes comprobarlo en cualquier de los switches con los siguientes comandos:
Configurar SVI (Interface VLAN) para hacer ping entre VLANs (opcional)
En un switch capa 2 puro necesitas un router (router‑on‑a‑stick) para inter‑VLAN routing. Muchos labs en Packet Tracer usan un switch capa 3 o router, pero para administración del switch puedes crear una interface VLAN:
Esto sirve para gestionar el switch (Telnet/SSH), no para que las VLANs se enruten entre sí sin un router.
Paso 4. Configuración de red del router
Para facilitarnos la vida vamos a configurar dos subredes por DHCP en el router que sirvan a una u otra VLANs, vamos con la siguiente configuración:
Puerto
Nombre
IP red
Gateway
Pool DHCP
Gi0/0/0.10
VLAN 10 - Ventas
192.168.10.0/24
192.168.10.1
192.168.10.10 - 192.168.10.254
Gi0/0/0.20
VLAN 20 - Administración
192.168.20.0/24
192.168.20.1
192.168.20.10 - 192.168.20.254
Primero hay que entender que cada VLAN viaja por el mismo puerto encapsulada dentro de la VLAN nativa por lo que tenemos que hacer subpuertos lógicos para poder trabajar en el mismo. Vamos con los pasos en el Router:
1. Excluir IPs reservadas (gateways, etc.):
2. Pool DHCP para VLAN 10 (Ventas):
3. Pool DHCP para VLAN 20 (Administración):
4. Subinterfaces para routing (router-on-a-stick):
5. VLAN nativa 1:
Esta parte es opcional solamente lo necesitariamos en estos casos:
Gestión remota del router (Telnet/SSH desde PCs)
DHCP para VLAN1 (equipos legacy sin VLAN tag)
PCs conectados directamente al router en VLAN1
Switch management SVI que use VLAN1 como gateway
Ahora para verificar, en Router:
🚧 PRÁCTICA - Configuración de Switch de capa 3 e Inter-VLAN Routing
(config)# interface fa0/0.10
(config-subif)# encapsulation dot1Q 10
(config-subif)# ip address 192.168.5.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
(config)# interface fa0/0.11
(config-subif)# encapsulation dot1Q 11
(config-subif)# ip address 192.168.6.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
(config)# interface fa0/0.12
(config-subif)# encapsulation dot1Q 12
(config-subif)# ip address 192.168.7.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
(config)# interface fa0/0.13
(config-subif)# encapsulation dot1Q 13
(config-subif)# ip address 192.168.8.1 255.255.255.0
(config-subif)# no shutdown
(config-subif)# exit
(config)# do write
(config)# exit
# show ip interface brief
# show running-config | include encapsulation
# show interfaces
# Ver resumen de VLANs
Switch# show vlan brief
# Debe mostrar:
# VLAN Name Status Ports
# ---- -------------------------------- --------- ---...
# 1 default active Fa0/1
# 10 directivos active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6
# 11 jefeseccion active Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12
# 12 trabajadores active Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18
# 13 clientes active Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24
# Ver puertos trunk
Switch# show interfaces trunk
# Debe mostrar:
# Port Mode Encapsulation Status Native vlan
# Fa0/1 on 802.1q trunking 1
# Ver interfaces e IPs
Router# show ip interface brief
# Debe mostrar:
# Interface IP-Address OK? Method Status Protocol
# FastEthernet0/0 unassigned YES manual up up
# FastEthernet0/0.10 192.168.5.1 YES manual up up
# FastEthernet0/0.11 192.168.6.1 YES manual up up
# FastEthernet0/0.12 192.168.7.1 YES manual up up
# FastEthernet0/0.13 192.168.8.1 YES manual up up
# Ver configuración de encapsulación
Router# show running-config | include encapsulation
# encapsulation dot1Q 10
# encapsulation dot1Q 11
# encapsulation dot1Q 12
# encapsulation dot1Q 13
> enable
# configure terminal
(config)# vlan 10
(config-vlan)# name Ventas
(config-vlan)# exit
(config)# vlan 20
(config-vlan)# name Administracion
# show vlan brief
! Trunk SOLO VLAN 10 hacia SW0
interface fa0/1
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 10
no shutdown
! Trunk SOLO VLAN 20 hacia SW1
interface fa0/2
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 20
no shutdown
! Trunk completo a router (todas VLANs)
interface gi0/1
switchport trunk encapsulation dot1q !Solo para switches que no sean 2960/2960S/3560
switchport mode trunk
switchport trunk allowed vlan 1,10,20
switchport trunk native vlan 1 ! VLAN1 sin tag
no shutdown
end
show interfaces trunk
Switch#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 10
Fa0/2 20
Port Vlans allowed and active in management domain
Fa0/1 10
Fa0/2 20
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 10
Fa0/2 20
interface range fa0/2 - 24 ! Todos los puertos PCs → access VLAN10
switchport mode access
switchport access vlan 10
no shutdown
! Trunk de vuelta al troncal → SOLO VLAN10
interface fa0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10
no shutdown
end
interface range fa0/1 , fa0/3 - 24 ! Todos los puertos PCs → access VLAN20
switchport mode access
switchport access vlan 20
no shutdown
! Trunk de vuelta al troncal → SOLO VLAN20
interface fa0/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 20
no shutdown
end
show running-config
show vlan id 10
show vlan id 20
show vlan brief ! Solo VLAN10 activa
# configure terminal
(config)# interface vlan 1
(config-if)# ip address 10.1.1.101 255.255.255.0
(config-if)# no shutdown
(config-if)# end
configure terminal
ip dhcp excluded-address 192.168.10.1 192.168.10.10 ! Excluye .1-.10 en VLAN10
ip dhcp excluded-address 192.168.20.1 192.168.20.10 ! Excluye .1-.10 en VLAN20
exit
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8 8.8.4.4 ! Opcional
exit
ip dhcp pool VLAN20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
dns-server 8.8.8.8 8.8.4.4 ! Opcional
exit
interface gigabitethernet0/0/0.10 ! Subint VLAN10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface gigabitethernet0/0/0.20 ! Subint VLAN20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit
interface gigabitethernet0/0/0 ! Puerto físico al trunk Gi0/1 del switch
no shutdown
end
interface gigabitethernet0/0/0.1
encapsulation dot1Q 1 native
ip address 192.168.1.1 255.255.255.0
no shutdown
show ip dhcp binding ! IPs asignadas
show ip dhcp pool ! Estadísticas pools
show ip interface brief ! Subinterfaces UP
