Cuando una red crece más allá de un solo switch, mantener la segmentación por VLANs entre múltiples equipos se convierte en una necesidad crítica. La solución está en los enlaces troncales, que permiten transportar tráfico etiquetado de distintas VLANs a través de una única conexión física entre switches, conservando las reglas de seguridad y filtrado.
¿Por qué necesitas enlaces troncales entre switches?
En un escenario real, los dispositivos de la red no se conectan todos a un mismo equipo. Existen múltiples switches distribuidos y cada uno puede tener configuradas sus propias VLANs. El problema surge al conectar estos equipos entre sí: el tráfico que viaja de un switch a otro debe conservar las etiquetas de VLAN para que la segregación funcione correctamente [0:20].
Si un dispositivo pertenece a la VLAN 2 en el switch A, cuando su tráfico cruce al switch B, debe seguir identificándose como VLAN 2. Así, solo podrá comunicarse con dispositivos que también pertenezcan a esa misma VLAN en el otro equipo. Esto garantiza que las características de seguridad se conserven sin importar por cuántos switches pase la información.
Un enlace troncal (trunk link) es precisamente esa conexión entre dos switches que transporta tráfico de múltiples VLANs de forma simultánea. A diferencia de un puerto en modo access, donde se conecta una estación de trabajo perteneciente a una sola VLAN, el puerto en modo trunk permite que circule información del equipo en colectivo hacia otro equipo [1:30].
¿Cómo se configura un enlace troncal en la línea de comandos?
La configuración parte de identificar los puertos que conectan ambos switches. En el ejemplo práctico, ambos equipos utilizan el puerto GigabitEthernet 0/2 para el enlace troncal, aunque no es obligatorio que sea el mismo número de puerto en cada lado [1:10].
¿Qué comandos se ejecutan para activar el modo troncal?
Los pasos en la CLI son los siguientes [2:30]:
- Ingresar al modo de configuración global con
config terminal.
- Acceder a la interfaz que conecta los switches:
interface GigabitEthernet 0/2.
- Establecer el puerto en modo troncal:
switchport mode trunk.
- Definir qué VLANs pueden circular por ese enlace:
switchport trunk allowed vlan all.
El comando switchport mode trunk diferencia este puerto de uno en modo access. Mientras que access asigna el puerto a una sola VLAN para conectar estaciones finales, trunk permite que múltiples VLANs compartan el mismo enlace físico [1:42].
¿Cómo restringir las VLANs permitidas en el trunk?
Por defecto, al configurar allowed vlan all, todas las VLANs del equipo pueden transitar por el enlace troncal. Sin embargo, es posible limitar el tráfico a VLANs específicas indicando sus números en lugar de la palabra all [3:00]. Esto resulta útil cuando se quiere mayor control sobre qué segmentos de red se comunican entre switches.
switchport trunk allowed vlan 2,3 permite solo las VLANs 2 y 3.- También se pueden definir rangos para simplificar la configuración.
¿Cómo verificar que el enlace troncal funciona correctamente?
Una vez configurado el trunk en ambos equipos, la prueba consiste en validar la comunicación entre dispositivos de la misma VLAN ubicados en switches diferentes [3:30].
En el ejemplo práctico se realizó un ping desde el PC2 (conectado al switch B en VLAN 2) hacia dos direcciones:
- 192.168.1.11 (PC1, que pertenece a la VLAN 3): el ping no recibió respuesta, confirmando que la segmentación funciona.
- 192.168.1.10 (PC0, que pertenece a la VLAN 2): el ping fue exitoso, demostrando que la comunicación entre VLANs iguales a través del trunk opera correctamente [3:55].
Esto demuestra que los enlaces troncales mantienen la lógica de aislamiento: solo los dispositivos dentro de la misma VLAN pueden comunicarse, sin importar en qué switch estén conectados físicamente.
Si quieres afianzar estos conceptos, practica la configuración con los recursos del curso y comparte tus resultados o dudas en los comentarios.
