Resumen: El Protocolo de Configuración Dinámica de Host (DHCP) es un protocolo crítico para la gestión de redes modernas, especialmente en entornos segmentados. Este artículo técnico en profundidad analiza la implementación de la configuración DHCP para múltiples VLAN utilizando la arquitectura router-on-a-stick en dispositivos Cisco. Exploraremos los conceptos de trunking 802.1Q, mecanismos de retransmisión DHCP, análisis de flujo de paquetes y proporcionaremos comandos CLI completos para configuración y resolución de problemas. Esta guía está diseñada para administradores de red que buscan optimizar la gestión de IP en infraestructuras multi-VLAN de manera eficiente y segura.
En redes corporativas de mediana a gran escala, la segmentación mediante VLAN (Red de Área Local Virtual) es un estándar para mejorar la seguridad, el rendimiento y la gestión del tráfico. Sin embargo, cada VLAN requiere un bloque único de direcciones IP (subred). Gestionar manualmente las direcciones IP en cada subred es una tarea ineficiente y propensa a errores. Aquí es donde el papel de la configuración DHCP para múltiples VLAN se convierte en una solución estratégica.
El DHCP opera en la capa de aplicación utilizando el puerto UDP 67 (servidor) y 68 (cliente). En un escenario multi-VLAN, las difusiones DHCP de un cliente en una VLAN no se reenviarán a otras VLAN por defecto. Por lo tanto, se requiere un intermediario—generalmente un router o un switch de capa 3—para actuar como Agente de Retransmisión DHCP. El router reenviará estos mensajes de difusión DHCP al servidor DHCP especificado, que puede estar en una subred diferente o integrado en el propio router.
El flujo de comunicación en una configuración DHCP para múltiples VLAN sigue el proceso DORA (Descubrir, Oferta, Solicitar, Acusar Recibo), modificado para un entorno con trunk:
- Descubrimiento DHCP (Difusión): Un cliente en la VLAN 10 envía un mensaje DHCPDISCOVER como difusión de capa 2.
- Etiquetado VLAN: El switch añade una etiqueta 802.1Q (ID de VLAN 10) a la trama Ethernet antes de enviarla por el puerto trunk.
- Transporte por Trunk: La trama etiquetada se reenvía a través del enlace trunk hacia el router.
- Procesamiento en Subinterfaz: El router, basándose en el ID de VLAN en la etiqueta, recibe y procesa la trama en la subinterfaz apropiada (ej: GigabitEthernet0/0.10).
- Oferta DHCP (Unidifusión): El router, actuando como servidor DHCP, responde con un DHCPOFFER que contiene una dirección IP del pool 192.168.10.0/24.
- Asignación de Dirección: El cliente finalmente recibe un paquete DHCPACK que contiene la dirección IP, máscara de subred, puerta de enlace predeterminada (192.168.10.1) e información DNS.
Análisis de Encapsulamiento y Flujo de Paquetes
Una comprensión profunda del encapsulamiento es crucial para la resolución de problemas. Estas son las capas de protocolo involucradas en una configuración DHCP para múltiples VLAN:
| Capa OSI | Componente Clave | Función en DHCP Multi-VLAN |
| Enlace de Datos (L2) | Cabecera 802.1Q | Lleva información del ID de VLAN (12 bits) en una etiqueta de 4 bytes insertada entre la dirección MAC de origen y el EtherType. |
| Red (L3) | Cabecera IP / Dirección Helper | Convierte paquetes de difusión DHCP en unidifusión para que puedan ser enrutados entre subredes si el servidor DHCP está en otra red. |
| Transporte (L4) | Puerto UDP 67/68 | Puertos estándar para comunicación entre servidor (67) y cliente (68). |
| Aplicación (L7) | Opciones DHCP (Campo 55) | Lleva parámetros de configuración adicionales como dirección DNS, nombre de dominio, tiempo de concesión y dirección del servidor TFTP (para VoIP). |
Implementación de Configuración del Switch
La configuración del switch implica crear VLAN y establecer puertos como acceso o trunk. Un puerto trunk transporta tráfico para múltiples VLAN con etiquetas 802.1Q.
! Paso 1: Crear VLAN en la Base de Datos del Switch
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Ingenieria
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Marketing
Switch(config-vlan)# exit
Switch(config)# vlan 30
Switch(config-vlan)# name Operaciones
Switch(config-vlan)# exit
! Paso 2: Configurar Puertos de Acceso (Cliente)
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# description PC-Ingenieria
Switch(config-if)# exit
Switch(config)# interface fastEthernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# description PC-Marketing
Switch(config-if)# exit
! Paso 3: Configurar Puerto Trunk al Router
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport trunk encapsulation dot1q ! Importante en algunas plataformas
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 999 ! Cambiar de la VLAN 1 por defecto por seguridad
Switch(config-if)# description TRUNK-al-Router-G0/0
Switch(config-if)# end
! Verificación: Comprobar Estado de VLAN y Trunk
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show interfaces gigabitEthernet 0/1 switchportConfiguración del Router como Servidor DHCP Central
El router se configura con una subinterfaz para cada VLAN. Cada subinterfaz obtiene una dirección IP que sirve como puerta de enlace predeterminada para esa VLAN y ejecuta el servicio DHCP.
! Paso 1: Crear Subinterfaces con Encapsulamiento 802.1Q
Router# configure terminal
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# no ip address ! Eliminar dirección IP de la interfaz física
Router(config-if)# no shutdown
Router(config-if)# exit
! Subinterfaz para VLAN 10
Router(config)# interface gigabitEthernet 0/0.10
Router(config-subif)# description Servidor-DHCP-para-VLAN10-Ingenieria
Router(config-subif)# encapsulation dot1Q 10 ! Debe coincidir con el ID de VLAN en el switch
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
! Si se usa un servidor DHCP externo, usar: ip helper-address <ip-servidor-dhcp>
Router(config-subif)# exit
! Subinterfaces para VLAN 20 y 30 (configuración similar)
Router(config)# interface gigabitEthernet 0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface gigabitEthernet 0/0.30
Router(config-subif)# encapsulation dot1Q 30
Router(config-subif)# ip address 192.168.30.1 255.255.255.0
Router(config-subif)# exit
! Paso 2: Configurar Pools DHCP para Cada VLAN
Router(config)# ip dhcp pool VLAN10_POOL
Router(dhcp-config)# network 192.168.10.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.10.1
Router(dhcp-config)# dns-server 8.8.8.8 1.1.1.1 ! DNS primario y secundario
Router(dhcp-config)# domain-name empresa.local
Router(dhcp-config)# lease 8 ! Tiempo de concesión de 8 días
Router(dhcp-config)# option 150 ip 192.168.10.100 ! Ejemplo para servidor TFTP (VoIP)
Router(dhcp-config)# exit
! Excluir rangos de direcciones que no deben distribuirse (para dispositivos estáticos)
Router(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
Router(config)# ip dhcp excluded-address 192.168.10.250 192.168.10.254
! Repetir el mismo proceso para los pools de VLAN 20 y 30
Router(config)# ip dhcp pool VLAN20_POOL
Router(dhcp-config)# network 192.168.20.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.20.1
... (y así sucesivamente)
! Paso 3: Habilitar Enrutamiento Entre VLAN (si es necesario)
Router(config)# ip routing ! Asegurar que el enrutamiento IPv4 esté activo globalmenteResolución de Problemas y Verificación en Profundidad
Tras la configuración, se recomienda encarecidamente una verificación multinivel para asegurar el éxito de la configuración DHCP para múltiples VLAN.
! 1. Verificar Estado de Interfaz y VLAN en el Router
Router# show ip interface brief | include 0/0. ! Comprobar estado de subinterfaz
Router# show vlans ! Mapeo detallado de VLAN a subinterfaz
! 2. Verificar Enlaces y Estadísticas DHCP
Router# show ip dhcp binding ! Listar todas las direcciones asignadas con MAC del cliente
Router# show ip dhcp pool ! Comprobar utilización de cada pool (usado/libre)
Router# show ip dhcp server statistics ! Estadísticas de paquetes y errores
! 3. Depuración en Tiempo Real (Usar con precaución en producción)
Router# debug ip dhcp server packet ! Ver intercambio de paquetes DHCP (DORA)
Router# debug ip dhcp server events ! Ver eventos como creación/renovación de concesiones
! 4. Verificación desde el Lado del Cliente y Conectividad
! En el cliente PC, usar comandos específicos del SO:
! Windows: ipconfig /all
! Linux: dhclient -v o journalctl -u systemd-networkd
! Luego probar conectividad a la puerta de enlace y entre VLAN (si se permite el enrutamiento):
! ping 192.168.10.1
! ping 192.168.20.50Mejores Prácticas de Seguridad y Optimización
- Habilitar DHCP Snooping: Característica de seguridad del switch para prevenir ataques de servidores DHCP no autorizados.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20,30
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# ip dhcp snooping trust ! Marcar puerto trunk al router como confiable - Establecer Tiempo de Concesión Estratégico: Las VLAN de usuarios permanentes (PC) pueden tener concesiones más largas (7-8 días), mientras que las VLAN de invitados deberían ser cortas (1-8 horas).
- Usar Dirección Helper para Servidores DHCP Externos: Para mayor escalabilidad, dirigir las solicitudes a un servidor DHCP dedicado (como ISC DHCPd o Microsoft Server).
Router(config-subif)# ip helper-address 10.0.0.100 - Monitoreo y Registro: Habilitar syslog para registrar eventos DHCP como conflictos de direcciones o pools casi agotados.
La implementación de la configuración DHCP para múltiples VLAN con el patrón router-on-a-stick es adecuada para redes con un número moderado de VLAN (hasta 50-100 VLAN, dependiendo de la plataforma del router). Para entornos más grandes y complejos, considere una arquitectura basada en un Switch de Capa 3 como puerta de enlace y retransmisor DHCP, o use un appliance servidor DHCP dedicado para el máximo rendimiento y confiabilidad.
Al comprender los principios, configuración y resolución de problemas descritos anteriormente, puede diseñar y gestionar la distribución de direcciones IP de manera escalable, segura y eficiente en un entorno de red multi-VLAN. Para mayor referencia sobre estándares y configuración avanzada, visite la documentación oficial de Cisco sobre DHCP y la especificación IEEE 802.1Q.