Qué son las VLAN: cómo funcionan con ejemplos de uso

15 de agosto de 2021 molinos mate Consejos y trucos 0

¿Qué son las VLAN?

VLAN (LAN virtual) , o también conocidas como redes de área local virtuales, es una tecnología de red que nos permite crear redes lógicas independientes dentro de una misma red física. El objetivo de usar VLANs en un entorno doméstico o profesional es segmentar adecuadamente la red y utilizar cada subred de forma diferente, además, al segmentar por subredes usando VLANs se puede permitir o denegar el tráfico entre las diferentes VLANs gracias a un dispositivo . L3 como un enrutador o un conmutador multicapa L3. Hoy en este artículo te vamos a explicar en detalle qué son las VLAN, para qué sirven y qué tipos existen.

¿Qué son las VLAN?

VLAN o también conocido como ” LAN virtual ” nos permiten crear redes lógicamente independientes dentro de una misma red física, haciendo uso de switches manejables que soportan VLANs para segmentar adecuadamente la red. También es muy importante que los routers que utilicemos soporten VLANs, de lo contrario no podremos gestionarlos todos ni permitir o denegar la comunicación entre ellos. Actualmente, la mayoría de los enrutadores profesionales e incluso cortafuegos / Los sistemas operativos orientados al enrutador como pfSense u OPNsense admiten VLAN porque es un estándar en la actualidad. El uso de VLAN nos proporciona lo siguiente:

  • Seguridad : las VLAN nos permiten crear redes lógicamente independientes , por lo tanto, podemos aislarlos para que solo tengan conexión a Internet, y denegar el tráfico de una VLAN a otra. Por defecto, las VLAN no tienen permitido intercambiar tráfico con otra VLAN, es totalmente necesario subir al nivel de red (L3) con un router o un switch multicapa, para poder activar el enrutamiento inter-vlan, es decir, el enrutamiento entre VLANs para permitir la comunicación entre ellas siempre que lo necesitemos.
  • Segmentación : las VLAN nos permiten segmentar todas las computadoras en diferentes subredes , a cada subred se le asignará una VLAN diferente. Por ejemplo, podemos crear una subred de administración interna para todos los enrutadores, conmutadores y puntos de acceso, podemos crear una subred principal para administradores, otra subred para dispositivos IoT y una subred diferente para invitados. Es decir, podemos segmentar la red principal en una subred para que cada subred haga uso de las comunicaciones como quiera. Gracias a la segmentación, podemos agrupar una gran cantidad de equipos dentro de un mismo dominio de transmisión, incluso si están físicamente lejos.
  • Flexibilidad : gracias a las VLANs podemos ubicar los diferentes equipos en una u otra subred, de forma fácil y rápida, y tener políticas de comunicación donde permitiremos o denegaremos el tráfico a otras VLANs oa Internet. Por ejemplo, si creamos una VLAN invitada, podríamos prohibirles el uso de servicios de transmisión de video.
  • Optimización de la red . Al tener subredes más pequeñas, en entornos donde tenemos cientos o miles de equipos conectados, contendremos la transmisión en dominios más pequeños, por lo tanto, el rendimiento de la red será óptimo, sin tener que transmitir los mensajes de transmisión a todos los equipos conectados. lo que haría que el rendimiento de la red cayera drásticamente e incluso podría colapsar. Al usar VLAN, tendremos varios dominios de transmisión en el mismo conmutador.

Las VLAN nos permiten asociar lógicamente los diferentes usuarios , en función de etiquetas, puertos de switch, su dirección MAC e incluso en función de la autenticación que hayan realizado en el sistema. Las VLAN pueden existir en un solo switch administrable, para luego asignar cada puerto de acceso a una VLAN específica, pero también pueden existir en varios switches que estén interconectados, por lo tanto, las VLAN pueden extenderse por diferentes switches a través de los enlaces troncales. Esto nos permite tener las VLAN en diferentes switches y asignar una VLAN específica en cualquiera de estos switches o en varios simultáneamente.

Cuando creamos y configuramos VLAN en un enrutador, no se pueden comunicar entre sí, la única forma en que las VLAN se pueden comunicar es ascendiendo al nivel de red (L3), esto lo podemos hacer de diferentes maneras:

  • Utilizar enrutador / firewall con soporte para el estándar VLAN . El switch pasará un trunk con todas las VLAN y el router/firewall registrará las diferentes VLAN en su firmware o sistema operativo, y permitirá el enrutamiento entre vlan. Es posible que, por defecto, este enrutamiento esté activado, pero por reglas en el firewall se deniegue la comunicación entre las VLAN, hasta que permitamos el acceso.
  • Utilizar Conmutador gestionado L3 . Los switches administrados L3 nos permiten crear interfaces IPv4 e IPv6, por lo que podemos crear una interfaz para cada VLAN que tengamos configurada en el switch y activar el enrutamiento entre vlan. Esta es una muy buena opción para intercomunicar las VLAN sin necesidad de que el router se encargue de todo, generalmente estos switches L3 están en el núcleo de la red.

Para permitir la comunicación o no comunicación de las VLAN, debe utilizar ACL (Listas de control de acceso) , o configure el firewall correspondiente para permitir o denegar el tráfico. Por ejemplo, se podría permitir la comunicación de una VLAN 2 a una VLAN 3, pero no al revés, por lo tanto, configurando correctamente el firewall y los estados de conexión, se podría ajustar la comunicación a los requerimientos de la empresa.

¿Para qué sirven las VLAN?

Cuando configuramos una red de área local, ya sea en un entorno doméstico donde queremos segmentar los diferentes dispositivos a conectar, o en un entorno profesional, hacemos uso de las VLAN para tener diferentes subredes. Imaginemos que somos los administradores de red de un colegio, podemos crear distintas VLAN para diferentes usos y hacer una administración de la red mucho más sencilla, además, podremos “contener” mensajes de difusión en dominios de difusión más pequeños, es decir , Tendremos pequeñas subredes para dar direccionamiento a las decenas de ordenadores que tenemos, y no solo una subred donde hay cientos de dispositivos conectados. En este escenario de una escuela, perfectamente podríamos tener las siguientes VLAN:

  • VLAN de gestión: podemos crear una VLAN de gestión para acceder al router, firewall, todos los switches distribuidos por el colegio y también los puntos de acceso WiFi que tengamos, los sistemas de monitorización también estarán en esta VLAN para monitorizar continuamente los diferentes equipos de la red.
  • VLAN de administración escolar: en esta VLAN estarán todas las PC del director, secretaria de la escuela, docentes y demás personal.
  • Student VLAN: todos los equipos de los estudiantes estarán en esta VLAN, ya sean equipos cableados en las aulas o vía WiFi con un SSID específico asociado a una VLAN.
  • Guest VLAN: esta VLAN podría conectar los diferentes smartphones y tablets de los propios alumnos, los padres cuando los visitan, etc.

para que sirvan las vlans

Como puedes ver, una VLAN nos permitirá segmentar la red local en varias subredes más pequeñas, enfocadas específicamente a una tarea específica, además, podemos brindar seguridad porque las VLAN entre ellas no podrán comunicarse (o sí, dependiendo). en la configuración de ACL que queramos). Gracias a las VLAN mejorará el rendimiento general de la red, ya que estaremos conteniendo el broadcast en dominios de broadcast más pequeños.

Una vez que hayamos visto qué son las VLAN y para qué sirven, veremos qué tipos existen.

Tipos de VLAN

Actualmente existen varios tipos de VLAN que podemos utilizar en los diferentes equipos, es decir, en los switches y WiFi puntos de acceso. Las diferentes VLAN que existen son las basadas en el estándar 802.1Q VLAN Tagging basado en etiquetas, VLAN basadas en puertos, VLAN basadas en MAC, VLAN basadas en aplicaciones, aunque esta última no se suele utilizar habitualmente.

Etiquetado de VLAN 802.1Q

Es el tipo de VLAN más utilizado, utiliza el estándar 802.1Q para etiquetar o desetiquetar las VLAN. Este estándar consiste en introducir una cabecera 802.1Q en la trama Ethernet que todos conocemos, para poder diferenciar las distintas VLAN que tengamos configuradas. Este estándar no encapsula la trama Ethernet original, sino que agrega 4 bytes a la cabecera Ethernet original, además, el cambio de “EtherType” se cambia al valor 0x8100 para indicar que se ha cambiado el formato de la trama.

Cuando estamos usando el estándar 802.1Q y creamos las diferentes VLAN en un switch, podemos configurar los diferentes puertos como “tagged” o “untagged”, es decir, tagged o untagged.

  • VLAN etiquetada : el “tag” del VLAN ID que hemos configurado se incorpora a las tramas Ethernet. Este tipo de VLAN las entienden todos los switches, los puntos de acceso WiFi profesionales y los routers. Una o más VLAN en un puerto determinado se pueden configurar en modo etiquetado. Los enlaces troncales (de un enrutador a un conmutador, de un conmutador a otro y de un conmutador a un AP) generalmente siempre se configuran como "etiquetados" para "enviarles" todas las VLAN.
  • VLAN sin etiquetar : en las tramas de Ethernet se quita la etiqueta que hemos configurado, este tipo de VLAN las entienden todos los dispositivos, pero principalmente se utilizan para equipos finales como ordenadores, portátiles, impresoras, cámaras IP y otro tipo de dispositivo. En un puerto específico, solo podemos configurar una VLAN como "sin etiquetar", no podemos poner dos VLAN como "sin etiquetar" porque el dispositivo final no "entendería" nada.

En la siguiente imagen puede ver que tenemos diferentes VLAN creadas, y tendremos una columna «sin etiquetar» con los puertos del conmutador que están sin etiquetar. También tenemos una columna con "etiquetado" donde están las VLAN etiquetadas. En este ejemplo, los puertos 1-4 y 9 están configurados con AP profesionales y con otro conmutador, por lo tanto, pasaremos las VLAN etiquetadas.

Cuando estamos usando este estándar, los switches también te permiten configurar los puertos físicos de diferentes formas:

  • para mantenimiento : estos son los puertos donde conectaremos las PC, impresoras, teléfonos inteligentes y los dispositivos finales. Este puerto de acceso tendrá una VLAN configurada como “sin etiquetar”.
  • baúl o baúl : lleva una o varias VLAN de un equipo a otro, por ejemplo, si queremos conectar un switch con otro switch y “pasar” todas las VLAN o algunas, tendremos que configurarlo en modo troncal o troncal, y seleccionamos las VLAN que queremos pasar como «etiquetadas».
  • Dynamic : dependiendo del tipo de paquete que reciba el switch, se configurará como acceso o como troncal. No se recomienda configurar los puertos de un switch en modo dinámico por seguridad para evitar posibles ataques.

Dependiendo de la configuración del puerto que vayamos a elegir tendremos que rellenar diferentes parámetros para configurar correctamente la VLAN. Por ejemplo, si seleccionamos el modo de acceso (pasar las VLAN sin etiquetar al dispositivo final que conectamos), sería así:

Como puedes ver, al seleccionar el modo de acceso debemos poner el VLAN ID configurado para quitar la etiqueta y pasar todos los datos al dispositivo final. Un aspecto importante es que los switches avanzados nos permitirán configurar los tipos de tramas que aceptan de entrada, en este caso lo normal en un puerto de acceso es permitir solo tramas sin etiquetar.

Los puertos configurados como "sin etiquetar" son sinónimos de un puerto configurado en modo de acceso, y un puerto configurado como "etiquetado" es sinónimo de un puerto en modo troncal donde le pasamos una o más VLAN.

Otra característica muy importante del estándar 802.1Q son las VLAN nativas, estas VLAN nativas son una ID de VLAN que no se coloca como etiquetada en los troncales. Si una trama sin etiquetar llega a un puerto, se considera que pertenece a la VLAN nativa. Esto permite la interoperabilidad con dispositivos antiguos, además, toda la gestión de tráfico de protocolos como VTP, CDP, Link Aggregation y otros se gestiona a través de la VLAN nativa, que por defecto es la de administración.

VLAN basadas en puertos

También conocido como Port Switching en los menús de configuración de routers y switches, es el más extendido y utilizado por switches de gama muy baja. Cada puerto se asigna a una VLAN y los usuarios que están conectados a ese puerto pertenecen a la VLAN asignada. Los usuarios dentro de la misma VLAN tienen visibilidad unos de otros, aunque no de las redes locales virtuales vecinas.

El único inconveniente es que no permite dinamismo a la hora de localizar a los usuarios, y en el caso de que el usuario cambie de ubicación físicamente, se debe reconfigurar la VLAN. En las VLAN basadas en puertos, la decisión y reenvío se basa en la dirección MAC de destino y el puerto asociado, es la VLAN más simple y común, por esta razón, los switches de gama baja suelen incorporar VLAN basadas en puertos y no basadas en el estándar. 802.1Q.

VLAN basadas en MAC

El razonamiento es similar al anterior, excepto que en lugar de ser una asignación a nivel de puerto, es a nivel de dirección MAC del dispositivo. La ventaja es que permite la movilidad sin necesidad de aplicar cambios en la configuración del switch o router. El problema parece bastante claro: agregar todos los usuarios puede ser tedioso. Solo los switches de gama más alta permiten VLAN basada en MAC, cuando el switch detecta que se ha conectado una determinada dirección MAC automáticamente la ubicará en una VLAN específica, esto es muy útil en casos donde queremos movilidad.

Imaginemos que nos conectamos con nuestro portátil en varios puertos Ethernet de nuestra oficina, y queremos que nos asigne siempre la misma VLAN, en este caso con VLAN basadas en MAC es posible hacerlo sin tener que reconfigurar el switch. En entornos de grandes empresas, esta funcionalidad es muy común para segmentar correctamente los equipos.

Antes de terminar, nos gustaría comentarte que, en la actualidad, los puntos de acceso WiFi profesionales y los controladores WiFi (ya sean locales o en el Nube) soportan VLANs, de esta forma, podemos dotarles de un troncal con una o varias VLANs para posteriormente configurar un SSID para cada una de las VLANs que tengamos configuradas. Por ejemplo, con Nuclias Connect, que es la plataforma de gestión centralizada de puntos de acceso WiFi del fabricante D-Link, podemos configurar los AP para que reciban todas las VLAN por LAN, y luego asignar cada VLAN a un SSID específico que creamos. .

Gracias a esto, no solo podremos segmentar la red cableada, sino también las redes WiFi inalámbricas en base a los SSID asociados a las distintas VLAN que tengamos. Una buena práctica de seguridad sería crear una VLAN con un SSID específico para dispositivos “Smart Home”, como TV por cable o WiFi, cámaras IP y otro tipo de dispositivos, para que estén en una VLAN específica y no puedan comunicarse con los dispositivos. . computadoras o teléfonos inteligentes que estarían en la red principal.

Como has visto, las VLAN son una tecnología que nos permitirá segmentar correctamente redes cableadas e inalámbricas, ideal para tener la mejor seguridad posible, control de todos los equipos conectados y optimización de la red para evitar tormentas de broadcast.