Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Usar un switch gestionable L3. Los switches gestionables L3 nos permiten crear
interfaces IPv4 y IPv6, por lo que podremos crear una interfaz por cada VLAN que
tengamos configurada en el switch y activar el enrutamiento inter-vlan. Esto es una
opción muy buena para intercomunicar las VLANs sin necesidad de que el router
se encargue de todo, generalmente estos switches L3 están en el Core de la red.
Latencia: Este tipo de redes son más eficaces que las WAN, pero no lo son tanto
como una red LAN.
Segmentación de las redes
La segmentación resulta muy eficaz contra los usuarios no autorizados, ya que se puede
bloquear accesos de forma sencilla. Pero para llegar a comprender la segmentación de la
red a la perfección, debemos fijarnos en un término, la presunción de confianza.
Esto ha llevado a las corporaciones a aplicar la estrategia Zero Trust, lo que es básicamente
una política de no fiarse de nadie. En este punto es donde aparece la segmentación de la
red, lo cual genera nuevas defensas ante los posibles problemas que indicamos
anteriormente. En muchos casos se puede hacer con cortafuegos virtuales y redes VLAN,
en las cuales se pueden generar permisos a los usuarios o grupos de estos.
¿Para qué sirven las VLAN?
Cuando configuramos una red de área local, ya sea en un entorno doméstico donde
queramos segmentar los diferentes dispositivos a conectar, o en un entorno profesional,
hacemos uso de VLANs para tener diferentes subredes. Imaginemos que somos los
administradores de redes de un colegio, podemos crear diferentes VLANs para diferentes
usos y realizar una administración mucho más sencilla de la red, además, seremos capaces
de «contener» los mensajes de broadcast en dominios de difusión más pequeños, es decir,
tendremos subredes pequeñas para proporcionar direccionamiento a las decenas de equipos
que tengamos, y no solamente una subred donde haya cientos de dispositivos conectados.
En este escenario de un colegio, podríamos tener perfectamente las siguientes VLANs:
VLAN de gestión: podremos crear una VLAN de gestión para acceder al router,
firewall, a todos los switches repartidos por todo el colegio y también los puntos de
acceso WiFi que tengamos, los sistemas de monitorización también estarán en esta
VLAN para monitorizar continuamente los diferentes equipos de red.
VLAN de administración del colegio: en esta VLAN estarán todos los PC del
director, secretario del colegio, profesores y demás personal.
VLAN de alumnos: en esta VLAN estarán todos los equipos de los alumnos, ya
sean los equipos cableados en las aulas o vía WiFi con un determinado SSID
asociado a una VLAN.
Una vez que hemos visto qué son las VLANs y para qué sirven, vamos a ver qué tipos
existen.
Tipos de VLANs
Actualmente existen varios tipos de VLANs que podemos utilizar en los diferentes
equipos, es decir, en los switches y puntos de acceso WiFi. Las diferentes VLANs que
existen son las basadas en el estándar 802.1Q VLAN Tagging basado en etiquetas, las
VLAN basadas en puerto, las VLAN basadas en MAC, las VLAN basadas en
aplicaciones, aunque esta última no suele utilizarse habitualmente.
Es el tipo de VLAN más utilizada, hace uso del estándar 802.1Q para etiquetas o quitar la
etiqueta a las VLANs. Este estándar consiste en introducir una cabecera 802.1Q dentro de
la trama Ethernet que todos conocemos, con el objetivo de diferenciar las diferentes
VLANs que tengamos configuradas. Este estándar no encapsula la trama original de
Ethernet, sino que añade 4 bytes al encabezado Ethernet original, además, el cambio de
«EtherType» se cambia al valor 0x8100 para señalar que se ha cambiado el formato de la
trama.
Cuando estamos usando el estándar 802.1Q y creamos las diferentes VLANs en un switch,
podremos configurar los diferentes puertos como «tagged» o «untagged», es decir, con
etiqueta o sin etiqueta.
VLAN tagged: en las tramas Ethernet se incorpora el «tag» del VLAN ID que
hayamos configurado, este tipo de VLANs son entendidas por todos los switches,
por los puntos de acceso WiFi profesionales y por los routers. Se pueden
configurar en modo «tagged» una o más VLANs en un determinado puerto. En los
enlaces troncales (desde un router a un switch, de switch a switch y de switch a
AP) se suelen configurar siempre como «tagged» para «enviarles» todas las
VLANs.
VLAN untagged: en las tramas Ethernet se retira el tag que hayamos configurado,
este tipo de VLANs son entendidas por todos los dispositivos, pero principalmente
se utilizan de cara a los equipos finales como ordenadores, portátiles, impresoras,
cámaras IP y otro tipo de dispositivo. En un puerto en concreto solamente
podremos configurar una VLAN como «untagged», no podemos poner dos
VLANs como «untagged» porque el equipo final no «entendería» nada.
En la siguiente imagen se puede ver que tenemos diferentes VLANs creadas, y tendremos
una columna de «untagged» con los puertos del switch que están sin etiqueta. También
tenemos una columna con «tagged» donde están las VLANs etiquetadas. En este ejemplo,
los puertos 1-4 y 9 están configurados con AP profesionales y con otro switch, por tanto,
estaremos pasando las VLANs etiquetadas.
Cuando estamos utilizando este estándar, los switches también permiten configurar los
puertos físicos de diferentes formas:
Acceso: son los puertos donde conectaremos los PC, impresoras, smartphones y los
equipos finales, este puerto de acceso tendrá configurada una VLAN como
«untagged».
Troncal o trunk: lleva una o varias VLANs de un equipo a otro, por ejemplo, si
queremos conectar un switch con otro switch y «pasarle» todas las VLANs o
algunas de ellas, tendremos que configurarlo en modo troncal o trunk, y
seleccionar las VLANs que queremos pasar como «tagged».
Dynamic: dependiendo del tipo de paquete que reciba el switch, se pondrá como
access o como trunk. No se recomienda configurar los puertos de un switch en
modo dinámico por seguridad para evitar posibles ataques.
Dependiendo de la configuración del puerto que vayamos a elegir, tendremos que rellenar
diferentes parámetros para configurar correctamente la VLAN. Por ejemplo, si
seleccionamos el modo acceso (para pasar las VLANs como untagged al equipo final que
conectemos), sería así:
Tal y como podéis ver, al seleccionar modo de acceso deberemos poner el VLAN ID
configurado para quitar la etiqueta y pasarle al equipo final todos los datos. Un aspecto
importante es que los switches avanzados nos permitirán configurar los tipos de tramas que
aceptan en entrada, en este caso, lo normal en un puerto de acceso es permitir solamente
las tramas sin etiquetar.
Otra característica muy importante del estándar 802.1Q son las VLAN Nativas, estas
VLAN nativas son un VLAN ID que no se pone como tagged en los enlaces troncales. Si a
un puerto llega una trama sin etiquetar, se considera que pertenece a la VLAN nativa. Esto
permite interoperabilidad con antiguos dispositivos, además, toda la gestión del tráfico de
protocolos como VTP, CDP, Link Aggregation y otros se gestiona a través de la VLAN
nativa, que por defecto es la de administración.
También conocida como Port Switching en los menús de configuración de los routers y
switches, se trata de la más extendida y utilizada por switches de gama muy baja. Cada
puerto se asigna a una VLAN y los usuarios que estén conectados a ese puerto pertenecen
a la VLAN asignada. Los usuarios dentro de una misma VLAN poseen visibilidad los unos
sobre los otros, aunque no a las redes locales virtuales vecinas.
El razonamiento es similar a la anterior, salvo que en vez de ser una asignación a nivel de
puerto lo es a nivel de dirección MAC del dispositivo. La ventaja es que permite movilidad
sin necesidad de que se tengan que aplicar cambios en la configuración del switch o del
router. El problema parece bastante claro: añadir todos los usuarios puede resultar tedioso.
Solamente los switches de gama más alta permiten VLAN basada en MAC, cuando el
switch detecta que se ha conectado una determinada dirección MAC le colocará
automáticamente en una VLAN específica, esto es muy útil en los casos en los que
queremos movilidad.
Imaginemos que nos conectamos con nuestro ordenador portátil en varios puertos Ethernet
por nuestra oficina, y queremos que siempre nos asigne la misma VLAN, en este caso con
las VLANs basadas en MAC sí es posible hacerlo sin tener que reconfigurar el switch. En
grandes entornos empresariales esta funcionalidad es muy habitual para segmentar
correctamente los equipos.
VLAN etiquetadas
Aquí veremos el etiquetado 802.1q que se define en el estándar IEE 802.1q. Permite a un
dispositivo en red, agregar información a una trama en la capa 2, de forma que puede
identificar la pertenencia a VLAN del marco. Este etiquetado permite que los entornos en
red tengan VLAN, la cual abarca varios dispositivos. Un solo dispositivo recibe el paquete,
lee la etiqueta y reconoce la VLAN a la que pertenece la trama. En algunos dispositivos,
no se admite la recepción de paquetes etiquetados y no etiquetados en la misma interfaz de
red. En estos casos, debemos contactar con los administradores para que solucionen el
problema.
En cuanto a la interfaz, esta puede ser un miembro del etiquetado o no etiquetado en una
VLAN. Cada una de estas interfaces de red, es un miembro sin etiqueta de VLAN
únicamente. En este caso, esta interfaz de red se encarga de transmitir las tramas de la
VLAN nativa como tramas sin etiquetar. Pero una interfaz de red puede formar parte de
diferentes VLAN, sin que las otras se encuentren etiquetadas.
VXLAN
Se trata de una red de área local virtual extensible. Esta superpone redes de capa 2, en una
infraestructura de capa 3, encapsulando tramas de capa 2 en paquetes UDP.
Facilita la opción de dar uso de funciones de capa 3 en las redes subyacentes.
El objetivo que tienen las VLANs en un punto de acceso WiFi profesional, es configurar
una VLAN por cada SSID que nosotros configuremos. Actualmente la mayoría de los APs
profesionales nos permiten crear hasta 8 SSID por cada banda de frecuencia, e incluso hay
algunos modelos de gama más alta que nos permiten crear hasta 16 SSID por cada banda
de frecuencias. Si asociamos una VLAN a cada uno de estos SSID, no solamente podemos
segmentar la red a través de la red cableada, sino también nuestra propia red inalámbrica.
Una buena práctica de seguridad sería crear una VLAN con un SSID específico para los
dispositivos «Smart Home», como TV por cable o WiFi, cámaras IP y otro tipo de
dispositivos como enchufes inteligentes, relés WiFi y otra serie de dispositivos catalogados
como «Smart Home». A continuación, podemos configurar un SSID específico para la red
principal, donde conectemos el smartphone y los ordenadores portátiles o ultrabooks
principales, con el objetivo de tener los máximos privilegios posibles. Finalmente,
podemos crear un SSID para invitados que esté bastante limitado en cuanto a accesos a
otros servicios de la red local e incluso limitar este SSID en concreto para evitar que
supere cierta velocidad de descarga y subida, limitar el acceso a contenidos web y todo lo
que nosotros queramos.
En términos de seguridad nos son muy útiles a la hora de aislar fallos, y lo que conlleva, la
velocidad en la que estos se solucionan. Por lo cual puede ser recomendable si se manejan
datos muy sensibles como puede ser en el sector sanitario o financiero.
Hoy en día segmentar una red grande es fundamental, tanto con el objetivo de
proporcionar una mayor seguridad a toda la red, como para tener diferentes dispositivos
con diferentes usos. Tal y como habéis visto, las VLAN son una tecnología que nos
permitirá segmentar correctamente las redes cableadas y también las inalámbricas, ideal
para tener la mejor seguridad posible, control de todos los equipos conectados, y
optimización de la red para evitar tormentas de broadcast.