Documentos de Académico
Documentos de Profesional
Documentos de Cultura
inalámbricos
Los switches, los routers y los access points inalámbricos son los conceptos
básicos esenciales de las redes. A través de ellos, los dispositivos conectados a
su red pueden comunicarse entre sí y con otras redes, como Internet. Los
switches, routers y access points inalámbricos realizan funciones muy diferentes
dentro de una red.
Switches
Los switches son la base de la mayoría de las redes empresariales. Un
switch actúa como un controlador, que conecta computadoras, impresoras y
servidores a una red en un edificio o campus.
Hay dos tipos básicos de switches para elegir como parte de sus conceptos
básicos de red: en las instalaciones y administrados en la nube.
Un conmutador administrado en las instalaciones le permite
configurar y monitorear su LAN, y le proporciona un control más estricto de su
tráfico de red.
¿Tiene un pequeño equipo de TI? Un switch administrado en la
nube puede simplificar la administración de redes. Obtiene una interfaz de
usuario simple, administración completa de varios sitios y actualizaciones
automáticas enviadas directamente al switch.
Routers
Los routers conectan varias redes. También conectan computadoras en
esas redes a Internet. Los routers permiten que todas las computadoras en red
compartan una única conexión a Internet, lo que ahorra dinero.
Un router actúa como distribuidor. Analiza los datos que se envían a través
de una red, elige la mejor ruta para que se desplacen los datos y los envía en su
camino.
Los routers conectan su empresa con el mundo, protegen la información
contra amenazas de seguridad e incluso pueden decidir qué computadoras tienen
prioridad sobre otros.
Más allá de esas funciones básicas de red, los routers tienen características
adicionales para hacer que las redes sean más fáciles o más seguras. Según sus
necesidades de seguridad, por ejemplo, puede elegir un router con un firewall, una
red privada virtual (VPN) o un sistema de comunicaciones con protocolo de
Internet (IP).
Access Points
Un access point* permite que los dispositivos se conecten a la red
inalámbrica sin cables. Una red inalámbrica facilita la conexión de dispositivos
nuevos y les brinda soporte flexible a los trabajadores móviles.
* Los access points son compatibles con diferentes estándares IEEE. Cada
estándar es una modificación que recibe aprobación después de cierto tiempo. Los
estándares funcionan con diversas frecuencias, proporcionan distintos anchos de
banda y admiten distintas cantidades de canales.
Red inalámbrica
Para crear su red inalámbrica, puede elegir entre tres tipos de
implementación: implementación centralizada, implementación convergente e
implementación basada en la nube.
1. Implementación centralizada
2. Implementación convergente
Las VLAN o también conocidas como «Virtual LAN» nos permite crear redes
lógicamente independientes dentro de la misma red física, haciendo uso de switches
gestionables que soportan VLANs para segmentar adecuadamente la red. También
es muy importante que los routers que utilicemos soportan VLAN, de lo contrario, no
podremos gestionarlas todas ni permitir o denegar la comunicación entre ellas.
Actualmente la mayoría de routers profesionales e incluso sistemas operativos
orientados a firewall/router como pfSense o OPNsense soportan VLAN porque es un
estándar hoy en día. El uso de VLANs nos proporciona lo siguiente:
Las VLAN nos permiten asociar lógicamente a los diferentes usuarios, en base a
etiquetas, puertos del switch, a su dirección MAC e incluso dependiendo de la
autenticación que hayan realizado en el sistema. Las VLAN pueden existir en un solo
switch gestionable, para asignar después a cada puerto el acceso a una
determinada VLAN, pero también pueden existir en varios switches que están
interconectados entre ellos, por tanto, las VLAN pueden extenderse por diferentes
switches a través de los enlaces troncales. Esto nos permite tener las VLAN en
diferentes switches y asignar una determinada VLAN en cualquiera de estos
switches o en varios simultáneamente.
Acabamos de ver todas las ventajas y beneficios de las VLAN, pero estas también
tienen sus desventajas y limitaciones, las cuales se deben tener en cuenta a la hora
de crear una. Todo esto con la intención de aprovechar mejor sus funcionalidades y
rendimiento, ahorrar costes de instalación y mantenimiento posterior. Entre ellas,
algunas de las más importantes son:
Administración compleja: Si llegamos a tener varias VLAN, puede suponer
el mismo o incluso más trabajo y coste que las redes LAN. Lo cierto es que
este es uno de los primeros puntos en contra. Y no es para menos.
Básicamente porque hay que comprobar que cada dispositivo esté asignado
de forma correcta a la VLAN correspondiente sin cometer un fallo.
Latencia: Este tipo de redes son más eficaces que las WAN, pero no lo son
tanto como una red LAN.
Además de estos puntos, también hay que sumar que hay un mayor riesgo de
cometer algún tipo de error durante la configuración. Por el simple hecho
de configurar incorrectamente una VLAN, lo cierto es que se pueden generar
problemas de seguridad o de rendimiento en la toda la red. Es por esto mismo por lo
que hay que tener cuidado durante su configuración. Al igual que la gestión de
diferentes VLANs supone una mayor complejidad y aumentar la probabilidad de
cometer errores.
Por supuesto que todas estas preguntas esenciales serán respondidas en función al
contexto de las redes que nosotros administramos, están trabajando. La forma de
aplicar los procesos de segmentación puede variar en gran medida. Por ejemplo, la
micro-segmentación. La cual puede aplicarse de acuerdo a los procesos que se
ejecutan, aplicaciones utilizadas, los endpoints existentes y otros criterios que se
pueden considerar.
¿En qué consiste?
Por otro lado, hoy en día contamos con tecnologías definidas por software. Las
mismas simplifican en gran medida la segmentación de red agrupando y etiquetando
todo tipo de tráfico de red. Estas etiquetas que se generan fuerzan la aplicación de
las políticas de segmentación directamente en los equipos de red involucrados. Lo
mejor de estas tecnologías es que prácticamente no existe complejidad a diferencia
de las tecnologías tradicionales.
Como puedes ver, utilizar redes VLAN ya es una medida de seguridad como tal.
Pero una vez tenemos la red dividida en estos formatos, tendremos que implementar
medidas de seguridad que se adapten a estas redes. Esto nos ayudará a mantener
una seguridad mayor para los datos y recursos de las organizaciones, mientras que
también evitamos los accesos no autorizados a la información que pueda ser muy
sensible.
Algunas de las medidas se seguridad que debemos tener muy en cuenta son:
Cuando configuramos una red de área local, ya sea en un entorno doméstico donde
queramos segmentar los diferentes dispositivos a conectar, o en un entorno
profesional, hacemos uso de VLANs para tener diferentes subredes. Imaginemos
que somos los administradores de redes de un colegio, podemos crear diferentes
VLANs para diferentes usos y realizar una administración mucho más sencilla de la
red, además, seremos capaces de «contener» los mensajes de broadcast en
dominios de difusión más pequeños, es decir, tendremos subredes pequeñas para
proporcionar direccionamiento a las decenas de equipos que tengamos, y no
solamente una subred donde haya cientos de dispositivos conectados. En este
escenario de un colegio, podríamos tener perfectamente las siguientes VLANs:
VLAN de administración del colegio: en esta VLAN estarán todos los PC del
director, secretario del colegio, profesores y demás personal.
VLAN de alumnos: en esta VLAN estarán todos los equipos de los alumnos,
ya sean los equipos cableados en las aulas o vía WiFi con un determinado
SSID asociado a una VLAN.
Una vez que hemos visto qué son las VLANs y para qué sirven, vamos a ver qué
tipos existen.
Tipos de VLANs
Actualmente existen varios tipos de VLANs que podemos utilizar en los diferentes
equipos, es decir, en los switches y puntos de acceso WiFi. Las diferentes VLANs
que existen son las basadas en el estándar 802.1Q VLAN Tagging basado en
etiquetas, las VLAN basadas en puerto, las VLAN basadas en MAC, las VLAN
basadas en aplicaciones, aunque esta última no suele utilizarse habitualmente.
Es el tipo de VLAN más utilizada, hace uso del estándar 802.1Q para etiquetas o
quitar la etiqueta a las VLANs. Este estándar consiste en introducir una cabecera
802.1Q dentro de la trama Ethernet que todos conocemos, con el objetivo de
diferenciar las diferentes VLANs que tengamos configuradas. Este estándar no
encapsula la trama original de Ethernet, sino que añade 4 bytes al encabezado
Ethernet original, además, el cambio de «EtherType» se cambia al valor 0x8100 para
señalar que se ha cambiado el formato de la trama.
VLAN tagged: en las tramas Ethernet se incorpora el «tag» del VLAN ID que
hayamos configurado, este tipo de VLANs son entendidas por todos los
switches, por los puntos de acceso WiFi profesionales y por los routers. Se
pueden configurar en modo «tagged» una o más VLANs en un determinado
puerto. En los enlaces troncales (desde un router a un switch, de switch a
switch y de switch a AP) se suelen configurar siempre como «tagged» para
«enviarles» todas las VLANs.
Cuando estamos utilizando este estándar, los switches también permiten configurar
los puertos físicos de diferentes formas:
Troncal o trunk: lleva una o varias VLANs de un equipo a otro, por ejemplo,
si queremos conectar un switch con otro switch y «pasarle» todas las VLANs
o algunas de ellas, tendremos que configurarlo en modo troncal o trunk, y
seleccionar las VLANs que queremos pasar como «tagged».
Tal y como podéis ver, al seleccionar modo de acceso deberemos poner el VLAN ID
configurado para quitar la etiqueta y pasarle al equipo final todos los datos. Un
aspecto importante es que los switches avanzados nos permitirán configurar los tipos
de tramas que aceptan en entrada, en este caso, lo normal en un puerto de acceso
es permitir solamente las tramas sin etiquetar.
Otra característica muy importante del estándar 802.1Q son las VLAN Nativas, estas
VLAN nativas son un VLAN ID que no se pone como tagged en los enlaces
troncales. Si a un puerto llega una trama sin etiquetar, se considera que pertenece a
la VLAN nativa. Esto permite interoperabilidad con antiguos dispositivos, además,
toda la gestión del tráfico de protocolos como VTP, CDP, Link Aggregation y otros se
gestiona a través de la VLAN nativa, que por defecto es la de administración.
VLAN basadas en puerto
Imaginemos que nos conectamos con nuestro ordenador portátil en varios puertos
Ethernet por nuestra oficina, y queremos que siempre nos asigne la misma VLAN, en
este caso con las VLANs basadas en MAC sí es posible hacerlo sin tener que
reconfigurar el switch. En grandes entornos empresariales esta funcionalidad es muy
habitual para segmentar correctamente los equipos.
VLAN etiquetadas
VXLAN
Se trata de una red de área local virtual extensible. Esta superpone redes de capa
2, en una infraestructura de capa 3, encapsulando tramas de capa 2 en paquetes
UDP.
VLAN Híbrida
VLAN Subred
Funciona en la capa 2
del modelo OSI División física de una red
Funciona en la capa 3Utiliza prefijos de red para
del modelo OSI diferentes direcciones IP
Segmenta la red enDivide una red más grande
dominios de difusión en subredes más pequeñas
Se implementaSe implementa utilizando
mediante conmutadores enrutadores
Gestiona la asignación de
Mejora el rendimiento ydirecciones IP, el
la seguridad de la redenrutamiento y el
aislando el tráfico rendimiento de la red
Puede abarcar variasNormalmente se limita a
ubicaciones físicas una única ubicación física
Utiliza etiquetas VLANUtiliza prefijos de red para
para diferenciar eldiferenciar las direcciones
tráfico IP
Permite un control másSimplifica la gestión de la
granular del tráfico dered al agrupar dispositivos
red con direcciones IP similares
La VLAN y la subred son dos pilares del panorama de la arquitectura de red, cada
uno con sus propios puntos fuertes y poderes.