Spanish

Los productos se exportan a Eur, Ru, Th, Mas y muchos otros países

Ver todos los productos

Stock grande, S0 Cantidad mínima de pedido baja

Ver todos los productos

Siempre busca la mejor calidad y brinda el mejor servicio

Ver todos los productos

Qué son las VLAN, para qué sirven y cómo funcionan con ejemplos de uso

2022-07-29 09:31:23 By : Ms. Crystal zhang

Las VLAN (Virtual LAN), o también conocidas como redes de área local virtuales, es una tecnología de redes que nos permite crear redes lógicas independientes dentro de la misma red física. El objetivo de usar VLAN en un entorno doméstico o profesional, es para segmentar adecuadamente la red y usar cada subred de una forma diferente, además, al segmentar por subredes usando VLANs se puede permitir o denegar el tráfico entre las diferentes VLAN gracias a un dispositivo L3 como un router o un switch multicapa L3. Hoy en RedesZone os vamos a explicar en detalle qué son las VLANs, para qué sirven y qué tipos existen.

Las VLAN o también conocidas como «Virtual LAN» nos permite crear redes lógicamente independientes dentro de la misma red física, haciendo uso de switches gestionables que soportan VLANs para segmentar adecuadamente la red. También es muy importante que los routers que utilicemos soportan VLAN, de lo contrario, no podremos gestionarlas todas ni permitir o denegar la comunicación entre ellas. Actualmente la mayoría de routers profesionales e incluso sistemas operativos orientados a firewall/router como pfSense o OPNsense soportan VLAN porque es un estándar hoy en día. El uso de VLANs nos proporciona lo siguiente:

Las VLAN nos permiten asociar lógicamente a los diferentes usuarios, en base a etiquetas, puertos del switch, a su dirección MAC e incluso dependiendo de la autenticación que hayan realizado en el sistema. Las VLAN pueden existir en un solo switch gestionable, para asignar después a cada puerto el acceso a una determinada VLAN, pero también pueden existir en varios switches que están interconectados entre ellos, por tanto, las VLAN pueden extenderse por diferentes switches a través de los enlaces troncales. Esto nos permite tener las VLAN en diferentes switches y asignar una determinada VLAN en cualquiera de estos switches o en varios simultáneamente.

Cuando creamos y configuramos las VLAN en un router no se pueden comunicar entre ellas, la única forma de que se puedan comunicar las VLAN es ascendiendo a nivel de red (L3), esto lo podemos hacer de diferentes formas:

Para permitir la comunicación o la no comunicación de las VLAN se deben hacer uso de ACL (Listas de Control de Acceso), o configurar el firewall correspondiente para permitir o denegar el tráfico. Por ejemplo, se podría permitir la comunicación de una VLAN 2 a una VLAN 3, pero no al revés, por tanto, configurando correctamente el firewall y los estados de conexión, se podría ajustar la comunicación a los requisitos de la empresa.

Cuando configuramos una red de área local, ya sea en un entorno doméstico donde queramos segmentar los diferentes dispositivos a conectar, o en un entorno profesional, hacemos uso de VLANs para tener diferentes subredes. Imaginemos que somos los administradores de redes de un colegio, podemos crear diferentes VLANs para diferentes usos y realizar una administración mucho más sencilla de la red, además, seremos capaces de «contener» los mensajes de broadcast en dominios de difusión más pequeños, es decir, tendremos subredes pequeñas para proporcionar direccionamiento a las decenas de equipos que tengamos, y no solamente una subred donde haya cientos de dispositivos conectados. En este escenario de un colegio, podríamos tener perfectamente las siguientes VLANs:

Tal y como podéis ver, una VLAN nos va a permitir segmentar la red local en varias subredes más pequeñas, enfocadas específicamente a una tarea en cuestión, además, podremos proporcionar seguridad porque las VLAN entre ellas no se podrán comunicar (o sí, dependiendo de la configuración de las ACL que nosotros queramos). Gracias a las VLAN el rendimiento general de la red mejorará, porque estaremos conteniendo el broadcast en dominios de difusión más pequeños.

Una vez que hemos visto qué son las VLANs y para qué sirven, vamos a ver qué tipos existen.

Actualmente existen varios tipos de VLANs que podemos utilizar en los diferentes equipos, es decir, en los switches y puntos de acceso WiFi. Las diferentes VLANs que existen son las basadas en el estándar 802.1Q VLAN Tagging basado en etiquetas, las VLAN basadas en puerto, las VLAN basadas en MAC, las VLAN basadas en aplicaciones, aunque esta última no suele utilizarse habitualmente.

Es el tipo de VLAN más utilizada, hace uso del estándar 802.1Q para etiquetas o quitar la etiqueta a las VLANs. Este estándar consiste en introducir una cabecera 802.1Q dentro de la trama Ethernet que todos conocemos, con el objetivo de diferenciar las diferentes VLANs que tengamos configuradas. Este estándar no encapsula la trama original de Ethernet, sino que añade 4 bytes al encabezado Ethernet original, además, el cambio de «EtherType» se cambia al valor 0x8100 para señalar que se ha cambiado el formato de la trama.

Cuando estamos usando el estándar 802.1Q y creamos las diferentes VLANs en un switch, podremos configurar los diferentes puertos como «tagged» o «untagged», es decir, con etiqueta o sin etiqueta.

En la siguiente imagen se puede ver que tenemos diferentes VLANs creadas, y tendremos una columna de «untagged» con los puertos del switch que están sin etiqueta. También tenemos una columna con «tagged» donde están las VLANs etiquetadas. En este ejemplo, los puertos 1-4 y 9 están configurados con AP profesionales y con otro switch, por tanto, estaremos pasando las VLANs etiquetadas.

Cuando estamos utilizando este estándar, los switches también permiten configurar los puertos físicos de diferentes formas:

Dependiendo de la configuración del puerto que vayamos a elegir, tendremos que rellenar diferentes parámetros para configurar correctamente la VLAN. Por ejemplo, si seleccionamos el modo acceso (para pasar las VLANs como untagged al equipo final que conectemos), sería así:

Tal y como podéis ver, al seleccionar modo de acceso deberemos poner el VLAN ID configurado para quitar la etiqueta y pasarle al equipo final todos los datos. Un aspecto importante es que los switches avanzados nos permitirán configurar los tipos de tramas que aceptan en entrada, en este caso, lo normal en un puerto de acceso es permitir solamente las tramas sin etiquetar.

Los puertos configurados como «untagged» es sinónimo de un puerto configurado en modo acceso, y un puerto configurado como «tagged» es sinónimo de puerto en modo trunk donde le pasemos una o varias VLANs.

Otra característica muy importante del estándar 802.1Q son las VLAN Nativas, estas VLAN nativas son un VLAN ID que no se pone como tagged en los enlaces troncales. Si a un puerto llega una trama sin etiquetar, se considera que pertenece a la VLAN nativa. Esto permite interoperabilidad con antiguos dispositivos, además, toda la gestión del tráfico de protocolos como VTP, CDP, Link Aggregation y otros se gestiona a través de la VLAN nativa, que por defecto es la de administración.

También conocida como Port Switching en los menús de configuración de los routers y switches, se trata de la más extendida y utilizada por switches de gama muy baja. Cada puerto se asigna a una VLAN y los usuarios que estén conectados a ese puerto pertenecen a la VLAN asignada. Los usuarios dentro de una misma VLAN poseen visibilidad los unos sobre los otros, aunque no a las redes locales virtuales vecinas.

El único inconveniente es que no permite dinamismo a la hora de ubicar los usuarios, y en el caso de que el usuario cambie de emplazamiento físicamente se debería reconfigurar la VLAN. En las VLANs basadas en puerto la decisión y reenvío se basa en la dirección MAC de destino y puerto asociado, es la VLAN más simple y común, por este motivo los switches de gama baja suelen incorporar VLAN basada en puerto y no basada en el estándar 802.1Q.

El razonamiento es similar a la anterior, salvo que en vez de ser una asignación a nivel de puerto lo es a nivel de dirección MAC del dispositivo. La ventaja es que permite movilidad sin necesidad de que se tengan que aplicar cambios en la configuración del switch o del router. El problema parece bastante claro: añadir todos los usuarios puede resultar tedioso. Solamente los switches de gama más alta permiten VLAN basada en MAC, cuando el switch detecta que se ha conectado una determinada dirección MAC le colocará automáticamente en una VLAN específica, esto es muy útil en los casos en los que queremos movilidad.

Imaginemos que nos conectamos con nuestro ordenador portátil en varios puertos Ethernet por nuestra oficina, y queremos que siempre nos asigne la misma VLAN, en este caso con las VLANs basadas en MAC sí es posible hacerlo sin tener que reconfigurar el switch. En grandes entornos empresariales esta funcionalidad es muy habitual para segmentar correctamente los equipos.

Aquí veremos el etiquetado 802.1q que se define en el estándar IEE 802.1q. Permite a un dispositivo en red, agregar información a una trama en la capa 2, de forma que puede identificar la pertenencia a VLAN del marco. Este etiquetado permite que los entornos en red tengan VLAN, la cual abarca varios dispositivos. Un solo dispositivo recibe el paquete, lee la etiqueta y reconoce la VLAN a la que pertenece la trama. En algunos dispositivos, no se admite la recepción de paquetes etiquetados y no etiquetados en la misma interfaz de red. En estos casos, debemos contactar con los administradores para que solucionen el problema.

En cuanto a la interfaz, esta puede ser un miembro del etiquetado o no etiquetado en una VLAN. Cada una de estas interfaces de red, es un miembro sin etiqueta de VLAN únicamente. En este caso, esta interfaz de red se encarga de transmitir las tramas de la VLAN nativa como tramas sin etiquetar. Pero una interfaz de red puede formar parte de diferentes VLAN, sin que las otras se encuentren etiquetadas.

Cuando configuramos un etiquetado, debemos asegurarnos de que este coincide con la configuración asignada a la VLAN en todos sus extremos. Y el puerto al que nos conectamos, debe estar en la misma VLAN que la interfaz. También debemos saber, que si la configuración de la VLAN no está sincronizada y propagada, se tiene que realizar la configuración en todas las unidades de forma independiente.

Se trata de una red de área local virtual extensible. Esta superpone redes de capa 2, en una infraestructura de capa 3, encapsulando tramas de capa 2 en paquetes UDP.

Cada una de estas redes de superposición, se conoce como segmento VXLAN, y se identifica mediante un identificador único de 24 bits. Este se denomina VXLAN Network Identifier (VNI). En cuanto a los dispositivos, solo pueden comunicarse entre sí si se encuentran dentro de la misma VXLAN.

Las ventajas que esta nos ofrece son:

Las VLANs son ampliamente utilizadas en el mundo del WiFi con los puntos de acceso WiFi profesionales, ya sea en modo standalone (gestión individual de los puntos de acceso) o a través de controladores WiFi (ya sean controladores hardware en local, controladores WiFi a través de software instalado en un servidor o en una máquina virtual o controladores WiFi en el Cloud del propio fabricante del punto de acceso WiFi.

El objetivo que tienen las VLANs en un punto de acceso WiFi profesional, es configurar una VLAN por cada SSID que nosotros configuremos. Actualmente la mayoría de los APs profesionales nos permiten crear hasta 8 SSID por cada banda de frecuencia, e incluso hay algunos modelos de gama más alta que nos permiten crear hasta 16 SSID por cada banda de frecuencias. Si asociamos una VLAN a cada uno de estos SSID, no solamente podemos segmentar la red a través de la red cableada, sino también nuestra propia red inalámbrica.

La configuración de los APs es bastante sencilla, simplemente tenemos que configurar un enlace troncal o trunk hacia el punto de acceso en cuestión, para posteriormente configurar un SSID por cada una de las VLANs que hemos configurado. Por ejemplo, con Nuclias Connect que es la plataforma de gestión centralizada de puntos de acceso WiFi del fabricante D-Link, podemos configurar los APs para que reciban todas las VLANs vía LAN, y posteriormente asignar cada VLAN a un determinado SSID que nosotros creemos.

Gracias a esto, no solamente podremos segmentar la red cableada, sino también las redes inalámbricas WiFi en función de los SSID asociados a las diferentes VLANs que tengamos. En el caso de Nuclias Connect, solamente vamos a poder crear un total de 8 SSID, el SSID primario que siempre tendremos obligatoriamente, y un total de otros 7 SSID adicionales por cada banda de frecuencias WiFi. Tal y como podéis ver, también tenemos la posibilidad de configurar el puerto de «Management» con una VLAN untagged o tagged, dependiendo de si tenemos en nuestra red local una VLAN de solamente gestión, de esta forma, todos los equipos que se encarguen de la gestión de la red como controlador WiFi, APs, switches, routers y otros dispositivos, solamente serán accesibles a través de esta red de gestión para proteger adecuadamente todos los accesos.

Una buena práctica de seguridad sería crear una VLAN con un SSID específico para los dispositivos «Smart Home», como TV por cable o WiFi, cámaras IP y otro tipo de dispositivos como enchufes inteligentes, relés WiFi y otra serie de dispositivos catalogados como «Smart Home». A continuación, podemos configurar un SSID específico para la red principal, donde conectemos el smartphone y los ordenadores portátiles o ultrabooks principales, con el objetivo de tener los máximos privilegios posibles. Finalmente, podemos crear un SSID para invitados que esté bastante limitado en cuanto a accesos a otros servicios de la red local e incluso limitar este SSID en concreto para evitar que supere cierta velocidad de descarga y subida, limitar el acceso a contenidos web y todo lo que nosotros queramos.

Como los beneficios principales de este tipo de redes, es mejorar el rendimiento y aplicar medidas de seguridad más fuertes, es relativamente sencillo saber cuando necesitamos una VLAN para aplicar alguna de estas medidas. Algunos ejemplos pueden ser el salvaguardar información personal de una plantilla, como pueden ser los diferentes departamentos de una empresa, para que no sean visibles entre ellos.

Podemos darle uso también cuando necesitamos simplificar la gestión a la hora de gestionar diferentes políticas de grupos, de esta forma, se pueden aplicar de forma diferente a todos los dispositivos que componen una misma VLAN. Del mismo modo se pueden aplicar restricciones en cuanto a determinados accesos que pueden tener los equipos o usuarios que pertenecen a la misma VLAN.

En términos de seguridad nos son muy útiles a la hora de aislar fallos, y lo que conlleva, la velocidad en la que estos se solucionan. Por lo cual puede ser recomendable si se manejan datos muy sensibles como puede ser en el sector sanitario o financiero.

Hoy en día segmentar una red grande es fundamental, tanto con el objetivo de proporcionar una mayor seguridad a toda la red, como para tener diferentes dispositivos con diferentes usos. Tal y como habéis visto, las VLAN son una tecnología que nos permitirá segmentar correctamente las redes cableadas y también las inalámbricas, ideal para tener la mejor seguridad posible, control de todos los equipos conectados, y optimización de la red para evitar tormentas de broadcast.

Productos Destacados

Noticias & Blog