Saltar al contenido

Cómo configurar una LAN virtual (VLAN)

Las VLANs están en todas partes. Puede encontrarlos en la mayoría de las organizaciones con una red correctamente configurada. En caso de que no fuera obvio, VLAN significa «Virtual Local Area Network» (Red de área local virtual), y son omnipresentes en cualquier red moderna más allá del tamaño de una pequeña red doméstica o de una red de oficina muy pequeña.

Existen algunos protocolos diferentes, muchos de los cuales son específicos de cada proveedor, pero en su esencia, cada VLAN hace casi lo mismo y los beneficios de la escala de VLAN a medida que su red crece en tamaño y complejidad organizativa.

Estas ventajas son una gran parte de la razón por la que las redes VLAN son tan utilizadas por redes profesionales de todos los tamaños. De hecho, sería difícil gestionar o escalar redes sin ellos.

Las ventajas y la escalabilidad de las VLAN explican por qué se han vuelto tan ubicuas en los entornos de red modernos. Sería difícil gestionar o escalar incluso redes moderadamente complejas con el usuario de VLANs.

¿Qué es una VLAN?

Vale, ya sabes el acrónimo, ¿pero qué es exactamente una VLAN? El concepto básico debe ser familiar para cualquiera que haya trabajado con o usado servidores virtuales.

Piense por un segundo cómo funcionan las máquinas virtuales. Varios servidores virtuales residen dentro de una pieza física de hardware que ejecuta un sistema operativo y un hipervisor para crear y ejecutar los servidores virtuales en un único servidor físico. A través de la virtualización, puede convertir de forma eficaz un único equipo físico en varios equipos virtuales, cada uno de los cuales está disponible para tareas y usuarios independientes.

Las LANs virtuales funcionan de forma muy similar a los servidores virtuales. Uno o más conmutadores gestionados ejecutan el software (similar al software de hipervisor) que permite a los conmutadores crear varios conmutadores virtuales dentro de una red física.

Cada conmutador virtual es su propia red autónoma. La principal diferencia entre los servidores virtuales y las LAN virtuales es que las LAN virtuales pueden distribuirse a través de múltiples piezas físicas de hardware con un cable designado llamado troncal.

Cómo funciona

Imagínese que está dirigiendo una red para una pequeña empresa en crecimiento, añadiendo empleados, dividiéndose en departamentos separados y volviéndose más complejo y organizado.

Para responder a estos cambios, se actualizó a un conmutador de 24 puertos para acomodar nuevos dispositivos en la red.

Podría considerar simplemente ejecutar un cable Ethernet a cada uno de los nuevos dispositivos y llamar a la tarea realizada, pero el problema es que el almacenamiento de archivos y los servicios utilizados por cada departamento deben mantenerse separados. Las VLANs son la mejor manera de hacerlo.

Dentro de la interfaz web del conmutador, puede configurar tres VLANs separadas, una para cada departamento. La forma más sencilla de dividirlos es por el número de puerto. Puede asignar los puertos 1-8 al primer departamento, asignar los puertos 9-16 al segundo departamento y, finalmente, asignar los puertos 17-24 g al último departamento. Ahora ha organizado su red física en tres redes virtuales.

El software del conmutador puede gestionar el tráfico entre los clientes de cada VLAN. Cada VLAN actúa como su propia red y no puede interactuar directamente con las otras VLAN. Ahora, cada departamento tiene su propia red más pequeña, menos saturada y más eficiente, y usted puede administrarlos todos a través de la misma pieza de hardware. Esta es una forma muy eficiente y rentable de gestionar una red.

Cuando necesite que los departamentos puedan interactuar, puede hacerlo a través del enrutador de la red. El enrutador puede regular y controlar el tráfico entre las VLAN y aplicar normas de seguridad más estrictas.

En muchos casos, los departamentos tendrán que trabajar juntos e interactuar. Puede implementar la comunicación entre las redes virtuales a través del enrutador, estableciendo reglas de seguridad para garantizar la seguridad y privacidad adecuadas de las redes virtuales individuales.

VLAN vs. Subred

Las VLAN y las subredes son en realidad bastante similares y tienen funciones similares. Tanto las subredes como las VLAN dividen las redes y los dominios de difusión. En ambos casos, las interacciones entre subdivisiones sólo pueden producirse a través de un enrutador.

Las diferencias entre ellos vienen en la forma de su implementación y cómo alteran la estructura de la red.

Dirección IP Subred

Las subredes existen en la capa 3 del modelo OSI, la capa de red. Las subredes son una construcción de nivel de red y se manejan con enrutadores, organizándose alrededor de direcciones IP.

Los enrutadores crean rangos de direcciones IP y negocian las conexiones entre ellos. Esto pone todo el estrés de la gestión de la red en el router. Las subredes también pueden complicarse a medida que su red aumenta de tamaño y complejidad.

VLAN

Las VLANs encuentran su hogar en la Capa 2 del Modelo OSI. El nivel de enlace de datos está más cerca del hardware y es menos abstracto. Las LAN virtuales emulan el hardware actuando como conmutadores individuales.

Sin embargo, las LAN virtuales pueden dividir los dominios de difusión sin necesidad de conectarse de nuevo a un enrutador, lo que elimina parte de la carga de gestión del enrutador.

Dado que las VLAN son sus propias redes virtuales, tienen que comportarse como si tuvieran un router incorporado. Como resultado, las VLANs contienen al menos una subred, y pueden soportar múltiples subredes.

Las VLAN distribuyen la carga de red, y múltiples conmutadores pueden manejar el tráfico dentro de las VLAN sin necesidad de involucrar al enrutador, lo que hace que el sistema sea más eficiente.

Ventajas de las VLANs

A estas alturas, ya ha visto un par de las ventajas que las VLANs ofrecen. Sólo por la virtud de lo que hacen, las VLANs tienen una serie de atributos valiosos.

Las VLANs ayudan con la seguridad. La compartimentalización del tráfico limita cualquier oportunidad de acceso no autorizado a partes de una red. También ayuda a detener la propagación de software malicioso, en caso de que se introduzca en la red. Los intrusos potenciales no pueden usar herramientas como Wireshark para olfatear paquetes en cualquier lugar más allá de la LAN virtual en la que se encuentran, limitando también esa amenaza.

La eficiencia de la red es un gran problema. La implementación de VLANs puede ahorrar o costar miles de dólares a una empresa. La división de los dominios de difusión aumenta en gran medida la eficiencia de la red al limitar el número de dispositivos que intervienen en la comunicación al mismo tiempo. La VLAN reduce la necesidad de desplegar enrutadores para gestionar las redes.

A menudo, los ingenieros de red eligen construir LANs virtuales por servicio, separando el tráfico importante o intensivo de red como una Red de Área de Almacenamiento (SAN) o Voz sobre IP (VOIP). Algunos conmutadores también permiten al administrador priorizar las VLAN, lo que proporciona más recursos para el tráfico más exigente y crítico.

Sería terrible tener que construir una red física independiente para separar el tráfico. Imagine el enrevesado enredo de cables que tendría que luchar para hacer cambios. Esto no quiere decir nada por el aumento del coste del hardware y el consumo de energía. También sería muy inflexible. Las VLANs resuelven todos estos problemas mediante la virtualización de múltiples switches en una sola pieza de hardware.

Las VLANs proporcionan un alto grado de flexibilidad a los administradores de red a través de una interfaz de software conveniente. Digamos que dos departamentos cambian de oficina. ¿El personal de TI tiene que desplazarse por el hardware para adaptarse al cambio? No. Sólo pueden reasignar los puertos de los switches a las VLAN correctas. Algunas configuraciones de VLAN ni siquiera requerirían eso. Se adaptarían dinámicamente. Estas VLANs no requieren puertos asignados. En su lugar, se basan en direcciones MAC o IP. De cualquier manera, no es necesario mezclar los interruptores ni los cables. Es mucho más eficiente y rentable implementar una solución de software para cambiar la ubicación de una red que mover el hardware físico.

VLAN estáticas frente a dinámicas

Existen dos tipos básicos de VLANs, clasificados por la forma en que las máquinas están conectadas a ellas. Cada tipo tiene sus puntos fuertes y débiles que deben tenerse en cuenta en función de la situación particular de la red.

VLAN estática

Las VLAN estáticas se denominan a menudo VLANs basadas en puertos porque los dispositivos se unen al conectarse a un puerto asignado. Esta guía sólo ha utilizado VLANs estáticas como ejemplos hasta ahora.

Al configurar una red con VLANs estáticas, un ingeniero dividiría un switch por sus puertos y asignaría cada puerto a una VLAN. Cualquier dispositivo que se conecte a ese puerto físico se unirá a esa VLAN.

Las VLAN estáticas proporcionan redes muy simples y fáciles de configurar sin depender demasiado del software. Sin embargo, es difícil restringir el acceso dentro de una ubicación física porque una persona puede simplemente conectarse. Las VLAN estáticas también requieren un administrador de red para cambiar las asignaciones de puertos en caso de que alguien en la red cambie de ubicación física.

VLAN dinámica

Las VLAN dinámicas dependen en gran medida del software y permiten un alto grado de flexibilidad. Un administrador puede asignar direcciones MAC e IP a VLANs específicas, lo que permite un movimiento sin obstáculos en el espacio físico. Las máquinas de una LAN virtual dinámica pueden desplazarse a cualquier parte de la red y permanecer en la misma VLAN.

Aunque las VLANs dinámicas son imbatibles en términos de adaptabilidad, tienen algunos inconvenientes serios. Un conmutador de gama alta debe asumir el papel de un servidor conocido como VLAN Management Policy Server (VMPS( para almacenar y entregar información de dirección a los demás conmutadores de la red). Un VMPS, como cualquier servidor, requiere una gestión y un mantenimiento regulares y está sujeto a posibles tiempos de inactividad.

Los atacantes pueden falsificar direcciones MAC y obtener acceso a VLANs dinámicas, lo que añade otro desafío potencial de seguridad.

Configuración de una VLAN

Lo que usted necesita

Hay un par de elementos básicos que necesita para configurar una VLAN o varias VLAN. Como ya se ha dicho, existen varios estándares diferentes, pero el más universal es el IEEE 802.1Q. Ese es el que seguirá este ejemplo.

Enrutador

Técnicamente, no necesita un enrutador para configurar una VLAN, pero si desea que varias VLAN interactúen, necesitará un enrutador.

Muchos routers modernos soportan la funcionalidad VLAN de una forma u otra.Es posible que los enrutadores domésticos no sean compatibles con VLAN o que sólo lo sean con una capacidad limitada. El firmware personalizado, como el DD-WRT, es más compatible.

Hablando de personalización, no necesita un enrutador estándar para trabajar con sus LANs virtuales. El firmware personalizado del enrutador suele estar basado en un sistema operativo tipo Unix como Linux o FreeBSD, por lo que puede construir su propio enrutador utilizando uno de esos sistemas operativos de código abierto.

Toda la funcionalidad de enrutamiento que necesita está disponible para Linux, y puede configurar una instalación de Linux a medida para que su enrutador se adapte a sus necesidades específicas. Para algo más completo, mire en pfSense. pfSense es una excelente distribución de FreeBSD construida para ser una robusta solución de enrutamiento de código abierto. Soporta VLANs e incluye un firewall para proteger mejor el tráfico entre sus redes virtuales.

Sea cual sea la ruta que elija, asegúrese de que admite las funciones de la VLAN que necesita.

Conmutador administrado

Los conmutadores están en el corazón de las redes VLAN. Son donde ocurre la magia. Sin embargo, necesita un conmutador gestionado para aprovechar la funcionalidad VLAN.

Para llevar las cosas a un nivel más alto, literalmente, hay switches gestionados de Nivel 3 disponibles. Estos conmutadores son capaces de manejar algo de tráfico de red de Capa 3 y pueden reemplazar a un enrutador en algunas situaciones.

Es importante tener en cuenta que estos conmutadores no son enrutadores y su funcionalidad es limitada. Los conmutadores de Capa 3 disminuyen la probabilidad de latencia de la red, lo que puede ser crítico en algunos entornos en los que es crítico tener una red de latencia muy baja.

Tarjetas de interfaz de red de cliente (NIC)

Las NIC que utilice en sus equipos cliente deben ser compatibles con 802.1Q. Lo más probable es que sí, pero es algo que hay que tener en cuenta antes de seguir adelante.

Configuración básica

Esta es la parte difícil. Existen miles de posibilidades diferentes para configurar su red. Ninguna guía puede cubrir todas ellas por sí sola. En el fondo, las ideas detrás de casi cualquier configuración son las mismas, y también lo es el proceso general.

Configuración del enrutador

Usted puede comenzar de un par de maneras diferentes. Puede conectar el router a cada conmutador o a cada VLAN. Si opta por cada conmutador, tendrá que configurar el enrutador para diferenciar el tráfico.

A continuación, puede configurar su enrutador para que se encargue del tráfico de paso entre las VLAN.

Configuración de los conmutadores

Suponiendo que se trate de VLAN estáticas, puede introducir la utilidad de gestión de VLAN de su conmutador a través de su interfaz web y empezar a asignar puertos a diferentes VLAN. Muchos conmutadores utilizan un diseño de tabla que le permite marcar las opciones de los puertos.

Si utiliza varios conmutadores, asigne uno de los puertos a todas sus VLAN y configúrelo como puerto troncal. Haga esto en cada interruptor. A continuación, utilice esos puertos para conectarse entre los conmutadores y distribuya sus VLAN entre varios dispositivos.

Conexión de Clientes

Finalmente, conseguir clientes en la red es bastante auto-explicativo. Conecte sus equipos cliente a los puertos correspondientes a las VLAN en las que desea que estén conectados.

VLAN en casa

Aunque puede que no se vea como una combinación lógica, las VLANs tienen una gran aplicación en el espacio de redes domésticas, las redes de invitados. Si no tiene ganas de crear una red WPA2 Enterprise en su casa y crear credenciales de inicio de sesión individuales para sus amigos y familiares, puede utilizar VLAN para restringir el acceso de sus invitados a los archivos y servicios de su red doméstica.

Muchos routers domésticos de gama alta y firmware de routers personalizados soportan la creación de VLANs básicas. Puede configurar una VLAN invitada con su propia información de acceso para que sus amigos puedan conectar sus dispositivos móviles. Si tu router lo soporta, una VLAN invitada es una gran capa de seguridad añadida para evitar que el portátil infectado de virus de tu amigo arruine tu red limpia.