VLAN

Las VLAN (Virtual LAN), o también conocidas como redes de área local virtuales,
es una tecnología de redes que nos permite crear redes lógicas independientes
dentro de la misma red física. El objetivo de usar VLAN en un entorno doméstico o
profesional, es para segmentar adecuadamente la red y usar cada subred de una
forma diferente, además, al segmentar por subredes usando VLANs se puede
permitir o denegar el tráfico entre las diferentes VLAN gracias a un dispositivo L3
como un router o un switch multicapa L3. Hoy en RedesZone os vamos a explicar
en detalle qué son las VLANs, para qué sirven y qué tipos existen.

¿Qué son las VLAN?

Las VLAN o también conocidas como «Virtual LAN» nos permite crear redes
lógicamente independientes dentro de la misma red física, haciendo uso de switches
gestionables que soportan VLANs para segmentar adecuadamente la red. También
es muy importante que los routers que utilicemos soportan VLAN, de lo contrario,
no podremos gestionarlas todas ni permitir o denegar la comunicación entre ellas.
Actualmente la mayoría de routers profesionales e incluso sistemas operativos
orientados a firewall/router como pfSense o OPNsense soportan VLAN porque es
un estándar hoy en día. El uso de VLANs nos proporciona lo siguiente:

• Seguridad. Las VLAN nos permite crear redes lógicamente independientes,

por tanto, podemos aislarlas para que solamente tengan conexión a Internet,
y denegar el tráfico de una VLAN a otra. Por defecto no se permite a las
VLANs intercambiar tráfico con otra VLAN, es totalmente necesario ascender
a nivel de red (L3) con un router o un switch multicapa, con el objetivo de
activar el inter-vlan routing, es decir, el enrutamiento entre VLANs para sí
permitir la comunicación entre ellas siempre que lo necesitemos.

• Segmentación. Las VLAN nos permite segmentar todos los equipos en

diferentes subredes, a cada subred le asignaremos una VLAN diferente. Por
ejemplo, podremos crear una subred de gestión interna de todos los routers,
switches y puntos de acceso, podremos crear una subred principal para los
administradores, otra subred para dispositivos IoT y otra subred diferente
para invitados. Es decir, podremos segmentar la red principal en subred con
el objetivo de que cada subred haga uso de las comunicaciones como
deseen. Gracias a la segmentación, podremos agrupar una gran cantidad de
equipos dentro del mismo dominio de broadcast, aunque estén muy lejos
físicamente.
• Flexibilidad. Gracias a las VLAN podremos colocar a los diferentes equipos
en una subred o en otra, de manera fácil y rápida, y tener unas políticas de
comunicación donde permitimos o denegamos el tráfico hacia otras VLANs
o hacia Internet. Por ejemplo, si creamos una VLAN de invitados, podríamos
prohibirles el uso de servicios de streaming de vídeo.

• Optimización de la red. Al tener subredes más pequeñas, en entornos donde

tengamos cientos o miles de equipos conectados, contendremos el
broadcast en dominios más pequeños, por tanto, el rendimiento de la red
será óptimo, sin tener que transmitir los mensajes de broadcast a todos los
equipos conectados, lo que haría que el rendimiento de la red baje
radicalmente e incluso podría llegar a colapsar. Al usar VLAN, tendremos
varios dominios de difusión en el mismo switch.En redes donde el tráfico
consiste en un alto porcentaje de transmisiones y multidifusiones, las VLAN
pueden reducir la necesidad de enviar dicho tráfico a destinos innecesarios.
Por ejemplo, en un dominio de transmisión que consta de 10 usuarios, si el
tráfico de transmisión está destinado solo a 5 de los usuarios, colocar estos
5 usuarios en una VLAN separada puede reducir el tráfico.En comparación
con los switches, los routers requieren más procesamiento del tráfico
entrante, y a medida que aumenta el volumen de tráfico que pasa a través
de los routers, también aumenta la latencia en dichos routers, lo que da como
resultado un rendimiento reducido. El uso de VLAN reduce la cantidad de
routers necesarios, ya que las VLAN crean dominios de transmisión
utilizando switches en lugar de routers.
 • Reducción de costes. Debido a la poca necesidad de actualizaciones de red
que son demasiado costosas, y gracias a un uso más eficaz de los enlaces
y del ancho de banda disponible, es posible reducir costes al realizar este
tipo de redes. Las VLAN se pueden usar para crear dominios de transmisión
que eliminan la necesidad de costosos routers, lo cual ayuda aún más a
reducir dichos costes.

• Mejor eficiencia del personal de TI. Nos facilitarán el manejo de la red, debido
a que diferentes usuarios pueden compartir una misma VLAN. Cuando
implementamos un nuevo switch, este implantará todas las políticas y
procedimientos que tiene prestablecidos la VLAN. También hará mas sencillo
identificar la función de una VLAN en concreto, al poder proporcionarle un
nombre.

• Administración de aplicaciones y proyectos simples. Estas redes pueden

agregar dispositivos y usuarios para admitir ciertos requisitos geográficos o
de tipo comercial. Como tienen características diferentes, se facilita mucho
la administración de una aplicación concreta, o albergando proyectos
diferentes.El setenta por ciento de los costos de la red son el resultado de
adiciones, movimientos y cambios de usuarios en la red, cada vez que un
usuario se mueve en una LAN, se hace necesario volver a cablear,
direccionar nuevas estaciones y reconfigurar los concentradores y routers.
Algunas de estas tareas se pueden simplificar con el uso de VLAN, por lo
que si un usuario se mueve dentro de una VLAN, no es necesaria la
reconfiguración de los routers. Además, según el tipo de VLAN, se pueden
reducir o eliminar otros trabajos, sin embargo, todo el poder de las VLAN solo
se sentirá realmente cuando se creen buenas herramientas de
administración que permitan a los administradores de red arrastrar y colocar
usuarios en diferentes VLAN o configurar alias, a pesar de este ahorro, las
VLAN agregan una capa de complejidad administrativa, ya que ahora es
necesario administrar grupos de trabajo virtuales.
Las VLAN nos permiten asociar lógicamente a los diferentes usuarios, en base a
etiquetas, puertos del switch, a su dirección MAC e incluso dependiendo de la
autenticación que hayan realizado en el sistema. Las VLAN pueden existir en un
solo switch gestionable, para asignar después a cada puerto el acceso a una
determinada VLAN, pero también pueden existir en varios switches que están
interconectados entre ellos, por tanto, las VLAN pueden extenderse por diferentes
switches a través de los enlaces troncales. Esto nos permite tener las VLAN en
diferentes switches y asignar una determinada VLAN en cualquiera de estos
switches o en varios simultáneamente.

Cuando creamos y configuramos las VLAN en un router no se pueden comunicar

entre ellas, la única forma de que se puedan comunicar las VLAN es ascendiendo
a nivel de red (L3), esto lo podemos hacer de diferentes formas:

• Usar un router/firewall con soporte para el estándar de VLANs. El switch

pasará un troncal con todas las VLANs y el router/firewall dará de alta en su
firmware o sistema operativo las diferentes VLANs, y permitirán el
enrutamiento inter-vlan. Es posible que, por defecto, este enrutamiento esté
activado, pero por reglas en el firewall se deniegue la comunicación entre las
VLAN, hasta que permitamos el acceso.
• Usar un switch gestionable L3. Los switches gestionables L3 nos permiten
crear interfaces IPv4 y IPv6, por lo que podremos crear una interfaz por cada
VLAN que tengamos configurada en el switch y activar el enrutamiento inter-
vlan. Esto es una opción muy buena para intercomunicar las VLANs sin
necesidad de que el router se encargue de todo, generalmente estos
switches L3 están en el Core de la red.
Para permitir la comunicación o la no comunicación de las VLAN se deben hacer
uso de ACL (Listas de Control de Acceso), o configurar el firewall correspondiente
para permitir o denegar el tráfico. Por ejemplo, se podría permitir la comunicación
de una VLAN 2 a una VLAN 3, pero no al revés, por tanto, configurando
correctamente el firewall y los estados de conexión, se podría ajustar la
comunicación a los requisitos de la empresa.

Desventajas de las VLAN

Acabamos de ver todas las ventajas y beneficios de las VLAN, pero estas también
tienen sus desventajas y limitaciones, las cuales se deben tener en cuenta a la hora
de crear una. Todo esto con la intención de aprovechar mejor sus funcionalidades
y rendimiento, ahorrar costes de instalación y mantenimiento posterior. Entre ellas,
algunas de las más importantes son:

• Administración compleja: Si llegamos a tener varias VLAN, puede suponer el

mismo o incluso más trabajo y coste que las redes LAN.
 • Aislamiento: Si la red es muy grande, cabe la posibilidad de que sean
necesarios varios router para poder comunicarse sin problema, por lo cual
aumentaría el coste de instalación
• Seguridad: Si un virus llega a la red, se puede distribuir de forma
relativamente sencilla por toda la red.
• Latencia: Este tipo de redes son más eficaces que las WAN, pero no lo son
tanto como una red LAN.

MÁSCARA DE RED
Combinación de bits para delimitar una red de computadoras. Se trata de 32 bits
separados en 4 octetos (como las direcciones IP) su función es indicar a los
dispositivos qué parte de la dirección IP corresponde a la red/subred y cual al host.
Un router generalmente tiene dos direcciones IP, cada una en un rango distinto. Por
ejemplo, una en el rango de una subred pequeña y otra en otra subred más grande
cuya puerta de enlace da acceso a Internet. Solo se ven entre sí los equipos de
cada subred o aquellos que tengan los router y puertas de enlace bien definidas
para enviar paquetes y recibir respuestas. De este modo se forman y definen las
rutas de comunicación entre computadoras de distintas subredes.
Mediante la máscara de red, un dispositivo sabrá si debe enviar un paquete dentro
o fuera de la red en la que está conectado. Por ejemplo, si el router tiene una
dirección IP 192.168.1.1 y máscara de red 255.255.255.0, todo lo que se envía a
una dirección IP con formato 192.168.1.x deberá ir hacia la red local, mientras que
las direcciones con un formato distinto se enviarán hacia afuera (Internet, otra red
local, etc). Es decir, 192.168.1 indica la red en cuestión y .x corresponderá a cada
host.
La máscara de red se representa colocando en 1 los bits de red y en cero los bits
de host. Para el ejemplo anterior, sería de esta forma:
11111111.11111111.11111111.00000000 y la representación decimal es
255.255.255.
Considerando los bits de red, 8bit x 3 octetos = 24 bit y al escribir una dirección con
máscara de red, esta se indica al final, así: 192.168.1.1/24 El /24 corresponde a los
bits en 1 que tiene la máscara. En cada subred, el número de hosts se determina
como el número de direcciones IP posibles menos dos: una con todos los bits a
ceros en la parte del host que se reserva para nombrar la subred y otra con todos
los bits a uno para la dirección de difusión, la cual se utiliza para enviar una señal a
todos los equipos de una subred.
MONITOREO DE RED
El monitoreo de red proporciona la información que los administradores de redes
necesitan para determinar, en tiempo real, si una red está funcionando de manera
óptima. Con herramientas como el software de monitoreo de redes, los
administradores pueden identificar deficiencias y optimizar la eficiencia de manera
proactiva, y más.
¿Qué son los sistemas de monitoreo de red?
Los sistemas de monitoreo de red incluyen herramientas de software y hardware
que pueden hacer un seguimiento de diversos aspectos de la red y su
funcionamiento, como el tráfico, el uso de ancho de banda y el tiempo de actividad.
Estos sistemas pueden detectar dispositivos y otros elementos que componen o
tocan la red, además de proporcionar actualizaciones de estado.
Los administradores de red confían en los sistemas de monitoreo de red para
detectar rápidamente las fallas de dispositivos o conexiones, o los problemas como
los cuellos de botella de tráfico que limitan el flujo de datos. Estos sistemas pueden
alertar a los administradores de los problemas por correo electrónico o mensaje de
texto, y enviar informes mediante la analítica de red.
¿Cuáles son los protocolos para el monitoreo de red?
Los protocolos son conjuntos de reglas e instrucciones para que los dispositivos de
la red se comuniquen entre sí. El hardware de red no puede transmitir los datos sin
usar los protocolos. Los sistemas de monitoreo de red usan los protocolos para
identificar los problemas de rendimiento de red y enviar informes al respecto.
Tipos de protocolos de monitoreo de red
SNMP: El Protocolo simple de administración de redes es un protocolo de capa de
aplicaciones que usa un sistema de llamada y respuesta para verificar los estados
de muchos tipos de dispositivos, desde switches hasta impresoras. SNMP se puede
usar para monitorear el estado y la configuración de los sistemas.
ICMP: Los dispositivos de red, como los routers y servidores, usan el Protocolo de
mensajes de control de Internet para enviar información de operaciones por IP y
para generar mensajes de error ante fallas de dispositivos.
Protocolo de detección de Cisco: Cisco Discovery Protocol facilita la administración
de dispositivos de Cisco al detectar estos dispositivos, determinar su configuración
y permitir que los sistemas usen diferentes protocolos de capa de red para obtener
información el uno del otro.