¿Necesito VLAN en casa?

No estrictamente. La mayoría de los hogares funcionan bien en una única red plana. Las VLAN se vuelven valiosas cuando tiene dispositivos IoT en los que no confía en la LAN con sus computadoras portátiles, acuerdos de trabajo desde casa donde los dispositivos del empleador necesitan aislamiento o proyectos de pasatiempos (laboratorio doméstico, pruebas de seguridad) que se benefician de la segmentación.

¿Cuál es la diferencia entre una VLAN y una subred?

Una VLAN es un dominio de difusión de Capa 2; una subred es una agrupación de IP de capa 3. Normalmente, una VLAN equivale a una subred IP, pero son conceptualmente diferentes. Puede tener VLAN sin enrutamiento IP entre ellas, y puede tener subredes que compartan una VLAN (poco común, a menudo una mala configuración).

¿Puedo hacer VLAN en enrutadores baratos?

La mayoría de los enrutadores de consumo no admiten VLAN reales; "red de invitados" es lo más parecido. Los equipos Prosumer (Ubiquiti, MikroTik, OPNsense en una PC) admiten 802.1Q completo. Algunos enrutadores de consumo populares que ejecutan OpenWrt se pueden reconfigurar para admitir VLAN si su hardware lo permite.

¿Cuántas VLAN puedo tener?

802.1Q permite 4094 VLAN activas (1 y 4095 están reservadas). Las implementaciones prácticas en el hogar/oficina utilizan un puñado; Los grandes centros de datos que ejecutan cargas de trabajo en la nube utilizan VXLAN con 16 millones de segmentos potenciales para evitar el límite de 4094.

¿Son las VLAN un límite de seguridad?

Son parciales. Las VLAN configuradas correctamente evitan ataques al mismo segmento (suplantación de identidad de ARP, rastreo de transmisiones). No evitan ataques por encima de la Capa 2: un dispositivo comprometido con capacidad de acceso de Capa 3 a otra VLAN aún puede atacarlo a través del enrutador. La defensa en profundidad combina VLAN con política de firewall y seguridad por host.

Explicación de las VLAN: segmentación de red lógica en una única LAN física

Las VLAN le permiten tomar una red física y dividirla en muchas redes lógicamente aisladas, controladas por software. La tecnología es la base de todas las redes corporativas modernas, casi todas las implementaciones de la nube y cualquier red doméstica con una segregación importante de IoT. Una vez que haya trabajado con VLAN, prescindir de ellas se sentirá como ejecutar una red con cinta adhesiva y oración.

El cuerpo completo del artículo se proporciona en inglés a continuación.

A VLAN (red de área local virtual) es un dominio de transmisión lógico que aparece como una LAN separada pero comparte infraestructura física con otras VLAN. Los dispositivos en diferentes VLAN no pueden ver el tráfico de transmisión de los demás; el enrutamiento entre VLAN requiere pasar por un enrutador (o un conmutador de capa 3). La tecnología permite que una red Ethernet transporte muchas "redes" separadas sin separación física.

Por qué existen las VLAN

Imagine una oficina corporativa con finanzas, ingeniería y recursos humanos, todo en una red plana. Problemas:

Cualquier computadora portátil comprometida puede escanear y atacar a cualquier otro
El tráfico de transmisión de un grupo inunda todos los grupos
Las políticas de seguridad deben aplicarse en cada dispositivo individualmente
Los requisitos regulatorios (PCI-DSS para finanzas, HIPAA para médicos) pueden requerir pruebas físicas aislamiento

La solución clásica era comprar interruptores y cables separados para cada departamento. Las VLAN le permiten usar un conmutador y configurar la segmentación lógica en el software. Barato, flexible y fácil de reorganizar.

Cómo funciona el etiquetado VLAN

El estándar es IEEE 802.1Q. Cada trama Ethernet puede transportar una etiqueta de 4 bytes que contiene una ID de VLAN de 12 bits (1–4094, con 0 y 4095 reservados). Los conmutadores agregan la etiqueta cuando el tráfico ingresa desde un puerto de acceso y la eliminan cuando el tráfico sale, o la pasan sin cambios en los puertos troncales.

Dos tipos de puertos:

Puerto de acceso: conectado a un dispositivo final (computadora portátil, teléfono, servidor). El puerto pertenece a una VLAN; el etiquetado se agrega/elimina de forma transparente.
Puerto troncal: conectado a otro conmutador o enrutador. Transporta tráfico para múltiples VLAN, con etiquetas preservadas.

Los dispositivos finales generalmente no conocen las VLAN: el conmutador maneja el etiquetado. Los servidores y los hosts de virtualización a menudo lo hacen, utilizando NIC compatibles con VLAN y configuración del sistema operativo.

Enrutamiento entre VLAN

Para comunicarse entre VLAN, el tráfico debe pasar a través de un dispositivo de Capa 3. Tres opciones:

Enrutador en un dispositivo: una interfaz de enrutador conectada a un puerto troncal, con subinterfaces para cada VLAN. Simple, pero el enrutador es un único punto.
Conmutador Layer-3: un conmutador que también puede enrutar. Configura "SVI" (Switch Virtual Interfaces) por VLAN. Enrutamiento rápido basado en hardware.
Firewall con estado: para el tráfico entre VLAN que necesita inspección (DMZ a interno, IoT a LAN). El tráfico pasa a través del firewall con una política explícita.

Diseños de VLAN comunes

Tegmentación típica de hogar/oficina pequeña:

VLAN 10: LAN principal (portátiles, teléfonos, NAS)
VLAN 20: dispositivos IoT (cámaras, parlantes inteligentes, bombillas)
VLAN 30: invitados
VLAN 40: dispositivos de trabajo/VPN
VLAN 100: administración (enrutador) admin, switch admin, control AP)

Política entre VLAN: IoT puede llegar a Internet pero nada en la LAN. Los huéspedes sólo pueden acceder a Internet. La LAN principal puede iniciar IoT (dispositivos de control), pero no al revés. Solo los usuarios administradores pueden acceder a la administración desde la LAN principal.

VLAN nativa gotcha

Los puertos troncales tienen una "VLAN nativa": el tráfico que llega sin etiquetar se asigna a esta VLAN. La VLAN nativa predeterminada es 1, que también se usa comúnmente para la administración. Mejor práctica: cambie la VLAN nativa a un número no utilizado (por ejemplo, 999) y no coloque ningún dispositivo en la VLAN 1. De lo contrario, un atacante que se conecte a un puerto de acceso vacío podría aterrizar en una VLAN predeterminada con acceso a cosas que no debería ver.

Ataques de salto de VLAN

Tos ataques clásicos:

Switch spoofing. Un atacante negocia el protocolo de enlace troncal dinámico con un puerto de conmutador mal configurado y se convierte en un troncal, obteniendo acceso a todas las VLAN. Mitigación: deshabilite DTP y configure explícitamente los puertos como acceso o troncales.
Doble etiquetado. Un atacante en la VLAN nativa envía tramas con dos etiquetas 802.1Q. El primer conmutador elimina la etiqueta externa (que coincide con la nativa) y el segundo conmutador enruta la trama según la etiqueta interna, potencialmente a una VLAN diferente. Mitigación: no permita dispositivos de usuario en la VLAN nativa.

VLAN en la nube y redes modernas

En entornos de nube, las VLAN 802.1Q tradicionales no escalan más allá de 4094. Las redes modernas usan VXLAN (LAN extensible virtual), NVGRE o Geneve: protocolos de encapsulación que transportan segmentación similar a VLAN en redes de capa 3 con VNI de 24 bits (16 millones de segmentos). Las VPC de AWS, las VPC de GCP y similares se basan en estas primitivas.

Para los usuarios finales, esto es prácticamente invisible. La capa de red del proveedor de la nube crea redes virtuales aisladas; no ves el VXLAN.

subyacente

Preguntas frecuentes

¿Necesito VLAN en casa?: No estrictamente. La mayoría de los hogares funcionan bien en una única red plana. Las VLAN se vuelven valiosas cuando tiene dispositivos IoT en los que no confía en la LAN con sus computadoras portátiles, acuerdos de trabajo desde casa donde los dispositivos del empleador necesitan aislamiento o proyectos de pasatiempos (laboratorio doméstico, pruebas de seguridad) que se benefician de la segmentación.
¿Cuál es la diferencia entre una VLAN y una subred?: Una VLAN es un dominio de difusión de Capa 2; una subred es una agrupación de IP de capa 3. Normalmente, una VLAN equivale a una subred IP, pero son conceptualmente diferentes. Puede tener VLAN sin enrutamiento IP entre ellas, y puede tener subredes que compartan una VLAN (poco común, a menudo una mala configuración).
¿Puedo hacer VLAN en enrutadores baratos?: La mayoría de los enrutadores de consumo no admiten VLAN reales; "red de invitados" es lo más parecido. Los equipos Prosumer (Ubiquiti, MikroTik, OPNsense en una PC) admiten 802.1Q completo. Algunos enrutadores de consumo populares que ejecutan OpenWrt se pueden reconfigurar para admitir VLAN si su hardware lo permite.
¿Cuántas VLAN puedo tener?: 802.1Q permite 4094 VLAN activas (1 y 4095 están reservadas). Las implementaciones prácticas en el hogar/oficina utilizan un puñado; Los grandes centros de datos que ejecutan cargas de trabajo en la nube utilizan VXLAN con 16 millones de segmentos potenciales para evitar el límite de 4094.
¿Son las VLAN un límite de seguridad?: Son parciales. Las VLAN configuradas correctamente evitan ataques al mismo segmento (suplantación de identidad de ARP, rastreo de transmisiones). No evitan ataques por encima de la Capa 2: un dispositivo comprometido con capacidad de acceso de Capa 3 a otra VLAN aún puede atacarlo a través del enrutador. La defensa en profundidad combina VLAN con política de firewall y seguridad por host.