Este es un texto traducido automáticamente que puede contener errores!
Imagina una red escolar donde estudiantes, profesores, administración y dispositivos IoT (impresoras, pizarras inteligentes, cámaras) comparten la misma red. Todos pueden verse entre sí en teoría. No es ni seguro ni eficiente. La solución es la segmentación.
¿Por qué segmentar?
La segmentación significa dividir una red en partes más pequeñas. Cada parte está aislada de las demás, de modo que el tráfico no fluya libremente entre ellas.
| Ventaja | Explicación |
|---|---|
| Seguridad | Una cámara IoT comprometida no puede acceder a los servidores |
| Rendimiento | Menos tráfico de difusión por segmento |
| Control | Diferentes reglas para diferentes grupos de usuarios |
| Resolución de problemas | Más fácil de aislar problemas a un segmento específico |
Et praktisk eksempel
En una escuela, la red podría verse así:
- VLAN 10: Administración - Nómina, RR. HH., gestión. Acceso estrictamente limitado.
- VLAN 20: Empleados - Profesores y otros empleados. Acceso a carpetas compartidas e impresoras.
- VLAN 30: Estudiantes - Solo acceso a Internet y plataformas de aprendizaje.
- VLAN 40: IoT - Impresoras, pantallas inteligentes, cámaras. Sin acceso a Internet (o muy limitado).
- VLAN 50: Servidores - Servidores internos, inaccesibles directamente desde otros VLAN.
¿Qué es una VLAN?
VLAN significa Virtual Local Area Network (Red de Área Local Virtual). Es una forma de crear múltiples redes lógicas en el mismo switch físico. En lugar de comprar un switch separado para cada red, configuras el switch para tratar diferentes puertos (o tráfico) como redes separadas.
Cada VLAN tiene su propio rango de direcciones (subred):
| VLAN | Nombre | Subred | Gateway |
|---|---|---|---|
| 10 | Administración | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Empleados | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Estudiantes | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Servidores | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 significa que los primeros 24 bits son la parte de red de la dirección. En la práctica, esto significa que tienes 254 direcciones disponibles (.1 a .254) en cada VLAN.
10.0.10.0/24proporciona direcciones desde10.0.10.1hasta10.0.10.254- La puerta de enlace suele ser la primera dirección (
.1)
Tráfico etiquetado vs. no etiquetado
Para que las VLAN funcionen a través de múltiples conmutadores (o entre un conmutador y un enrutador), se utiliza el etiquetado:
| Tipo | Explicación | Uso |
|---|---|---|
| No etiquetado (access) | El puerto pertenece a una VLAN. El dispositivo no sabe nada sobre las VLAN. | PCs, impresoras, teléfonos |
| Etiquetado (trunk) | El puerto transporta tráfico de múltiples VLAN, etiquetado con el ID de la VLAN. | Entre conmutadores, hacia enrutadores |
Los dispositivos como PCs e impresoras no necesitan saber que están en una VLAN. Se conectan a un puerto “access” que se asigna a la VLAN correcta. La conexión entre dos conmutadores o entre un conmutador y un enrutador utiliza un puerto “trunk” que transporta todas las VLAN.
Tarea 1 - Ver VLAN en la práctica
Si tienes acceso a Unifi o a otra plataforma de administración de redes en la escuela:
- Observa qué VLAN están configurados
- ¿Qué puertos están configurados como acceso y cuáles como trunk?
- Intenta averiguar a qué VLAN está conectado tu PC (pista: comprueba tu dirección IP y compárala con la tabla de subredes)
Reglas de firewall entre VLAN
Crear VLAN es solo la mitad del trabajo. Sin reglas de firewall, el tráfico aún puede fluir entre ellos a través del enrutador/puerta de enlace. Debe determinar explícitamente qué está permitido:
| Desde (origen) | Hasta (destino) | ¿Permitido? | Justificación |
|---|---|---|---|
| Estudiantes | Internet | ✅ Sí | Necesario para la enseñanza |
| Estudiantes | Servidores | ❌ No | Los estudiantes no necesitan acceso a los servidores |
| Empleados | Servidores | ✅ Sí | Almacenamiento de archivos y sistemas internos |
| IoT | Internet | ❌ No (o limitado) | Los dispositivos IoT rara vez necesitan internet |
| IoT | Estudiantes/Empleados | ❌ No | IoT debe estar aislado |
| Servidores | Todos | ✅ Sí (saliente) | Los servidores pueden responder a las solicitudes |
Standard: bloquea todo, permite lo que necesites
Una buena política de firewall comienza bloqueando todo el tráfico entre las VLAN y luego abriendo solo lo que se necesita. Es mucho más seguro que comenzar con todo abierto e intentar bloquear lo que no quieres.
Subnetting
Cada VLAN necesita su propia subred. Una subred define el rango de direcciones para la red:
| Subred | Máscara de red | Número de direcciones | Uso típico |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | La mayoría de los VLAN |
/25 | 255.255.255.128 | 126 | Segmentos más pequeños |
/16 | 255.255.0.0 | 65 534 | Redes grandes |
Tarea 2 - Calcula una subred
Usa una calculadora de subred en línea, por ejemplo subnet-calculator.com:
- Introduce
192.168.1.0con máscara/24. ¿Cuántas direcciones obtienes? - ¿Qué ocurre si cambias a
/25? ¿O a/23? - ¿Qué elegirías para una clase con 30 alumnos?
DHCP por VLAN
Cada VLAN necesita su propia configuración de DHCP para que los dispositivos reciban la dirección IP correcta para su segmento. Esto se puede configurar en el enrutador o en un servidor DHCP dedicado.
Ejemplo para la VLAN de Estudiantes:
| Configuración | Valor |
|---|---|
| Subred | 10.0.30.0/24 |
| Puerta de enlace | 10.0.30.1 |
| Rango DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Resumen
- Segmentación divide la red en partes aisladas para seguridad y control
- VLAN son redes virtuales en el mismo switch físico
- Puertos de acceso conectan dispositivos a un VLAN, puertos trunk transportan múltiples VLAN
- Reglas de firewall determinan lo que está permitido entre los VLAN
- Cada VLAN necesita su propio subnet y configuración DHCP
- Punto de partida: bloquear todo, permitir solo lo necesario