Configuración de VLAN y seguridad de red: guía completa

Informatec Digital » Recursos » Configuración de VLAN y seguridad de red: guía completa

Si gestionas una red corporativa, sabrás que lograr que todo funcione rápido y seguro a la vez no es tarea sencilla. En cuanto crecen los equipos, servicios y aplicaciones, los broadcast, los cuellos de botella y los problemas de seguridad empiezan a aparecer por todas partes.

Una de las herramientas más potentes para poner orden en ese caos son las VLAN (Virtual LAN). Bien diseñadas y configuradas, permiten segmentar la red, reducir el tráfico inútil, aislar departamentos y blindar los servicios críticos… pero mal planteadas pueden convertirse en un coladero de seguridad o en una pesadilla de administración.

Qué es realmente una VLAN y por qué importa para la seguridad

Una VLAN es, en esencia, una red lógica independiente que vive sobre la misma infraestructura física: los mismos switches, el mismo cableado, los mismos puntos de acceso WiFi. A nivel lógico, los equipos de una VLAN se comportan como si estuvieran en una LAN separada, incluso aunque estén repartidos por plantas o edificios distintos.

Esto permite que un grupo de PCs, servidores, teléfonos IP, impresoras o cámaras IP formen un dominio de broadcast propio, aislado de otros grupos. Los paquetes de broadcast y multicast se quedan dentro de su VLAN en lugar de inundar toda la red, lo que mejora el rendimiento y facilita el control de quién puede ver a quién.

En entornos empresariales, es habitual crear VLAN para departamentos (contabilidad, ingeniería, marketing), para separar tráfico de gestión, para voz, para invitados, para IoT o incluso una VLAN dedicada a copias de seguridad. Cada una con sus reglas de enrutamiento, seguridad y calidad de servicio.

Además, las VLAN son una pieza clave en las estrategias de segmentación y Zero Trust: dejan de asumirse redes “totalmente confiables” y se empiezan a acotar superficies de ataque. Un fallo o una infección en una VLAN no debería implicar que toda la organización caiga con efecto dominó.

Conceptos básicos: puertos de acceso, troncales y VLAN nativa

Para entender bien la configuración y la seguridad de las VLAN, hay tres ideas que hay que tener clarísimas: puertos de acceso, puertos troncales y VLAN nativa. Si se dominan estos tres conceptos, el resto encaja mucho mejor.

Un puerto de acceso (access port) es un puerto del switch que transporta tráfico de una única VLAN hacia un equipo final: un PC, una impresora, una cámara IP, un teléfono, etc. El tráfico sale del switch hacia ese dispositivo sin etiqueta 802.1Q (untagged). Internamente, el switch sí sabe a qué VLAN pertenece, pero el equipo no ve la etiqueta.

Un puerto troncal (trunk) es un enlace entre dispositivos de red (switch-switch, switch-router, switch-AP) por el que viajan varias VLAN a la vez. En este caso, los frames llevan el tag 802.1Q indicando a qué VLAN pertenecen. Eso permite extender las VLAN por toda la topología y pasar varias redes lógicas por el mismo enlace físico.

La VLAN nativa es la VLAN que, en un enlace 802.1Q, se utiliza para el tráfico que va sin etiqueta. Todo frame que entra en un puerto troncal sin tag se asocia a esa VLAN nativa. Por defecto, en muchos equipos es la VLAN 1, y aquí empiezan los problemas de seguridad si no se toca esa configuración.

Arquitectura de red y diseño con VLAN

En redes medianas y grandes es habitual usar una topología en tres capas: núcleo, distribución y acceso. Cada capa tiene un papel y el modo en que se combinan con las VLAN tiene mucha importancia práctica.

En la capa de acceso están los switches que conectan directamente a los usuarios y dispositivos finales. Son los que más puertos de acceso tienen y donde se definen la mayoría de las VLAN de usuario, voz, IoT, etc. Aquí es donde más cuidado hay que poner con la asignación de puertos y con las buenas prácticas de seguridad física (que nadie pueda enchufar cables alegremente).

En la capa de distribución se sitúan los switches que agregan el tráfico de múltiples switches de acceso. Suele ser el punto donde se hace el enrutamiento entre VLAN, se aplican ACL más finas, se terminan enlaces de fibra, se agregan enlaces (EtherChannel) y se aplican políticas más avanzadas (QoS, control de tormentas, etc.).

En la capa de núcleo se concentran los enlaces de distribución y la puerta de salida hacia Internet o redes externas. En redes muy grandes, es común que el core se encargue solo de conmutar a gran velocidad, con muy pocas funciones adicionales, para reducir latencias y complejidad.

Al diseñar una red con VLAN conviene definir primero qué grupos lógicos se necesitan (por función, criticidad, nivel de confianza, etc.) y después aterrizarlo en un esquema IP bien planificado (subredes, máscaras, VLSM, rangos dinámicos y estáticos) y en una asignación clara de puertos en cada switch.

Tipos de VLAN y usos habituales

El estándar más extendido para etiquetar frames en enlaces troncales es IEEE 802.1Q. Añade 4 bytes a la cabecera Ethernet con el VLAN ID y otros campos, de manera que el switch sabe exactamente a qué VLAN pertenece cada trama sin encapsular toda la frame.

Cuando se configuran VLAN con 802.1Q en los switches, cada puerto puede marcarse como tagged (etiquetado) o untagged (sin etiquetar) para una VLAN concreta. Un puerto puede ser tagged en varias VLAN (típico de un trunk) pero solo untagged en una de ellas (la que verá el equipo final si es un puerto de acceso).

Además de las VLAN “normales” basadas en 802.1Q, hay otras modalidades muy utilizadas en entornos corporativos: VLAN basadas en puerto, en MAC, VLAN de gestión, VLAN de control, VLAN nativa personalizada, VLAN híbridas o incluso VXLAN en entornos de centro de datos y nube donde se necesitan millones de redes lógicas. También conviene considerar tecnologías como 802.1X y VLANs dinámicas para asignación y seguridad avanzada.

La VLAN de gestión se usa exclusivamente para el acceso administrativo a switches, routers, APs, firewalls y sistemas de monitorización. Suele tener su propia subred IP y ACL estrictas de quién puede entrar. Es una muy mala idea gestionar dispositivos desde las mismas VLAN donde están los usuarios.

La llamada VLAN de control se dedica al tráfico de protocolos internos de red: STP, protocolos de enrutamiento, CDP, LLDP, VTP, etc. Separar este tráfico del de datos o gestión reduce ruido, mejora la estabilidad y permite aplicar medidas de seguridad específicas.

VLAN 1, VLAN nativa y por qué son un problema de seguridad

En la mayoría de switches, la VLAN 1 viene configurada como VLAN predeterminada y nativa en todos los puertos. Esto significa que, si no se toca nada, todo el tráfico sin etiquetar que entra en un troncal se mete en la VLAN 1 y todos los puertos forman parte de ella.

El problema es que cualquier atacante medianamente espabilado sabe esto. VLAN 1 es uno de los objetivos preferentes para realizar ataques de VLAN hopping, switch spoofing y otros inventos que aprovechan configuraciones por defecto para colarse en otras VLAN.

En un ataque de switch spoofing, por ejemplo, el atacante conecta su equipo a un puerto donde DTP está activo en modo dinámico y negocia un enlace troncal con el switch, ganando acceso a múltiples VLAN que nunca deberían llegar a un host.

En un ataque de doble etiquetado (double tagging), se mezclan dos tags 802.1Q en una misma trama aprovechando que la VLAN nativa viaja sin marcar, para intentar saltar de una VLAN a otra a través de un troncal mal asegurado.

Por todo esto, las recomendaciones de seguridad actuales son claras: no usar VLAN 1 para usuarios, no dejarla como VLAN nativa en troncales, no darle IP de gestión y, si es posible, aislarla o incluso filtrarla para que no lleve tráfico de producción.

Buenas prácticas de diseño y asignación de puertos

Una de las decisiones clave al configurar VLAN es cómo se asignan los puertos de los switches a cada VLAN y qué hacer con los puertos que no se usan. Parece trivial, pero de ello depende tanto el rendimiento como la seguridad.

En puertos de acceso es buena idea dejar siempre una sola VLAN como untagged (la de ese usuario o equipo) y marcar el resto como excluidas. De esa forma se evita que la interfaz termine “viendo” VLAN que no le corresponden, incluso si alguien toca configuraciones por error.

En enlaces troncales, se recomienda configurar explícitamente qué VLAN están permitidas (switchport trunk allowed vlan 10,20,99, por ejemplo) en lugar de pasar todas las VLAN de la red. Cada troncal debería llevar solo las VLAN que realmente necesita.

Para los puertos que no están en uso, la práctica más segura consiste en apagarlos (shutdown), asignarlos a una VLAN “de agujero negro” sin gateway ni DHCP, y asegurarse de que no están marcados como troncal ni con DTP activo. Así se evita que alguien conecte un equipo y aparezca de repente en la red de producción.

En entornos donde el número de puertos es muy alto, conviene documentar bien qué se enchufa en cada interfaz, etiquetar el cableado y tener planos actualizados. Muchos problemas de conectividad con VLAN se deben simplemente a cables cambiados de sitio sin actualizar la documentación; una guía de cableado ayuda a evitar errores.

VLAN “sin salida” y puertos no utilizados

Una técnica sencilla y muy eficaz para proteger puertos libres consiste en crear una VLAN “sin salida”, es decir, una VLAN sin DHCP, sin routing y sin servicios, y meter ahí todos los puertos de acceso que no se estén usando.

La idea es que, aunque alguien conecte un equipo en uno de esos puertos, ese host no obtenga IP, no tenga puerta de enlace, no pueda alcanzar otros equipos y su tráfico se quede totalmente aislado. Es una especie de limbo de red.

En muchos entornos se usa un ID reconocible, como VLAN 777, 999 o 4094, para este propósito. El switch se configura para excluir el resto de VLAN de esos puertos, no se define interfaz de capa 3 para esa VLAN y no se anuncia en ningún router.

Además de eso, es recomendable que en todos los switches se desactive DTP en puertos de acceso con switchport nonegotiate, para que nunca intenten transformarse en troncales de manera automática por negociación con el vecino.

VLAN para voz, datos y dispositivos especiales

En redes donde hay telefonía IP y tráfico de voz, lo normal es separar la voz en una VLAN específica distinta a la de los PCs. El motivo es doble: requisitos de calidad de servicio y seguridad.

El tráfico de voz es muy sensible a la latencia, jitter y pérdida de paquetes. Si se mezcla sin control con descargas pesadas, videostreaming o copias de seguridad, las llamadas se degradan rápidamente. Separar la voz en su VLAN permite priorizarla con QoS y aplicar políticas más precisas.

Además, los teléfonos IP suelen tener capacidades de etiquetado de VLAN (802.1Q) propias: se conectan en cascada con el PC, el puerto hacia la red va en trunk (voz etiquetada, datos sin etiquetar) y el puerto hacia el PC actúa como acceso. Eso exige configuraciones de puerto algo más finas para no dejar huecos de seguridad.

También es buena idea separar en VLAN específicas los dispositivos IoT, domótica, cámaras IP, televisores, enchufes inteligentes, etc. Son equipos que a menudo tienen un nivel de seguridad pobre y firmware poco mantenido, y conviene que no estén en la misma red lógica que los PCs de administración o los servidores críticos.

En el mundo WiFi, la mayoría de puntos de acceso profesionales permiten asociar un SSID a cada VLAN. De este modo, la segmentación de la red cableada se extiende a la red inalámbrica: VLAN de gestión, VLAN corporativa, VLAN de IoT, VLAN de invitados, cada una con su SSID y sus reglas.

Enrutamiento entre VLAN, ACL y firewalls

Por diseño, las VLAN no se “ven” entre sí a nivel 2. Si se quiere que equipos de VLAN distintas se comuniquen, hay que subir a nivel 3: enrutamiento entre VLAN. Esto se realiza típicamente en un router, en un firewall o en un switch L3.

Hay dos patrones principales. El primero es usar un router o firewall con soporte 802.1Q colgado de un troncal de switch. El router crea subinterfaces (una por VLAN), les asigna IPs y actúa como puerta de enlace. El firewall, además, aplica reglas finas de quién puede hablar con quién.

El segundo patrón es utilizar un switch gestionable de capa 3 en la capa de distribución o núcleo. En él se crean interfaces VLAN (SVI) que actúan como gateways para cada subred. El propio switch hace el enrutamiento interno y las ACL correspondientes, descargando de trabajo al router de borde.

En ambos casos, es vital acompañar este enrutamiento de listas de control de acceso (ACL) o reglas de firewall estrictas. Que exista camino IP entre VLAN no significa que deba permitirse todo el tráfico. Hay que filtrar en función de origen, destino, puertos, protocolos y sentido de las conexiones.

Un ejemplo típico: la VLAN de invitados solo puede ir a Internet, la VLAN de IoT solo puede hablar con servidores concretos (como NTP, syslog o un broker MQTT), la VLAN de alumnos no puede llegar a la VLAN de administración, la VLAN de copias de seguridad solo inicia conexiones hacia el servidor de backup, etc.

Protocolos de administración de VLAN: VTP y compañía

En redes grandes con muchos switches, ir VLAN por VLAN creándolas a mano en cada equipo es poco práctico y propenso a errores. Para eso existen protocolos como VTP (VLAN Trunking Protocol) en el mundo Cisco, que permiten distribuir de forma centralizada la lista de VLAN.

VTP define tres modos de funcionamiento en un switch: servidor, cliente y transparente. Los servidores pueden crear, renombrar o borrar VLAN y envían esa información a los clientes del mismo dominio. Los clientes reciben y aplican los cambios, pero no los modifican. Los transparentes no procesan la base de datos de VLAN, solo retransmiten la información.

Este tipo de protocolos simplifican mucho la vida, pero tienen su letra pequeña: un error en un switch servidor, una contraseña de VTP mal gestionada o un switch viejo reintroducido en la red con una base de datos antigua pueden destrozar de golpe la configuración de VLAN en toda la organización.

Por eso, en muchos diseños actuales se prefiere usar VTP en modo transparente o directamente no utilizarlo, gestionando las VLAN con herramientas de automatización (Ansible, plantillas, controladores centralizados, etc.) o con un diseño más estático y controlado.

Seguridad avanzada: VACL, PVLAN y mitigación de ataques

Cuando la red crece y la criticidad aumenta, las VLAN por sí solas se quedan cortas. Para controlar el tráfico de forma más granular dentro de una VLAN se pueden usar VACL (VLAN ACL o VLAN maps), que permiten filtrar o redirigir tráfico a nivel de VLAN, no solo en interfaces concretas.

Las VACL se configuran definiendo mapas de acceso por VLAN que usan listas de acceso IP o MAC y especifican qué hacer con el tráfico que coincide: dejarlo pasar, bloquearlo, enviarlo a un puerto de monitorización, redirigirlo… Después se aplican a una o varias VLAN de manera global en el switch.

Para casos donde se quiere aislar hosts dentro de la misma subred, existen las VLAN privadas (PVLAN). Se parte de una VLAN primaria que suele ser donde está el gateway y se crean VLAN secundarias asociadas de dos tipos: isolated y community.

Las VLAN secundarias de tipo isolated permiten que cada host solo vea el gateway, pero no a otros hosts, ni siquiera aunque estén en la misma VLAN secundaría aislada. Las de tipo community permiten que un grupo de hosts se vean entre sí y al gateway, pero no a otros grupos de la misma primaria.

En cuanto a ataques específicos, además de lo ya comentado sobre VLAN 1 y DTP, es crítico mitigar el VLAN hopping por doble etiquetado. Para ello se recomienda cambiar la VLAN nativa a una VLAN que no se use con hosts, sacar esa VLAN nativa de los troncales si es posible, deshabilitar DTP, definir explícitamente los puertos como access o trunk, y usar comandos para que la VLAN nativa viaje siempre etiquetada, descartando tráfico sin marcar.

Diagnóstico y mantenimiento de redes con VLAN

Configurar una red con VLAN es solo la mitad del trabajo; la otra mitad es mantenerla y depurar incidencias sin volverse loco. Los problemas típicos de conectividad con VLAN suelen tener causas bastante repetidas. Para guías y procedimientos prácticos conviene consultar recursos sobre diagnóstico de problemas en una red.

Por un lado, están los errores físicos: cables movidos de un puerto a otro sin actualizar la documentación, puertos configurados como acceso donde debería ir un troncal, o al revés, enlaces redundantes mal definidos que terminan en bucles si STP no está bien afinado.

Por otro, están los fallos lógicos: VLAN creadas en unos switches pero no en otros, listas de VLAN permitidas en los troncales mal configuradas, rangos de DHCP que no cuadran con las máscaras o gateways mal establecidos en los equipos finales.

Las herramientas clave para diagnosticar son los comandos de siempre: show vlan, show interfaces trunk, show spanning-tree, show ip interface brief, ping, traceroute, etc. Combinarlos con capturas de tráfico en puertos específicos y con un buen sistema de monitorización ayuda muchísimo.

También conviene revisar periódicamente las ACL, reglas de firewall, PVLAN, VACL y configuración de management para asegurarse de que no se han quedado huecos abiertos tras cambios de proyecto, ampliaciones o migraciones.

Una documentación clara (esquemas de VLAN, rangos IP, asignación de puertos, descripción de políticas de acceso entre VLAN) y un registro de cambios riguroso son casi tan importantes como los propios comandos de configuración.

Con una segmentación bien pensada, VLAN correctamente etiquetadas, una gestión prudente de la VLAN nativa, enrutamiento inter-VLAN protegido por ACL y hábitos de mantenimiento constantes, una red empresarial puede ganar un salto considerable de seguridad, rendimiento y control sin necesidad de rehacer toda la infraestructura física.