En un punto de la historia, la red se consideraba una de las maravillas modernas de la historia. Al conectar todos los dispositivos de una empresa, las organizaciones podían difundir ampliamente la información en lo que parecía un código secreto.
El problema era que esas redes empezaban rápidamente a descontrolarse. Con cientos o incluso miles de computadoras conectadas a una red, la capacidad de procesamiento se disparaba, y la seguridad también. Cualquiera en la red podía ver, descargar, robar o vender datos de la empresa, una receta para el desastre.
¿Cómo superaron las empresas estos retos? Por medio de las VLAN.
Las VLAN, o redes de área virtual, dividen las redes de área local en grupos distintos y conectan esos grupos de dispositivos a distancia. Una vez que un dispositivo forma parte de una VLAN, sólo puede comunicarse con otros dispositivos de esa misma red, lo que reduce automáticamente el volumen de difusión y bloquea el acceso a los datos. Entre bastidores, los informáticos también pueden utilizar las VLAN para gestionar el tráfico e implantar medidas de seguridad adicionales que reduzcan el riesgo de infracción.
Para aprovechar las ventajas de una VLAN, primero habremos de entender sus fundamentos. En este artículo explicaremos qué es una VLAN, en qué se diferencia el etiquetado VLAN de las VLAN sin etiquetar y por qué el etiquetado VLAN puede mejorar la seguridad de su red.
¿Qué es una VLAN?
Una VLAN, o red de área virtual, es un grupo de dispositivos que comparten un dominio de difusión. A primera vista, no suena demasiado complicado ni especial, pero la VLAN es un gran paso adelante con respecto a su predecesora 一 la LAN.
Una LAN, o red de área local, es un conjunto de computadoras conectadas ubicadas en una zona específica, como una oficina corporativa. Cada vez que se envía una emisión dentro de una LAN, todos los dispositivos de la red tienen que procesarla y aceptarla.
Esto sobrecarga enormemente todos los dispositivos, ralentiza la red y hace que los datos contenidos en esas transmisiones sean fácilmente accesibles para cualquiera que pueda acceder a la red. A medida que aumenta el alcance de una LAN, la sobrecarga de la CPU y la falta de seguridad se hacen insostenibles.
Por eso muchas empresas han recurrido a las VLAN, que separan una LAN en segmentos distintos. Normalmente, las organizaciones crean VLAN para cada departamento. Los dispositivos de una VLAN sólo pueden comunicarse entre sí.
Dado que las VLAN son intrínsecamente virtuales, los empleados pueden comunicarse de forma segura con sus compañeros independientemente de dónde se encuentren. Incluso si todos los empleados están en la oficina, las VLAN facilitan la adición o eliminación de dispositivos de una red sin los problemas de cableado o infraestructura de una LAN.
¿Cómo funciona una VLAN?
Las VLAN no se diseñarían tal y como las conocemos hoy sin aprender de las deficiencias de Ethernet. En los años 70, Ethernet era una novedad; nunca antes se había hecho la conexión de varios dispositivos.
Aunque impresionantes en su momento, surgieron muchos problemas. Cuando más de un dispositivo transmitía emisiones a la vez, los mensajes se entremezclaban, lo que dio lugar a los primeros routers y conmutadores.
Ni siquiera eso solucionaba el problema del tráfico de difusión constante, y los profesionales de redes aprendieron que, a medida que aumentaba el número de dispositivos, disminuía la eficacia de sus redes. Restringir una red a un área local ayudaba.
Sin embargo, cuando las empresas empezaron a permitir que cada vez más empleados trabajaran a distancia, las redes LAN resultaron imposibles de mantener, lo que llevó finalmente al desarrollo de las redes de área virtual.
Las VLAN funcionan segmentando de forma lógica una gran red en varias redes más pequeñas. Cada VLAN es una red autónoma cuyos dispositivos conectados pueden enviar y recibir difusiones.
Sin embargo, configurar una VLAN no es tan sencillo como dividir los distintos departamentos de una organización. A veces, las empresas necesitan enviar difusiones globales o una VLAN necesita comunicarse con otra.
Por ejemplo, tal vez una computadora que forma parte de una VLAN debería poder conectarse a un escáner o a un Smart TV en otra. Al mismo tiempo, puede que los empleados del departamento de atención al cliente (quienes están en su propia VLAN) no puedan interactuar con las computadoras de la VLAN del departamento financiero.
Las VLAN establecen reglas sobre cómo las subredes pueden comunicarse entre sí a través de los puertos de acceso. Cuando una emisión o una trama llega a un conmutador, el puerto de acceso decide si pasa la información de la VLAN. Los puertos se clasifican como “etiquetados” o “no etiquetados”, tema que trataremos en la siguiente sección.
Diferencia entre VLAN etiquetadas y no etiquetadas
Ahora que ya conoce la historia de las VLAN y su funcionamiento teórico, es el momento de analizar su funcionamiento práctico.
En general, las VLAN se dividen en dos categorías: etiquetadas y no etiquetadas, a veces denominadas “troncales” o “de acceso”, respectivamente. Examinemos los puntos en común y las diferencias de cada una.
VLAN sin etiqueta
Las VLAN no etiquetadas o de “acceso” están conectadas a hosts (normalmente servidores) que pasan información VLAN hacia y desde cada red, y no pueden diferenciar entre ninguna configuración VLAN. De este modo, las VLAN no etiquetadas tienen una estructura más lineal, pasando de A a B en lugar de A a B, C y D. Generalmente, las VLAN no etiquetadas son las predeterminadas.
El flujo suele ser el siguiente:
- El host A envía tráfico a un switch, y el tráfico no tiene una etiqueta VLAN.
- El tráfico se recibe en el puerto de acceso 1 (también sin etiquetar).
- El puerto 1 añade una etiqueta VLAN a la trama, y el conmutador dicta que la trama debe enviarse al Host B a través del puerto de acceso 2 (un puerto sin etiqueta).
- Se elimina la etiqueta VLAN.
- El tráfico fluye hacia el Host B.
VLAN con etiqueta
Las VLAN etiquetadas o “troncales” permiten a los puertos de acceso a conmutadores gestionar más de una VLAN y separar el tráfico en consecuencia. En lugar de que los datos vayan de un host a otro, las tramas con una etiqueta VLAN pueden distribuirse de un host a muchos otros hosts conectados a un puerto, en función de su configuración. Las etiquetas denotan qué paquetes deben enviarse a VLAN específicas del otro lado en este flujo:
- El host A envía una trama sin etiqueta VLAN.
- En el puerto 1 se recibe tráfico configurado con la VLAN 7, que se añade a la trama.
- El switch reconoce la etiqueta VLAN, que dice que envíe la trama al switch 2.
- El switch 2 tiene un puerto de acceso etiquetado para la VLAN 7, que coincide con la etiqueta original.
- Si en este punto, las etiquetas VLAN no coinciden (es decir, VLAN 7 frente a VLAN 5), la trama se descarta.
- El tráfico se reenvía al puerto etiquetado del switch 2, que, de nuevo, comprueba si la etiqueta está permitida en otro lugar y distribuye la difusión a todos los demás puertos de acceso configurados con la VLAN 7.
- Una vez que el tráfico llega a un puerto de acceso sin etiquetar, la etiqueta se elimina de la trama, que se envía al host final.
Etiquetado VLAN y seguridad de la red
Aunque el etiquetado de VLAN requiere una implementación de VLAN más complicada, ofrece acceso a una gama mucho más amplia de ventajas de red, entre las que se incluyen:
- Mayor seguridad: las etiquetas identificadoras pueden integrarse en el proceso de autenticación de usuarios, dirigiéndolos automática y dinámicamente a la VLAN adecuada (que les prohíbe intrínsecamente recibir difusiones de otras redes). Además, los informáticos pueden utilizar un proveedor de VLAN para configurar cortafuegos independientes y otro software de seguridad en función de la sensibilidad de los datos que pasan por cada VLAN etiquetada.
- Menos congestión – Las VLAN sin etiqueta están limitadas por su diseño lineal. Aunque su gestión del tráfico es mejor que la de las LAN, las VLAN no etiquetadas siguen inhibiendo el rendimiento de la red.
- Menores costos: las VLAN no etiquetadas necesitan más conmutadores para llevar los datos adonde deben ir. Pero las VLAN etiquetadas preconfiguran el tráfico de dirección, lo que las hace más eficientes y elimina la necesidad de costosos dispositivos.
- Solución de problemas y actualizaciones sencillas: el departamento de TI tiene visibilidad de todas las etiquetas VLAN, lo que facilita la comprensión de la causa raíz de cualquier problema. Además, las etiquetas VLAN pueden actualizarse en cualquier momento, lo que facilita al departamento de TI la realización de cambios rápidos que no afecten drásticamente a la jornada laboral de los empleados. Y si la empresa se expande (física o remotamente), el departamento de TI puede crear y añadir rápidamente más VLAN etiquetadas a la red global.
Seguridad y segmentación de redes con JumpCloud
Aunque el etiquetado VLAN requiere una preparación y configuración más avanzadas, es óptimo para empresas con datos confidenciales, mucho tráfico y varias VLAN. El etiquetado VLAN ofrece separación de tráfico sin el costo de dispositivos de red adicionales, como conmutadores, y permite a las organizaciones añadir medidas de seguridad suplementarias mediante autenticación.
Con controles de seguridad en todos los niveles posibles, las empresas pueden sentirse más seguras de que sus datos y los de sus clientes están protegidos, especialmente en la era del trabajo remoto. Y todo comienza con el protocolo RADIUS, que puede implementarse con soluciones como JumpCloud.
El modelo de JumpCloud para RADIUS en la cloud y VLAN en la cloud permite al departamento de TI aprovisionar y retirar el acceso de los usuarios a redes VPN y Wi-Fi directamente desde su navegador y proteger aún más esas redes con MFA, sin la restricción de construir, mantener o supervisar servidores físicos. Obtenga más información sobre cómo puede poner en marcha su enfoque VLAN con RADIUS en la cloud de JumpCloud.