VLANs y segmentación de red empresarial: guía completa

Cuando una empresa crece y su red comienza a tener decenas o cientos de dispositivos, mantener todos en el mismo segmento de red se convierte en un problema serio. El tráfico de broadcast aumenta hasta degradar el rendimiento, cualquier dispositivo comprometido tiene acceso potencial a toda la red, y la gestión del ancho de banda se vuelve imposible. Las VLANs (Virtual Local Area Networks) son la solución estándar para este problema: permiten segmentar lógicamente una red física en múltiples redes virtuales aisladas, cada una con su propio dominio de broadcast y sus propias políticas de acceso.

La segmentación mediante VLANs es uno de los controles de seguridad más fundamentales recomendados por marcos como el CIS Controls, ISO 27001 o el Esquema Nacional de Seguridad. No se trata solo de rendimiento: aislar los servidores de producción de los puestos de usuario, separar los dispositivos IoT de la red corporativa o crear una VLAN específica para invitados son prácticas que limitan el radio de explosión de un incidente de seguridad y reducen significativamente el riesgo de movimiento lateral por parte de un atacante.

Esta guía aborda los conceptos técnicos de las VLANs, el protocolo 802.1Q, la configuración en switches Cisco y HP/Aruba, el diseño de una arquitectura de segmentación empresarial realista y las consideraciones de seguridad que todo administrador debe tener en cuenta.

Qué es una VLAN y cómo funciona

Una VLAN es un dominio de broadcast virtual. En una red sin VLANs, cuando un dispositivo envía un paquete broadcast (como una solicitud ARP), ese paquete llega a todos los dispositivos de la red. Con VLANs, los broadcasts se contienen dentro de la VLAN de origen: un broadcast de la VLAN 10 nunca llega a los dispositivos de la VLAN 20. Esto no solo mejora el rendimiento, sino que también limita la información que un dispositivo puede obtener sobre otros en la red mediante técnicas de reconnaissance pasivo.

Técnicamente, las VLANs se implementan en los switches de capa 2. Cada puerto del switch puede configurarse como puerto de acceso (access port), que pertenece a una única VLAN y transmite tráfico sin etiquetar, o como puerto troncal (trunk port), que transporta tráfico de múltiples VLANs etiquetado según el estándar IEEE 802.1Q. Los dispositivos finales (ordenadores, impresoras, teléfonos IP) se conectan a puertos de acceso; los switches entre sí y los switches con los routers se conectan mediante trunks.

El estándar IEEE 802.1Q: el etiquetado de VLANs

El estándar 802.1Q, ratificado por el IEEE, define cómo se etiquetan las tramas Ethernet para indicar a qué VLAN pertenecen. La etiqueta (VLAN tag) se inserta en la cabecera Ethernet entre la dirección MAC de origen y el campo EtherType. Ocupa 4 bytes: 2 bytes para el TPID (Tag Protocol Identifier, siempre 0x8100) y 2 bytes para el TCI (Tag Control Information), que incluye el PCP (3 bits para prioridad de tráfico, usado en QoS), el DEI (1 bit, drop eligible) y el VID (12 bits para el identificador de VLAN). Con 12 bits, el rango de IDs de VLAN es de 1 a 4094.

La VLAN 1 es la VLAN nativa en Cisco IOS: el tráfico enviado por un trunk sin etiqueta se asigna a esta VLAN. Por razones de seguridad, es recomendable cambiar la VLAN nativa a una VLAN sin uso (por ejemplo, la VLAN 999) y no asignar ningún host a ella, para evitar ataques de tipo VLAN hopping basados en trunking con la VLAN nativa.

Diseño de una arquitectura de VLANs empresarial

El primer paso en el diseño es definir los grupos funcionales que necesitan estar separados. Una arquitectura típica para una empresa mediana podría incluir las siguientes VLANs:

• VLAN 10 - Gestión: para las interfaces de administración de switches, routers, APs y firewalls. Solo accesible desde la red del equipo de IT.
• VLAN 20 - Servidores: para los servidores de aplicaciones, bases de datos y almacenamiento NAS. Acceso controlado desde la VLAN de usuarios.
• VLAN 30 - Usuarios corporativos: para los puestos de trabajo de los empleados. Acceso a Internet y a los servidores según políticas definidas.
• VLAN 40 - Voz (VoIP): para los teléfonos IP. Requiere QoS específica y debe estar aislada del tráfico de datos.
• VLAN 50 - Impresoras y periféricos: para evitar que los ataques contra impresoras (un vector de ataque frecuentemente subestimado) comprometan la red de usuarios.
• VLAN 60 - IoT y dispositivos inteligentes: cámaras IP, sensores, sistemas de control de acceso. Alta prioridad de aislamiento.
• VLAN 70 - WiFi invitados: acceso a Internet sin acceso a ningún recurso interno. Idealmente con captive portal.

Este diseño no es universal; cada empresa debe adaptarlo a sus necesidades. Lo importante es seguir el principio de mínimo privilegio: cada VLAN debe tener acceso solo a los recursos que sus dispositivos realmente necesitan para operar. Las ACLs o políticas del firewall inter-VLAN se definen en base a esta segmentación.

Configuración de VLANs en Cisco IOS

En switches Cisco con IOS, la configuración de VLANs se realiza en dos pasos: primero se crea la VLAN y se le asigna un nombre, y después se configuran los puertos. Para crear la VLAN 30 con nombre 'Usuarios', se usa 'vlan 30' seguido de 'name Usuarios' en el modo de configuración global. Para configurar un puerto de acceso en esa VLAN: 'interface FastEthernet0/1', 'switchport mode access', 'switchport access vlan 30'. Para un trunk entre switches: 'interface GigabitEthernet0/1', 'switchport mode trunk', 'switchport trunk allowed vlan 10,20,30,40,50,60,70' (listar explícitamente las VLANs permitidas, no usar 'all').

Es una buena práctica deshabilitar DTP (Dynamic Trunking Protocol) en todos los puertos de acceso con el comando 'switchport nonegotiate', para evitar que un atacante pueda configurar su propio dispositivo como trunk y acceder a otras VLANs. También conviene aplicar port security en puertos de acceso para limitar el número de MACs permitidas y detectar intentos de conexión de dispositivos no autorizados.

Configuración de VLANs en HP/Aruba ProCurve

Los switches HP/Aruba ProCurve tienen una sintaxis diferente a Cisco pero el modelo conceptual es idéntico. En ProCurve, las VLANs se crean con 'vlan <id>' y se nombran con 'name <nombre>'. Los puertos se asignan a VLANs usando 'tagged' (para trunks, equivalente al etiquetado 802.1Q) o 'untagged' (para puertos de acceso). Un puerto de acceso en la VLAN 30 se configura con 'vlan 30 untagged <puerto>'. Para un trunk que transporte las VLANs 10, 20 y 30: 'vlan 10 tagged <puerto>', 'vlan 20 tagged <puerto>', 'vlan 30 tagged <puerto>'. La VLAN nativa (untagged) del trunk se configura con 'vlan <id> untagged <puerto>'.

Inter-VLAN routing: cómo comunicar VLANs entre sí

Por diseño, las VLANs están aisladas entre sí a nivel de capa 2. Para que dispositivos de diferentes VLANs se comuniquen, el tráfico debe pasar por un dispositivo de capa 3 (router o switch de capa 3) que aplique las políticas de acceso correspondientes. Existen tres arquitecturas principales para el routing inter-VLAN:

1. Router-on-a-stick: un único enlace físico entre el switch y un router, configurado como trunk. En el router se crean subinterfaces (una por VLAN) con sus respectivas IPs gateway. Funciona bien para empresas pequeñas, pero el enlace físico puede convertirse en cuello de botella.
2. Switch de capa 3 con SVIs: en un switch multicapa (como el Cisco Catalyst 3750 o el HP/Aruba 2930F), se crean interfaces virtuales de switch (SVIs) para cada VLAN, directamente en el switch. El routing se realiza en hardware a velocidad de línea, sin cuellos de botella. Es la opción recomendada para la gran mayoría de empresas medianas.
3. Firewall como gateway inter-VLAN: todo el tráfico entre VLANs pasa por el firewall, lo que permite aplicar políticas de seguridad granulares pero puede introducir latencia y convertirse en un cuello de botella si el throughput es elevado. Se usa en entornos con requisitos de seguridad muy estrictos.

VLAN hopping: el ataque que debes conocer

El VLAN hopping es un ataque de capa 2 que permite a un atacante acceder a VLANs a las que no debería tener acceso. Existen dos variantes principales. La primera aprovecha DTP: si un atacante conecta un dispositivo que negocia automáticamente un trunk con el switch, puede enviar y recibir tráfico de todas las VLANs del trunk. La mitigación es deshabilitar DTP en todos los puertos de acceso. La segunda variante es el double tagging: el atacante envía una trama con dos etiquetas VLAN; el switch elimina la primera (que corresponde a la VLAN nativa) y reenvía la trama a la VLAN especificada en la segunda etiqueta. La mitigación es cambiar la VLAN nativa del trunk a una VLAN que no se use en ningún puerto de acceso.

VLANs y WiFi: segmentación inalámbrica

Las VLANs no se limitan a la infraestructura cableada. Los puntos de acceso WiFi modernos (Cisco Meraki, Aruba Instant On, Ubiquiti UniFi) pueden asociar cada SSID a una VLAN diferente, extendiendo la segmentación a la red inalámbrica. Esto permite tener, por ejemplo, un SSID 'Corporativo' que coloca los dispositivos en la VLAN 30, un SSID 'Voz' que coloca los softphones en la VLAN 40 y un SSID 'Invitados' que coloca los dispositivos en la VLAN 70. El AP se conecta al switch mediante un trunk que transporta todas estas VLANs, y el AP etiqueta el tráfico de cada cliente según el SSID al que está conectado.

Herramientas para auditar la configuración de VLANs

Antes de dar por finalizado un despliegue de VLANs, es recomendable auditar la configuración. Algunas herramientas útiles son Nmap para descubrir qué dispositivos están activos en cada VLAN y verificar que el aislamiento funciona correctamente. Wireshark con la funcionalidad de captura en modo monitor puede detectar tráfico 802.1Q inesperado en segmentos donde no debería haberlo. Cisco ofrece la herramienta SPAN (Switch Port Analyzer) que permite espejear el tráfico de una VLAN a un puerto de monitorización para análisis. En entornos con switches Aruba, la función de mirroring cumple la misma función.

Errores comunes en el diseño de VLANs

Uno de los errores más habituales es crear demasiadas VLANs sin una necesidad real, añadiendo complejidad operativa sin un beneficio proporcional en seguridad. Cada VLAN implica una subred IP, una puerta de enlace, potencialmente un scope DHCP y políticas de firewall; multiplicar innecesariamente el número de VLANs aumenta la carga de mantenimiento. Otro error frecuente es dejar la VLAN 1 como VLAN nativa y conectar hosts a ella, lo que la convierte en un vector de ataque por VLAN hopping. También es habitual no documentar el diseño de VLANs, lo que dificulta enormemente el diagnóstico de problemas meses o años después del despliegue inicial.

La segmentación de red no es un lujo para grandes empresas; es el control de seguridad más coste-efectivo disponible para cualquier organización con más de veinte dispositivos en red. El tiempo invertido en diseñar bien las VLANs se recupera en el primer incidente que no se convierte en brecha.

Conclusión

Las VLANs son una de las herramientas más poderosas y coste-efectivas del kit de seguridad y gestión de redes empresariales. Su implementación correcta requiere planificación en el diseño, rigor en la configuración y disciplina en el mantenimiento, pero los beneficios en seguridad, rendimiento y capacidad de gestión justifican ampliamente el esfuerzo. Revisa hoy mismo la arquitectura de red de tu empresa: si todos los dispositivos están en el mismo segmento, estás un incidente de seguridad alejado de descubrir por qué la segmentación debería haber sido una prioridad desde el principio.