Antes de explicarte las razones por las que podrías necesitar un firewall con soporte VLAN, voy a intentar explicarte con palabras sencillas qué es una VPN y sus tipos.
Además, conseguirás entender cómo funciona y lograrás familiarizarte con la terminología utilizada en la mayoría de switches.
¿Qué es una VLAN?
Según Wikipedia, una VLAN, acrónimo de virtual LAN (Red de área local virtual), es un método para crear redes lógicas independientes dentro de una misma red física.
El protocolo IEEE 802.1Q se encarga del etiquetado de las tramas que es asociada inmediatamente con la información de la VLAN.
¿Qué significa esto? Pues es simple, se trata de dividir de forma lógica una red física, lo entenderás mejor con el siguiente ejemplo:
Imagina una empresa con varios departamentos en la que se desea que sean independientes, es decir, no puedan intercambiar datos mediante la red.
La solución pasaría por utilizar varios switchs, uno por departamento, o por usar un switch dividido lógicamente en pequeños switchs, eso es precisamente una VLAN.
Vale, ya tenemos los diferentes departamentos separados, pero ahora necesitamos darles acceso a servicios como internet, los diferentes servidores, etc… para ello, tenemos dos opciones:
- Utilizar un switch o conmutador de capa 3 y 4, es decir con capacidad de “enrutar” las diferentes VLANs a un puerto.
- O utilizar un firewall con soporte VLAN, es decir, que en un misma interfaz física, permita trabajar con varias VLANs como si contara con varias interfaces físicas.
Tipos de VLAN
Las redes de área local virtuales se pueden clasificar según el nivel del modelo OSI:
VLAN de nivel 1
La VLAN de nivel 1 define una red virtual según el puerto del switch utilizado, también conocida como “port switching”.
Es la más habitual y la que implementan la mayoría de los switches del mercado.
VLAN de nivel 2
Este tipo de VLAN define una red virtual según las direcciones MAC de los equipos.
Frente a la VLAN por puerto, tiene la ventaja de que los equipos pueden cambiar de puerto, pero hay que asignar todas las direcciones MAC una a una.
VLAN de nivel 3
Cuando hablamos de este tipo de VLAN hay que destacar que existen diferentes tipos de VLAN de nivel 3:
- VLAN basada en la dirección de red conecta subredes según la dirección IP de los equipos.
- VLAN basada en protocolo permite crear una red virtual por tipo de protocolo utilizado. Es muy útil para agrupar todos los equipos que utilizan el mismo protocolo.
La principal diferencia entre ambas es que la VLAN basada en la dirección de red, al tener que analizar los paquetes para identificar la IP tiene un rendimiento ligeramente inferior al VLAN de protocolo.
¿Cómo funciona una VLAN por puerto?
El protocolo IEEE 802.1Q se encarga del etiquetado (TAG) de las tramas que es asociada inmediatamente con la información de la VLAN.
Consiste en añadir a la cabecera de la trama una etiqueta o TAG que indica a qué VLAN pertenece la trama.
En base a los “etiquetados” de las VLAN, podemos diferenciar entre:
- UNTAGGED: Como no todas las tarjetas de red ofrecen la posibilidad de trabajar con etiquetas VLAN, la solución de la mayoría de fabricantes de switchs, es darnos la posibilidad de configurar los puertos como Untagged, es decir, sin etiquetar.
Cuando llega un paquete a un puerto UNTAGGED, el switch se encarga de añadir la “etiqueta” a las tramas que entran y de quitarla a las que salen.
Con dicha configuración, conseguimos una segmentación física del switch. De esta forma si queremos que unos equipos tengan conexión con otros, simplemente debemos conectarlos al segmento de puertos físicos definidos en el switch.
Por defecto, los switches, vienen con la VLAN1 creada y con todos los puertos asignados a dicha VLAN como UNTAGGED.
- TAGGED: Cuando el dispositivo conectado, puede trabajar directamente con VLAN, enviará la información de la VLAN a la que pertence el mismo. Gracias a esta característica, un mismo puerto podrá trabajar con varias VLAN simultáneamente.
Cuando configuramos un puerto con todas las VLAN configuradas en TAGGED, lo llamamos Trunk y sirve para unir el dispositivo de red en cascada.
Este sistema, permite que los paquetes de una VLAN pasen de un switch a otro hasta encontrar todos los equipos de dicha VLAN.
Vale, ya tenemos segmentada nuestra red en diferentes VLANs, pero ahora necesitamos darles acceso a servicios como internet, los diferentes servidores, etc… para ello, tenemos dos opciones:
- Utilizar un switch o conmutador de capa 3 o 4, es decir con capacidad de “enrutar” las diferentes VLANs a un puerto.
- o utilizar un firewall con soporte VLAN, es decir, que en un misma interfaz física, permita trabajar con varias VLANs como si contara con varias interfaces físicas, cada una de las cuales dará acceso a una VLAN a los servicios.
Elegir una u otra dependerá de si el firewall utilizado soporte VLANs, si hacemos pasar las comunicaciones por el firewall, siempre tendremos más control sobre ellas tal y como explicaré más adelante.
Ventajas de segmentar tu red mediante VLANs
Los principales beneficios de utilizar las VLAN son los siguientes:
Ventaja 1: Aumentar la Seguridad
Al segmentar la red, los grupos que tienen datos sensibles se separan del resto de la red, disminuyendo las posibilidades de que ocurran violaciones de información confidencial.
Ventaja 2: Mejorar el rendimiento
Al reducir y controlar la transmisión de tráfico en la red por la división en dominios de broadcast, se potenciará el rendimiento.
Ventaja 3: Reducción de costes.
El ahorro en el costo resulta de la poca necesidad de actualizaciones de red caras y más usos eficientes de enlaces y ancho de banda existente.
Ventaja 4: Mayor eficiencia del personal de IT.
La VLAN permite definir una nueva red por encima de la red física y al administrar la red de una forma lógica.
De esta manera, conseguiremos mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores, pudiendo:
- Trasladar fácilmente las estaciones de trabajo en la LAN
- Agregar fácilmente estaciones de trabajo a la LAN
- Cambiar fácilmente la configuración de la LAN
Con las ventajas que esto supone a la hora de administrar la red LAN
Ventajas de contar con un firewall con soporte VLAN
A las ventajas anteriores, en caso de optar por un firewall con soporte VLAN, podemos sumarles las siguientes:
Ventaja 5: Mayor ahorro de costes.
No tendremos que invertir en un switch con “capacidad de enrutado” y nos valdrá un uno de capa 2, actualmente muy económicos.
Ventaja 6: Mayor seguridad y control.
No “enrutamos” una VLAN a otra sin ningún control, pudiendo crear reglas de acceso entre las VLANs e inspeccionar todo el tráfico.
Ventaja 7: Mayor rendimiento de la red.
Dispondremos de la posibilidad de priorizar por QoS (Calidad de servicio) ciertas VLANs o protocolos.
Un ejemplo claro sería priorizar el tráfico de Voz sobre IP (VoIP) ya que requiere:
- Ancho de banda garantizado para asegurar la calidad de la voz
- Prioridad de la transmisión sobre los tipos de tráfico de la red
- Capacidad para ser enrutado en áreas congestionadas de la red
- Demora de menos de 150 milisegundos (ms) a través de la red
Por lo tanto, como has podido comprobar, disponer de un Firewall con soporte VLAN supone una serie de ventajas importantes a la hora de administrar tus sistemas de información.
No solo obtendrás mejoras de rendimiento sino que además simplificarás tus tareas de administración.
De esta manera yo siempre recomiendo en la medida de lo posible contar con uno en tu empresa.
Si te ha gustado lo que has leído sobre las VLAN y sus ventajas, no dejes de compartir esta información con tus amigos en las redes sociales.