Tutorial avanzado de configuración de VLAN en switches gestionables

pexels photo 18471553
Table
  1. Introducción
  2. Qué son las VLAN y por qué importan en redes empresariales actuales
    1. Impacto en el rendimiento y la seguridad
  3. Cómo funciona técnicamente el etiquetado 802.1Q en switches gestionables
    1. Diferencias entre puertos de acceso y puertos trunk
    2. Comandos comunes en la línea de interfaz
  4. Pasos detallados del Tutorial avanzado de configuración de VLAN en switches gestionables
    1. Preparación previa y verificación de hardware
    2. Creación de VLANs y asignación de puertos
    3. Configuración avanzada de trunking y VLAN nativa
  5. Casos prácticos reales de configuración en entornos productivos
    1. Ejemplo con switches de gama media
    2. Verificación y pruebas después de la configuración
  6. Comparativa entre enfoques de configuración manual y mediante plantillas
    1. Ventajas observadas en implementaciones reales
  7. Problemas frecuentes y cómo resolverlos durante la implementación

Introducción

En una oficina con más de 80 dispositivos conectados, los problemas de broadcast y accesos no autorizados entre departamentos aparecen con frecuencia cuando todo el tráfico circula por la misma red plana. Un switch gestionable permite crear VLANs para aislar el tráfico de contabilidad del de desarrollo sin necesidad de comprar routers adicionales por cada segmento.

El Tutorial avanzado de configuración de VLAN en switches gestionables parte de la experiencia real en redes medianas donde se combinan switches de distintas marcas y se requiere mantener compatibilidad con estándares como IEEE 802.1Q. — Más información: IETF

Qué son las VLAN y por qué importan en redes empresariales actuales

Una VLAN es una red lógica que agrupa puertos de uno o varios switches aunque físicamente estén en el mismo dispositivo. Esto reduce dominios de broadcast y mejora la seguridad al limitar qué dispositivos pueden comunicarse entre sí sin pasar por un firewall.

En la práctica, las empresas usan VLANs para separar tráfico de voz, datos, videovigilancia y servidores. Un ejemplo habitual es mantener la VLAN 10 para estaciones de trabajo y la VLAN 20 para impresoras de red, evitando que un equipo comprometido en la VLAN de usuarios alcance directamente los recursos de impresión.

Impacto en el rendimiento y la seguridad

  • Al limitar el tamaño de cada dominio de broadcast, los switches procesan menos paquetes ARP y DHCP innecesarios, lo que reduce la carga de CPU en entornos con más de 200 dispositivos.
  • El aislamiento lógico permite aplicar políticas de firewall entre VLANs sin cambiar el cableado físico, algo muy útil cuando el presupuesto no permite renovar toda la infraestructura cada dos años.
  • En caso de ataque de malware que propaga paquetes de broadcast, solo afecta a los puertos de la misma VLAN, protegiendo el resto de la red.

Cómo funciona técnicamente el etiquetado 802.1Q en switches gestionables

El estándar IEEE 802.1Q inserta una etiqueta de 4 bytes después de la dirección MAC de origen en la trama Ethernet. Esta etiqueta contiene el VLAN ID (12 bits) que permite identificar a qué red lógica pertenece el paquete.

Los switches gestionables leen esta etiqueta en los puertos configurados como trunk y deciden si reenvían o descartan la trama según la configuración de puertos permitidos. En puertos de acceso, el switch añade o elimina la etiqueta automáticamente según la VLAN asignada al puerto.

Diferencias entre puertos de acceso y puertos trunk

  • Un puerto de acceso pertenece a una sola VLAN y envía tramas sin etiqueta hacia el dispositivo final, lo que simplifica la configuración de PCs e impresoras.
  • Un puerto trunk transporta múltiples VLANs etiquetadas y suele conectarse entre switches o hacia un router o firewall que realiza el enrutamiento inter-VLAN.
  • La VLAN nativa en un trunk viaja sin etiqueta; es recomendable cambiarla del valor por defecto (VLAN 1) para evitar ataques de salto de VLAN.

Comandos comunes en la línea de interfaz

La mayoría de switches gestionables permiten configurar estas funciones mediante CLI o interfaz web. En entornos Cisco se utiliza el comando switchport mode access seguido de switchport access vlan 10. En switches de otras marcas como Ubiquiti o MikroTik los nombres de los comandos cambian pero el concepto de tagged y untagged se mantiene idéntico.

Pasos detallados del Tutorial avanzado de configuración de VLAN en switches gestionables

Antes de empezar cualquier configuración conviene hacer un respaldo de la configuración actual y dibujar un esquema con las VLANs que se van a crear, los puertos que pertenecerán a cada una y qué dispositivo actuará como router inter-VLAN.

Preparación previa y verificación de hardware

  1. Confirmar que el switch soporta 802.1Q y cuántas VLANs simultáneas permite; algunos modelos económicos limitan el número a 32 mientras que switches de gama media llegan fácilmente a 256.
  2. Actualizar el firmware a la última versión estable disponible del fabricante para evitar errores conocidos en el manejo de etiquetas.
  3. Documentar las direcciones MAC de los dispositivos que se conectarán para poder verificar después que están en la VLAN correcta.

Creación de VLANs y asignación de puertos

  • Crear primero las VLANs en el switch con el comando vlan 10 name Contabilidad o su equivalente en la interfaz web.
  • Asignar puertos específicos a cada VLAN como puertos de acceso; por ejemplo, los puertos 1 al 12 a la VLAN 10 y los puertos 13 al 20 a la VLAN 30.
  • Configurar al menos un puerto como trunk hacia el router o firewall que realizará el enrutamiento entre VLANs.

Configuración avanzada de trunking y VLAN nativa

En el puerto trunk se define qué VLANs están permitidas con el comando switchport trunk allowed vlan 10,20,30. Es recomendable excluir explícitamente la VLAN 1 si no se utiliza. También se puede establecer la VLAN nativa con switchport trunk native vlan 99 para aumentar la seguridad.

Casos prácticos reales de configuración en entornos productivos

En una empresa de desarrollo de software con tres plantas se implementó la siguiente distribución: VLAN 10 para estaciones de trabajo de programadores, VLAN 20 para servidores de bases de datos y VLAN 30 para la red de invitados. El switch principal era un Cisco Catalyst 2960-X con enlaces trunk hacia dos switches de acceso Ubiquiti UniFi Switch 24.

Los puertos del switch de acceso se configuraron como access con la VLAN correspondiente y el enlace hacia el Catalyst se configuró como trunk permitiendo solo las tres VLANs necesarias. Después de aplicar los cambios se verificó con el comando show vlan brief que los puertos estaban correctamente asignados y que no existían tramas de broadcast cruzando entre VLANs.

Ejemplo con switches de gama media

Switch Modelo VLANs configuradas Puertos trunk
Cisco Catalyst 2960-X 10, 20, 30, 99 Gi1/0/24
Ubiquiti UniFi Switch 24 10, 20, 30 Port 23-24
Netgear GS724T 10, 20 Port 24

Verificación y pruebas después de la configuración

  • Utilizar el comando ping entre dispositivos de la misma VLAN para confirmar conectividad local.
  • Intentar ping entre VLANs diferentes; debe fallar hasta que el router inter-VLAN tenga las rutas y ACLs configuradas.
  • Revisar los contadores de errores en los puertos trunk con show interface trunk para detectar posibles problemas de MTU o etiquetado incorrecto.

Comparativa entre enfoques de configuración manual y mediante plantillas

Algunos administradores prefieren configurar VLANs una a una mediante CLI porque permite mayor control y depuración inmediata. Otros utilizan plantillas de configuración guardadas en un servidor TFTP para replicar la misma estructura en varios switches idénticos, reduciendo errores de transcripción.

En switches que soportan gestión centralizada como los Ubiquiti UniFi o los sistemas con controlador Omada, la configuración de VLANs se realiza desde una interfaz única y se propaga automáticamente a todos los dispositivos adoptados, lo que ahorra tiempo cuando la red crece por encima de cinco switches.

Ventajas observadas en implementaciones reales

  • La configuración manual permite detectar conflictos de VLAN nativa durante la puesta en marcha, algo que las plantillas automáticas a veces pasan por alto si no se revisan.
  • El uso de controladores centralizados facilita cambios masivos, como añadir una nueva VLAN de invitados en todos los switches de una sede en menos de cinco minutos.
  • Switches de gama baja sin soporte de plantillas requieren más tiempo de configuración pero suelen ser suficientes para oficinas con menos de 50 puertos activos.

Problemas frecuentes y cómo resolverlos durante la implementación

Uno de los errores más comunes es olvidar añadir la VLAN al trunk permitido, lo que provoca que los dispositivos de esa VLAN no puedan comunicarse con el router. Otro problema habitual aparece cuando se deja la VLAN 1 como nativa en todos los trunks, abriendo una vía potencial para ataques de VLAN hopping.

Para diagnosticar estos casos se recomienda capturar tráfico con Wireshark en un puerto mirror y verificar que las tramas lleven la etiqueta correcta. También ayuda revisar los logs del switch después de cada cambio de configuración.

El Tutorial avanzado de configuración de VLAN en switches gestionables demuestra que una planificación cuidadosa y el conocimiento de los comandos específicos de cada fabricante permiten segmentar redes de forma robusta sin incurrir en gastos excesivos de hardware adicional.

Si quieres conocer otros artículos parecidos a Tutorial avanzado de configuración de VLAN en switches gestionables puedes visitar la categoría Internet y Redes.

Entradas Relacionadas