Por qué segmentar una red
En una red conmutada “plana” (todos los equipos en el mismo dominio de broadcast), cualquier broadcast de Capa 2 se propaga por todos los puertos del switch dentro de esa misma red lógica. A medida que crecen los equipos y servicios, esto impacta en rendimiento, seguridad y operación. La segmentación con VLAN (Virtual LAN) permite dividir un switch (o varios switches) en múltiples dominios de broadcast independientes.
Beneficios principales
- Aislamiento: equipos en VLAN distintas no se comunican a nivel de Capa 2; para cruzar entre VLANs se requiere enrutamiento (y por tanto políticas).
- Reducción de broadcast: cada VLAN limita el alcance de ARP y otros broadcasts, mejorando estabilidad y previsibilidad.
- Control de acceso: al forzar el paso por un dispositivo de Capa 3 (router o switch L3) para interconectar VLANs, se aplican ACLs, firewalling o microsegmentación de forma más clara.
Qué es una VLAN (y qué no es)
Una VLAN es una segmentación lógica de Capa 2: un conjunto de puertos (y/o MACs) que comparten el mismo dominio de broadcast, aunque estén en switches diferentes. No es “seguridad por sí sola”: si existe inter-VLAN routing sin controles, el aislamiento se pierde. La VLAN es una herramienta de diseño; la seguridad real depende de políticas en Capa 3/4 y de buenas prácticas (por ejemplo, restringir trunks y VLANs permitidas).
Puertos access vs. trunk
Puerto access
Un puerto access pertenece a una sola VLAN. Se usa para conectar dispositivos finales (PCs, servidores con una sola red, impresoras, APs en modo simple). El switch recibe y envía tramas sin etiqueta (untagged) por ese puerto; internamente las asocia a la VLAN configurada.
Puerto trunk
Un puerto trunk transporta múltiples VLANs entre dispositivos de red (switch-switch, switch-router, switch-firewall, switch a servidor con NIC trunk para virtualización). En trunk, las tramas suelen viajar etiquetadas para indicar a qué VLAN pertenecen.
Etiquetado IEEE 802.1Q (802.1Q tagging)
802.1Q inserta un campo de 4 bytes en la trama Ethernet para incluir, entre otros, el VLAN ID (12 bits, valores típicos 1–4094). Esto permite que un enlace físico transporte varias VLANs sin mezclar su tráfico.
- Escuche el audio con la pantalla apagada.
- Obtenga un certificado al finalizar.
- ¡Más de 5000 cursos para que explores!
Descargar la aplicación
Native VLAN (tráfico sin etiqueta en un trunk)
En muchos entornos, un trunk puede tener una native VLAN: las tramas que viajan sin etiqueta por el trunk se asocian a esa VLAN. Esto es fuente común de errores y riesgos operativos; una práctica habitual es usar una VLAN nativa dedicada y no utilizada por usuarios, y asegurar consistencia entre extremos.
Inter-VLAN routing (comunicación entre VLANs)
Como las VLANs separan dominios de Capa 2, para que un equipo en VLAN 10 hable con otro en VLAN 20 se necesita un dispositivo que enrute entre ellas (Capa 3). Hay dos enfoques comunes:
- Router-on-a-stick: un router con una interfaz física en trunk y subinterfaces por VLAN (cada una con su gateway).
- Switch Capa 3: interfaces virtuales (SVI) por VLAN en el switch, que actúan como gateways y enrutan internamente.
El punto clave de administración: el inter-VLAN routing es donde se aplican políticas (ACLs) para permitir solo lo necesario (por ejemplo, usuarios hacia servidores por puertos específicos, y bloquear acceso a gestión).
Escenario práctico: separar servidores, usuarios y gestión
Objetivo: segmentar una red en tres VLANs para mejorar operación y control de acceso.
| Segmento | VLAN ID | Uso | Ejemplos de equipos |
|---|---|---|---|
| Usuarios | 10 | Estaciones de trabajo | PCs, laptops |
| Servidores | 20 | Servicios internos | Hosts de apps, BD, archivos |
| Gestión | 99 | Administración | iDRAC/iLO, IPMI, gestión de switches |
Diseño de puertos (ejemplo)
- Puertos hacia PCs: access VLAN 10.
- Puertos hacia servidores (una sola NIC): access VLAN 20.
- Enlace entre switches: trunk permitiendo VLAN 10, 20 y 99.
- Enlace hacia router/firewall o switch L3: trunk con las VLANs necesarias para gateways.
- Puertos de administración (consolas/gestión): access VLAN 99 (o trunk si el equipo gestiona múltiples VLANs, por ejemplo un AP o un host de virtualización).
Guía práctica paso a paso (procedimiento de configuración)
Los comandos exactos dependen del fabricante, pero el flujo de trabajo es consistente. Usa este procedimiento como plantilla operativa.
Paso 1: definir VLANs y documentarlas
- Asignar IDs y nombres.
- Definir qué puertos pertenecen a cada VLAN.
- Definir qué enlaces serán trunk y qué VLANs deben cruzarlos.
VLAN 10 = USUARIOS
VLAN 20 = SERVIDORES
VLAN 99 = GESTIONPaso 2: crear VLANs en los switches
Crear las VLANs en cada switch donde se vayan a usar o transportar.
# Pseudocomandos (estilo genérico)
vlan 10 name USUARIOS
vlan 20 name SERVIDORES
vlan 99 name GESTIONPaso 3: configurar puertos access
Asignar cada puerto de usuario/servidor/gestión a su VLAN correspondiente. Verifica que el puerto no esté en trunk por error.
# Puerto a PC
interface Gi1/0/10
switchport mode access
switchport access vlan 10
# Puerto a servidor
interface Gi1/0/20
switchport mode access
switchport access vlan 20
# Puerto a equipo de gestión
interface Gi1/0/2
switchport mode access
switchport access vlan 99Paso 4: configurar trunks entre switches (y hacia el gateway)
En trunks, define explícitamente qué VLANs están permitidas. Esto evita “fugas” de VLANs no deseadas y reduce problemas de conectividad.
# Trunk entre switches
interface Gi1/0/48
switchport mode trunk
switchport trunk allowed vlan 10,20,99
switchport trunk native vlan 999 # si tu estándar usa una nativa dedicadaSi no usas una VLAN nativa dedicada, al menos asegúrate de que la nativa sea la misma en ambos extremos del trunk.
Paso 5: habilitar inter-VLAN routing (elegir un método)
Opción A: Router-on-a-stick
La interfaz del router conecta al switch por trunk. Se crean subinterfaces, una por VLAN, cada una con su IP de gateway.
# En el router (conceptual)
interface G0/0
no shutdown
interface G0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
interface G0/0.20
encapsulation dot1q 20
ip address 192.168.20.1 255.255.255.0
interface G0/0.99
encapsulation dot1q 99
ip address 192.168.99.1 255.255.255.0Opción B: Switch Capa 3 (SVI)
El switch crea interfaces virtuales por VLAN (SVI) y enruta entre ellas. Requiere habilitar routing en el equipo.
# En el switch L3 (conceptual)
ip routing
interface vlan 10
ip address 192.168.10.1 255.255.255.0
interface vlan 20
ip address 192.168.20.1 255.255.255.0
interface vlan 99
ip address 192.168.99.1 255.255.255.0Paso 6: aplicar control de acceso entre VLANs (mínimo necesario)
Ejemplo de intención operativa:
- Usuarios (VLAN 10) pueden acceder a servidores (VLAN 20) solo por servicios publicados (p. ej., 443, 22 desde jump host, etc.).
- Usuarios (VLAN 10) no deben acceder a gestión (VLAN 99).
- Gestión (VLAN 99) puede administrar switches/servidores.
La implementación concreta se hace con ACLs en el router/switch L3 o con reglas en un firewall.
Errores frecuentes y cómo detectarlos
1) VLAN incorrecta en un puerto access
Síntoma: el equipo no obtiene conectividad esperada (por ejemplo, no llega a su gateway o “aparece” en el segmento equivocado).
Verificación: revisar el estado del puerto y la VLAN asignada; confirmar que el dispositivo está conectado al puerto correcto.
Corrección: reasignar el puerto a la VLAN correcta y validar con pruebas de conectividad dentro de la VLAN.
2) Trunk sin permitir la VLAN necesaria
Síntoma: equipos en una VLAN funcionan en un switch pero no alcanzan recursos en otro switch; o una VLAN “desaparece” al cruzar el enlace.
Verificación: revisar lista de VLANs permitidas en el trunk en ambos extremos; confirmar que la VLAN existe en ambos switches.
Corrección: agregar la VLAN a allowed vlan y validar que el trunk esté realmente en modo trunk.
3) Native VLAN mismatch
Síntoma: conectividad intermitente o tráfico “cruzado” inesperado; alertas en logs del switch; problemas con protocolos de control o con tramas sin etiquetar.
Verificación: comprobar la VLAN nativa configurada en ambos extremos del trunk; revisar si hay tramas untagged circulando por el enlace.
Corrección: igualar la native VLAN en ambos lados o estandarizar una VLAN nativa dedicada (no usada por endpoints) y evitar tráfico untagged.
Checklist de verificación (conectividad dentro y entre VLANs)
A. Verificación de Capa 2 (dentro de la VLAN)
- El puerto del endpoint está en modo access y en la VLAN correcta.
- La VLAN existe en el switch y está activa.
- La MAC del endpoint aparece aprendida en el puerto esperado (tabla MAC).
- Si hay varios switches: el enlace entre switches está en trunk y la VLAN está en la lista de VLANs permitidas.
- No hay inconsistencias de native VLAN en trunks (si aplica).
B. Verificación de gateway por VLAN (punto de salida a Capa 3)
- Existe un gateway para cada VLAN (subinterfaz en router o SVI en switch L3).
- El trunk hacia el gateway permite las VLANs necesarias.
- El gateway responde desde un host de la misma VLAN (prueba de ping al gateway).
C. Verificación de inter-VLAN routing (entre VLANs)
- Desde VLAN 10, probar alcance a un host en VLAN 20 (y viceversa) según lo permitido.
- Revisar ACLs/reglas: confirmar que no bloquean el tráfico esperado.
- Confirmar que el retorno es posible (rutas y políticas simétricas si hay firewall).
D. Verificación operativa rápida ante incidentes
- ¿Cambió recientemente un trunk (allowed VLANs, native VLAN, modo trunk)?
- ¿Se movió un cable a otro puerto (VLAN distinta)?
- ¿Se agregó una nueva VLAN y se olvidó propagarla por trunks?
- ¿El problema afecta solo a una VLAN o a todas?
