El VLAN es una de las herramientas más potentes — y más mal entendidas — de la red empresarial. Permite dividir una misma red física en varias redes lógicas independientes, para ganar en seguridad, rendimiento y organización. Esta guía explica de forma sencilla qué es un VLAN, para qué sirve y qué se necesita en cuanto a hardware para implementarlo.
¿Qué es un VLAN?
Un VLAN (Virtual Local Area Network, red local virtual) es una red lógica creada dentro de una red física. Concretamente, en un mismo switch de red, puedes definir varios grupos de puertos que se comportan como redes independientes: los dispositivos de un VLAN no «ven» a los de otro, aunque estén conectados al mismo equipo.
¿Por qué segmentar la red?
- Seguridad: aislar los flujos sensibles (contabilidad, videovigilancia) del resto y confinar un posible incidente a un solo segmento.
- Rendimiento: limitar los dominios de difusión (broadcast) para reducir el tráfico innecesario.
- Organización: separar lógicamente los servicios, usos o sedes sin recablear.
- Calidad de servicio: priorizar un VLAN de voz para una telefonía IP sin interrupciones.
¿Cómo funciona? 802.1Q, puertos access y trunk
La norma 802.1Q añade una etiqueta («tag») a las tramas para indicar su VLAN. Dos tipos de puertos:
- Puerto access: asignado a un solo VLAN, para un puesto, un teléfono o una cámara.
- Puerto trunk: transporta varios VLAN a la vez (etiquetados), típicamente entre dos switches o hacia un router/firewall.
Ejemplos concretos de VLAN
- VLAN data: los puestos de trabajo.
- VLAN voz: los teléfonos IP, priorizados por la QoS.
- VLAN invitado: un acceso Wi-Fi público aislado de la red interna.
- VLAN videovigilancia: las cámaras IP, separadas por seguridad.
VLAN y enrutamiento inter-VLAN
Por defecto, los VLAN no se comunican entre sí — ese es el objetivo. Para que dialoguen de forma controlada (por ejemplo, data hacia una impresora de otro VLAN), se necesita un enrutamiento inter-VLAN, proporcionado por un switch de nivel 3 o un firewall. También es donde se aplican reglas de filtrado entre segmentos.
Consejo: para dimensionar tus rangos de direcciones IP por segmento, usa nuestro calculador de subred.
Qué se necesita en cuanto a hardware
Los VLAN requieren un switch administrable (un modelo no administrable no puede gestionar 802.1Q). Para elegir, consulta nuestra guía switch administrable o no. Para la seguridad entre segmentos, un firewall complementa el sistema. Encuentra nuestros switches administrables de segunda mano probados y garantizados.
Preguntas frecuentes: VLAN
¿Se necesita un switch especial para los VLAN?
Sí, un switch administrable (o smart) compatible con 802.1Q. Un switch no administrable no gestiona VLAN.
¿Un VLAN mejora la seguridad?
Segmenta los flujos y limita la propagación de un incidente, pero no reemplaza un firewall: ambos son complementarios.
¿Cuántos VLAN se pueden crear?
La norma permite hasta 4094 VLAN. En la práctica, una PYME usa unos pocos (data, voz, invitado, vídeo), lo que es más que suficiente.
¿Los VLAN ralentizan la red?
Al contrario: al reducir los dominios de broadcast, alivian el tráfico. La etiqueta 802.1Q tiene un coste insignificante.
En resumen
El VLAN segmenta una red física en redes lógicas independientes: más seguridad, rendimiento y organización, sin recablear. Requiere un switch administrable, puertos access/trunk bien configurados y un equipo de nivel 3 o un firewall para el enrutamiento inter-VLAN. Una inversión modesta, especialmente en hardware de segunda mano probado, para un beneficio duradero.