Conceptos Básicos de VLAN: Segmentación de Red Sin Switches Físicos

¿Qué es una VLAN exactamente?

Una VLAN (Virtual Local Area Network - Red de Área Local Virtual) es un método para crear segmentos de red lógicamente separados dentro de la misma infraestructura física de switches.

Imagínate un edificio de oficinas con un solo switch de 48 puertos. Sin VLANs, todos los 48 dispositivos conectados estarían en la misma red—compartirían tráfico de broadcast, podrían comunicarse directamente entre sí, y no habría separación de seguridad.

Con VLANs, puedes tomar ese mismo switch y crear múltiples redes virtuales:

VLAN 10: Puertos 1-12 para Administración
VLAN 20: Puertos 13-24 para Ventas
VLAN 30: Puertos 25-36 para IT
VLAN 99: Puertos 37-48 para WiFi invitados

Cada VLAN actúa como si fuera una red completamente separada, aunque todos usen el mismo hardware físico.

¿Por qué usar VLANs?

1. Segmentación de seguridad

Sin VLANs, cualquier dispositivo en la red puede intentar comunicarse con cualquier otro dispositivo. Con VLANs, puedes aislar diferentes grupos:

Sin VLAN:
Empleado en Ventas → Puede accesar directamente → Servidor financiero

Con VLANs:
Empleado en Ventas (VLAN 20) → BLOQUEADO → Servidor financiero (VLAN 10)
(Requiere router/firewall para comunicación entre VLANs)

2. Reducción de tráfico de broadcast

Los broadcasts (como DHCP discoveries, ARP requests) solo se envían dentro de la VLAN, no a toda la red:

Sin VLANs: 100 dispositivos = 100 dispositivos reciben cada broadcast
Con VLANs: 4 VLANs de 25 dispositivos = solo 25 dispositivos reciben cada broadcast

3. Flexibilidad organizacional

Puedes agrupar dispositivos por función, departamento, o nivel de seguridad, sin importar su ubicación física:

VLAN 10 - Administración:
  - Puerto 5 (Piso 1): PC del CFO
  - Puerto 23 (Piso 2): PC del Controller
  - Puerto 41 (Piso 3): Servidor financiero
  
Todos en la misma VLAN aunque estén en diferentes pisos

4. Ahorro de costos

En lugar de comprar switches separados para cada departamento, un switch con capacidad VLAN puede servir múltiples grupos.

Cómo funcionan las VLANs: Etiquetado 802.1Q

El problema: ¿Cómo sabe el switch qué trama pertenece a qué VLAN?

Cuando múltiples VLANs usan el mismo cable físico, necesitamos una forma de identificar a qué VLAN pertenece cada trama. Aquí es donde entra el etiquetado 802.1Q.

Estructura de una trama etiquetada

Trama Ethernet normal:
[Dest MAC] [Src MAC] [EtherType] [Data] [FCS]

Trama Ethernet con tag 802.1Q:
[Dest MAC] [Src MAC] [802.1Q Tag] [EtherType] [Data] [FCS]

802.1Q Tag (4 bytes):
- TPID (2 bytes): 0x8100 (identifica que hay un tag VLAN)
- TCI (2 bytes): Incluye VLAN ID (12 bits) y Priority (3 bits)

Proceso de etiquetado

Dispositivo envía trama normal (sin etiqueta VLAN)
Switch recibe en puerto asignado a VLAN 20
Switch agrega etiqueta 802.1Q con VLAN ID 20
Switch envía trama etiquetada por enlaces trunk
Switch receptor ve etiqueta VLAN 20
Switch remueve etiqueta y entrega solo a puertos en VLAN 20

Tipos de puertos VLAN

Access Ports (Puertos de Acceso)

Los access ports pertenecen a una sola VLAN y conectan dispositivos finales:

Configuración típica:
interface GigabitEthernet0/1
  switchport mode access
  switchport access vlan 10
  description "PC Administracion - Juan"

Características:

Solo maneja tráfico de una VLAN
Las tramas no tienen etiquetas VLAN (dispositivos finales no entienden etiquetas)
El switch agrega/remueve etiquetas automáticamente
Usado para PCs, impresoras, teléfonos IP, etc.

Trunk Ports (Puertos Trunk)

Los trunk ports pueden transportar múltiples VLANs y conectan switches entre sí:

Configuración típica:
interface GigabitEthernet0/24
  switchport mode trunk
  switchport trunk allowed vlan 10,20,30,99
  switchport trunk native vlan 999
  description "Enlace a Switch Piso 2"

Características:

Transporta múltiples VLANs en un solo cable
Usa etiquetado 802.1Q para identificar VLANs
Conecta switches, routers, y servidores con NICs VLAN-aware
Permite comunicación entre switches manteniendo separación de VLANs

Native VLAN

En enlaces trunk, la native VLAN es especial—su tráfico viaja sin etiquetas 802.1Q:

Por defecto: VLAN 1 es la native VLAN
Mejor práctica: Cambiar native VLAN a una VLAN no utilizada (ej. VLAN 999)
Razón de seguridad: Prevenir ataques de VLAN hopping

Diseño típico de VLANs empresariales

Esquema por departamentos

VLAN 10 - Administración (10.1.10.0/24)
  Dispositivos: PCs ejecutivos, servidores financieros
  Seguridad: Restricciones estrictas, monitoreo alto
  
VLAN 20 - Ventas (10.1.20.0/24)
  Dispositivos: PCs de ventas, CRM, teléfonos IP
  Seguridad: Acceso controlado a internet, acceso a CRM
  
VLAN 30 - IT/Sistemas (10.1.30.0/24)
  Dispositivos: Servidores, equipos de monitoreo
  Seguridad: Acceso administrativo, sin restricciones internas
  
VLAN 40 - Desarrollo (10.1.40.0/24)
  Dispositivos: Workstations desarrollo, servidores test
  Seguridad: Aislado de producción, internet limitado
  
VLAN 99 - WiFi Invitados (10.1.99.0/24)
  Dispositivos: Dispositivos de visitantes
  Seguridad: Solo internet, sin acceso interno
  
VLAN 999 - Gestión (10.1.255.0/24)
  Dispositivos: Interfaces de gestión switches/routers
  Seguridad: Solo acceso administrativo

Configuración de switch para este diseño

# Crear VLANs
vlan 10
  name Administracion
vlan 20
  name Ventas
vlan 30
  name IT-Sistemas
vlan 40
  name Desarrollo
vlan 99
  name WiFi-Invitados
vlan 999
  name Gestion

# Configurar puertos de acceso (ejemplos)
interface range GigabitEthernet0/1-5
  switchport mode access
  switchport access vlan 10
  description "PCs Administracion"

interface range GigabitEthernet0/6-15
  switchport mode access
  switchport access vlan 20
  description "PCs Ventas"

# Configurar enlace trunk hacia router
interface GigabitEthernet0/24
  switchport mode trunk
  switchport trunk allowed vlan 10,20,30,40,99
  switchport trunk native vlan 999
  description "Enlace a Router Principal"

Routing entre VLANs

Por defecto, las VLANs están completamente aisladas. Para permitir comunicación entre VLANs, necesitas un dispositivo de Capa 3 (router o switch Layer 3).

Opción 1: Router externo (Router-on-a-stick)

# Configuración del router
interface GigabitEthernet0/1.10
  encapsulation dot1Q 10
  ip address 10.1.10.1 255.255.255.0
  description "Gateway VLAN 10 - Administracion"

interface GigabitEthernet0/1.20
  encapsulation dot1Q 20
  ip address 10.1.20.1 255.255.255.0
  description "Gateway VLAN 20 - Ventas"

interface GigabitEthernet0/1.30
  encapsulation dot1Q 30
  ip address 10.1.30.1 255.255.255.0
  description "Gateway VLAN 30 - IT"

Opción 2: Switch Layer 3 (SVI - Switch Virtual Interfaces)

# Habilitar routing IP
ip routing

# Crear interfaces VLAN (SVIs)
interface vlan 10
  ip address 10.1.10.1 255.255.255.0
  description "Gateway VLAN 10"
  no shutdown

interface vlan 20
  ip address 10.1.20.1 255.255.255.0
  description "Gateway VLAN 20"
  no shutdown

interface vlan 30
  ip address 10.1.30.1 255.255.255.0
  description "Gateway VLAN 30"
  no shutdown

Control de tráfico entre VLANs

Una vez habilitado el routing, puedes controlar qué VLANs pueden comunicarse usando ACLs (Access Control Lists):

# Permitir VLAN IT acceso a todas las VLANs
# Bloquear VLAN Invitados acceso a VLANs internas
ip access-list extended BLOQUEAR-INVITADOS
  deny ip 10.1.99.0 0.0.0.255 10.1.10.0 0.0.0.255
  deny ip 10.1.99.0 0.0.0.255 10.1.20.0 0.0.0.255
  deny ip 10.1.99.0 0.0.0.255 10.1.30.0 0.0.0.255
  permit ip any any

interface vlan 99
  ip access-group BLOQUEAR-INVITADOS in

Implementación paso a paso

Fase 1: Planificación

Inventario de dispositivos: Lista todos los dispositivos y su función
Definir grupos lógicos: ¿Qué dispositivos deben estar juntos?
Asignar VLAN IDs: Usa números consistentes y documentados
Planificar subredes IP: Una subred por VLAN
Identificar enlaces trunk: ¿Qué cables transportarán múltiples VLANs?

Fase 2: Configuración básica

Crear VLANs en todos los switches
Configurar puertos de acceso para dispositivos finales
Configurar enlaces trunk entre switches
Verificar conectividad dentro de cada VLAN

Fase 3: Routing y servicios

Configurar routing entre VLANs (router o Layer 3 switch)
Configurar DHCP por VLAN
Implementar ACLs para controlar tráfico entre VLANs
Probar conectividad completa

Problemas comunes y soluciones

Problema: "No hay conectividad después de implementar VLANs"

Diagnóstico:

# Verificar configuración de VLAN
show vlan brief

# Verificar configuración de puertos
show interface GigabitEthernet0/1 switchport

# Verificar enlaces trunk
show interface trunk

Causas comunes:

Puerto configurado en VLAN incorrecta
VLAN no existe en switch de destino
Enlace trunk no permite la VLAN necesaria
Native VLAN mismatch entre switches

Problema: "Algunos dispositivos pueden comunicarse, otros no"

Causa probable: VLAN ID inconsistente entre switches

Solución:

# En cada switch, verificar que VLANs estén definidas igualmente
show vlan brief

# En enlaces trunk, verificar VLANs permitidas
show interface GigabitEthernet0/24 trunk

Problema: "Performance degradado después de VLANs"

Causa probable: Routing entre VLANs creando cuellos de botella

Análisis:

¿Hay mucho tráfico entre VLANs que antes era local?
¿El enlace al router está saturado?
¿Se necesitan múltiples enlaces trunk?

El problema de los dominios de broadcast que resuelven las VLANs

Para entender las VLANs, necesitas comprender los dominios de broadcast. Cuando un dispositivo envía un paquete de broadcast (como solicitudes ARP o discoveries DHCP), ese paquete se envía a todos los dispositivos en el mismo segmento de red. En una red plana grande, un solo broadcast de un dispositivo alcanza cientos de otros dispositivos, creando tráfico de red innecesario.

Problemas con dominios de broadcast grandes:

Ancho de banda desperdiciado: Cada dispositivo procesa broadcasts aunque no sean relevantes
Preocupaciones de seguridad: Los dispositivos pueden ver el tráfico de otros a través de broadcast y multicast
Degradación del rendimiento: Las tormentas de red pueden derribar segmentos enteros
Complejidad administrativa: Difícil aplicar diferentes políticas a diferentes grupos

Las VLANs resuelven esto creando dominios de broadcast separados dentro de la misma infraestructura física. Un broadcast en VLAN 10 solo alcanza a otros dispositivos en VLAN 10, no a dispositivos en VLAN 20 o 30. Esto reduce dramáticamente el tráfico de red innecesario y proporciona límites de seguridad naturales.

VLANs de voz: consideraciones especiales para teléfonos IP

Los teléfonos IP crean requisitos únicos para el diseño de VLAN porque a menudo se conectan a través de conexiones de computadoras de escritorio y necesitan diferentes políticas de red que los dispositivos de datos.

¿Por qué VLANs de voz separadas?

Calidad de Servicio (QoS): El tráfico de voz necesita prioridad y latencia consistente
Gestión de energía: Requisitos de PoE y presupuesto de energía
Aislamiento de seguridad: Infraestructura de voz separada de la red de datos
DHCP y servicios: Diferentes servicios de red y opciones

Implementación de VLAN de voz:

Muchos switches soportan configuraciones de VLAN dual en puertos de acceso, donde el tráfico de datos usa una VLAN y el tráfico de voz automáticamente usa otra. Los teléfonos IP típicamente tienen un switch integrado que conecta el teléfono a la VLAN de voz y pasa el tráfico de la computadora a la VLAN de datos.

Configuraciones comunes de VLAN de voz:

VLAN de datos: Sin etiquetas (VLAN nativa para computadora)
VLAN de voz: Etiquetada (el teléfono reconoce y usa la VLAN apropiada)
Detección automática de teléfono y asignación de VLAN
Marcado QoS y priorización para tráfico de voz

Mejores prácticas para VLAN de voz:

Usar subredes IP separadas para VLANs de voz y datos
Implementar políticas QoS para priorizar tráfico de voz
Configurar opciones DHCP apropiadas para aprovisionamiento de teléfonos
Planificar presupuesto de energía PoE suficiente
Usar gestión centralizada para configuración de teléfonos

VLANs inalámbricas: extendiendo la segmentación a WiFi

Las redes inalámbricas añaden complejidad al diseño de VLAN porque múltiples SSIDs (nombres de red) pueden mapear a diferentes VLANs, proporcionando segmentación de red para clientes WiFi sin requerir infraestructura inalámbrica separada.

Mapeo SSID-a-VLAN:

Los puntos de acceso inalámbricos pueden transmitir múltiples SSIDs y asignar clientes a diferentes VLANs basándose en a qué SSID se conectan. Esto permite que un solo punto de acceso sirva múltiples grupos de usuarios con diferentes políticas de acceso.

Ejemplo de diseño de VLAN inalámbrica:

SSID "Corporativo": Se conecta a VLAN 20 (acceso de empleados)
SSID "Invitados": Se conecta a VLAN 200 (acceso de visitantes)
SSID "IoT": Se conecta a VLAN 300 (dispositivos inteligentes)
SSID "Seguro": Se conecta a VLAN 10 (acceso ejecutivo)

Consideraciones de VLAN inalámbrica:

Configuración trunk: Los puntos de acceso necesitan conexiones trunk al switch
Capacidad VLAN: Los controladores inalámbricos pueden limitar el número de VLANs por punto de acceso
Impacto en rendimiento: Múltiples SSIDs pueden reducir el rendimiento inalámbrico
Aislamiento de seguridad: Prevenir comunicación inalámbrica entre clientes de diferentes VLANs

Aislamiento de red de invitados:

Las VLANs de invitados requieren consideración especial porque necesitan acceso a internet pero deben estar aisladas de recursos internos. Implementar reglas de firewall o ACLs para permitir que el tráfico de invitados alcance internet mientras bloquea el acceso a VLANs internas.

Seguridad VLAN: beneficios y limitaciones

Las VLANs proporcionan beneficios de seguridad valiosos a través de la segmentación de red, pero no son una solución de seguridad completa. Entender qué hacen y no protegen las VLANs te ayuda a implementar medidas de seguridad adicionales apropiadas.

Beneficios de seguridad de las VLANs:

Aislamiento de broadcast: Los dispositivos no pueden ver broadcasts de otras VLANs
Separación de Capa 2: Comunicación directa dispositivo-a-dispositivo bloqueada entre VLANs
Aplicación de políticas: Diferentes políticas de seguridad para diferentes VLANs
Limitación de ataques: Brechas de seguridad contenidas a una sola VLAN
Simplificación de monitoreo: Patrones de tráfico de red más fáciles de analizar

Limitaciones de seguridad de las VLANs:

No es encriptación: El tráfico dentro de VLANs típicamente no está encriptado
Vulnerabilidades de switch: Los ataques de VLAN hopping pueden eludir la segmentación
Errores de configuración: Los errores pueden exponer tráfico a VLANs incorrectas
Infraestructura compartida: El compromiso del switch físico afecta todas las VLANs
Complejidad de gestión: Más VLANs significan más configuración que asegurar

Mejores prácticas de seguridad VLAN:

Deshabilitar puertos de switch no utilizados y asignarlos a VLANs no utilizadas
Cambiar la VLAN nativa predeterminada de VLAN 1 a una VLAN no utilizada
Usar VLANs de gestión dedicadas para administración de switches
Implementar seguridad de puerto para prevenir suplantación de direcciones MAC
Auditar regularmente configuraciones de VLAN y asignaciones de puertos
Monitorear intentos de VLAN hopping y otros ataques

Resolución de problemas de VLAN

Los problemas de VLAN pueden ser desafiantes de diagnosticar porque a menudo involucran configuraciones erróneas que no son inmediatamente obvias. La resolución de problemas sistemática ayuda a identificar y resolver problemas de conectividad VLAN.

Problemas comunes de VLAN:

Asignación de VLAN incorrecta: Dispositivo conectado a VLAN incorrecta
Errores de configuración trunk: VLANs faltantes en enlaces trunk
Desajustes de VLAN nativa: VLANs nativas diferentes en extremos de trunk
Problemas de enrutamiento inter-VLAN: Rutas faltantes o configuración SVI incorrecta
Problemas de alcance DHCP: No hay servidor DHCP disponible para VLAN

Enfoque de resolución de problemas sistemático:

Verificar conectividad física: Asegurar que cables y puertos sean funcionales
Verificar asignaciones de VLAN: Confirmar que dispositivos están en VLANs correctas
Examinar configuraciones trunk: Verificar VLANs permitidas en puertos trunk
Probar conectividad de Capa 2: Verificar comunicación dentro de la misma VLAN
Verificar configuración de Capa 3: Confirmar direcciones IP, gateways y enrutamiento
Validar servicios: Asegurar que DHCP, DNS y otros servicios funcionen

Comandos útiles de resolución de problemas (conceptos):

Mostrar estado VLAN: Mostrar base de datos VLAN y asignaciones de puertos
Mostrar interfaz trunk: Examinar configuraciones de puertos trunk
Mostrar tabla de direcciones MAC: Verificar que dispositivos aparezcan en VLANs correctas
Mostrar spanning tree: Verificar problemas de prevención de loops
Mostrar interfaz IP: Verificar configuraciones de interfaz de Capa 3

Escalabilidad y gestión de VLAN

A medida que las redes crecen, la gestión de VLAN se vuelve más compleja. Planificar para escalabilidad e implementar buenas prácticas de gestión previene la proliferación de VLANs y dificultades operacionales.

Desafíos de escalabilidad:

Sincronización de base de datos VLAN: Mantener configuraciones VLAN consistentes entre switches
Gestión de enlaces trunk: Asegurar que todas las VLANs necesarias estén permitidas en interconexiones
Mantenimiento de documentación: Seguimiento de asignaciones y cambios de VLAN
Monitoreo de rendimiento: Identificar VLANs sobreutilizadas o cuellos de botella

Consideraciones del Protocolo de Trunking VLAN (VTP):

VTP puede sincronizar automáticamente bases de datos VLAN entre switches, pero también crea riesgos si se configura mal. Muchas organizaciones deshabilitan VTP y gestionan VLANs manualmente para mantener mejor control y prevenir eliminación accidental de VLANs.

Mejores prácticas de gestión:

Usar herramientas de gestión de red: Configuración y monitoreo centralizados de VLAN
Implementar control de cambios: Procesos formales para modificaciones de VLAN
Auditorías regulares: Revisión periódica de asignaciones y uso de VLAN
Planificación de capacidad: Monitorear utilización de VLAN y planificar para crecimiento
Respaldo de configuraciones: Respaldos regulares de configuraciones de switches

Alternativas modernas de VLAN y mejoras

Aunque las VLANs tradicionales siguen siendo ampliamente utilizadas, las tecnologías más nuevas proporcionan enfoques alternativos a la segmentación de red con diferentes beneficios y capacidades.

Redes Definidas por Software (SDN):

Los controladores SDN pueden crear y modificar dinámicamente segmentos de red basándose en políticas, identidad de usuario, o requisitos de aplicación. Esto proporciona segmentación más flexible que las configuraciones de VLAN estáticas.

Micro-segmentación:

Los enfoques de seguridad modernos usan políticas basadas en software para crear segmentos de red muy granulares, a veces hasta cargas de trabajo o aplicaciones individuales. Esto proporciona control más detallado que la segmentación tradicional basada en VLAN.

Virtualización de red:

Tecnologías como VXLAN (LAN Extensible Virtual) extienden redes de Capa 2 a través de límites de Capa 3, permitiendo funcionalidad similar a VLAN a través de entornos de centro de datos y nube.

Redes basadas en intención:

Los sistemas de gestión de red de próxima generación pueden crear y mantener automáticamente segmentos de red basándose en políticas comerciales de alto nivel en lugar de configuración manual de VLAN.

Diseño VLAN para diferentes entornos

Los requisitos de VLAN varían significativamente dependiendo del tipo de organización y red. Diferentes entornos necesitan diferentes enfoques para el diseño e implementación de VLAN.

Diseño VLAN para oficina pequeña:

Separación departamental simple (2-4 VLANs)
VLAN separada de acceso para invitados
Políticas de seguridad básicas entre VLANs
Switch único de Capa 3 para enrutamiento inter-VLAN

Diseño VLAN empresarial:

Numeración jerárquica de VLAN a través de múltiples sitios
Tipos y funciones de VLAN estandarizadas
Políticas de seguridad inter-VLAN complejas
Integración con gestión de identidad y acceso

Diseño VLAN educativo:

Separación de redes de estudiantes y personal
VLANs específicas por aula para diferentes actividades
Controles de acceso temporales (periodos de clase)
Integración con sistemas de autenticación

Diseño VLAN para salud:

Aislamiento de dispositivos médicos para cumplimiento FDA
Separación de redes de datos de pacientes
Redes de acceso para invitados y público
Requisitos de alta disponibilidad

Integración con direccionamiento IP y DHCP

Las VLANs funcionan estrechamente con el direccionamiento IP y DHCP para proporcionar servicios de red completos. Cada VLAN típicamente corresponde a una subred IP separada con su propio alcance DHCP.

Mapeo VLAN-a-subred:

VLAN 10: 192.168.10.0/24 (Gestión)
VLAN 20: 192.168.20.0/24 (Ingeniería)
VLAN 30: 192.168.30.0/24 (Ventas)
VLAN 100: 192.168.100.0/24 (Servidores)

Consideraciones DHCP para VLANs:

Alcances DHCP separados para cada VLAN/subred
Configuración de relay DHCP para VLANs remotas
Opciones DHCP específicas por VLAN (servidores DNS, gateways)
Gestión de reservas a través de múltiples alcances

Usa la Calculadora de Prefijos IP para planificar tamaños de subred para tus VLANs y asegurar que proporcionen espacio de direcciones adecuado para necesidades actuales y futuras mientras encajen dentro de tu esquema de direccionamiento general.

Estrategias de pruebas y validación

La implementación adecuada de VLAN requiere pruebas exhaustivas para asegurar que la segmentación funcione correctamente y no cree problemas de conectividad inesperados.

Escenarios de prueba para validar:

Comunicación intra-VLAN: Los dispositivos en la misma VLAN pueden comunicarse
Aislamiento inter-VLAN: Los dispositivos en diferentes VLANs no pueden comunicarse directamente
Acceso inter-VLAN controlado: La comunicación autorizada funciona a través de router/firewall
Funcionalidad trunk: Todas las VLANs pasan correctamente a través de enlaces trunk
Disponibilidad de servicios: DHCP, DNS y otros servicios funcionan en todas las VLANs

Herramientas y técnicas de prueba:

Pruebas de ping: Verificación básica de conectividad
Análisis de traceroute: Verificación de ruta para tráfico inter-VLAN
Escaneo de puertos: Prueba de disponibilidad de servicios
Captura de paquetes: Verificar que el etiquetado VLAN funcione correctamente
Pruebas de rendimiento: Asegurar que la segmentación no impacte el rendimiento

VLANs avanzadas

Voice VLANs

Para teléfonos IP, puedes usar voice VLANs que permiten que un solo puerto maneje tanto datos como voz:

interface GigabitEthernet0/5
  switchport mode access
  switchport access vlan 20        # VLAN de datos
  switchport voice vlan 200        # VLAN de voz
  description "PC+Telefono IP Ventas"

El teléfono IP etiqueta su tráfico con VLAN 200, mientras que el PC conectado al teléfono usa VLAN 20 sin etiquetas.

Private VLANs

Para mayor seguridad, las Private VLANs subdividen una VLAN en segmentos aún más pequeños:

Primary VLAN: La VLAN principal
Secondary VLANs: Subdivisiones con diferentes niveles de aislamiento
Community VLANs: Dispositivos pueden comunicarse entre sí
Isolated VLANs: Dispositivos completamente aislados

VLAN Trunking Protocol (VTP)

VTP sincroniza configuraciones de VLAN entre switches automáticamente:

# Configurar VTP Server (switch principal)
vtp domain MiEmpresa
vtp mode server
vtp password MiPassword123

# Configurar VTP Client (switches secundarios)  
vtp domain MiEmpresa
vtp mode client
vtp password MiPassword123

Ventajas: Configuración centralizada
Riesgos: Un error en el servidor puede afectar toda la red

Mejores prácticas de diseño

Convenciones de numeración

Esquema de numeración consistente:
1-99:    VLANs de usuarios/departamentos
100-199: VLANs de servidores
200-299: VLANs de voz/comunicaciones  
300-399: VLANs de WiFi
400-499: VLANs de dispositivos IoT
900-999: VLANs de gestión/nativas

Ejemplos:
VLAN 10: Administración
VLAN 20: Ventas  
VLAN 30: IT
VLAN 110: Servidores producción
VLAN 200: Telefonía IP
VLAN 300: WiFi empleados
VLAN 999: Gestión/Native

Documentación esencial

Para cada VLAN, documenta:
- VLAN ID y nombre
- Propósito/departamento
- Subred IP asignada  
- Gateway IP
- Ubicación física de puertos
- Restricciones de seguridad
- Contacto responsable

Seguridad

Cambia native VLAN: Usa una VLAN no utilizada
Deshabilita puertos no utilizados: Y asígnalos a una VLAN "parking"
Usa 802.1X: Autenticación antes de asignación de VLAN
Implementa port security: Limita MACs por puerto
Monitorea tráfico inter-VLAN: Busca patrones anómalos

Herramientas de monitoreo y troubleshooting

Comandos esenciales (Cisco)

# Ver todas las VLANs
show vlan brief

# Ver configuración específica de puerto
show interface GigabitEthernet0/1 switchport

# Ver todos los enlaces trunk
show interface trunk

# Ver tabla MAC por VLAN
show mac address-table vlan 10

# Ver estadísticas de tráfico por VLAN
show interface vlan 10

# Verificar VTP status
show vtp status

Herramientas de red

Wireshark: Capturar y analizar tráfico etiquetado 802.1Q
SNMP monitoring: Monitorear utilización por VLAN
Network mapping tools: Visualizar topología de VLANs
VLAN discovery tools: Documentar configuraciones automáticamente

Migración a VLANs

Si tienes una red existente sin VLANs, la migración requiere planificación cuidadosa:

Estrategia de migración por fases

Fase 1: Crear VLANs y trunk links, pero mantener todos los dispositivos en VLAN 1
Fase 2: Migrar dispositivos no críticos a VLANs apropiadas
Fase 3: Migrar servidores y dispositivos críticos
Fase 4: Implementar routing entre VLANs y políticas de seguridad
Fase 5: Optimizar y ajustar basándose en patrones de tráfico observados

Lista de verificación pre-migración

✓ Inventario completo de dispositivos y ubicaciones
✓ Diagramas de red actualizados
✓ Plan de rollback documentado
✓ Coordinación con todos los departamentos afectados
✓ Ventana de mantenimiento programada
✓ Configuraciones de respaldo de todos los switches

Puntos clave

VLANs crean segmentación lógica sin hardware adicional - una red física, múltiples redes virtuales
802.1Q tagging identifica a qué VLAN pertenece cada trama - esencial para enlaces trunk
Access ports para dispositivos finales, trunk ports para interconexión - cada tipo tiene su propósito
Routing entre VLANs requiere dispositivo Layer 3 - router externo o switch Layer 3
Planificación y documentación son críticas - VLANs mal implementadas crean más problemas que beneficios

Tu próximo paso

¿Listo para implementar VLANs en tu red? Aquí tienes un plan de acción:

Evalúa tu red actual: ¿Qué dispositivos tienes y cómo están agrupados?
Diseña tu esquema de VLANs: Empieza simple, con 2-4 VLANs máximo
Prueba en laboratorio: Configura en switches de prueba antes de producción
Implementa gradualmente: Una VLAN a la vez, monitorea cada cambio

¿Has implementado VLANs en tu entorno? Las experiencias de migración y lecciones aprendidas ayudan a toda la comunidad a evitar errores comunes.