VLAN
¿Qué es VLAN?
VLANUna LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits.
Una Virtual LAN, normalizada en IEEE 802.1Q, divide una infraestructura física de conmutación en varias LAN lógicas insertando una etiqueta VLAN de 4 bytes con un VID de 12 bits (1-4094) en las tramas Ethernet. Los puertos de acceso pertenecen a una sola VLAN; los puertos troncales transportan varias VLAN etiquetadas entre switches. Los dispositivos en VLAN distintas no se alcanzan en capa 2 y deben pasar por un router o switch L3, por lo que las VLAN son un bloque básico de la segmentación de red, el aislamiento de hosts y las zonas de política. Ataques relevantes son el VLAN hopping (doble etiquetado, switch spoofing) y el desbordamiento de la tabla CAM. El endurecimiento incluye deshabilitar DTP, podar VLAN no usadas, usar una VLAN dedicada como nativa y combinar 802.1Q con 802.1X y ACL.
● Ejemplos
- 01
Los teléfonos VoIP se asignan a la VLAN 20, mientras que los PC de usuario están en la VLAN 10 en el mismo puerto de acceso.
- 02
Un atacante hace doble etiquetado (10 y luego 99) para saltar de la VLAN 10 a la VLAN 99.
● Preguntas frecuentes
¿Qué es VLAN?
Una LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa VLAN?
Una LAN virtual (IEEE 802.1Q) agrupa puertos de switch en dominios de difusión separados etiquetando las tramas Ethernet con un VLAN ID de 12 bits.
¿Cómo funciona VLAN?
Una Virtual LAN, normalizada en IEEE 802.1Q, divide una infraestructura física de conmutación en varias LAN lógicas insertando una etiqueta VLAN de 4 bytes con un VID de 12 bits (1-4094) en las tramas Ethernet. Los puertos de acceso pertenecen a una sola VLAN; los puertos troncales transportan varias VLAN etiquetadas entre switches. Los dispositivos en VLAN distintas no se alcanzan en capa 2 y deben pasar por un router o switch L3, por lo que las VLAN son un bloque básico de la segmentación de red, el aislamiento de hosts y las zonas de política. Ataques relevantes son el VLAN hopping (doble etiquetado, switch spoofing) y el desbordamiento de la tabla CAM. El endurecimiento incluye deshabilitar DTP, podar VLAN no usadas, usar una VLAN dedicada como nativa y combinar 802.1Q con 802.1X y ACL.
¿Cómo defenderse de VLAN?
Las defensas contra VLAN combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para VLAN?
Nombres alternativos comunes: LAN virtual, VLAN 802.1Q.
● Términos relacionados
- network-security№ 1113
Subred
Rango contiguo de direcciones IP que comparten un prefijo común y definen un único dominio de difusión y un límite de enrutamiento en la red.
- network-security№ 723
Segmentación de red
Práctica de dividir la red en varias zonas con tráfico controlado entre ellas para contener brechas y aplicar el principio de mínimo privilegio.
- network-security№ 637
Dirección MAC
Identificador de hardware de 48 bits (IEEE 802) grabado en una interfaz de red y utilizado para la entrega dentro de un mismo segmento de capa de enlace.
- network-security№ 061
ARP
Protocolo de capa de enlace (RFC 826) que asocia una dirección IPv4 con la dirección MAC de un host del mismo dominio de difusión para poder entregar tramas.
- network-security№ 514
IEEE 802.1X
Estándar de control de acceso a red basado en puerto que autentica al dispositivo o usuario antes de permitir el tráfico en un puerto cableado o inalámbrico.
- network-security№ 678
Microsegmentación
Forma de segmentación fina que aplica políticas de lista blanca entre cargas de trabajo o aplicaciones individuales, normalmente a nivel de host o hipervisor.
● Véase también
- № 311DHCP
- № 168Notación CIDR