Private VLANs
Un concepto bastante interesante y ampliamente usado en ambientes donde la seguridad lo exige es el de private VLAN. Básicamente, se divide una VLAN primaria en varias VLANs privadas, donde cada puerto de una VLAN privada puede comunicarse sólo con un único puerto de Uplink y no con los demás puertos. Para clarificarlo un poco con un ejemplo se muestra el siguiente esquema:
Lo que se desea lograr es que cada uno de los tres servidores puedan tener acceso a internet pero no comunicarse directamente entre sí (a nivel de capa 2). Entonces, lo que se hace es crear una VLAN primaria (VLAN5) en la que están los tres puertos de los servidores y el puerto que se utilizará de Uplink; se crean también tres VLAN privadas y se asignan cada una de las VLAN privadas a cada uno de los tres puertos de los servidores. Así, la única forma de que un servidor se comunique con los demás sería yendo hasta el router y volviendo por él, quedando aisalado en capa 2 del resto de los servidores.
La forma tradicional de hacerlo sería poniendo cada servidor en una VLAN diferente, pero el problema es que podría ocurrir que se necesiten muchos VLAN-ID pudiendo dar lugar a consecuencias tales como que se agoten los VLAN-ID posibles y dificultando la administración ya que es necesario mantener más identificadores y mayor cantidad de redes.
Como contraparte, las VLAN privadas no utilizan un tag como lo hacen las VLAN primarias entonces la dificultad anterior no existe. En cambio, el aislamiento lo hace el switch, a nivel de puerto y de forma interna. Además, otra cosa a tener en cuenta, es que se utiliza la misma red para todas las VLAN privadas dentro de una misma VLAN primaria.
Las aplicaciones de las private VLAN pueden ser, por ejemplo:
- Servicio de housing.
- DMZ con servidores que no se comuniquen entre sí.
- Red de un hotel, donde cada habitación sea una VLAN privada diferente.
Cisco tiene una interesante explicación conceptual y de configuración sobre private VLANs y también puede encontrarse la definición en Wikipedia. Me resultó interesante también otra breve explicación en Cisco Press y un artículo en Internetwork Expert’s. Lógicamente, siempre se puede ampliar haciendo alguna búsqueda en Google.
Posts relacionados:
Hola,
Estoy documentandome sobre las Private VLANs y he encontrado tu post, creo que lo has explicado muy bien.
Pero me surge una pregunta, las Private VLANs son propetarias de Cisco? Se pueden implementar en switches que no sean de Cisco?
Muchas Gracias
Hola, muchas gracias por tu comentario! Te cuento que las private VLAN no son propietarias de Cisco, aunque hasta donde tengo entendido la idea original sí es de la empresa. Existe actualmente un Internet Draft que de aprobarse se convertiría en estándar.
No obstante, ya existen otros fabricantes de equipos que soportan private VLANs, como es el caso de Juniper. En mi trabajo un compañero ha configurado private VLANs con equipos de dicha empresa.
Saludos!
Muy buena la explicacion, gracias por el aporte y te animo a que sigas publicando un abrazo.
Muchas gracias Oscar! Es muy gratificante recibir este tipo de comentarios.
Hola buenas noches, mi caso es el siguiiente: he creado una vlan para servidores y al tratar de hacerle ping al servidor desde otro equipo este no me responde , pero si hago ping desde el server hasta cualquier equipo de la red , este reponde satisfactoriamente. tengo una vlan 1 10.x.x.42 que esla de administracion y la de servidores la vlan 10 con un rango 10.x.32.1 al sever le puse 10.x32.10 pero no comunica ayuda please
Hola buenas noches, mi caso es el siguiiente: he creado una vlan para servidores y al tratar de hacerle ping al servidor desde otro equipo este no me responde , pero si hago ping desde el server hasta cualquier equipo de la red , este reponde satisfactoriamente. tengo una vlan 1 10.x.x.42 que esla de administracion y la de servidores la vlan 10 con un rango 10.x.32.1 al sever le puse 10.x32.10 pero no comunica ayuda please.
no he conseguido respuesta aun
Leandro lo felicito muy bien explicado el Tema de Private Vlan’s.
Estoy preparando un training para mis compañeros de trabajo y esta explicación es lo que buscaba..
Saludos.