3.4 Ventajas de las VLAN
3.4.3 Cómo las VLAN pueden mejorar la seguridad de red
Nota para el instructor
  Este indicador de objetivos se relaciona con el Objetivo nº 59 del Examen de certificación CCNA. Las VLAN permiten que el tráfico "sensible" de red quede aislado en una VLAN restringida. Esto permite la implementación de seguridad a nivel de Capa 2. Más adelante en el curso, en el capítulo 6 sobre Listas de control de acceso, los estudiantes aprenderán que la seguridad a nivel de Capas 3 y 4 se puede agregar mediante routers. Como la cuestión de la seguridad de red (relacionada con el "hacking") normalmente es un tema de mucho interés para los estudiantes, puede hacer que (a) documenten cómo penetrar en una red normal conmutada y entonces (b) que expliquen (con Organizadores Gráficos) cómo las VLAN dificultan la violación de la seguridad. Esta tarea será un ejemplo de Mejor práctica para enseñar este indicador de objetivos.
El uso de las LAN ha aumentado en forma notable durante los últimos años. Como resultado, en las LAN a menudo circulan datos confidenciales y fundamentales para el trabajo. Los datos confidenciales requieren seguridad implementada a través de limitación del acceso. Uno de los problemas de las LAN compartidas es que son relativamente fáciles de penetrar. Un intruso puede conectarse a un puerto activo y tener acceso a todo el tráfico dentro de un segmento. Cuanto mayor sea el grupo, mayores serán las posibilidades de acceso. Una técnica de administración económica y sencilla para aumentar la seguridad es segmentar la red en múltiples grupos de broadcast que permitan que el administrador de red:
  • Limite la cantidad de usuarios en un grupo de VLAN
  • Evite que otro usuario se conecte sin recibir antes la aprobación de la aplicación de administración de red de la VLAN 
  • Configure todos los puertos no utilizados en una VLAN de bajo servicio por defecto

La implementación de este tipo de segmentación es relativamente simple. Los puertos de switch se agrupan según el tipo de aplicaciones y privilegios de acceso. Las aplicaciones y recursos de acceso restringido se ubican normalmente en un grupo seguro de VLAN. En la VLAN segura, el switch limita el acceso al grupo. Las restricciones se pueden implementar según las direcciones de estación, tipos de aplicación o tipos de protocolo.

Se puede mejorar la seguridad mediante listas de control de acceso, que se discuten en un capítulo posterior. Resultan especialmente útiles al comunicarse entre VLAN. En la VLAN segura, el router limita el acceso a la VLAN según la configuración en switches y routers. Se pueden colocar restricciones sobre direcciones de estación, tipos de aplicación, tipos de protocolo e inclusive según la hora.