Uso de VLAN’s en redes para videovigilancia
Fuente: TECNOSeguro

Uso de VLAN’s en redes para videovigilancia

El uso de VLAN’s en redes de datos es muy común, y por ello no es un concepto alejado para los sistemas de videovigilancia en red, aportan seguridad y organización y con ello ventajas al sistema, en esta nota veremos puntos clave a tener en cuenta para su implementación. 

Es bastante común pensar que el uso de VLAN's resuelve varios problemas de las redes de video sobre IP, por lo que es importante saber cómo se deben usar y cuando realmente aportan beneficios y cuando no.

En esta nota, veremos:

Definición de VLAN 

El término VLAN significa red de área local virtual por sus siglas en inglés, y básicamente el principal objetivo al aplicar VLAN’s es el de dividir lógicamente una red en varias redes que pueden estar conectadas físicamente a uno o varios switches de red. Con esto los dispositivos pertenecientes a una VLAN(A) no son visibles o no se pueden comunicar con los de la VLAN(B) y viceversa. 

La siguiente gráfica es un ejemplo de modelo de varias VLAN’s en una red compartida típica. En este caso, el tráfico de las cámaras de videovigilancia se separa del tráfico de los usuarios de equipos de cómputo y de los equipos VoIP con la implementación de tres VLAN separadas. 

TECNOSEguroPRO VLAN 1

Tipos de VLAN

Hay varios tipos de VLAN sin embargo nos enfocaremos principalmente en dos tipos de VLAN, etiquetadas y sin etiquetar.

VLAN sin etiquetar

Una VLAN que no está etiquetada también a veces se denomina "VLAN nativa". Por defecto en un switch de red, todos los puertos se agregan a una VLAN sin etiquetar predeterminada, generalmente es la VLAN con ID 1, lo que significa que todos los puertos se pueden ver entre sí. 

Esta opción generalmente se usa cuando se conectan equipos como estaciones de trabajo o cámaras IP de un sistema de videovigilancia que no etiquetan su propio tráfico, y solo necesitan comunicarse dentro de una VLAN específica. 

El beneficio de las VLAN sin etiquetar es una configuración más simple, ya que no se debe realizar ninguna configuración de dispositivos o host como cámaras, servidores, etc., y esto es porque el switch limita el tráfico a la VLAN. 

Sin embargo, los puertos de interés solo se pueden asignar a una sola VLAN sin etiquetar. Por lo tanto, si un dispositivo específico debe ver varias VLAN, como el servicio de impresión en un ambiente de oficina, los NVR en un sistema de videovigilancia o un sistema de VoIP, se deberá optar por la opción de VLAN’s etiquetadas o de otro modo realizar enrutamiento de los segmentos de VLAN requeridos, lo que agrega costos y complejidad.

VLAN etiquetadas

Los puertos también se pueden etiquetar con un ID de VLAN específico, esto se define en el estándar 802.1Q. El tráfico que entra y sale del puerto se etiqueta con una identificación específica que es identificada por el dispositivo receptor.

El beneficio de las VLAN etiquetadas es que los puertos se pueden asignar a más de una VLAN, a diferencia de las no etiquetadas. Sin embargo, los dispositivos o host conectados a estos puertos también deben ser compatibles con 802.1Q. 

Es importante tener en cuenta que 802.1Q no es compatible con la mayoría de las cámaras IP u otros dispositivos de seguridad, y requiere la instalación o configuración de componentes adicionales del sistema operativo en las PC. Debido a esto, las VLAN etiquetadas generalmente solo se usan para enlaces de tipo UpLink o de altas velocidades que veremos de manera descriptiva al final de la nota.

VLAN estáticas frente a dinámicas

La mayoría de las redes de videovigilancia utilizan VLAN estáticas configuradas por puerto. Por ejemplo, los puertos del 1 al 10 en un switch de red pueden ser parte de la LAN general, mientras que los del 11 al 24 se configuran como parte de la VLAN de videovigilancia u otros sistemas de seguridad como control de acceso.

Las VLAN estáticas basadas en puertos son las más comunes y las más sencillas de configurar, pero se deben reconfigurar manualmente si se mueven o agregan dispositivos, a diferencia de las VLAN dinámicas. 

TECNOSEguroPRO VLAN 2Interfaz gráfica de configuración VLAN. Fuente: Allied Telesis

VLAN dinámicas

Las VLAN dinámicas asignan un puerto en función de la dirección MAC del dispositivo conectado al puerto del switch. Cuando un dispositivo como una cámara de videovigilancia entra a la red el switch al cual se conecta consulta la base de datos del servidor de configuración de VLAN’s para la asociación de la VLAN correspondiente. 

Esto proporciona una mayor flexibilidad, ya que los dispositivos pueden conectarse a cualquier puerto y reorganizarse según sea necesario.

Sin embargo, la configuración inicial de las VLAN dinámicas lleva más tiempo, ya que se deben crear la base de datos o las macros con los identificadores o las reglas del dispositivo, lo que hace que se utilicen con menos frecuencia, especialmente en la vigilancia, ya que las cámaras, los servidores y otros equipos suelen permanecer conectados a la misma red, puerto, y por lo general no se mueven.

Hay algunas variaciones de VLAN dinámicas. A continuación, proporcionamos una imagen de un switch de tipo administrado que muestra la configuración de VLAN basada en MAC. El switch identifica la dirección MAC del dispositivo que se conecta a él y luego la agrega a la VLAN adecuada según la política o regla predefinida.

TECNOSEguroPRO VLAN 3Interfaz gráfica de configuración VLAN dinámica. Fuente: CISCO

Otras opciones de VLAN dinámica

Las VLAN dinámicas también se pueden configurar a través de otros dos métodos, no son comunes en sistemas de videovigilancia, pero los mencionamos como referencia.

Macros/Puertos inteligentes: este método utiliza protocolos como CDP/LLDP para verificar automáticamente el tipo de dispositivo conectado y asignarlo a una VLAN. Esto se usa comúnmente en aplicaciones de voz sobre IP (VoIP) y configuraciones generales de red, pero la gran mayoría de las cámaras IP no admiten estos protocolos, por lo que prácticamente no se usa en videovigilancia.

Directorio activo/LDAP: Los dispositivos que admiten este método pueden asignarse a un grupo específico en coordinación con el controlador de dominio. Pocas cámaras admiten estos protocolos, pero puede ser útil para asignar derechos a usuarios específicos como administradores, gerentes de seguridad, guardias, etc. para que ellos puedan ver los dispositivos de vigilancia, independientemente de la máquina desde la cual inicien sesión.

Beneficios de implementar VLAN

El aumento de la seguridad en las redes compartidas es el principal beneficio del uso de VLAN. Al segmentar el tráfico en varias LAN virtuales, la vigilancia puede coexistir de forma segura en el mismo switch de red con el tráfico general de datos o de voz. Así, las redes son invisibles entre sí, por lo que es posible que los clientes de la LAN del ambiente de oficina no tendrán acceso a la VLAN de videovigilancia.

Algunos conceptos equivocados relacionados con el ancho de banda

En videovigilancia, las VLAN no se utilizan para ahorrar ancho de banda. Es técnicamente cierto que las VLAN reducen la cantidad de tráfico en la red LAN, ya que las transmisiones no se envían a toda la red física, sino solo a la VLAN de interés. Sin embargo, esto generalmente solo afecta el rendimiento en redes muy grandes, con cientos de dispositivos. En una LAN de 30 cámaras, tendrá poco o ningún efecto. 

Dado el caso en donde las cámaras de videovigilancia saturen la capacidad de la red, el resto del tráfico en los switches sobre los cuales hay otros equipos se verá también afectado.

VLAN y calidad de servicio (QoS)

Una de las razones por las que las VLAN a menudo se ven como una restricción o reasignación de ancho de banda es porque a menudo se usan junto con la calidad del servicio. Dentro de una VLAN se puede configurar QoS en la mayoría de los switches de tipo administrable. Una VLAN de videovigilancia, por ejemplo, puede recibir una mayor prioridad en el tráfico de datos que las VLAN generales de datos para otros servicios como aplicaciones de voz.

Requisitos en los switches de red

La implementación de VLAN requiere el uso de switches de red tipo administrables, ya que los switches no administrables no ofrecen capacidad de este tipo de configuración. 

TECNOSEguroPRO VLAN 4Switch de red administrable Vigor GS2280. Fuente: DrayTek

La gran mayoría de los switches gestionados tanto los de capa 2 como capa 3 disponibles en la actualidad son compatibles con VLAN. 

Escenarios de VLAN para videovigilancia

La forma en que se aplican las VLAN varía según la aplicación:

  • Sistemas pequeños: en los sistemas con un número reducido de cámaras, como los pequeños comercios minoristas, las VLAN generalmente no se utilizan, ya que la mayoría de las veces se implementan switches no administrados de bajo costo sin compatibilidad con VLAN. Además, la visualización normalmente se realiza en el mismo equipo o estación cliente de un usuario administrador de la dependencia, por lo que la creación de VLAN requeriría la configuración del enrutamiento, lo que aumentaría el costo.
  • Red convergente: cuando se comparte una red LAN con otros servicios, a menudo en el caso de escuelas y oficinas pequeñas o medianas, normalmente se implementan VLAN’s. No es raro que estas instalaciones utilicen una VLAN para datos, otra para tráfico VOIP y otra para seguridad, para segmentar mejor estos servicios. Normalmente se requiere el enrutamiento entre la VLAN de servicios de oficina y la VLAN de seguridad para dar acceso al video por parte del personal que debe tener control o gestión sobre el mismo, pero que también hacen parte del ambiente de oficinas o de administración.
  • Red dedicada sin VLAN: cuando se utiliza una red de cámara separada y dedicada, las VLAN a menudo no son necesarias o deseadas. Si se necesita acceso desde la red LAN general, las dos redes físicas separadas se conectan a través del router.
  • Red dedicada con VLAN: en sistemas grandes, se pueden usar varias VLAN, incluso cuando se usa una red de seguridad dedicada. Las cámaras y los clientes se colocan en VLAN’s separadas, para evitar cualquier posible manipulación por parte de los usuarios en las estaciones de monitoreo que acceden directamente a las interfaces web de las cámaras.

Cuando se implementan sistemas de control de acceso que usan la red LAN, muchos fabricantes también recomiendan usar una VLAN separada, ya que los sistemas de acceso pueden crear tráfico de transmisión que puede crear problemas en el sistema de vigilancia.

VLAN para enlaces de alta velocidad o UpLinks

TECNOSEguroPRO VLAN 5

Hay dos formas de manejar las VLAN en los puertos de enlace tipo uplink en los switches de red.

  • VLAN dedicada por puerto: en conmutadores con múltiples puertos de enlace de tipo uplink, se pueden asignar puertos de alta a una sola VLAN. Este es el método más simple, aunque la cantidad de VLAN’s debe ser menor que la cantidad de puertos de enlace tipo uplink.
  • Puerto troncal compartido: en segundo lugar, el tráfico se puede enviar a través de un puerto o puertos de alta velocidad compartidos, denominado puerto troncal. El tráfico que sale de los puertos troncales se etiqueta en una VLAN específica mediante 802.1q. Este método es un poco más complejo, pero generalmente se prefiere, ya que permite la agregación de enlaces para la conmutación con función por error o failover, y un mayor rendimiento del enlace de alta velocidad.

Conclusión

Si bien se le da una importancia alta a la implementación de las VLAN, su uso es relevante en las redes LAN compartidas, ya que evitan el acceso no autorizado entre las diferentes redes incluyendo la de los sistemas de videovigilancia o de seguridad. Sin embargo, las VLAN no son la última frontera en la seguridad de la red y deben implementarse sólo cuando sea necesario. La creación de una red verdaderamente convergente y segura exige más configuración, herramientas orientadas a la seguridad de datos y buenas prácticas de ciberseguridad.

Artículos relacionados

Solo usuarios registrados pueden realizar comentarios. Inicia sesión o Regístrate.

Lo más Valorado

  1. Comentarios
  2. Empresas
  3. Libros
  • Hola, con que orden borro una clave,... Sábado, 22 Enero 2022
  • Hola José, un gusto saludarte y muchas... Jueves, 13 Enero 2022
  • Excelente artículo sobre los beneficios... Jueves, 13 Enero 2022
  • Excelente Articulo Felicitaciones al... Lunes, 10 Enero 2022
  • Excelente artículo Francisco, muy... Jueves, 16 Diciembre 2021
  • Hola Gustavo, en general las... Jueves, 02 Diciembre 2021
  • existe una actualización de firmware... Martes, 30 Noviembre 2021
  • cual es la concideracíon para colocar... Jueves, 28 Octubre 2021
  • Gracias Alejandro por tu aporte. Jairo... Miércoles, 20 Octubre 2021
  • Hola Alejandro como estas gracias tu... Martes, 12 Octubre 2021
next
prev

Sobre TECNOSeguro

TECNOSeguro es la publicación on-line líder en audiencia para la industria de seguridad electrónica de habla hispana. Una completa guía con información clave para profesionales de seguridad y TI, integradores, instaladores, consultores y distribuidores.

 

Redes Sociales:

Suscríbase a Nuestro Boletín

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad en su bandeja de email.