Configurar VLANs per segmentar jugadors, personal i serveis

00 Nivell de Rúbrica Assolit

PRO+ ✓ PRO PRO- NOV

Criteris PRO+ assolits

Justificació de la creació de cada VLAN amb arguments tècnics sòlids: seguretat, rendiment i escalabilitat
Explicació del criteri de segmentació escollit i la relació amb les necessitats específiques de cada tipus de trànsit
Assignació de rangs d’adreces IP per a cada VLAN amb previsió d’ampliacions futures
Configuració coherent de totes les VLANs amb nomenclatura i IDs adequats a tots els switches
Ports d’accés assignats correctament a cada VLAN i ports trunk configurats a tots els switches
Verificació de la connectivitat intra-VLAN (ping exitós entre dispositius de la mateixa VLAN)
Verificació de l’aïllament inter-VLAN (ping fallat sense router — les VLANs estan realment segmentades)
Documentació completa amb captures pròpies, text explicatiu i CLIs organitzats per repte

01 Introducció i Objectiu

L’objectiu d’aquesta tasca és configurar VLANs a tots els switches de la xarxa LAN Party per segmentar el trànsit dels participants en funció del seu rol: jugadors de cada departament, personal intern, treballadors externs i dispositius WiFi. Cada grup de dispositius ha de tenir la seva pròpia VLAN per garantir el rendiment, la seguretat i l’aïllament del trànsit. Hem implementat cinc VLANs diferenciades, distribuïdes de forma dispersa entre els quatre switches de la xarxa, de manera que un participant pot connectar-se a qualsevol switch i estar en la seva VLAN corresponent independentment del punt d’accés físic.

// Topologia completa — Router1 (2811) + Switch0-Central + Switch1, Switch2, Switch3 d’accés · VLANs distribuïdes entre tots els switches

02 Definició i Justificació de Cada VLAN

VLAN 99

Administrador

VLAN nativa dels trunks. No té dispositius finals assignats. Serveix per transportar el trànsit de control no etiquetat entre switches i cap al router. Usar la VLAN 99 com a nativa en lloc de la VLAN 1 (per defecte) és una mesura de seguretat per prevenir atacs de tipus VLAN hopping.

Xarxa: 192.168.99.0/24 · Gateway: 192.168.99.1

VLAN 101

Recursos-Humans

VLAN per al personal de Recursos Humans. Aïlla el trànsit intern d’RRHH de la resta de departaments. Els dispositius d’aquest grup accedeixen a recursos corporatius específics sense interferir amb el trànsit de joc o de treballadors externs. Rang /24 permet fins a 254 dispositius, suficient per a futures ampliacions.

Xarxa: 192.168.101.0/24 · Gateway: 192.168.101.1 · Rang: .2–.254

VLAN 102

Internacional

VLAN per al departament Internacional. Separa el trànsit d’aquest grup del resta de la xarxa, garantint confidencialitat de les comunicacions i reduint el domini de broadcast. Els participants d’aquest grup poden estar connectats a qualsevol switch físic de la xarxa i seguiran formant part d’aquesta VLAN.

Xarxa: 192.168.102.0/24 · Gateway: 192.168.102.1 · Rang: .2–.254

VLAN 103

Trabajadors-interns

VLAN per als treballadors interns de l’organització. Proporciona un segment de xarxa dedicat per a aquest grup, amb accés als serveis interns sense exposar el trànsit als treballadors externs ni als participants de joc. La segmentació permet aplicar polítiques d’accés diferenciades en el futur.

Xarxa: 192.168.103.0/24 · Gateway: 192.168.103.1 · Rang: .2–.254

VLAN 104

Trabajadors-externs + WiFi

VLAN per als treballadors externs i dispositius WiFi. Aquesta VLAN té un doble rol: d’una banda, agrupa els treballadors externs que no han de tenir accés als recursos interns de l’organització; de l’altra, acull els dispositius sense fil (mòbils, portàtils WiFi) connectats al punt d’accés WiFi. En l’entorn real de la LAN Party, hi havia un port específic del switch configurat en mode access per a la VLAN 104 on es connectava el dispositiu WiFi, garantint l’aïllament del trànsit inalàmbric de la resta de la xarxa corporativa. El rang /24 permet gestionar fins a 254 dispositius, suficient per a tots els treballadors externs i dispositius mòbils simultanis.

Xarxa: 192.168.104.0/24 · Gateway: 192.168.104.1 · Rang: .2–.254 · Inclou WiFi

Taula resum de VLANs

VLAN	Nom	Xarxa	Gateway	Ús	Dispositius màx.
99	Administrador	192.168.99.0/24	192.168.99.1	Native trunk	—
101	Recursos-Humans	192.168.101.0/24	192.168.101.1	Personal RRHH	254
102	Internacional	192.168.102.0/24	192.168.102.1	Dept. Internacional	254
103	Trabajadors-interns	192.168.103.0/24	192.168.103.1	Treballadors interns	254
104	Trabajadors-externs + WiFi	192.168.104.0/24	192.168.104.1	Externs + dispositius WiFi	254

03 Justificació Tècnica de la Segmentació

Per què segmentar per VLANs?

🛡️

Seguretat

Sense VLANs, tots els dispositius de la xarxa comparteixen el mateix domini de broadcast i es poden veure entre ells. Amb VLANs, un treballador extern no pot accedir directament al trànsit del personal intern, ni els dispositius WiFi poden interferir amb les comunicacions corporatives. L’aïllament és real a nivell de capa 2 — sense un router que permeti el pas, el trànsit no pot creuar les fronteres de VLAN.

⚡

Rendiment

Cada VLAN té el seu propi domini de broadcast. Sense segmentació, cada broadcast (ARP, DHCP, etc.) arriba a tots els dispositius de la xarxa, consumint ample de banda i recursos de processament. Amb 5 VLANs, els broadcasts es confinen dins de cada segment, reduint significativament el soroll de xarxa i millorant el rendiment general, especialment important en una LAN Party on hi ha molts dispositius actius simultàniament.

📈

Escalabilitat

Hem assignat rangs /24 (254 adreces) a cada VLAN, suficients per a una LAN Party de mida mitjana. Si cal ampliar la xarxa, es poden afegir nous switches d’accés i connectar-los al switch central amb un trunk que ja porta totes les VLANs configurades. No cal reconfigurar res dels dispositius existents — simplement s’afegeix nou hardware i es connecta.

🔀

Distribució dispersa entre switches

Hem distribuït les VLANs de forma no uniforme entre els switches d’accés: cada switch té ports de diferents VLANs. Això permet que un participant es connecti a qualsevol switch físic i sigui assignat a la seva VLAN correcta. El trànsit viatja etiquetat pels trunks fins al switch central, que el distribueix correctament. Aquesta arquitectura reflecteix un escenari real on els participants s’asseuen on troben lloc.

📡

VLAN 104 com a segment WiFi

La decisió d’usar la VLAN 104 tant per a treballadors externs com per a dispositius WiFi simplifica la gestió: tots els dispositius amb accés limitat (externs i mòbils) comparteixen el mateix segment, facilitant l’aplicació de polítiques d’accés uniformes. En l’entorn real, el punt d’accés WiFi estava connectat a un port específic en mode access de la VLAN 104, garantint que tot el trànsit inalàmbric quedés aïllat de la xarxa corporativa interna.

04 Implementació — Configuració Aplicada

Coherència total: Tots els switches de la xarxa coneixen les mateixes VLANs amb els mateixos IDs i noms. Els ports d’accés estan correctament assignats a cada VLAN i els trunks transporten únicament les VLANs necessàries (99, 101-104).

Distribució de ports per switch

Switch	Port	Mode	VLAN	Dispositiu
Switch0-Central	Fa0/1	Trunk	99,101-104	→ Router1
Switch0-Central	Fa0/2,3,4	Trunk	99,101-104	→ Switch1,2,3
Switch0-Central	Fa0/5	Access	104	PC Trabajadors-externs
Switch0-Central	Fa0/6	Access	103	PC Trabajadors-interns
Switch_1	Fa0/1	Trunk	99,101-104	→ Switch0-Central
Switch_1	Fa0/2	Access	101	PC Recursos-Humans
Switch_1	Fa0/3	Access	102	PC Internacional
Switch_1	Fa0/4	Access	103	PC Trabajadors-interns
Switch_2	Fa0/1	Trunk	99,101-104	→ Switch0-Central
Switch_2	Fa0/2	Access	102	PC Internacional
Switch_2	Fa0/3	Access	101	PC Recursos-Humans
Switch_2	Fa0/4	Access	104	PC Trabajadors-externs
Switch_3	Fa0/1	Trunk	99,101-104	→ Switch0-Central
Switch_3	Fa0/2	Access	104	PC Trabajadors-externs
Switch_3	Fa0/3	Access	101	PC Recursos-Humans
Switch_3	Fa0/4	Access	102	PC Internacional

CLI VLAN — Switch0-Central (extracte rellevant)

Switch0-Central(config)#vlan 99
Switch0-Central(config-vlan)#name Administrador
Switch0-Central(config)#vlan 101
Switch0-Central(config-vlan)#name Recursos-Humans
Switch0-Central(config)#vlan 102
Switch0-Central(config-vlan)#name Internacional
Switch0-Central(config)#vlan 103
Switch0-Central(config-vlan)#name trabajadors-interns
Switch0-Central(config)#vlan 104
Switch0-Central(config-vlan)#name trabajadors-externs
!
interface FastEthernet0/1
 switchport trunk native vlan 99
 switchport trunk allowed vlan 99,101-104
 switchport mode trunk
!
interface FastEthernet0/5
 switchport access vlan 104
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/6
 switchport access vlan 103
 switchport mode access
 spanning-tree portfast

CLI VLAN — Switch_1, Switch_2, Switch_3 (estructura idèntica)

! Els tres switches d'accés segueixen la mateixa estructura.
! Exemple Switch_1:

Switch_1(config)#vlan 99
Switch_1(config-vlan)#name Administrador
Switch_1(config)#vlan 101
Switch_1(config-vlan)#name Recursos-Humans
Switch_1(config)#vlan 102
Switch_1(config-vlan)#name Internacional
Switch_1(config)#vlan 103
Switch_1(config-vlan)#name trabajadors-interns
Switch_1(config)#vlan 104
Switch_1(config-vlan)#name trabajadors-externs
!
interface FastEthernet0/1
 switchport trunk native vlan 99
 switchport trunk allowed vlan 99,101-104
 switchport mode trunk
!
interface FastEthernet0/2
 switchport access vlan 101
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/3
 switchport access vlan 102
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/4
 switchport access vlan 103
 switchport mode access
 spanning-tree portfast

05 Evidències — show vlan brief

Verificació: El comandament show vlan brief confirma que totes les VLANs estan creades, actives i amb els ports d’accés correctament assignats a cada switch.

// show vlan brief — Switch0-Central · VLAN 103→Fa0/6 · VLAN 104→Fa0/5

// show vlan brief — Switch_1 · VLAN 101→Fa0/2 · VLAN 102→Fa0/3 · VLAN 103→Fa0/4

// show vlan brief — Switch_2 · VLAN 101→Fa0/3 · VLAN 102→Fa0/2 · VLAN 104→Fa0/4

// show vlan brief — Switch_3 · VLAN 101→Fa0/3 · VLAN 102→Fa0/4 · VLAN 104→Fa0/2

06 Evidències — show interfaces trunk

Verificació: Els trunks transporten les VLANs 99, 101, 102, 103 i 104 entre tots els switches. La native VLAN és la 99 a tots els extrems, evitant el Native VLAN Mismatch.

// show interfaces trunk — Switch0-Central · Fa0/1,2,3,4 en trunking · Native VLAN 99 · Allowed 99,101-104

// show interfaces trunk — Switch_1

// show interfaces trunk — Switch_2

// show interfaces trunk — Switch_3

07 Verificació de Connectivitat i Aïllament

Resultat: Les proves confirmen que la segmentació per VLANs funciona correctament. Els dispositius de la mateixa VLAN es comuniquen sense problemes i els de VLANs diferents estan completament aïllats a nivell de capa 2.

// ✅ Ping EXITÓS — Mateixa VLAN 102 · PC3→PC8 · 4/4 paquets · 0% pèrdua · TTL=128

// ❌ Ping FALLAT — PC10 (VLAN 103) → PC3 (VLAN 102) · Sense router · 100% pèrdua · Aïllament confirmat

// Topologia amb el router desconnectat (triangle vermell) · Proves d’aïllament inter-VLAN realitzades en aquesta situació

// ✅ Ping inter-VLAN AMB ROUTER — PC8 (VLAN 102) → PC4 (VLAN 101) · TTL=127 (passa pel router) · 4/4 paquets · 0% pèrdua

Interpretació de les proves

Prova	Origen	Destí	Router	Resultat	Conclusió
Intra-VLAN 102	192.168.102.2	192.168.102.3	No cal	✓ 0% pèrdua TTL=128	VLANs funcionals
Inter-VLAN sense router	192.168.103.2	192.168.102.2	Desconnectat	✗ 100% pèrdua	Aïllament L2 correcte
Inter-VLAN amb router	192.168.102.3	192.168.101.2	Connectat	✓ 0% pèrdua TTL=127	Encaminament correcte

El TTL=127 al ping inter-VLAN confirma que el paquet ha passat per un router (decrements d’1 per salt). El ping fallat sense router demostra que les VLANs estan realment segmentades a nivell de capa 2 — l’aïllament no és superficial sinó real i verificat.

Configurar VLANs per SegmentarJugadors, Personal i Serveis

Seguretat

Rendiment

Escalabilitat

Distribució dispersa entre switches

VLAN 104 com a segment WiFi

Configurar VLANs per Segmentar
Jugadors, Personal i Serveis