Curiosioux

Blog Personal Dedicado a la Ciberseguridad

Separando mundos: Cómo configurar VLANs con pfSense y un switch Cisco

Porque las redes tambíen necesitan su espacio personal… y un poquito de orden.

Antes de cablear como locos… ¿Qué es una VLAN?

Imagínate una oficina con departamentos de ventas y contabilidad. Ambos comparten el mismo pasillo (cableado físico), pero no quieres que los de contabilidad vean lo que hace ventas, y viceversa (especialmente cuando es fin de mes). Ahí entran las VLANs: redes virtuales que separan el tráfico como si fueran oficinas distintas, aunque todo viaje por el mismo cable.

Objetivo del día: Dos mundos, un solo router

Queremos lograr esto:

  • VLAN 10 → Red 192.168.10.0/24 → Ventas
  • VLAN 20 → Red 192.168.20.0/24 → Contabilidad
  • Un pfSense actuará como router inter-VLAN y servidor DHCP
  • Un switch Cisco se encargará de separar el tráfico por puertos
  • Y un Kali Linux, conectado en la red 192.168.1.0, mirará todo esto desde las sombras (sin VLAN por ahora

Parte 1: Configurar pfSense (el router zen de nuestra red)

Paso 1: Crear las VLANs

  1. Accede al pfSense desde tu navegador (normalmente en 192.168.1.1).
  2. Ve a Interfaces > Assignments > VLANs.
  3. Crea dos VLANs usando como interfaz base la que conecta al switch (ej. em1 o vtnet1):

VLAN 10 – Ventas

  • Parent interface: em1
  • VLAN Tag: 10
  • Description: VENTAS

VLAN 20 – Contabilidad

  • Parent interface: em1
  • VLAN Tag: 20
  • Description: CONTABILIDAD


Haz clic en Save en ambas y luego en Apply Changes.

Paso 2: Asignar y configurar interfaces

  1. Ve a Interfaces > Assignments
  2. En el menú de “Available network ports”, añade em1_vlan10 y em1_vlan20.
  3. Verás dos nuevas interfaces (OPT1, OPT2). Haz clic en cada una y configura así:

Para VENTAS:

  • Activa la interfaz (✔ Enable)
  • Nombre: VENTAS
  • Static IP: 192.168.10.1/24

Para CONTABILIDAD:

  • Activa la interfaz (✔ Enable)
  • Nombre: CONTABILIDAD
  • Static IP: 192.168.20.1/24

Guarda y aplica los cambios.

Paso 3: Activar DHCP (opcional pero recomendable)

Ve a Services > DHCP Server y activa el servicio para cada VLAN:

  • VENTAS: Rango 192.168.10.100 – 192.168.10.200
  • CONTABILIDAD: Rango 192.168.20.100 – 192.168.20.200

Así los dispositivos conectados a cada VLAN recibirán IP automáticamente, sin dramas.

Parte 2: Configurar el switch Cisco (el portero de la red)

Ahora que pfSense ya sabe cómo manejar VLANs, hay que decírselo al switch Cisco, que no es adivino. Vamos a:

  • Asignar puertos a cada VLAN
  • Configurar el puerto que conecta con pfSense como trunk
  • Dejar un puerto plano para Kali Linux, fuera de VLAN por ahora

Configuración CLI del switch Cisco

Accede a la consola del switch Cisco (en GNS3 o vía consola) y ejecuta lo siguiente:

enable
configure terminal

! Crear las VLANs
vlan 10
 name VENTAS
exit

vlan 20
 name CONTABILIDAD
exit

! Asignar puertos a cada VLAN
interface Gi0/2
 switchport mode access
 switchport access vlan 10
exit

interface range Gi1/0 - 3
 switchport mode access
 switchport access vlan 20
exit

! Puerto trunk hacia pfSense
interface Gi0/0
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,1
exit

copy running-config startup-config

Parte 3: Verificación y pruebas

Desde los dispositivos:

  1. Las VPCS deben obtener una IP del DHCP de pfSense (si lo habilitaste).
  2. Haz ping desde una máquina de ventas (192.168.10.x) hacia el gateway 192.168.10.1.
  3. Lo mismo para contabilidad hacia 192.168.20.1.
  4. Intenta que Ventas no vea a Contabilidad (a menos que configures reglas en pfSense).
  5. Kali Linux, en 192.168.1.1, por ahora solo observa. No está en ninguna VLAN.

Conclusión

Ahora tienes una red segmentada, con VLANs bien definidas, tráfico separado y un router (pfSense) que administra todo con sabiduría. Esto no solo mejora la seguridad, sino también el rendimiento y orden de tu red.

En futuras entregas trataremos de mejorar nuestra red con…

  • Routing entre VLANs con reglas de firewall
  • Crearemos una VLAN de gestión
  • Aplicaremos QoS o ACLs

Entretanto, por aquí dejamos un video de lo que hemos hecho:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *