VLAN

• Nunca dejes el tráfico de gestión en la VLAN 1 (nativa); es una vulnerabilidad crítica que permite ataques de VLAN Hopping. Muévela siempre a una ID personalizada.
• Para virtualización (Proxmox/ESXi), configura el puerto del switch en modo ‘Trunk’ para que el vSwitch del hipervisor procese las etiquetas directamente.
• Si mezclas marcas (Cisco con Ubiquiti o Mikrotik), verifica que el ‘PVID’ coincida en ambos extremos del enlace para evitar que los paquetes se pierdan en el limbo de las tramas sin etiqueta.

Los switches ‘Smart Managed’ de bajo costo soportan VLANs, pero su plano de control es débil y colapsan bajo tormentas de broadcast.

Una VLAN no es una medida de seguridad absoluta, es una herramienta de organización; sin un firewall o ACLs (Access Control Lists) filtrando el tráfico entre ellas, la segmentación es solo cosmética.

La falla más común en el laboratorio es olvidar que el enrutamiento Inter-VLAN requiere hardware de Capa 3. Si tu router no soporta 802.1Q (Router-on-a-stick), tus VLANs estarán aisladas permanentemente, convirtiendo tu red en un búnker inútil.