La red puede ser una de las partes más vulnerables de un sistema. La red de máquinas virtuales necesita tanta protección como una red física. La utilización de VLAN puede mejorar la seguridad de las redes del entorno.

Las VLAN se encuentran en un esquema de redes estándar IEEE, con métodos de etiquetado específicos que permiten el enrutamiento de los paquetes únicamente hacia los puertos que forman parte de la VLAN. Cuando se las configura correctamente, las VLAN constituyen un medio confiable para proteger un conjunto de máquinas virtuales contra intrusiones accidentales o maliciosas.

Las VLAN permiten segmentar una red física de modo que dos máquinas de la red no puedan transmitirse paquetes entre ellas a menos que formen parte de la misma VLAN. Por ejemplo, las transacciones y los registros contables son algunos de los datos internos más confidenciales de una empresa. En una empresa cuyos empleados de los departamentos de ventas, envíos y contabilidad utilizan máquinas virtuales en la misma red física, es posible proteger las máquinas virtuales del departamento contable mediante la configuración de las VLAN.

Figura 1. Esquema de muestra de una VLAN
Esquema de muestra de una VLAN

En esta configuración, todos los empleados del departamento contable utilizan máquinas virtuales en la VLAN A y los empleados de ventas utilizan máquinas virtuales en la VLAN B.

El enrutador reenvía los paquetes que contienen los datos contables a los conmutadores. Estos paquetes se etiquetan para la distribución en la VLAN A únicamente. Por lo tanto, los datos quedan confinados al dominio de difusión A y no pueden enrutarse al dominio de difusión B a menos que se configure al enrutador para hacerlo.

Esta configuración de VLAN impide que los empleados de ventas intercepten los paquetes destinados al departamento contable. También evita que el departamento contable reciba paquetes destinados al grupo de ventas. Las máquinas virtuales atendidas por un único conmutador virtual pueden encontrarse en diferentes VLAN.