Configurar VLANs per departament
Com hem deixat clar al disseny del pla de les VLANs, presentem aquest model ideal per a incorporar la xarxa.
Configuració de VLANs per departament
La segmentació de la xarxa interna mitjançant VLANs és una decisió tècnica fonamental per garantir l’aïllament del tràfic, la seguretat entre departaments i la traçabilitat dels events de xarxa. S’implementen VLANs diferenciades per a cada àmbit funcional del centre: aules d’ESO per grup, secretaria, consergeria i direcció.
Per què una VLAN per aula i no una per curs?
Agrupar tots els alumnes d’un mateix curs en una sola VLAN simplifica la configuració però elimina l’aïllament entre grups. Amb una VLAN per aula, un equip compromès o un alumne que intenta fer escaneig de xarxa només té visibilitat dins del seu propi grup — no pot arribar als equips del grup del costat. A més, en situacions d’examen o de treball amb material sensible, l’aïllament per aula impedeix qualsevol comunicació lateral no autoritzada entre equips d’alumnes de grups diferents.
Implementació al gateway intern de la Generalitat
Les VLANs es configuren físicament a l’stack de switches de capa 3. Cada port d’accés s’assigna a la VLAN corresponent segons l’aula o departament al qual pertany. El routing entre VLANs es gestiona mitjançant SVIs (Switched Virtual Interfaces) creades directament a l’stack L3, de manera que el tràfic intern entre aules passa pel switch sense necessitat de sortir al gateway d’internet. El gateway de la Generalitat únicament gestiona el tràfic que ha de sortir cap a l’exterior o accedir a recursos de la xarxa educativa de la Generalitat.
Aules ESO
Cada grup d’ESO (1r A, 1r B, 1r C, 2n A…) té la seva pròpia VLAN amb un rang d’adreces /24 dedicat. Això representa un domini de broadcast independent per grup, amb la seva SVI al stack actuant com a gateway local. El servidor DHCP del Debian rep les peticions via DHCP relay configurat al switch i respon amb una adreça del rang corresponent a aquella VLAN. Un alumne de 1r ESO grup A mai rebrà una adreça del rang de 1r ESO grup B, i no podrà comunicar-se amb aquell segment sense passar per les ACLs del switch L3.
Secretaria, Consergeria i Direcció
Els departaments administratius disposen cadascun de la seva pròpia VLAN dins del bloc 172.19.0.0/16, completament separada de les VLANs d’alumnes. Aquesta separació és crítica per dues raons: primer, els equips administratius gestionen dades sensibles (dades de l’alumnat, documents oficials, sistemes de gestió del centre) que no han d’estar mai al mateix segment que equips d’alumnes. Segon, en cas d’incident de seguretat a la xarxa d’alumnes, les ACLs entre VLANs impedeixen que el tràfic maliciós arribi als equips administratius. Secretaria, consergeria i direcció tenen VLANs independents entre elles perquè els seus perfils d’accés i les seves necessitats de connectivitat cap a l’exterior també són diferents, cosa que permet aplicar polítiques de firewall diferenciades a cada departament.
DHCP i assignació d'adreces
El servidor DHCP centralitzat al Debian gestiona els pools de totes les VLANs. Gràcies al DHCP relay actiu a cada SVI del stack, el servidor rep la petició amb informació de quina VLAN prové i respon amb una adreça del rang correcte. Els equips administratius de secretaria, consergeria i direcció poden tenir adreces estàtiques o dinàmiques dins del seu rang, depenent de si cal identificar-los de forma permanent als logs del sistema.
Conclusió
La implementació de VLANs per departament al gateway intern de la Generalitat proporciona aïllament de tràfic, contenció d’incidents de seguretat, aplicació de polítiques diferenciades per perfil d’usuari i una base sòlida per a la gestió centralitzada de logs i monitoratge. La complexitat de gestionar múltiples VLANs queda absorbida per l’stack L3, que les commuta a velocitat de cable sense impacte en el rendiment de la xarxa.
Exemple:
