Separando la red con subredes

Como ya hemos comentado antes, por motivos de seguridad es conveniente separar las redes del centro. La mejor forma de proceder a la separación de las redes es físicamente, pero si fuera muy costoso por los tendidos de cable que serían necesarios, existe la posibilidad de adquirir switches que dispongan de VLANes y separar por redes virtuales.

Si los recursos del centro son muy escasos y no llegan para cambiar los switches del centro por otros con VLANes, existe la posibilidad de utilizar rangos de IPs diferentes de forma que, a nivel IP, no se vean unas redes con otras, aunque a nivel ethernet estén interconectadas.

Rangos independientes

Una posibilidad para separar las redes, es utilizar rangos completamente independientes para cada una. Por ejemplo, podríamos utilizar los siguientes rangos:

Al ser rangos independientes, desde una red no se puede acceder a la otra, lo que nos permitirá tener separadas las redes. Esta separación es una separación lógica pues aunque físicamente las redes están unidas, al tener direcciones IP pertenecientes a redes diferentes, no habrá comunicación entre ellas.

Para conectar a Internet las distintas redes, necesitaremos tres líneas ADSL, una para cada red, o bien necesitamos un router que admita varias IP en la interfaz LAN (IP aliases) para poder configurar una IP en cada rango y puedan todos los PCs alcanzar el router.

La ventaja es que de una forma barata y sencilla, podemos tener las redes separadas, pero el inconveniente es que dicha separación no es segura ya que si un alumno cambia su dirección IP por una dirección del rango de profesores, podrá comunicarse con la red de profesores. Igualmente podría hacerlo con la red administrativa, poniendo en peligro el sistema.

Rangos incluidos

Otra posibilidad para separar las redes, es utilizar rangos incluidos unos en otros, de forma que la red más exterior sería la red más segura a la que nadie puede acceder y la red más reducida a la que acceden todos. Esto permite utilizar un router normal, siempre y cuando le pongamos una IP que pertenezca al rango más reducido, pero con la máscara del rango más amplio, para que pueda ser accedido desde cualquier rango. La clave en este caso son las máscaras de red a utilizar. Ejemplo, podemos utilizar los siguientes rangos:

• Red administrativa: 10.0.0.0/8
• Red de profesores: 10.0.0.0/16
• Red de alumnos: 10.0.0.0/24
• IP del router: 10.0.0.254/8

Para evitar que PCs de una red se vean con los de otra, hay que utilizar IPs que no pertenezcan al rango de la red incluida. Podríamos por ejemplo, utilizar los siguientes rangos de direcciones para los PCs:

• Red administrativa, por ejemplo desde 10.1.0.1 hasta 10.1.0.254 (no pertenecen ni al rango de profesores ni al rango de alumnos)
• Red de profesores, por ejemplo desde 10.0.1.1 hasta 10.0.1.254 (no pertenecen al rango de alumnos)
• Red de alumnos, desde 10.0.0.1 hasta 10.0.0.253

Con este esquema de direccionamiento, no puede haber intercomunicación entre las distintas redes ya que aunque desde los PCs de rangos exteriores pueda iniciarse una comunicación hacia los PCs de rangos interiores, estos no podrán responder al pertenecer la IP origen a otro rango y no existir un router capaz de encaminar la respuesta.

Igual que en el caso anterior, la separación no es segura ya que si un alumno cambia su dirección IP o su máscara por una del rango de la red administrativa, podrá poner en peligro el sistema.