Segmentacion de redes en entornos hospitalarios
Las redes de los hospitales del SERGAS son infraestructuras complejas que conectan miles de dispositivos: ordenadores de consulta, equipos medicos, sistemas de monitorizacion, telefonos IP, puntos de acceso WiFi y mucho mas. Para gestionar esta complejidad de forma segura y eficiente, se utilizan tecnologias de segmentacion como las VLANs y protocolos de redundancia como STP.
Que es una VLAN
Una VLAN (Virtual Local Area Network) es una red de area local virtual que permite segmentar logicamente una red fisica en multiples redes independientes. Los dispositivos de una misma VLAN pueden comunicarse entre si como si estuvieran en el mismo segmento fisico, aunque esten conectados a diferentes switches.
Beneficios de las VLANs
- Seguridad: Aislamiento del trafico entre departamentos. Por ejemplo, el trafico de los equipos medicos no se mezcla con el trafico administrativo.
- Rendimiento: Reduccion de los dominios de broadcast. Cada VLAN es un dominio de broadcast independiente.
- Flexibilidad: Se pueden agrupar usuarios por funcion, no por ubicacion fisica.
- Facilidad de gestion: Mover un usuario de una VLAN a otra es una operacion de configuracion del switch, no requiere recablear.
Tipos de VLANs
- VLAN de datos: Transporta el trafico de usuario habitual (navegacion, aplicaciones).
- VLAN de voz: Dedicada al trafico de telefonia IP (VoIP), con prioridad de QoS.
- VLAN de gestion: Para el acceso de administracion a los dispositivos de red (switches, routers, APs).
- VLAN nativa: VLAN por defecto para el trafico no etiquetado en un enlace trunk. Por defecto es la VLAN 1, pero por seguridad se recomienda cambiarla.
Ejemplo de VLANs en un hospital del SERGAS
| VLAN ID | Nombre | Proposito |
|---|---|---|
| 10 | Administracion | PCs de gestion y administracion |
| 20 | Clinica | Estaciones clinicas, HCE |
| 30 | Equipos Medicos | Monitores, ventiladores, bombas |
| 40 | Radiologia | Modalidades DICOM, PACS |
| 50 | VoIP | Telefonos IP |
| 99 | Gestion | Acceso a switches y APs |
Puertos de acceso y puertos trunk
- Puerto de acceso (access port): Pertenece a una unica VLAN. Conecta dispositivos finales (PCs, impresoras). El trafico no lleva etiqueta 802.1Q.
- Puerto trunk: Transporta trafico de multiples VLANs entre switches. Utiliza el estandar IEEE 802.1Q para etiquetar las tramas con el identificador de VLAN.
IEEE 802.1Q
Es el estandar que define como se etiquetan las tramas Ethernet para identificar a que VLAN pertenecen. Se inserta una etiqueta de 4 bytes en la cabecera de la trama que incluye, entre otros campos, el VLAN ID (12 bits, permitiendo hasta 4096 VLANs).
Que es STP (Spanning Tree Protocol)
STP (IEEE 802.1D) es un protocolo de capa 2 que previene los bucles en redes con enlaces redundantes. Sin STP, los bucles provocarian tormentas de broadcast que colapsarian la red en segundos.
El problema de los bucles
Cuando existen caminos redundantes entre switches (algo deseable para tolerancia a fallos), las tramas de broadcast pueden circular indefinidamente, consumiendo todo el ancho de banda y provocando la caida de la red. STP resuelve esto bloqueando logicamente los puertos redundantes, dejando activo solo un camino entre cada par de switches.
Funcionamiento basico de STP
- Eleccion del Root Bridge: Se elige un switch como raiz del arbol. El switch con el Bridge ID mas bajo (compuesto por prioridad + direccion MAC) se convierte en Root Bridge.
- Seleccion de Root Ports: Cada switch no-raiz selecciona el puerto con el camino de menor coste hacia el Root Bridge.
- Seleccion de Designated Ports: En cada segmento de red, se selecciona el puerto que ofrece el mejor camino al Root Bridge.
- Bloqueo de puertos redundantes: Los puertos restantes se colocan en estado de bloqueo para evitar bucles.
Estados de los puertos en STP
- Blocking: No reenvian tramas, solo reciben BPDUs.
- Listening: Procesan BPDUs para determinar la topologia.
- Learning: Aprenden direcciones MAC pero no reenvian tramas.
- Forwarding: Reenvian tramas normalmente.
- Disabled: Puerto apagado administrativamente.
Evoluciones de STP
- RSTP (IEEE 802.1w - Rapid STP): Convergencia mucho mas rapida (segundos en lugar de 30-50 segundos). Define roles: Root, Designated, Alternate, Backup.
- MSTP (IEEE 802.1s - Multiple STP): Permite crear multiples instancias de spanning tree mapeadas a diferentes VLANs.
- PVST+ (Per-VLAN STP - Cisco): Una instancia de STP por cada VLAN.
STP en redes hospitalarias
En un hospital del SERGAS, la disponibilidad de la red es critica. Una caida de red puede afectar a sistemas de monitorizacion de pacientes, acceso a historias clinicas y comunicaciones de emergencia. Por ello:
- Se despliegan enlaces redundantes entre switches de distribucion y de core.
- Se configura RSTP para minimizar el tiempo de convergencia en caso de fallo.
- Se ajustan las prioridades de los switches para controlar que switch es el Root Bridge.
Estos conceptos de redes se complementan con otros temas de oposiciones como el modelo OSI, el subnetting y la monitorizacion con SNMP. Preparate con tests practicos en oposergas.com.