Redes Overlay Explicadas.
Una de las primeras preguntas que escuchamos al presentar el Access Gate a profesionales de TI es "¿De verdad, cómo funcionan sus redes overlay?" La realidad es mucho más simple de lo que parece, y se basa en funciones de red IP muy estándar: enrutamiento y NAT bidireccional.
What Is Overlay Networking?
Overlay Networking Explained
A visual walkthrough of how overlay networking works, why it matters for OT security, and how the Access Gate deploys it without touching your existing infrastructure.
Request a DemoRed industrial tradicional.
La mayoría de las redes industriales priorizan la disponibilidad sobre la seguridad. Generalmente se basan en arquitecturas planas de capa 2 o basadas en VLAN con segmentación mínima.
Redes planas
Dispositivos de múltiples zonas comparten subredes, aumentando el riesgo de movimiento lateral.
Límites de confianza estáticos
Los VLAN y firewalls definen el acceso pero son propensos a errores y difíciles de escalar.
Protocolos heredados
El tráfico OT (Modbus, DNP3, S7) circula sin cifrado ni autenticación.
Sin verificación de identidad
El acceso se otorga por IP o MAC, con visibilidad o trazabilidad limitada.
Desplegar un Access Gate.
El Access Gate asigna automáticamente direcciones en el overlay de red a cada dispositivo, sin impactar la red underlay existente. Sin rediseño de VLAN, sin tiempo de inactividad en producción.
Creación dinámica del overlay
Construye una capa de red virtual (ej. 100.64.0.0/16) que escala independientemente de los límites de tamaño VLAN o la disposición física.
Inteligencia de la pasarela
El Access Gate refleja la red física construyendo un overlay virtual seguro, que luego se usa para enrutar el tráfico.
Integración sin intervención
El DNS resuelve automáticamente las direcciones del overlay — sin necesidad de reconfigurar activos ni instalar agentes.
Nota: La red overlay utiliza el espacio de direcciones 100.64.0.0/16, que pertenece al rango CGNAT. Esto asegura que no interferirá con el enrutamiento IP público o el acceso a internet.
Comunicaciones overlay seguras.
Las comunicaciones comienzan a enrutarse a través del Access Gate, que actúa como un punto de control inteligente — imponiendo seguridad y visibilidad sin alterar la infraestructura física.
Aplicación de seguridad
El tráfico fluye a través del Access Gate, donde se aplican autenticación en tiempo real, control de acceso y registro.
Comunicación proxy bidireccional
Cuando es compatible, el Access Gate establece comunicación proxy entre activos — permitiendo control detallado y consciente del protocolo.
Respaldo con túnel cifrado
Si el proxy no es posible, el sistema recurre a túneles cifrados de extremo a medio, proporcionando aún un aislamiento más fuerte que la red subyacente.
Migración sin tiempo de inactividad
Los activos pueden migrar incrementalmente al overlay, evitando interrupciones o cambios en el cableado y configuraciones existentes.
Nota: El uso de un esquema de nombres DNS dual simplifica la migración: cada dispositivo es accesible tanto por su IP original (ej. 10.0.1.8.fabcore.tr-sec.net) como por un alias legible (asset4.fabcore.tr-sec.net). Esto mantiene la compatibilidad hacia atrás mientras permite un direccionamiento overlay claro y estructurado.
Bloquear el underlay.
Una vez que las comunicaciones se trasladan al overlay seguro, la red física — el underlay — puede ser bloqueada. Aplicando aislamiento de puertos y reglas de firewall dirigidas, se convierte en una capa controlada que solo permite tráfico overlay autenticado.
Aislamiento a nivel de switch
Active las funciones de aislamiento de puertos para crear barreras físicas que impidan cualquier comunicación directa dispositivo-a-dispositivo en la infraestructura de red subyacente.
Políticas de tráfico solo por pasarela
Despliegue reglas de firewall con estado que solo permitan tráfico originado desde el Access Gate, convirtiéndolo en el punto único de entrada y control de la red.
Arquitectura Zero-Trust
Establezca un modelo de seguridad donde cada comunicación debe atravesar el overlay monitoreado, eliminando la posibilidad de acceso a la red no autorizado o no monitoreado.
Vea el overlay de red en acción.
Despliegue un overlay seguro en su red industrial en horas. Sin agentes, sin recableado, sin tiempo de inactividad. Hable con nuestro equipo.
Cómo las redes overlay permiten ir más allá del modelo Purdue.
El modelo Purdue ha sido un pilar en la construcción de redes industriales y la defensa en profundidad. Beyond Purdue es un nuevo modelo para aplicar Zero-Trust en entornos industriales y críticos.
Más vídeos
Los canales de Youtube de Trout incluyen más vídeos sobre las capacidades de los Access Gates. Vea cómo las redes overlay pueden aplicarse para protección y cumplimiento, sin recableado.
Preguntas frecuentes sobre redes overlay.
agentes requeridos. El Access Gate se despliega en línea y construye el overlay a nivel de red — sin software en los endpoints.
Una red overlay es una capa de red virtual construida sobre su infraestructura física existente. A diferencia de una VPN, que crea túneles punto a punto para acceso remoto, un overlay crea una topología de red completa — con su propio direccionamiento, enrutamiento y segmentación — que coexiste con el underlay. El Access Gate gestiona este overlay dinámicamente, sin configuración manual de túneles.
No. El overlay se construye sobre su infraestructura existente utilizando enrutamiento IP estándar y NAT bidireccional. Sin cambios de VLAN, sin renumeración de IP, sin recableado. El underlay continúa funcionando exactamente como antes — el overlay agrega una capa segura sin tocarlo.
No. El Access Gate opera a nivel de red. El DNS resuelve automáticamente las direcciones del overlay para que los dispositivos se comuniquen a través del overlay sin ningún cambio de software. Los PLC, HMI y sistemas SCADA heredados funcionan sin modificación.
Inicialmente, ambas redes coexisten. Los activos migran incrementalmente al overlay sin tiempo de inactividad. Una vez completada la migración, el underlay puede bloquearse usando aislamiento de puertos y reglas de firewall solo por pasarela — de modo que todo el tráfico debe atravesar el overlay monitoreado.
El overlay utiliza el rango 100.64.0.0/16, que pertenece al espacio CGNAT (Carrier-Grade NAT). Esto asegura que no colisionará con sus direcciones IP privadas existentes ni interferirá con el enrutamiento público de internet.
Sí. El Access Gate soporta comunicación proxy bidireccional para los protocolos que entiende — permitiendo inspección y control de acceso conscientes del protocolo. Para protocolos que no pueden ser proxificados, recurre a túneles cifrados de extremo a medio, proporcionando aún aislamiento y cifrado superiores al underlay plano.
