Redes: Vlans e Trunks! Saiba o que são e como configurar
Nos últimos tempos temos vindo a escrever sobre alguns conceitos da área das redes. Hoje vamos falar sobre VLAN (Virtual Local Area Network) e Trunks e apresentar um pequeno exercício de configuração.
Afinal, o que é uma VLAN?
Devido ao crescimento e complexidade das redes informáticas, é muito comum nos dias de hoje que a rede física seja "dividida" em vários segmentos lógicos, denominadas de VLANs. Uma VLAN é basicamente uma rede lógica onde podemos agrupar várias máquinas de acordo com vários critérios (ex. grupos de utilizadores, por departamentos, tipo de tráfego, etc).
As VLANs permitem a segmentação das redes físicas, sendo que a comunicação entre máquinas de VLANs diferentes terá de passar obrigatoriamente por um router ou outro equipamento capaz de realizar encaminhamento (routing), que será responsável por encaminhar o tráfego entre redes (VLANs) distintas. De referir ainda que uma VLAN define um domínio de broadcast (ou seja, um brodcast apenas chega aos equipamentos de uma mesma VLAN). As VLANs oferecem ainda outras vantagens das quais se destacam: segurança, escalabilidade, flexibilidade, redução de custos, etc.
Exemplo de utilização de VLANs
No exemplo da imagem a seguir temos 2 VLANs criadas no switch (VLAN 100 e VLAN 200). Na VLAN 100 temos o Host A e o Host B. Na VLAN 200 temos o Host C e o Host D.
Num switch podemos configurar várias VLANs criando assim vários domínios de broadcast – o tráfego de uma VLAN não é enviado para outra VLAN. Para que tal aconteça é necessário que haja encaminhamento (por exemplo, através de um router).
Assim, neste exemplo, independentemente das máquinas estarem ligadas ao mesmo equipamento físico, o Host A só consegue comunicar com o Host B (e vice-versa) e o mesmo acontece com o Host C e o Host D.
Quando ter uma rede física segmentada em VLANs?
Imaginem, por exemplo, que foram contactados para implementar uma rede numa Universidade. Considerando que vamos ter utilizadores/serviços/perfis distintos (ex. Apoio à Direção, pessoal da contabilidade, pessoal dos recursos humanos, externos, etc) a ligarem-se à mesma rede física. Nesse sentido é importante que as máquinas estejam em redes separadas (mesmo estando ligadas no mesmo switch ou segmento de rede). Não faz sentido (essencialmente por questões de segurança), que um utilizador (ex. um aluno), se ligue à mesma rede onde estão os utilizadores que fazem parte do serviço da contabilidade.
Vejam o seguinte cenário para um edifício: 3 grupos distintos de utilizadores que pertencem à contabilidade, gestão de recursos humanos e apoio à direção. Os utilizadores dos três serviços encontram-se distribuídos pelos vários pisos no mesmo edifício, mas em termos de rede (uma que vez foram configuradas VLANs), encontram-se na rede (VLAN) definida para cada serviço.
A comunicação entre utilizadores de serviços diferentes só é possível, se configurado o encaminhamento no router.
A constituição de VLANs numa rede física, pode dever-se a questões de:
- Organização – diferentes departamentos/serviços podem ter a sua própria VLAN. De referir que a mesma VLAN pode ser configurada ao longo de vários switchs, permitindo assim que utilizadores do mesmo departamento/serviço estejam em locais físicos distintos (ex. Utilizador A – Polo 1, utilizador B – Polo 2) da mesma instituição;
- Segurança– Pelas questões que já foram referidas acima, ou, por exemplo, para que os utilizadores de uma rede não tenham acesso a determinados servidores;
- Segmentação– Permite dividir a rede física, em redes lógicas mais pequenas e assim tem um melhor controlo/gestão a nível de utilização/tráfego.
VLANs - Tipo de portas
Um switch com a capacidade para criação de VLAN suporta dois tipos de portas:
- Portas de Acesso (ligações de acesso)
- Portas Trunk (ligações partilhadas)
Uma Porta de Acesso (access), permite associar uma porta do switch a uma vlan. As portas do tipo acesso são usadas para ligar PCs, impressoras, etc. Por omissão, todas as portas do switch vêm configuradas na VLAN 1.
Uma Porta Trunk, normalmente usada para interligação de switchs ou ligação a routers, e permite a passagem de tráfego de várias VLANs. Configurando uma porta como trunk, todo o tráfego de todas as VLANs criadas no switch podem passar por lá, no entanto, o administrador pode limitar ao número de VLANs que pretender.
Como podem ver pela imagem seguinte, a ligação entre o switch A e o Switch B é realizado através de portas Trunk isto porque, no mesmo link, é necessário passar tráfego da VLAN 100 e 200.
Como configurar VLANs?
Para este artigo vamos considerar o exemplo anterior. Vamos também definir o seguinte endereçamento:
- VLAN 100: 192.168.100.0/24
- VLAN 200: 192.168.200.0/24
Para começar vamos criar as VLANs no switch A e depois associar a porta Fa0/2 e Fa0/3 à VLAN 100 e a Fa0/4 à VLAN 200. Vamos ainda atribuir o nome Estudantes à VLAN 100 e Docentes à VLAN 200. Para tal, entramos no SwitchA e realizamos as seguintes configurações:
SwitchA> enable SwitchA# configure terminal SwitchA(config)#vlan 100 SwitchA(config-vlan)#name estudantes SwitchA(config-vlan)#vlan 200 SwitchA(config-vlan)#name docentes SwitchA(config-vlan)#exit SwitchA(config)#interface fastEthernet 0/2 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 100 SwitchA(config-if)#interface fastEthernet 0/3 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 100 SwitchA(config-if)#interface fastEthernet 0/4 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 200 |
Devem realizar uma configuração semelhante para o SwitchB
SwitchB> enable SwitchB# configure terminal SwitchB(config)#vlan 100 SwitchB(config-vlan)#name estudantes SwitchB(config-vlan)#vlan 200 SwitchB(config-vlan)#name docentes SwitchB(config-vlan)#exit SwitchB(config)#interface fastEthernet 0/2 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 100 SwitchB(config-if)#interface fastEthernet 0/3 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 200 SwitchB(config-if)#interface fastEthernet 0/4 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 200 |
Por fim vamos configurar as portas trunk. Para tal vamos ao SwitchA, e definimos a porta fastEthernet 0/1 como Trunk.
SwitchA(config-if)#interface fastEthernet 0/1 SwitchA(config-if)#switchport mode trunk |
Devem realizar uma configuração semelhante para o SwitchB
SwitchB(config-if)#interface fastEthernet 0/1 SwitchB(config-if)#switchport mode trunk |
Caso pretendam ver as VLANS por porta, podem executar o comando show vlan
Testes
Vamos agora verificar se há comunicação entre máquinas da mesma VLAN, ligadas a switchs diferentes. Para a realização de testes vamos tentar pingar do PC0 para o PC3 (que pertencem à VLAN 100). Em seguida vamos pingar do PC2 para para PC5 (que pertencem à VLAN 200).
Comunicação entre PC0 e PC3
Comunicação entre PC2 e PC5
Espero que tenham percebido o conceito de VLAN, e caso queiram colocar em prática podem sempre consultar a data sheet dos vossos switchs para saber se suportam VLANS.
Existem ainda outros conceitos dentro do assunto das VLANs como, por exemplo, VTP, trunking (protocolo 802.1Q ou ISL da Cisco), subinterfaces, etc.
A definição de trunk é mais em cisco, da mesma maneira que a definição de vlan tagged ou untaged, noutros fabricantes isso não existe (da pra fazer mas não existe a definição) ou tem nomes diferentes
+1
Nunca trabalhaste com switches D-Link.
Já lá vão uns aninhos desde o meu CCNP e nunca tive contacto com mais nada que não fosse cisco, mas estou convencido que trunks e vlan tagging existem em todos os fabricantes
Excelente artigo. Obrigado pela partilha