Proponha uma correção, faça uma sugestão
Redes: Saiba o que é uma VLAN e aprenda a configurar
O termo VLAN (Virtual LANs – redes locais virtuais) não é propriamente novo para os leitores do Pplware. Em finais de 2010, escrevemos aqui um artigo sobre VLANs e também quais os benefícios numa rede de dados.
Hoje vamos apresentar mais alguns conceitos e ensinar a configurar num switch Cisco.
Afinal o que é uma VLAN?
Devido ao crescimento e complexidade das redes informáticas, é muito comum nos dias de hoje que a rede física seja "dividida" em vários segmentos lógicos, denominadas de VLANs. Uma VLAN é basicamente uma rede lógica onde podemos agrupar várias máquinas de acordo com vários critérios (ex. grupos de utilizadores, por departamentos, tipo de tráfego, etc).
As VLANs permitem a segmentação das redes físicas, sendo que a comunicação entre máquinas de VLANs diferentes terá de passar obrigatoriamente por um router ou outro equipamento capaz de realizar encaminhamento (routing), que será responsável por encaminhar o tráfego entre redes (VLANs) distintas. De referir ainda que uma VLAN define um domínio de broadcast (ou seja, um brodcast apenas chega aos equipamentos de uma mesma VLAN). As VLANs oferecem ainda outras vantagens das quais se destacam: segurança, escalabilidade, flexibilidade, redução de custos, etc.
No exemplo da imagem a seguir temos 2 VLANs criadas no switch (VLAN 100 e VLAN 200). Na VLAN 100 temos o Host A e o Host B. Na VLAN 200 temos o Host C e o Host D. Num switch podemos configurar várias VLANs criando assim vários domínios de broadcast – o tráfego de uma VLAN não é enviado para outra VLAN. Para que tal aconteça é necessário que haja encaminhamento (por exemplo através de um router). Assim, neste exemplo, independentemente das máquinas estarem ligadas ao mesmo equipamento físico, o Host A só consegue comunicar com o Host B (e vice-versa) e o mesmo acontece com o Host C e o Host D.
Quando ter uma rede física segmentada em VLANs?
Imaginem, por exemplo, que foram contactados para implementar uma rede numa Universidade. Considerando que vamos ter utilizadores/serviços/perfis distintos (ex. Apoio à Direção, pessoal da contabilidade, pessoal dos recursos humanos, externos, etc) a ligarem-se à mesma rede física. Nesse sentido é importante que as máquinas estejam em redes separadas (mesmo estando ligadas no mesmo switch ou segmento de rede). Não faz sentido (essencialmente por questões de segurança), que um utilizador (ex.um aluno), se ligue à mesma rede onde estão os utilizadores que fazem parte do serviço da contabilidade.
Vejam o seguinte cenário para um edifício: 3 grupos distintos de utilizadores que pertencem à contabilidade, gestão de recursos humanos e apoio à direção. Os utilizadores dos três serviços encontram-se distribuídos pelos vários pisos no mesmo edifício, mas em termos de rede (uma que vez foram configuradas VLANs), encontram-se na rede (VLAN) definida para cada serviço.
A comunicação entre utilizadores de serviços diferentes só é possível, se configurado o encaminhamento no router.
A constituição de VLANs numa rede física, pode dever-se a questões de:
- Organização – diferentes departamentos/serviços podem ter a sua própria VLAN. De referir que a mesma VLAN pode ser configurada ao longo de vários switchs, permitindo assim que utilizadores do mesmo departamento/serviço estejam em locais físicos distintos (ex. Utilizador A – Polo 1, utilizador B – Polo 2) da mesma instituição;
- Segurança– Pelas questões que já foram referidas acima, ou por exemplo para que os utilizadores de uma rede não tenham acesso a determinados servidores;
- Segmentação– Permite dividir a rede física, em redes lógicas mais pequenas e assim tem um melhor controlo/gestão a nível de utilização/tráfego.
VLANs - Tipo de portas
Um switch com a capacidade para criação de VLAN suporta dois tipos de portas:
- Portas de Acesso (ligações de acesso)
- Portas Trunk (ligações partilhadas)
Uma Porta de Acesso (access), permite associar uma porta do switch a uma vlan. As portas do tipo acesso são usadas para ligar PCs, impressoras, etc. Por omissão, todas as portas do switch vêm configuradas na VLAN 1.
Uma Porta Trunk, normalmente usada para interligação de switchs ou ligação a routers, e permite a passagem de tráfego de várias VLANs. Configurando uma porta como trunk, todo o tráfego de todas as VLANs criadas no switch podem passar por lá, no entanto o administrador pode limitar ao número de VLANs que pretender. Como podem ver pela imagem seguinte, a ligação entre o switch A e o Switch B é realizado através de portas Trunk isto porque, no mesmo link, é necessário passar tráfego da VLAN 100 e 200.
Como configurar?
Para este artigo vamos considerar o exemplo anterior. Vamos também definir o seguinte endereçamento:
- VLAN 100: 192.168.100.0/24
- VLAN 200: 192.168.200.0/24
Para começar vamos criar as VLANs no switch A e depois associar a porta Fa0/2 e Fa0/3 à VLAN 100 e a Fa0/4 à VLAN 200. Vamos ainda atribuir o nome Estudantes à VLAN 100 e Docentes à VLAN 200. Para tal, entramos no SwitchA e realizamos as seguintes configurações:
SwitchA> enable SwitchA# configure terminal SwitchA(config)#vlan 100 SwitchA(config-vlan)#name estudantes SwitchA(config-vlan)#vlan 200 SwitchA(config-vlan)#name docentes SwitchA(config-vlan)#exit SwitchA(config)#interface fastEthernet 0/2 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 100 SwitchA(config-if)#interface fastEthernet 0/3 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 100 SwitchA(config-if)#interface fastEthernet 0/4 SwitchA(config-if)#switchport mode access SwitchA(config-if)#switchport access vlan 200 |
Devem realizar uma configuração semelhante para o SwitchB
SwitchB> enable SwitchB# configure terminal SwitchB(config)#vlan 100 SwitchB(config-vlan)#name estudantes SwitchB(config-vlan)#vlan 200 SwitchB(config-vlan)#name docentes SwitchB(config-vlan)#exit SwitchB(config)#interface fastEthernet 0/2 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 100 SwitchB(config-if)#interface fastEthernet 0/3 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 200 SwitchB(config-if)#interface fastEthernet 0/4 SwitchB(config-if)#switchport mode access SwitchB(config-if)#switchport access vlan 200 |
Por fim vamos configurar as portas trunk. Para tal vamos ao SwitchA, e definimos a porta fastEthernet 0/1 como Trunk.
SwitchA(config-if)#interface fastEthernet 0/1 SwitchA(config-if)#switchport mode trunk |
Devem realizar uma configuração semelhante para o SwitchB
SwitchB(config-if)#interface fastEthernet 0/1 SwitchB(config-if)#switchport mode trunk |
Caso pretendam ver as VLANS por porta, podem executar o comando show vlan
Testes
Vamos agora verificar se há comunicação entre máquinas da mesma VLAN, ligadas a switchs diferentes. Para a realização de testes vamos tentar pingar do PC0 para o PC3 (que pertencem à VLAN 100). Em seguida vamos pingar do PC2 para para PC5 (que pertencem à VLAN 200).
Comunicação entre PC0 e PC3
Comunicação entre PC2 e PC5
Espero que tenham percebido o conceito de VLAN, e caso queiram colocar em prática podem sempre consultar a data sheet dos vossos switchs para saber se suportam VLANS. Alguém usa esta tecnologia?
Existem ainda outros conceitos dentro do assunto das VLANs como por exemplo VTP, trunking (protocolo 802.1Q ou ISL da Cisco), subinterfaces, etc. Esperamos trazer estes temas em próximos artigos.
Leia ainda:
Este artigo tem mais de um ano
Loading ...
Adorei o artigo, bastante detalhado!
Obrigado. PP
Não é fácil escrever sobre uma tecnologia que tem tanta coisa. Depois escrevo outra.
Muito obrigado, gostei
+1
também gostei. vou dar save
isto pode ser bastante útil para jogar jogos antigos em lan sem recorrer ao mau atualmente hamachi
+1
Posso atribuir regras de firewall para as diferentes VLans no switch cisco?
Assumindo que estás a falar de ACLs (access-lists), independentemente do tipo, a resposta é sim.
Sim 🙂
Mais um artigo à PP!
Já sentia falta de mais um excelente artigo.
Parabéns PP! 😉
Obrigado. abraço.
Artigo muito bom, muito informativo e bem explicado.
Ola, o que sao esses
/24 /16 e sei la mais quantos podem ser ? na teoria e na pratica o que isso significa e como usar ?
obrigado
Acho que isto responde a tua pergunta.
http://www.steves-internet-guide.com/subnetting-subnet-masks-explained/
obrigado, mas nao responde ! é mais um texto escrito para quem já trabalha com isso, nao para leigos
Boas basicamente o /XX designa-se por máscara que define o número de IP`s que estão incluídos numa rede. Por exemplo se tivermos a rede 10.0.0.0/24 quer dizer que a rede vai desde o IP 10.0.0.1 até ao 10.0.0.254
é a mascara 🙂
Escrevi algo sobre isso aqui: https://pplware.sapo.pt/tutoriais/networking/redes-slash-24-24-ou-255-255-255-0/
Boas, é possivel de determinado pc na rede ter acesso a várias vlans simultaneamente ?
Claro que é, em vez de configures a interface em modo access, configuras em modo trunk, mas… o interface do pc tem que entender vlans.
E assim irá criar uma nova VLAN “mista” ?
Hey Borges,
Não.
Cada pacote de cada vlan tem um identificativo a que vlan esse pacote pertence. Uma frame L2 poderá conter essa identificativo.
Se um PC recebe uma frame/trama com um indicativo (em trunk/ com dot1q) ele irá ignorar por defeito, a não ser que tenhas um placa que consiga perceber isso e que actives essa opção na mesma.
Quando ativares, terás que atribuir uma “sub-interface” para cada Vlan.
Isto é, se o Switch entrega-te 3 vlans, (native, 5 e 10) e queres que o servidor/pc comunique com as 3, terás que ter 3 “adaptadores” um em cada vlan.
P.S. native = sem o dot1q header / em acesso
Para todos os efeitos esse PC poderá ( se quiseres ) fazer de router entre essas 3 vlans.
Cumprimentos,
Quando referes sub interfaces terei que ter uma placa de rede existente para cada vlan ou pode-se criar interfaces virtuais ?
Pra uma VLAN poder se comunicar com a outra, o Switch precisa ser Level 3, pra poder fazer o “roteamento”.
Router on a Stick.
VPN?
hein?
Duvida? É possível enviar 2 ou mais vlans de um router para dentro de outro router com outras vlans sem que estas entrem em conflito.
Exemplo: router 1 cisco (rede biblioteca) tem: vlan 2(internet | altice), vlan 3(voip1) , vlan 4 (servidores). Fa0/1 vlan 2 – Fa0/2 vlan 2 | vlan 3 – Fa0/3 vlan 2 | vlan 4.
router 2 cisco (rede escritório) tem: vlan 5(internet | nos) , vlan 2(voip2), vlan 3 (VPN) . Fa0/1 vlan5 – Fa0/2 vlan 2 | vlan 5 |vlan 3
Problema: preciso de criar um posto de trabalho(rede biblioteca) com acesso ao “voip2” e “internet | nos” sem que este entre em conflito com “voip1″ nem com”internet | altice”, problema acrescido não posso alterar as configurações do router 2 cisco (pertence a fornecedor). Basicamente queria isolar a configurações Fa0/2 do router 2 cisco e inserir no router 1 cisco.
Layer 2 – Switch
Layer 3 – Router
Alhos e bugalhos.
(V)LAN é layer 2.
Layer 2
Well…
Uma Routing port é vlan aware por defeito…
Se criares uma sub-interface nessa routing port e indicares qual dot1q vlan vai “ouvir” podes ter 2 Vlans a bater numa mesma interface no Router…
Acho que Estares a dizer ” alhos e bugalhos ” para uma pessoa a pedir ajuda não é o mais indicado 😉
Cumps,
Obrigado, existem pessoas que querem ajudar felizmente, mas outras….
Hey Pedro,
Acho que entendi tudo.
Acredito que a Fa0/2 do Router 2 Cisco (NOS) deverá estar conectado a um Switch em Trunk.
O que precisas fazer é conseguir configurar uma porta com access vlan 5 e voice vlan 2 nesse switch e estender um cabo até a biblioteca ( se for menos que 100m ).
Se for mais que 100m, vais precisar que exista um Switch na Biblioteca, um Switch no Escritório, passar um patching de Fibra entre os 2, colocar essas portas em Trunk. E fazer o acima no Switch local do Escritório.
Se nem o Switch for de tua Gestão, e acreditando que és um cliente Empresarial, liga para o Suporte Empresarial da NOS e pede ajuda… Se tiveres equipamentos SOHO Cisco/Huawei ( Cisco 88x / Huawei S2700 , típico de ligações pequenas empresariais ), deves ter Suporte Grandes Empresas / Corporate ( 21 010 4250 / 808 10 10 90 )
Cumprimentos,
Discordo por completo. O artigo não é nada “pro”. Até é bastante simples. Começa por explicar o conceito de VLAN, quando utilizar e a forma básica de a(s) configurar, neste caso concreto num switch Cisco. Se estas “coisas” de tecnologia e afins te fazem confusão, podes sempre procurar artigos de caça e de pesca, sem desmérito destas atividades.
Olha nei sei que te diga 😀
Sim, caro Costa, tenho vários switches Cisco (virtuais) em casa. Aliás, tenho os que quiser, no Cisco Packet Tracer, claro… Virtualização, conheces?
Pronto então, és mau a interpretar um comentário e alem disso acabaste de te contradizer, parabéns.
Do site da cisco -> “Cisco developed Packet Tracer to help Networking Academy students achieve the most optimal learning experience while gaining practical networking technology skills.”
Portanto, tal como está no site, é para treino de profissionais na area.
Virtualização? Conheço, mas gosto mais do real (os únicos switch cisco que usei, foram reais, daqueles que custam dinheiro sabes ), a idade do virtual já lá vai há muitos anos, era tipo isto https://youtu.be/EH3aklfDBqo , belos tempos…
Como andas nos treinos “virtuais”, tens aqui algo talvez mais ao teu gosto -> http://www.introversion.co.uk/uplink/ ,quando saiu teve o seu momento…
Se achares o uplink velho, olha tens este site para os teus treinos https://legacy.hackerexperience.com/ , parece que vais ficar um “espada” na coisa das redes, mas “virtuais”…
Mais um artigo de excelência com assinatura do Pedro Pinto 😀
BTW, há uma coisa que me mete confusão: Tirando todas as outras partes e sem entrar a fundo, e por mera curiosidade, sabes como funciona a infraestrutura da meo fibra?
Eles têm o ONT ligado ao router que depois têm VLANS para net, TV e assim, sabes como o protocolo é feito? Já vi que os routers da asus estão preparados para isso, assim como openwrt, mas o que queria saber era mesmo o conceito. Tens alguma coisa sobre isso ou está pensar fazer algo?
Obrigado.
O Conceito dessas vlans de serviço em FTTx é um pouco mais complexo do que aqui foi exposto.
O protocolo de trunking usado é o mesmo DOT1Q, mas existem uns truques para por a funcionar corretamente.
Por exemplo, os pedidos de DHCP em cada Vlan ( para ganhar IP corretamente ) podem ter de conter algumas opções “maradas”/”escondidas” para conterem a resposta certa.
Sem falar que para conseguires usufruir do serviço de IPTV tens de ter um equipamento que suporte IGMP, dado que a BOX terá de fazer um join ao canal e esse join tem de ser propagado até o HeadEnd.
Para a voz ainda é mais complicado, usa-se o protocolo SIP, além de teres de ter um IP na rede de VOIP deles, tens de saber como a Autenticação SIP é feita ( se é feita se quer ) e ter um equipamento que Suporte SIP como deve ser.
Alguns colegas meus já substituíram o TG784v3 por algo mais porreiro (de gama SOHO Cisco), mas foram semanas a batalhar e com inside info do que estaria a bater na trave 🙂
Conto algum dia poder pedir um ONT L2, liga-se a um bom Switch ( que suporte IGMP ), colocas uma interface na Vlan de Internet, outra na Vlan de IPTV, essa da vlan de IPTV vai para as boxes, e da internet ir para um Appliance interna ( sonhos… )
Cumprimentos,
LzS
Hey Pedro,
Podias ter usado é aquele EVE-NG catita que configuraste no outro dia ;). O Packet-Tracer tem muitas limitações.
Cumprimentos,
LzS
Podiam usar o GNS3 em vez do Packet Tracer
É possível ligar a um switch, 2 routers em que um fornece dhcp para determinadas portas do switch e o outro fornece dhcp para outra portas configuradas no switch. O switch em questão suporta vlans.
Mas não estou a ter sucesso com a configuração.
Cumprimentos
cara como determino um ip para a vlan ? como o swtch sabe qual ip tem a vlan 100 por exemplo ?
Gostei muito, parabéns pelo o trabalho.
Se duas vlans forem atribuídas ao mesmo modem, ela pode causar conflito? Um mesmo modem Cliente tratando de Cliente final, pode ter duas vlans atreladas ao mesmo equipamento?
Boa noite,
estou a fazer um trabalho para a escola e surgiu-me uma dúvida.
Qual será a melhor forma para as VLANs do Switch comunicarem com o Router?
Encapsulamento? É que quando faço isso, as VLANs passam a comunicar umas com as outras,
Alguém me pode ajudar?
obrigado
Gostei deste artigo. Me ajudou e me vai ajudar bastante. Explicacao clara e detalhada