O termo VLAN (Virtual LANs – redes locais virtuais) não é propriamente novo para os leitores do Pplware. Em finais de 2010, escrevemos aqui um artigo sobre VLANs e também quais os benefícios numa rede de dados.
Hoje vamos apresentar mais alguns conceitos e ensinar a configurar num switch Cisco.
Afinal o que é uma VLAN?
Devido ao crescimento e complexidade das redes informáticas, é muito comum nos dias de hoje que a rede física seja “dividida” em vários segmentos lógicos, denominadas de VLANs. Uma VLAN é basicamente uma rede lógica onde podemos agrupar várias máquinas de acordo com vários critérios (ex. grupos de utilizadores, por departamentos, tipo de tráfego, etc).
As VLANs permitem a segmentação das redes físicas, sendo que a comunicação entre máquinas de VLANs diferentes terá de passar obrigatoriamente por um router ou outro equipamento capaz de realizar encaminhamento (routing), que será responsável por encaminhar o tráfego entre redes (VLANs) distintas. De referir ainda que uma VLAN define um domínio de broadcast (ou seja, um brodcast apenas chega aos equipamentos de uma mesma VLAN). As VLANs oferecem ainda outras vantagens das quais se destacam: segurança, escalabilidade, flexibilidade, redução de custos, etc.
No exemplo da imagem a seguir temos 2 VLANs criadas no switch (VLAN 100 e VLAN 200). Na VLAN 100 temos o Host A e o Host B. Na VLAN 200 temos o Host C e o Host D. Num switch podemos configurar várias VLANs criando assim vários domínios de broadcast – o tráfego de uma VLAN não é enviado para outra VLAN. Para que tal aconteça é necessário que haja encaminhamento (por exemplo através de um router). Assim, neste exemplo, independentemente das máquinas estarem ligadas ao mesmo equipamento físico, o Host A só consegue comunicar com o Host B (e vice-versa) e o mesmo acontece com o Host C e o Host D.
Quando ter uma rede física segmentada em VLANs?
Imaginem, por exemplo, que foram contactados para implementar uma rede numa Universidade. Considerando que vamos ter utilizadores/serviços/perfis distintos (ex. Apoio à Direção, pessoal da contabilidade, pessoal dos recursos humanos, externos, etc) a ligarem-se à mesma rede física. Nesse sentido é importante que as máquinas estejam em redes separadas (mesmo estando ligadas no mesmo switch ou segmento de rede). Não faz sentido (essencialmente por questões de segurança), que um utilizador (ex.um aluno), se ligue à mesma rede onde estão os utilizadores que fazem parte do serviço da contabilidade.
Vejam o seguinte cenário para um edifício: 3 grupos distintos de utilizadores que pertencem à contabilidade, gestão de recursos humanos e apoio à direção. Os utilizadores dos três serviços encontram-se distribuídos pelos vários pisos no mesmo edifício, mas em termos de rede (uma que vez foram configuradas VLANs), encontram-se na rede (VLAN) definida para cada serviço.
A comunicação entre utilizadores de serviços diferentes só é possível, se configurado o encaminhamento no router.
A constituição de VLANs numa rede física, pode dever-se a questões de:
- Organização – diferentes departamentos/serviços podem ter a sua própria VLAN. De referir que a mesma VLAN pode ser configurada ao longo de vários switchs, permitindo assim que utilizadores do mesmo departamento/serviço estejam em locais físicos distintos (ex. Utilizador A – Polo 1, utilizador B – Polo 2) da mesma instituição;
- Segurança– Pelas questões que já foram referidas acima, ou por exemplo para que os utilizadores de uma rede não tenham acesso a determinados servidores;
- Segmentação– Permite dividir a rede física, em redes lógicas mais pequenas e assim tem um melhor controlo/gestão a nível de utilização/tráfego.
VLANs – Tipo de portas
Um switch com a capacidade para criação de VLAN suporta dois tipos de portas:
- Portas de Acesso (ligações de acesso)
- Portas Trunk (ligações partilhadas)
Uma Porta de Acesso (access), permite associar uma porta do switch a uma vlan. As portas do tipo acesso são usadas para ligar PCs, impressoras, etc. Por omissão, todas as portas do switch vêm configuradas na VLAN 1.
Uma Porta Trunk, normalmente usada para interligação de switchs ou ligação a routers, e permite a passagem de tráfego de várias VLANs. Configurando uma porta como trunk, todo o tráfego de todas as VLANs criadas no switch podem passar por lá, no entanto o administrador pode limitar ao número de VLANs que pretender. Como podem ver pela imagem seguinte, a ligação entre o switch A e o Switch B é realizado através de portas Trunk isto porque, no mesmo link, é necessário passar tráfego da VLAN 100 e 200.
Como configurar?
Para este artigo vamos considerar o exemplo anterior. Vamos também definir o seguinte endereçamento:
- VLAN 100: 192.168.100.0/24
- VLAN 200: 192.168.200.0/24
Para começar vamos criar as VLANs no switch A e depois associar a porta Fa0/2 e Fa0/3 à VLAN 100 e a Fa0/4 à VLAN 200. Vamos ainda atribuir o nome Estudantes à VLAN 100 e Docentes à VLAN 200. Para tal, entramos no SwitchA e realizamos as seguintes configurações:
SwitchA> enable
SwitchA# configure terminal
SwitchA(config)#vlan 100
SwitchA(config-vlan)#name estudantes
SwitchA(config-vlan)#vlan 200
SwitchA(config-vlan)#name docentes
SwitchA(config-vlan)#exit
SwitchA(config)#interface fastEthernet 0/2
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 100
SwitchA(config-if)#interface fastEthernet 0/3
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 100
SwitchA(config-if)#interface fastEthernet 0/4
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 200
Devem realizar uma configuração semelhante para o SwitchB
SwitchB> enable
SwitchB# configure terminal
SwitchB(config)#vlan 100
SwitchB(config-vlan)#name estudantes
SwitchB(config-vlan)#vlan 200
SwitchB(config-vlan)#name docentes
SwitchB(config-vlan)#exit
SwitchB(config)#interface fastEthernet 0/2
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 100
SwitchB(config-if)#interface fastEthernet 0/3
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 200
SwitchB(config-if)#interface fastEthernet 0/4
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 200
Por fim vamos configurar as portas trunk. Para tal vamos ao SwitchA, e definimos a porta fastEthernet 0/1 como Trunk.
SwitchA(config-if)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode trunk
Devem realizar uma configuração semelhante para o SwitchB
SwitchB(config-if)#interface fastEthernet 0/1
SwitchB(config-if)#switchport mode trunk
Caso pretendam ver as VLANS por porta, podem executar o comando show vlan
Testes
Vamos agora verificar se há comunicação entre máquinas da mesma VLAN, ligadas a switchs diferentes. Para a realização de testes vamos tentar pingar do PC0 para o PC3 (que pertencem à VLAN 100). Em seguida vamos pingar do PC2 para para PC5 (que pertencem à VLAN 200).
Comunicação entre PC0 e PC3
Comunicação entre PC2 e PC5
Espero que tenham percebido o conceito de VLAN, e caso queiram colocar em prática podem sempre consultar a data sheet dos vossos switchs para saber se suportam VLANS. Alguém usa esta tecnologia?
Existem ainda outros conceitos dentro do assunto das VLANs como por exemplo VTP, trunking (protocolo 802.1Q ou ISL da Cisco), subinterfaces, etc. Esperamos trazer estes temas em próximos artigos.