VLAN

O que é uma VLAN?

Redes comutadas segmentam domínios de colisão, porém, a rede segue sendo um grande domínio de broadcast, o que pode limitar seu tamanho e causar problemas de performance. Devido a esses e outros factores, redes comutadas precisam implementar recursos que permitam a segmentação dos domínios de broadcast. Isso pode ser alcançado por meio da inserção de roteadores na rede ou da segmentação da rede em LANs virtuais (VLANs), assunto que estaremos abordando.

VLAN constitui parte fundamental da infraestrutura de rede em ambientes corporativos e mesmo em redes domésticas mais avançadas. É uma forma de segmentar um grande domínio de Broadcast sem a necessidade de se utilizar um dispositivo de camada 3 (Router). Podemos dizer que, criar VLAN significa segmentar a rede, permitindo a divisão de domínios de Broadcast.

Benefícios

Algumas das grandes vantagens que obtemos ao criar VLANs são:

• Isolamento de tráfego;
• Flexibilidade e Escalabilidade;
• Melhor segurança e controle de acesso aos recursos da rede;
• Redução de Custos;
• Rápida resolução de problemas;
• Segmentação de domínios de broadcast;

Tipos de VLANs

1. VLAN de Dados: usada para transportar dados. Geralmente usada para conectar dipositivos de usuário final, como computadores e impressoras;
2. VLAN de Voz: projectada para transportar tráfego de voz sobre IP (VoIP). Garante qualidade de serviços (QoS) para tráfego de voz, chamadas claras e sem interrupções.
3. VLAN Nativa: transporta todo o tráfego não etiquetado e por padrão é a VLAN 1.
4. VLAN de Convidado: isola o tráfego de visitantes em uma rede separada. Muito usada em ambientes corporativos para fornecer acessos à internet a convidados sem comprometer a segurança da rede principal.

Implementação

1. Intervalos de VLANS

1. VLANs de alcance normal: VLAN 1 a 1005, onde os IDs de 1002 a 1005 são reservados para Token Ring e Fiber Distributed Data Interface (FDDI);
2. VLANS de alcance estendido: 1006 a 4096.

2. Identificação de VLANs

Para se identificar e distinguir VLANs em um meio compartilhado foi criado o método conhecido como frame tagging (marcação de quadro). Esse método permite aos switches que direcionem os quadros para as portas de saída associadas às VLANs correctas. Quando usamos VLANs temos de conhecer os dois possíveis tipos de porta:

• Portas de acesso (access port): geralmente são portas conectadas aos dispositivos finais (PCs, impressoras, servidores), etc.
• Portas de Transporte (trunk port): normalmente são usadas em uplinks entre switches. Este tipo de porta transporta frames com a devida identificação de VLAN (tagging), de um switch para outro na rede. Portas de transporte podem transmitir frames originados em múltiplas VLANs. De forma simplista, seria como associar uma única porta a várias VLANs simultaneamente. Além de uplinks entre switches essas portas podem ser usadas em conexões entre switches e routers e mesmo entre switches e servidores.

Existem várias técnicas de marcação de quadro, sendo que as mais comum são:

• IEEE 802.1Q: padronizado pelo IEEE, é o método mais utilizado. Adiciona um cabeçalho de 4 bytes ao quadro ethernet original, conhecido como “tag”. Este cabeçalho contém informações sobre a VLAN à qual o quadro pertence, permitindo que os switches identifiquem e encaminhem o tráfego da VLAN correctamente.
• ISL (Inter-Switch Link): técnica proprietária da Cisco, o ISL adiciona um cabeçalho ao quadro ethernet, mas ele encapsula todo o quadro original, em vez de apenas adicionar o cabeçalho.

3. Roteamento entre VLANs

O roteamento entre VLANs é o processo de encaminhamento de tráfego de rede de uma VLAN para outra. É uma técnica que permite a comunicação entre redes virtuais dentro de uma rede local. Ou seja, os hosts em uma determinada VLAN não podem se comunicar com os hosts em outra VLAN, a menos que haja um roteador ou switch Layer 3 (switch de camada 3) para fornecer serviços de roteamento.

Existem três opções de roteamento entre VLANs:

a)  Roteamento Inter-VLAN legado: Consiste na implementação de roteamento entre redes VLAN usando um roteador físico separado para cada interconexão. Deste modo, cada VLAN tem a sua própria interface física no roteador e é roteada separadamente das outras. Esse método é pouco comum, pelas limitações de escalabilidade, complexidade de gerenciamento e eficiência dos recursos.

b)  Router-on-a-Stick: Requer apenas uma interface física para rotear o tráfego entre várias VLANs em uma rede. Obtém-se através de uma conexão tronco entre o switch e o roteador. Subinterfaces lógicas são configuradas no roteador correspondendo a cada VLAN para rotear o tráfego entre elas.

c)  Switch de camada 3 SVI (Switched Virtual Interface): com o uso de SVIs, o Switch pode criar interfaces virtuais para cada VLAN configuradas nele. Essas interfaces virtuais são usadas para realizar o roteamento entre VLANs directamente no switch, sem a necessidade de um roteador externo.

4. Melhores práticas para implementar VLANs:

1. Planejamento cuidadoso: antes de implementar VLANs, planifique sua arquitectura, incluindo segmentação da rede, requisitos de segurança e os endereços IP;
2. Documentação completa: mantenha sempre a documentação detalhada sobre a configuração de VLANs, informações sobre dispositivos, endereços IPs e políticas de segurança;
3. Segurança Robusta: implemente fortes políticas de segurança, para garantir que o tráfego entre VLANs seja estritamente controlado e o acesso não autorizado impedido;
4. Testes Regulares: faça testes regulares para certificar que as VLANs estejam configuradas correctamente.