As VLANs estão por toda parte. Você pode encontrá-los na maioria das organizações com uma rede configurada corretamente. Caso não seja óbvio, VLAN significa “Rede Local Virtual”, e eles são onipresentes em qualquer rede moderna além do tamanho de uma pequena rede doméstica ou de um pequeno escritório.
Existem alguns protocolos diferentes, muitos dos quais são específicos do fornecedor, mas em sua essência, cada VLAN faz quase a mesma coisa e os benefícios da escala de VLAN conforme sua rede cresce em tamanho e complexidade organizacional.
Essas vantagens são uma grande parte do motivo pelo qual as VLANs são tão utilizadas por redes profissionais de todos os tamanhos. Na verdade, seria difícil gerenciar ou dimensionar redes sem eles.
Os benefícios e a escalabilidade das VLANs explicam por que se tornaram tão onipresentes em ambientes de rede modernos. Seria difícil gerenciar ou escalar até mesmo redes moderadamente complexas com o usuário de VLANs.
O que é uma VLAN?
Ok, então você conhece a sigla, mas o que exatamente é uma VLAN? O conceito básico deve ser familiar para qualquer pessoa que já trabalhou ou usou servidores virtuais.
Pense por um segundo em como as máquinas virtuais funcionam. Vários servidores virtuais residem em uma peça física de hardware que está executando um sistema operacional e hipervisor para criar e executar os servidores virtuais em um único servidor físico. Por meio da virtualização, você pode transformar efetivamente um único computador físico em vários computadores virtuais, cada um disponível para tarefas e usuários separados.
As LANs virtuais funcionam da mesma maneira que os servidores virtuais. Um ou mais switches gerenciados executam o software (semelhante ao software hipervisor) que permite que os switches criem vários switches virtuais em uma rede física.
Cada switch virtual é sua própria rede independente. A principal diferença entre os servidores virtuais e as LANs virtuais é que as LANs virtuais podem ser distribuídas por várias peças físicas de hardware com um cabo designado chamado tronco.
Como funciona
Imagine que você esteja administrando uma rede para uma pequena empresa em crescimento, adicionando funcionários, dividindo-a em departamentos separados e tornando-se mais complexa e organizada.
Para responder a essas mudanças, você atualizou para um switch de 24 portas para acomodar novos dispositivos na rede.
Você pode considerar apenas executar um cabo Ethernet para cada um dos novos dispositivos e chamar a tarefa concluída, mas o problema é que o armazenamento de arquivos e os serviços usados por cada departamento devem ser mantidos separados. As VLANs são a melhor maneira de fazer isso.
Na interface da web do switch, você pode configurar três VLANs separadas, uma para cada departamento. A maneira mais simples de dividi-los é por números de porta. Você poderia atribuir as portas 1-8 ao primeiro departamento, atribuir as portas 9-16 ao segundo departamento e, finalmente, atribuir as portas 17-24 g ao último departamento. Agora você organizou sua rede física em três redes virtuais.
O software no switch pode gerenciar o tráfego entre os clientes em cada VLAN. Cada VLAN atua como sua própria rede e não pode interagir diretamente com as outras VLANs. Agora, cada departamento tem sua própria rede menor, menos confusa e mais eficiente, e você pode gerenciá-los por meio do mesmo hardware. Esta é uma maneira muito eficiente e econômica de gerenciar uma rede.
Quando precisar que os departamentos possam interagir, você pode fazer com que eles façam isso por meio do roteador na rede. O roteador pode regular e controlar o tráfego entre as VLANs e aplicar regras de segurança mais fortes.
Em muitos casos, os departamentos precisarão trabalhar juntos e interagir. Você pode implementar a comunicação entre as redes virtuais por meio do roteador, definindo regras de segurança para garantir a segurança e privacidade adequadas das redes virtuais individuais.
VLAN vs. Sub-rede
VLANs e sub-redes são bastante semelhantes e têm funções semelhantes. Ambas as sub-redes e VLANs dividem redes e domínios de broadcast. Em ambos os casos, as interações entre subdivisões só podem ocorrer por meio de um roteador.
As diferenças entre eles vêm na forma de sua implementação e como alteram a estrutura da rede.
Sub-rede de endereço IP
As sub-redes existem na camada 3 do modelo OSI, a camada de rede. As sub-redes são uma construção de nível de rede e são tratadas com roteadores, organizando-se em torno de endereços IP.
Os roteadores criam intervalos de endereços IP e negociam as conexões entre eles. Isso coloca todo o estresse do gerenciamento de rede no roteador. As sub-redes também podem se tornar complicadas à medida que sua rede aumenta em tamanho e complexidade.
VLAN
As VLANs encontram seu lar na Camada 2 do Modelo OSI. O nível do link de dados está mais próximo do hardware e menos abstrato. LANs virtuais emulam hardware agindo como switches individuais.
No entanto, as LANs virtuais são capazes de dividir os domínios de broadcast sem a necessidade de se conectar novamente a um roteador, tirando parte da carga de gerenciamento do roteador.
Como as VLANs são suas próprias redes virtuais, elas precisam se comportar como se tivessem um roteador embutido. Como resultado, as VLANs contêm pelo menos uma sub-rede e podem oferecer suporte a várias sub-redes.
As VLANs distribuem a carga da rede e. vários switches podem controlar o tráfego dentro de VLANs sem envolver o roteador, tornando o sistema mais eficiente.
Vantagens de VLANs
Até agora, você já viu algumas das vantagens que as VLANs trazem para a mesa. Apenas em virtude do que fazem, as VLANs têm vários atributos valiosos.
As VLANs ajudam na segurança. A compartimentação do tráfego limita qualquer oportunidade de acesso não autorizado a partes de uma rede. Também ajuda a impedir a disseminação de software malicioso, caso algum entre na rede. Os intrusos potenciais não podem usar ferramentas como o Wireshark para farejar pacotes em qualquer lugar além da LAN virtual em que estão, limitando essa ameaça também.
A eficiência da rede é um grande negócio. A implementação de VLANs pode economizar ou custar milhares de dólares a uma empresa. A divisão dos domínios de broadcast aumenta muito a eficiência da rede, limitando o número de dispositivos envolvidos na comunicação ao mesmo tempo. A VLAN diminui a necessidade de implantar roteadores para gerenciar redes.
Freqüentemente, os engenheiros de rede optam por construir LANs virtuais por serviço, separando o tráfego importante ou intensivo da rede, como uma rede de área de armazenamento (SAN) ou voz sobre IP (VOIP). Alguns switches também permitem que um administrador priorize VLANs, fornecendo mais recursos para tráfego mais exigente e crítico em falta.
Seria terrível precisar construir uma rede física independente para separar o tráfego. Imagine o emaranhado complicado de cabos que você teria que batalhar para fazer alterações. Isso para não falar do aumento do custo de hardware e do consumo de energia. Também seria extremamente inflexível. As VLANs resolvem todos esses problemas virtualizando vários switches em um único hardware.
As VLANs fornecem um alto grau de flexibilidade aos administradores de rede por meio de uma interface de software conveniente. Digamos que dois departamentos trocam de escritório. A equipe de TI precisa mover o hardware para acomodar a mudança? Não. Eles podem apenas reatribuir portas nos switches às VLANs corretas. Algumas configurações de VLAN nem mesmo exigiriam isso. Eles se adaptariam dinamicamente. Essas VLANs não requerem portas atribuídas. Em vez disso, eles são baseados em endereços MAC ou IP. De qualquer forma, não há necessidade de embaralhar interruptores ou cabos. É muito mais eficiente e econômico implementar uma solução de software para alterar a localização de uma rede do que mover o hardware físico.
VLANs estáticas vs. dinâmicas
Existem dois tipos básicos de VLANs, categorizados pela forma como as máquinas são conectadas a eles. Cada tipo possui pontos fortes e fracos que devem ser levados em consideração com base na situação particular da rede.
VLAN estática
As VLANs estáticas são freqüentemente chamadas de VLANs baseadas em porta porque os dispositivos se unem conectando-se a uma porta atribuída. Este guia usou apenas VLANs estáticas como exemplos até agora.
Ao configurar uma rede com VLANs estáticas, um engenheiro dividiria um switch por suas portas e atribuiria cada porta a uma VLAN. Qualquer dispositivo que se conecte a essa porta física irá ingressar nessa VLAN.
As VLANs estáticas fornecem redes muito simples e fáceis de configurar, sem muita dependência de software. No entanto, é difícil restringir o acesso dentro de um local físico porque um indivíduo pode simplesmente conectar. As VLANs estáticas também exigem que um administrador de rede altere as atribuições de porta no caso de alguém na rede mudar de local físico.
VLAN dinâmica
As VLANs dinâmicas dependem muito de software e permitem um alto grau de flexibilidade. Um administrador pode atribuir endereços MAC e IP a VLANs específicas, permitindo a movimentação desimpedida no espaço físico. As máquinas em uma LAN virtual dinâmica podem se mover para qualquer lugar da rede e permanecer na mesma VLAN.
Embora as VLANs dinâmicas sejam imbatíveis em termos de adaptabilidade, elas têm algumas desvantagens sérias. Um switch high-end deve assumir a função de um servidor conhecido como VLAN Management Policy Server (VMPS (para armazenar e fornecer informações de endereço para os outros switches na rede. Um VMPS, como qualquer servidor, requer gerenciamento e manutenção regulares) e está sujeito a um possível tempo de inatividade.
Os invasores podem falsificar endereços MAC e obter acesso a VLANs dinâmicas, adicionando outro desafio de segurança potencial.
Configurando uma VLAN
O que você precisa
Existem alguns itens básicos que você precisa para configurar uma VLAN ou várias VLANs. Como afirmado antes, existem vários padrões diferentes, mas o mais universal é o IEEE 802.1Q. Esse é o que este exemplo seguirá.
Roteador
Tecnicamente, você não precisa de um roteador para configurar uma VLAN, mas se quiser que várias VLANs interajam, você vai precisar de um roteador.
Muitos roteadores modernos oferecem suporte à funcionalidade VLAN de uma forma ou de outra. Os roteadores domésticos podem não oferecer suporte a VLAN ou apenas em uma capacidade limitada. Firmware customizado como DD-WRT oferece suporte mais completo.
Falando em custom, você não precisa de um roteador pronto para usar para trabalhar com suas LANs virtuais. O firmware do roteador personalizado é normalmente baseado em um sistema operacional semelhante ao Unix, como Linux ou FreeBSD, então você pode construir seu próprio roteador usando qualquer um desses sistemas operacionais de código aberto.
Todas as funcionalidades de roteamento de que você precisa estão disponíveis para Linux, e você pode configurar uma instalação do Linux de forma personalizada para personalizar seu roteador para atender às suas necessidades específicas. Para algo que é mais completo em recursos, dê uma olhada no pfSense. pfSense é uma excelente distribuição do FreeBSD construída para ser uma solução robusta de roteamento de código aberto. Ele oferece suporte a VLANs e inclui um firewall para proteger melhor o tráfego entre suas redes virtuais.
Qualquer que seja a rota escolhida, certifique-se de que ela oferece suporte aos recursos de VLAN de que você precisa.
Switch gerenciado
Os switches estão no centro da rede VLAN. Eles são onde a mágica acontece. No entanto, você precisa de um switch gerenciado para aproveitar as vantagens da funcionalidade de VLAN.
Para levar as coisas um nível mais alto, literalmente, existem switches gerenciados da Camada 3 disponíveis. Esses switches são capazes de lidar com algum tráfego de rede da Camada 3 e podem tomar o lugar de um roteador em algumas situações.
É importante ter em mente que esses switches não são roteadores e sua funcionalidade é limitada. Os switches da Camada 3 diminuem a probabilidade de latência da rede, o que pode ser crítico em alguns ambientes onde é crítico ter uma rede de latência muito baixa.
Placas de interface de rede do cliente (NICs)
As NICs que você usa em suas máquinas cliente devem oferecer suporte a 802.1Q. Provavelmente sim, mas é algo a se examinar antes de seguir em frente.
Configuração básica
Aqui está a parte difícil. Existem milhares de possibilidades diferentes de como você pode configurar sua rede. Nenhum guia pode abranger todos eles. Em seu cerne, as idéias por trás de quase qualquer configuração são as mesmas, assim como o processo geral.
Configurando o roteador
Você pode começar de duas maneiras diferentes. Você pode conectar o roteador a cada switch ou a cada VLAN. Se você optar por apenas cada switch, precisará configurar o roteador para diferenciar o tráfego.
Você pode então configurar seu roteador para lidar com a passagem de tráfego entre VLANs.
Configurando os interruptores
Supondo que sejam VLANs estáticas, você pode entrar no utilitário de gerenciamento de VLAN de seu switch por meio de sua interface da web e começar a atribuir portas a diferentes VLANs. Muitos switches usam um layout de tabela que permite marcar opções para as portas.
Se você estiver usando vários switches, atribua uma das portas a todas as suas VLANs e defina-a como uma porta de tronco. Faça isso em cada switch. Em seguida, use essas portas para se conectar entre os switches e espalhar suas VLANs por vários dispositivos.
Conectando clientes
Finalmente, conseguir clientes na rede é bastante autoexplicativo. Conecte suas máquinas cliente às portas correspondentes às VLANs em que você deseja que elas estejam.
VLAN em casa
Mesmo que não seja visto como uma combinação lógica, as VLANs, na verdade, têm uma ótima aplicação no espaço de rede doméstica, redes de convidados. Se você não deseja configurar uma rede WPA2 Enterprise em sua casa e criar individualmente credenciais de login para seus amigos e familiares, você pode usar VLANs para restringir o acesso de seus convidados aos arquivos e serviços em sua rede doméstica.
Muitos roteadores domésticos de última geração e firmware de roteador personalizado suportam a criação de VLANs básicas. Você pode configurar uma VLAN de convidado com suas próprias informações de login para permitir que seus amigos conectem seus dispositivos móveis. Se o seu roteador for compatível, uma VLAN de convidado é uma ótima camada de segurança adicional para evitar que o laptop repleto de vírus do seu amigo bagunce sua rede limpa.