Os Prós e Contras das VLANs
por
em 24-10-2009 às 13:36 (50846 Visualizações)
O conceito de VLAN é praticamente tão antigo quanto os switchs e normalmente é um recurso que todos os switchs gerenciáveis possuem (desconheço um único modelo de switch gerenciável que não suporte VLAN). No entanto o muitos usam VLAN sem conhecer os seus detalhes, isso faz com que as vezes esse recurso seja utilizado sem necessidade (causando problemas) ou deixe de ser usado quando seria importante (onde resolveria problemas).
Quando se deve usar VLANs, quais são seus benefícios e quais são as dificuldades que o uso das VLANs acarreta? Vamos responder essas perguntas, mas antes vamos rever o conceito de VLAN
O Que É VLAN
[pic=right]http://under-linux.org/wiki/images/5/57/Vlan_tutoria.jpg[/pic]
Existem várias definições técnicas para VLAN, mas a meu ver nenhuma delas ajuda a entender realmente o seu funcionamento. Prefiro a definição prática: VLAN é quando você divide um switch em partes que não se conversam diretamente.
Exemplo: tenho um switch com 24 portas Ethernet. Configuro as portas 1, 2, 5, 6 e 20 na VLAN 12 (as VLANs são identificadas por números, de 0 a 4096) e as portas 2, 4 e 23 na VLAN 15. Nenhum equipamento da VLAN 12 envia pacotes diretamente (vamos falar sobre o envio indireto, através de roteador, mais na frente) para a VLAN 15. A coisa é tão forte, que posso ter um equipamento com IP 192.168.0.5 na porta 2 e outro com o mesmo IP na porta 23 e não haverá conflito de endereços na rede (teremos problema de roteamento se isso for feito, mas ai é outra história).
Assim VLAN isola grupos de computadores. Simples assim, VLAN é isso. O poder da VLAN está nas consequências dessa separação (e as dificuldades também estão nesse fator).
Tipos de VLANs
Existem várias maneiras de se criar VLANs (ou seja, existem vários tipos de VLAN). Vou citar apenas os tipos principais (se alguém quiser contribuir com mais exemplos de tipos de VLAN, por favor ajude colocando nos comentários abaixo).
VLAN por Porta
Este é o tipo mais comum. O administrador indica qual a VLAN de cada porta e pronto. Quando se espeta um equipamento naquela porta, ele está preso naquela VLAN. Se mudar de porta, pode mudar de VLAN.
VLAN por MAC Address
O administrador configura no switch qual a VLAN de cada MAC Address. Assim cada equipamento da rede pertencerá a uma VLAN, independentemente da porta do switch aonde ele esteja.
Esse método dá bastante trabalho ao administrador, principalmente em redes grandes e com vários switchs. Normalmente é adotado em redes menores.
VLAN por Autenticação 802.1x
A pouco tempo atrás escrevi um artigo sobre o 802.1x (http://under-linux.org/b1082-o-que-e...para-que-serve), que é um método de autenticação de rede. Ao ser autenticado, o servidor de autenticação pode, entre outras coisas, informar a VLAN do usuário.
Assim, quando se usa 802.1x temos vários níveis de segurança: a segurança de que apenas usuários autorizados entrem na rede e a segurança de que os usuários autorizados vão acessar apenas sua VLAN.
Vantagens do Uso das VLAN
Por ser algo simples, a VLAN tem apenas uma função: impedir que equipamentos de VLAN diferentes se falem diretamente. Então vamos responder à pergunta: que tipo de problemas a VLAN resolve?
Existem vários momentos em que o administrador de uma rede vê necessidade de separar a rede em pedaços.
Redução do Broadcast
Em primeiro lugar vem a divisão da rede em partes para diminuir broadcast. Quando um equipamento envia um broadcast para a rede (por exemplo ARP, RARP ou requisição DHCP) esse pacote chega a todos os outros equipamentos daquela VLAN. Em redes pequenas o broadcast não é problema, mas em redes maiores isso pode ser desperdício de banda importante. Ao separar a rede em pedaços, o administrador limita a alcance de cada broadcast e controla o problema.
Segurança Dentro da Rede e Isolação de Usuários
A segunda aplicação das VLANs é garantir segurança. Nesse caso podemos ter várias situações onde esse benefício é útil. Pode ser dentro de um provedor, que quer evitar que um cliente cause problemas em outros, quer seja por receio de existir um hacker entre os clientes, quer seja por receio de que um cliente com vírus contamine outros. Neste caso a separação em VLANs impede que usuários se enxerguem e causem problemas entre si.
Ainda dentro da questão de segurança, as VLANs podem ser utilizadas em projetos de cidades digitais, aonde a prefeitura contrata uma rede wireless e dentro dela coloca vários serviços: acesso Internet para a população, acesso Internet para as escolas, comunicação entre os postos de saúde, etc. Cada um desses serviços é realizado em uma VLAN diferente.
Para finalizar os comentários sobre segurança, dentro de uma empresa, o administrador pode usar VLANs para separar os departamentos (diretoria, vendas, marketing, call-center, etc.) de forma que um problema em uma rede não afete as demais. Esse problema pode ser um funcionário-hacker ou um funcionário-problema (do tipo que tenta "fuçar" nas configurações e causa conflito de endereço IP na rede).
Dificuldades do Uso das VLAN
Para ser bem sincero não sabia que nome dar a este capítulo. Na verdade a VLAN não causa "dificuldades" nem tráz problemas, o uso de VLAN tem apenas algumas consequências que o administrador precisa estar atento, mas não são na verdade problemas.
Roteamento
A primeira questão no uso das VLANs é: como interconectar as redes que foram separadas pelas VLANs? Neste caso é necessário um roteador (ou um switch com capacidade de roteamento, os chamados switchs L3). A questão é que sempre que colocamos um equipamento L3 no caminho, temos um atraso maior. É verdade que hoje em dia os switchs L3 são muito rápidos e o atraso que eles trazem é pequeno, mas existe.
Assim o administrador de uma rede com VLAN necessita de um equipamento (pode ser um switch L3, um Linux, etc.) para atuar na camada de roteamento e interconectar. Neste caso também se aplica o uso de um firewall que além de rotear vai permitir a criação das regras de segurança que irão reforçar o que já foi dito acima sobre segurança.
Organização
Em uma rede sem VLAN, é muito comum este tipo de dialogo:
Administrador: - Zé, me dá um endereço IP livre.
Zé: - Perai...
Neste momento o Zé abre uma janela de console, digita "ping 192.168.0.140", espera um pouco.
Zé: - Usa o final 140 que tá livre
Em uma rede com VLAN isso fica mais complicado. É necessário uma organização por parte do administrador que muitas vezes não existia quando não havia VLAN.
Agora são VLANs diferentes, cada porta do switch pertence a uma VLAN, com default gateways diferentes.
Para ser bem sincero eu estava na dúvida se este item era mesmo uma desvantagem da VLAN. Organização é sempre importante e como a VLAN obriga o administrador a ser organizado, me parece mais um benefício que um problema. Mas como tudo que "dá mais trabalho" é tido como desvantagem, deixei aqui mesmo.
Aplicações Diversas VLAN
Eu tenho certeza que na comunidade Under-Linux tem bastante gente que usa VLAN para resolver problemas diferentes ou em situações interessantes (as vezes raras). Assim, se você que está lendo este meu artigo tiver alguma aplicação criativa de VLAN que você tenha participado ou use, por favor compartilhe com a gente, conte sua história em um comentário abaixo.
Saiba Mais:
Definição de VLAN no Wikipedia
Download de Autotreinamento Sobre VLANs
Comentários
+ Enviar Comentário