Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

Os Prós e Contras das VLANs

Avaliação: 10 votos, 5,00 média.
O conceito de VLAN é praticamente tão antigo quanto os switchs e normalmente é um recurso que todos os switchs gerenciáveis possuem (desconheço um único modelo de switch gerenciável que não suporte VLAN). No entanto o muitos usam VLAN sem conhecer os seus detalhes, isso faz com que as vezes esse recurso seja utilizado sem necessidade (causando problemas) ou deixe de ser usado quando seria importante (onde resolveria problemas).

Quando se deve usar VLANs, quais são seus benefícios e quais são as dificuldades que o uso das VLANs acarreta? Vamos responder essas perguntas, mas antes vamos rever o conceito de VLAN

O Que É VLAN
[pic=right]http://under-linux.org/wiki/images/5/57/Vlan_tutoria.jpg[/pic]
Existem várias definições técnicas para VLAN, mas a meu ver nenhuma delas ajuda a entender realmente o seu funcionamento. Prefiro a definição prática: VLAN é quando você divide um switch em partes que não se conversam diretamente.

Exemplo: tenho um switch com 24 portas Ethernet. Configuro as portas 1, 2, 5, 6 e 20 na VLAN 12 (as VLANs são identificadas por números, de 0 a 4096) e as portas 2, 4 e 23 na VLAN 15. Nenhum equipamento da VLAN 12 envia pacotes diretamente (vamos falar sobre o envio indireto, através de roteador, mais na frente) para a VLAN 15. A coisa é tão forte, que posso ter um equipamento com IP 192.168.0.5 na porta 2 e outro com o mesmo IP na porta 23 e não haverá conflito de endereços na rede (teremos problema de roteamento se isso for feito, mas ai é outra história).

Assim VLAN isola grupos de computadores. Simples assim, VLAN é isso. O poder da VLAN está nas consequências dessa separação (e as dificuldades também estão nesse fator).

Tipos de VLANs

Existem várias maneiras de se criar VLANs (ou seja, existem vários tipos de VLAN). Vou citar apenas os tipos principais (se alguém quiser contribuir com mais exemplos de tipos de VLAN, por favor ajude colocando nos comentários abaixo).

VLAN por Porta

Este é o tipo mais comum. O administrador indica qual a VLAN de cada porta e pronto. Quando se espeta um equipamento naquela porta, ele está preso naquela VLAN. Se mudar de porta, pode mudar de VLAN.

VLAN por MAC Address

O administrador configura no switch qual a VLAN de cada MAC Address. Assim cada equipamento da rede pertencerá a uma VLAN, independentemente da porta do switch aonde ele esteja.

Esse método dá bastante trabalho ao administrador, principalmente em redes grandes e com vários switchs. Normalmente é adotado em redes menores.

VLAN por Autenticação 802.1x

A pouco tempo atrás escrevi um artigo sobre o 802.1x (http://under-linux.org/b1082-o-que-e...para-que-serve), que é um método de autenticação de rede. Ao ser autenticado, o servidor de autenticação pode, entre outras coisas, informar a VLAN do usuário.

Assim, quando se usa 802.1x temos vários níveis de segurança: a segurança de que apenas usuários autorizados entrem na rede e a segurança de que os usuários autorizados vão acessar apenas sua VLAN.

Vantagens do Uso das VLAN

Por ser algo simples, a VLAN tem apenas uma função: impedir que equipamentos de VLAN diferentes se falem diretamente. Então vamos responder à pergunta: que tipo de problemas a VLAN resolve?

Existem vários momentos em que o administrador de uma rede vê necessidade de separar a rede em pedaços.

Redução do Broadcast

Em primeiro lugar vem a divisão da rede em partes para diminuir broadcast. Quando um equipamento envia um broadcast para a rede (por exemplo ARP, RARP ou requisição DHCP) esse pacote chega a todos os outros equipamentos daquela VLAN. Em redes pequenas o broadcast não é problema, mas em redes maiores isso pode ser desperdício de banda importante. Ao separar a rede em pedaços, o administrador limita a alcance de cada broadcast e controla o problema.

Segurança Dentro da Rede e Isolação de Usuários

A segunda aplicação das VLANs é garantir segurança. Nesse caso podemos ter várias situações onde esse benefício é útil. Pode ser dentro de um provedor, que quer evitar que um cliente cause problemas em outros, quer seja por receio de existir um hacker entre os clientes, quer seja por receio de que um cliente com vírus contamine outros. Neste caso a separação em VLANs impede que usuários se enxerguem e causem problemas entre si.

Ainda dentro da questão de segurança, as VLANs podem ser utilizadas em projetos de cidades digitais, aonde a prefeitura contrata uma rede wireless e dentro dela coloca vários serviços: acesso Internet para a população, acesso Internet para as escolas, comunicação entre os postos de saúde, etc. Cada um desses serviços é realizado em uma VLAN diferente.

Para finalizar os comentários sobre segurança, dentro de uma empresa, o administrador pode usar VLANs para separar os departamentos (diretoria, vendas, marketing, call-center, etc.) de forma que um problema em uma rede não afete as demais. Esse problema pode ser um funcionário-hacker ou um funcionário-problema (do tipo que tenta "fuçar" nas configurações e causa conflito de endereço IP na rede).

Dificuldades do Uso das VLAN

Para ser bem sincero não sabia que nome dar a este capítulo. Na verdade a VLAN não causa "dificuldades" nem tráz problemas, o uso de VLAN tem apenas algumas consequências que o administrador precisa estar atento, mas não são na verdade problemas.

Roteamento

A primeira questão no uso das VLANs é: como interconectar as redes que foram separadas pelas VLANs? Neste caso é necessário um roteador (ou um switch com capacidade de roteamento, os chamados switchs L3). A questão é que sempre que colocamos um equipamento L3 no caminho, temos um atraso maior. É verdade que hoje em dia os switchs L3 são muito rápidos e o atraso que eles trazem é pequeno, mas existe.

Assim o administrador de uma rede com VLAN necessita de um equipamento (pode ser um switch L3, um Linux, etc.) para atuar na camada de roteamento e interconectar. Neste caso também se aplica o uso de um firewall que além de rotear vai permitir a criação das regras de segurança que irão reforçar o que já foi dito acima sobre segurança.

Organização

Em uma rede sem VLAN, é muito comum este tipo de dialogo:

Administrador: - Zé, me dá um endereço IP livre.
Zé: - Perai...
Neste momento o Zé abre uma janela de console, digita "ping 192.168.0.140", espera um pouco.
Zé: - Usa o final 140 que tá livre

Em uma rede com VLAN isso fica mais complicado. É necessário uma organização por parte do administrador que muitas vezes não existia quando não havia VLAN.

Agora são VLANs diferentes, cada porta do switch pertence a uma VLAN, com default gateways diferentes.

Para ser bem sincero eu estava na dúvida se este item era mesmo uma desvantagem da VLAN. Organização é sempre importante e como a VLAN obriga o administrador a ser organizado, me parece mais um benefício que um problema. Mas como tudo que "dá mais trabalho" é tido como desvantagem, deixei aqui mesmo.

Aplicações Diversas VLAN

Eu tenho certeza que na comunidade Under-Linux tem bastante gente que usa VLAN para resolver problemas diferentes ou em situações interessantes (as vezes raras). Assim, se você que está lendo este meu artigo tiver alguma aplicação criativa de VLAN que você tenha participado ou use, por favor compartilhe com a gente, conte sua história em um comentário abaixo.

Saiba Mais:

Definição de VLAN no Wikipedia

Download de Autotreinamento Sobre VLANs

Atualizado 27-10-2009 em 10:02 por mlrodrig

Categorias
Não Categorizado

Comentários

Página 2 de 2 PrimeiroPrimeiro 12
  1. Avatar de Rubens
    Olá Mlrodrig

    Vc entendeu errado...

    Tenho um setor aqui na empresa que tem 6 desktops "os chefes". MAs minha rede, no total, tem 43 desktop, todos ligados em 2 switchs gerenciaveis.
    O que preciso que aconteca é que os 6 desktops acessem toda a rede, inclusive entre eles mesmo, porem que os demais 37 desktops "empregados", não acessem os 6 desktopes dos chefes,
    me fiz entender agora?

    Obrigado pela força.
  2. Avatar de mlrodrig
    Citação Postado originalmente por Rubens
    Olá Mlrodrig

    Vc entendeu errado...

    Tenho um setor aqui na empresa que tem 6 desktops "os chefes". MAs minha rede, no total, tem 43 desktop, todos ligados em 2 switchs gerenciaveis.
    O que preciso que aconteca é que os 6 desktops acessem toda a rede, inclusive entre eles mesmo, porem que os demais 37 desktops "empregados", não acessem os 6 desktopes dos chefes,
    me fiz entender agora?

    Obrigado pela força.
    Vc quer que os desktops dos chefes acessem entre eles e acessem os 37 desktop empregados, mas não quer que os empregados acessem os desktops dos chefes?
  3. Avatar de Rubens
    [quote=mlrodrig;bt5790]Vc quer que os desktops dos chefes acessem entre eles e acessem os 37 desktop empregados, mas não quer que os empregados acessem os desktops dos chefes?[/quote]


    Isso ae. Consegue me ajudar?

    Obrigado desde já.
  4. Avatar de newsete
    Cria rotas estaticas dando permissão de acesso da rede dos chefes, aos demais pcs da rede, mas deixando isolada a rede dos empregados etendeu!?
  5. Avatar de Waldomiro
    Olá, estou com um problema e gostaria de saber se alguem tem alguma solução.
    Tenho um cliente com 10 salas, essas salas são alugadas individualmente e devem compartilhar somente internet. Hoje possui um switch 3 Com não gerenciavel e não permite a configuração de Vlan's.

    [B]Existe algum switch que permita a criação de 10 Vlan's diferentes para que cada sala fique isolada na rede?[/B]

    Estava pensando em usar [FONT=Calibri][SIZE=3][FONT=Calibri][SIZE=3]O Switch gerenciável 73-3424V que possui 24 portas 10/100Mbps e 2 portas 10/100/1000Mbps e suporta recursos avançadas como 10/100Mbps half e full duplex, MD/MDI-X auto negociação, configuração de VLANs, tag de prioridade VLAN e controle de banda.[/SIZE][/FONT][/SIZE][/FONT]
    [FONT=Calibri][SIZE=3][FONT=Calibri][SIZE=3]
    [/SIZE][/FONT][/SIZE][/FONT][B]Minha duvida é que no manual fala em apenas 2 portas Vlan's.[/B]

    [B]Obs. essa rede não tem servidor, é somente compartilhamento de banda larga.[/B]
  6. Avatar de nonoque
    Excelente material!
  7. Avatar de Umesh
    Olá... Adorei a publicação.. só para complementar estoy enviando este link para complementar:

    https://youtu.be/768i3V9ST48
Página 2 de 2 PrimeiroPrimeiro 12

+ Enviar Comentário