Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

Quais são as reais razões para se usar VLANs em uma LAN?

Avaliação: 9 votos, 4,89 média.
---


Dentro de uma rede de computadores, uma VLAN é quando você cria uma separação entre partes da rede. Você literalmente divide a rede em pedaços separados, aonde um pedaço não fala com o outro (pelo menos não diretamente). Assim temos um único switch que se conecta a todos os computadores da rede, porém o administrador informa ao switch quais computadores (ou impressoras, servidores, telefones IP, etc.) se falam diretamente e quais não podem se falar.


Assim, cada "ilha" é uma VLAN. Teremos apenas um switch real, porém várias redes virtuais (dai o termo VLAN). O conceito de VLAN pode se estender a vários switchs em uma rede grande. O conceito é o mesmo: um equipamento de uma certa VLAN (para exemplificar, vamos chamar de VLAN 10) fala diretamente com qualquer dessa mesma VLAN, estando no mesmo switch ou não. Já um equipamento que esteja conectado na VLAN 15 não consegue falar diretamente com outro da VLAN 10, estando esse outro no mesmo switch ou não.

Então quando um administrador cria VLANs em uma rede, ele está separando essas redes. Para uma VLAN poder falar com outra, é necessário um roteador ou firewall conectado a cada uma das VLANs, fazendo a ponte entre elas.

Mas qual a razão de se criar VLANs em uma rede?

Normalmente a razão mais citada é evitar a grande quantidade de broadcasts.

O que é um broadcast?

Em algumas situações os equipamentos Ethernet precisam enviar um pacote para toda a rede, ao mesmo tempo. Por exemplo, quando um computador deseja saber o endereço MAC do roteador, ele enviar o pacote para toda a rede (todos os equipamentos daquela rede recebem a requisição). Apenas o roteador responde, porém todos os equipamentos da rede receberam a requisição.

Assim, em algumas situações e em alguns momentos específicos cada equipamento da rede envia pacotes de broadcast, que acabam chegando (atrapalhando para ser mais exato) a todos os demais equipamentos da rede.

Porém o broadcast fica dentro de cada VLAN. Um broadcast na VLAN 10 chega a todos os equipamentos dessa VLAN, mas não chega a nenhum dos equipamentos das demais VLANs.

Assim uma das razões de se dividir a rede em VLANs é diminuir a quantidade de broadcasts que cada equipamento recebe. Um computador em uma rede de 1000 computadores vai receber o dobro de broadcast do que se ele estivesse em uma rede de 500 computadores. Assim se eu dividir uma rede de 1000 equipamentos em duas VLANs de 500 máquinas, eu reduzo automaticamente para a metade a quantidade de pacotes de broadcasts.

No entanto, apesar de ser verdade isso tudo, os broadcasts causam poucos problemas reais hoje dia. Antigamente, quando as redes eram 10Mbps e as placas de redes usavam a CPU do computador para processar os pacotes, os broadcasts eram um ponto de preocupação importante.

Hoje em dia mesmo em uma rede grande, com 2.000 computadores, a quantidade de broadcasts não será grande o suficiente para afetar a performance da rede de 100Mbps. Obviamente que em uma rede de 10.000 computadores a coisa fica feia, mas uma rede de 10.000 computadores é algo raro.


Assim, o controle dos broadcasts é uma razão para se implementar VLANs, porém uma razão fraca e mesmo assim em redes muito grandes.

Então porque implementar VLANs em uma rede?

A segurança

Hoje em dia a principal razão para se implementar VLANs é a segurança. Por exemplo eu posso colocar os telefones IP e o PABX IP em uma VLAN e os computadores dos usuários em outra VLAN, dessa forma tenho certeza que nenhum usuário abusado mexerá na telefonia e também garanto que nenhum erro de operação de um usuário, por pior que seja, atrapalhe a comunicação de voz.

Dessa forma as empresas podem colocar um firewall ou pelo menos um roteador com ACL interligando as VLANs. Se o administrador precisar mudar a configuração de um telefone IP ou do PABX IP, o firewall/roteador autoriza, mas um usuário normal não teria esse privilégio.

Dessa forma as empresas devem pensar em dividir a rede em pedaços com funções diferentes, por exemplo: redes de usuários, rede de telefonia IP e rede de vigilância IP.

As empresas também podem colocar os servidores em uma VLAN separada, no entanto nesse caso é importante ter um roteador de alta performance para conectar a VLAN dos usuários até a VLAN dos servidores. Se o roteador não tiver uma excelente performance e uma baixa latência ele irá causar atrasos graves na rede que irão afetar os usuários. Nesse casos os switchs L3 são essenciais (um switch L3 é um switch normal que tem dentro um roteador de alta performance).

Outra forma de usar VLAN para aumentar a seguraça é separar departamentos, por exemplo: VLAN do departamento de vendas separada da VLAN do departamento de RH, aonde a única comunicação entre eles se faz via firewall/roteador com ACL.

Resumo

Na época em que o Ethernet era 10Mbps e 100Mbps era conexão de backbone, se usava VLANs para evitar que o broadcast congestionasse a rede. Agora que temos Gigabit e 10Gbps, essa preocupação deixa de ser importante (apesar de existir).

Hoje em dia, a principal razão para se implementar VLANs é a segurança entre aplicações (usuários, telefonia, vigilância, etc.), camadas de rede (usuários, servidores, storage, etc.) e departamentos (vendas, RH, administração, etc.).

Em todos os casos, sempre será necessário um roteador para interligar essas VLANs e nessa caso, um firewall ou um switch L3 com ACL é essencial para garantir a segurança - não adianta criar as VLANs para isolar as redes e depois interliga-las por um roteador sem controle, pois você vai voltar a ter as preocupações de segurança.

Twitter

Me siga se você quer ser avisado via Twitter sobre os meus próximos posts, http://www.twitter.com/mlrodrig

.

Atualizado 12-04-2012 em 13:46 por mlrodrig

Categorias
Artigos

Comentários

  1. Avatar de LinuxN
    Uma outra vantagem é a economia. Se voce tiver por exemplo 3 redes:
    - suporte com 7 maquinas
    - administracao com 6 maquinas
    - vendas com 9 maquinas

    Se voce nao usar VLAN vai ter que ter 3 switchs. Como nao existe switch de 7 portas vai ter que comprar 2 switchs de 8 portas e 1 de 12 portas e voce vai precisar de gastar portas Ethernet para interligar os switchs.

    Se voce usar VLAN, pode comprar um switch de 24 que eh mais barato que os 3 switchs e voce ainda nao vai gastar portas para interligar essas VLANs. Basta usar um trunk 802.1Q com até o roteador.
  2. Avatar de RickBrito
    parabens pelo artigo, otimo post.
  3. Avatar de Carlos Picioli
    Ufa, até que enfim encontrei alguém que não ache o broadcast o bicho-papão de todas as redes.
    Por mais que sempre falem mal dele eu concordo que com a largura de banda que temos nas redes hoje em dia o efeito dele é quase insignificante.
  4. Avatar de mlrodrig
    Citação Postado originalmente por Carlos Picioli
    Ufa, até que enfim encontrei alguém que não ache o broadcast o bicho-papão de todas as redes.
    Por mais que sempre falem mal dele eu concordo que com a largura de banda que temos nas redes hoje em dia o efeito dele é quase insignificante.
    Pois é, o que você falou realmente acontece muito. Em 1990 alguém escreveu "broadcast é o bico-papão das redes" (e na época era) e desde então essa lenda vem sendo repetida (mesmo após a evolução das redes).

    Só para argumentar matematicamente. Suponha que os computadores gerem 1 broadcast por segundo (o que é um absurdo) e que cada pacote tem 300 bytes (o que é um exagero, já os pacotes de broadcast são propositadamente pequenos). Isso significa 2.400 bits por segundo (isso mesmo, 2,4Kbps). Se tivermos 1.000 computadores serão 2,4Mbps.

    Se usarmos uma métrica um pouco mais realista (mais ainda cenário de pior caso), seriam 1 pacote de broadcast de 100bytes a cada 5 segundos por computador. Em uma rede de 1.000 computadores isso dá 160Kbps... não é nada para uma rede com conexão Ethernet 100Mbps.

    Havia também antigamente o problema do broadcast storm, aonde a placa de rede ficava maluca gerando broadcast. Isso ocorria quando o processador do computador também cuidava do processamento de tráfego. Já fazem mais de 10 anos que eu não ouço falar desse tipo de coisa...
    Atualizado 13-04-2012 em 06:39 por mlrodrig
  5. Avatar de mlrodrig
    Citação Postado originalmente por LinuxN
    Uma outra vantagem é a economia. Se voce tiver por exemplo 3 redes:
    - suporte com 7 maquinas
    - administracao com 6 maquinas
    - vendas com 9 maquinas

    Se voce nao usar VLAN vai ter que ter 3 switchs. Como nao existe switch de 7 portas vai ter que comprar 2 switchs de 8 portas e 1 de 12 portas e voce vai precisar de gastar portas Ethernet para interligar os switchs.

    Se voce usar VLAN, pode comprar um switch de 24 que eh mais barato que os 3 switchs e voce ainda nao vai gastar portas para interligar essas VLANs. Basta usar um trunk 802.1Q com até o roteador.
    Oi LinuxN, obrigado pelo lembrete. Realmente essa é uma outra vantagem no uso das VLANs que surge quando o administrador resolve segmentar a rede.
  6. Avatar de robertopc95
    eu queria implmentar na mina rede como faco ??
  7. Avatar de pontozero
    Boa aula ,Parabens
  8. Avatar de ynoma
    Citação Postado originalmente por robertopc95
    eu queria implmentar na mina rede como faco ??
    Oi Roberto,

    Primeiro, você precisa de um switch Ethernet que seja capaz de implementar VLANs, um switch gerenciável. Se você já tiver um, é metade do caminho andado.
    Depois você vai necessitar de um roteador que seja capaz de unir essas redes, ou então um switch camada 3 (esse tipo de switch é mais caro que um switch convencional).
    Por último, vem a etapa de configurar isso tudo. Obviamente isso significa, entre outras coisas, definir as sub-redes que você vai utilizar, por exemplo, a subnet de USUARIOS será 192.168.0.x, a de VoIP será 192.168.1.x, a dos servidores será 192.168.10.x e assim por diante.

    Mas o mais importante, é ter os equipamentos e consultar o manual (ou suporte do fabricante) para saber como fazer a configuração.

    Espero ter ajudado.
  9. Avatar de Fabiogonpereira
    Rodrigo, sua matemática faz sentido, porém esta incompleta, broadcast são pedidos, requisições acompanhados de respostas, o pc1 pede pra todos, porém você esqueceu de calcular a resposta, todos os outros 999 também estão pedindo e também estão respondendo, uma rede com 1000 maquinas sem gerenciamento trava e não funciona nada, imagina uma sala com mil pessoas todos pedindo e respondendo ao mesmo tempo, esse cenario ainda fica longe da comparação já que só conseguimos falar uma palavra de cada vez e ouvir uma pessoa de cada vez, no caso das maquinas... o calculo fica muito maior, todos com placa Gb ainda não tenho certeza se funcionaria, o calculo fica complexo, vamos se basear no que você e com certeza não é absurdo, é o valor minimo para o pacote, 2,4 Mega*1*999*999*999... rsrs 100 maquinas em suite /100 são mais que suficientes para travar toda a rede por broadcast sem precisar nem de colocar Internet.


    Citação Postado originalmente por mlrodrig
    Pois é, o que você falou realmente acontece muito. Em 1990 alguém escreveu "broadcast é o bico-papão das redes" (e na época era) e desde então essa lenda vem sendo repetida (mesmo após a evolução das redes).

    Só para argumentar matematicamente. Suponha que os computadores gerem 1 broadcast por segundo (o que é um absurdo) e que cada pacote tem 300 bytes (o que é um exagero, já os pacotes de broadcast são propositadamente pequenos). Isso significa 2.400 bits por segundo (isso mesmo, 2,4Kbps). Se tivermos 1.000 computadores serão 2,4Mbps.

    Se usarmos uma métrica um pouco mais realista (mais ainda cenário de pior caso), seriam 1 pacote de broadcast de 100bytes a cada 5 segundos por computador. Em uma rede de 1.000 computadores isso dá 160Kbps... não é nada para uma rede com conexão Ethernet 100Mbps.

    Havia também antigamente o problema do broadcast storm, aonde a placa de rede ficava maluca gerando broadcast. Isso ocorria quando o processador do computador também cuidava do processamento de tráfego. Já fazem mais de 10 anos que eu não ouço falar desse tipo de coisa...
  10. Avatar de ynoma
    Citação Postado originalmente por Fabiogonpereira
    Rodrigo, sua matemática faz sentido, porém esta incompleta, broadcast são pedidos, requisições acompanhados de respostas, o pc1 pede pra todos, porém você esqueceu de calcular a resposta, todos os outros 999 também estão pedindo e também estão respondendo.
    Na verdade apenas o equipamento de destino responde. Se for um broadcast para obter um IP via DHCP, apenas o servidor DHCP responde (apesar de todos equipamentos daquela VLAN terem recebido o pacote). Se houverem dois ou três servidores DHCP, então pode haver mais de uma resposta, porém apenas de acordo com a quantidade de servidores DHCP.
    Se for um broadcast para descobrir o MAC de um determinado equipamento (ARP), apenas a máquina com o IP questionado responde.
    Dos protocolos que usam broadcast, esses são os dois mais comuns, mas os demais trabalham da mesma forma. Assim realmente não existe uma avalanche de broadcast.

    Se você quiser, de uma olhada na descrição de funcionamento desses protocolos para saber mais:

    Address Resolution Protocol – Wikipédia, a enciclopédia livre
    http://www.ietf.org/rfc/rfc826.txt
    Dynamic Host Configuration Protocol – Wikipédia, a enciclopédia livre
    http://www.ietf.org/rfc/rfc2131.txt
  11. Avatar de mlrodrig
    Citação Postado originalmente por Fabiogonpereira
    Rodrigo, sua matemática faz sentido, porém esta incompleta.
    Fabio, na verdade a matemática que eu usei está completa. Broadcast significa que o pacote chega a todos na VLAN, não significa que todos devem responder. Eu desconheço um protocolo de broadcast que exija que todos os equipamentos respondam. A meu ver, um protocolo assim seria uma ajuda para alguém mal intencionado a paralisar a rede, por isso duvido que seja criado algo assim.

    Já vi mais de uma vez redes com mais de 1000 equipamentos rodando sem grandes problemas. Na verdade já vi caso em que uma rede grande apresentava problemas de lentidão e o administrador pensou que pudesse ser problema de excesso de broadcast. Sem verificar o que estava acontecendo, o administrador começou um projeto de segmentar a rede. Ele instalou um switch L3, gastou tempo e recursos para criar VLANs apenas para descobrir que o problema não estava ali (os servidores simplesmente não estavam aguentando o tráfego, apesar da CPU dos mesmos estar em menos de 50%, o problema era uma limitação no barramento PCI da placa de rede dos servidores). Obviamente que a segmentação da rede é algo bom e o trabalho do administrador não foi totalmente perdido, mas todo o esforço tinha como objetivo melhorar a performance, o que não ocorreu. O desgaste com a diretoria da empresa foi grande (afinal, ele convenceu a diretoria a autorizar a compra de um switch L3 que não gerou nenhum resultado visível).
  12. Avatar de lebrum
    [COLOR=#3E3E3E]você precisa de um switch Ethernet que seja capaz de implementar VLANs, um switch gerenciável. [/COLOR]
    Atualizado 03-05-2012 em 12:28 por mlrodrig
  13. Avatar de MEGAMINAS
    O que gostei das vlans sao que podemos "pular" os saltos dos roteadores no caso de um tracert. Por exemplo se entrego link dedicado para uma empresa, por mikrotik, e tenho 3 roteadores ate chegar ao roteador 4 que é da empresa, por vlan voce pode pular os 3 atraz, parecendo que a rede ficou com poucos saltos e consequentemente econimizar ips reais no caso de uma rede roteada com vlan. Uso sempre vlan para entrega de link dedicaco e ate meus clientes que sao clientes de outras operadoras aprovaram.

+ Enviar Comentário



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L