Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

Quais são as reais razões para se usar VLANs em uma LAN?

Avaliação: 12 votos, 4,50 média.
15 Comentários
por
mlrodrig
em 11-04-2012 às 15:23 (90021 Visualizações)
---


Dentro de uma rede de computadores, uma VLAN é quando você cria uma separação entre partes da rede. Você literalmente divide a rede em pedaços separados, aonde um pedaço não fala com o outro (pelo menos não diretamente). Assim temos um único switch que se conecta a todos os computadores da rede, porém o administrador informa ao switch quais computadores (ou impressoras, servidores, telefones IP, etc.) se falam diretamente e quais não podem se falar.

Assim, cada "ilha" é uma VLAN. Teremos apenas um switch real, porém várias redes virtuais (dai o termo VLAN). O conceito de VLAN pode se estender a vários switchs em uma rede grande. O conceito é o mesmo: um equipamento de uma certa VLAN (para exemplificar, vamos chamar de VLAN 10) fala diretamente com qualquer dessa mesma VLAN, estando no mesmo switch ou não. Já um equipamento que esteja conectado na VLAN 15 não consegue falar diretamente com outro da VLAN 10, estando esse outro no mesmo switch ou não.

Então quando um administrador cria VLANs em uma rede, ele está separando essas redes. Para uma VLAN poder falar com outra, é necessário um roteador ou firewall conectado a cada uma das VLANs, fazendo a ponte entre elas.

Mas qual a razão de se criar VLANs em uma rede?

Normalmente a razão mais citada é evitar a grande quantidade de broadcasts.

O que é um broadcast?

Em algumas situações os equipamentos Ethernet precisam enviar um pacote para toda a rede, ao mesmo tempo. Por exemplo, quando um computador deseja saber o endereço MAC do roteador, ele enviar o pacote para toda a rede (todos os equipamentos daquela rede recebem a requisição). Apenas o roteador responde, porém todos os equipamentos da rede receberam a requisição.

Assim, em algumas situações e em alguns momentos específicos cada equipamento da rede envia pacotes de broadcast, que acabam chegando (atrapalhando para ser mais exato) a todos os demais equipamentos da rede.

Porém o broadcast fica dentro de cada VLAN. Um broadcast na VLAN 10 chega a todos os equipamentos dessa VLAN, mas não chega a nenhum dos equipamentos das demais VLANs.

Assim uma das razões de se dividir a rede em VLANs é diminuir a quantidade de broadcasts que cada equipamento recebe. Um computador em uma rede de 1000 computadores vai receber o dobro de broadcast do que se ele estivesse em uma rede de 500 computadores. Assim se eu dividir uma rede de 1000 equipamentos em duas VLANs de 500 máquinas, eu reduzo automaticamente para a metade a quantidade de pacotes de broadcasts.

No entanto, apesar de ser verdade isso tudo, os broadcasts causam poucos problemas reais hoje dia. Antigamente, quando as redes eram 10Mbps e as placas de redes usavam a CPU do computador para processar os pacotes, os broadcasts eram um ponto de preocupação importante.

Hoje em dia mesmo em uma rede grande, com 2.000 computadores, a quantidade de broadcasts não será grande o suficiente para afetar a performance da rede de 100Mbps. Obviamente que em uma rede de 10.000 computadores a coisa fica feia, mas uma rede de 10.000 computadores é algo raro.

Assim, o controle dos broadcasts é uma razão para se implementar VLANs, porém uma razão fraca e mesmo assim em redes muito grandes.

Então porque implementar VLANs em uma rede?

A segurança

Hoje em dia a principal razão para se implementar VLANs é a segurança. Por exemplo eu posso colocar os telefones IP e o PABX IP em uma VLAN e os computadores dos usuários em outra VLAN, dessa forma tenho certeza que nenhum usuário abusado mexerá na telefonia e também garanto que nenhum erro de operação de um usuário, por pior que seja, atrapalhe a comunicação de voz.

Dessa forma as empresas podem colocar um firewall ou pelo menos um roteador com ACL interligando as VLANs. Se o administrador precisar mudar a configuração de um telefone IP ou do PABX IP, o firewall/roteador autoriza, mas um usuário normal não teria esse privilégio.

Dessa forma as empresas devem pensar em dividir a rede em pedaços com funções diferentes, por exemplo: redes de usuários, rede de telefonia IP e rede de vigilância IP.

As empresas também podem colocar os servidores em uma VLAN separada, no entanto nesse caso é importante ter um roteador de alta performance para conectar a VLAN dos usuários até a VLAN dos servidores. Se o roteador não tiver uma excelente performance e uma baixa latência ele irá causar atrasos graves na rede que irão afetar os usuários. Nesse casos os switchs L3 são essenciais (um switch L3 é um switch normal que tem dentro um roteador de alta performance).

Outra forma de usar VLAN para aumentar a seguraça é separar departamentos, por exemplo: VLAN do departamento de vendas separada da VLAN do departamento de RH, aonde a única comunicação entre eles se faz via firewall/roteador com ACL.

Resumo

Na época em que o Ethernet era 10Mbps e 100Mbps era conexão de backbone, se usava VLANs para evitar que o broadcast congestionasse a rede. Agora que temos Gigabit e 10Gbps, essa preocupação deixa de ser importante (apesar de existir).

Hoje em dia, a principal razão para se implementar VLANs é a segurança entre aplicações (usuários, telefonia, vigilância, etc.), camadas de rede (usuários, servidores, storage, etc.) e departamentos (vendas, RH, administração, etc.).

Em todos os casos, sempre será necessário um roteador para interligar essas VLANs e nessa caso, um firewall ou um switch L3 com ACL é essencial para garantir a segurança - não adianta criar as VLANs para isolar as redes e depois interliga-las por um roteador sem controle, pois você vai voltar a ter as preocupações de segurança.

Twitter

Me siga se você quer ser avisado via Twitter sobre os meus próximos posts, http://www.twitter.com/mlrodrig

.

Atualizado 12-04-2012 em 14:46 por mlrodrig

Categorias
Artigos

Comentários

Página 2 de 2 PrimeiroPrimeiro 12
  1. Avatar de mlrodrig
    Citação Postado originalmente por Fabiogonpereira
    Rodrigo, sua matemática faz sentido, porém esta incompleta.
    Fabio, na verdade a matemática que eu usei está completa. Broadcast significa que o pacote chega a todos na VLAN, não significa que todos devem responder. Eu desconheço um protocolo de broadcast que exija que todos os equipamentos respondam. A meu ver, um protocolo assim seria uma ajuda para alguém mal intencionado a paralisar a rede, por isso duvido que seja criado algo assim.

    Já vi mais de uma vez redes com mais de 1000 equipamentos rodando sem grandes problemas. Na verdade já vi caso em que uma rede grande apresentava problemas de lentidão e o administrador pensou que pudesse ser problema de excesso de broadcast. Sem verificar o que estava acontecendo, o administrador começou um projeto de segmentar a rede. Ele instalou um switch L3, gastou tempo e recursos para criar VLANs apenas para descobrir que o problema não estava ali (os servidores simplesmente não estavam aguentando o tráfego, apesar da CPU dos mesmos estar em menos de 50%, o problema era uma limitação no barramento PCI da placa de rede dos servidores). Obviamente que a segmentação da rede é algo bom e o trabalho do administrador não foi totalmente perdido, mas todo o esforço tinha como objetivo melhorar a performance, o que não ocorreu. O desgaste com a diretoria da empresa foi grande (afinal, ele convenceu a diretoria a autorizar a compra de um switch L3 que não gerou nenhum resultado visível).
  2. Avatar de lebrum
    [COLOR=#3E3E3E]você precisa de um switch Ethernet que seja capaz de implementar VLANs, um switch gerenciável. [/COLOR]
    Atualizado 03-05-2012 em 13:28 por mlrodrig
  3. Avatar de MEGAMINAS
    O que gostei das vlans sao que podemos "pular" os saltos dos roteadores no caso de um tracert. Por exemplo se entrego link dedicado para uma empresa, por mikrotik, e tenho 3 roteadores ate chegar ao roteador 4 que é da empresa, por vlan voce pode pular os 3 atraz, parecendo que a rede ficou com poucos saltos e consequentemente econimizar ips reais no caso de uma rede roteada com vlan. Uso sempre vlan para entrega de link dedicaco e ate meus clientes que sao clientes de outras operadoras aprovaram.
  4. Avatar de Umesh
    este video pode complementar esse tutorial:

    https://www.youtube.com/watch?v=U33LEcYGqZ8&t=14s

    Minicurso switches Huawei parte 3 - Tutoriais vídeo #06 - Como configurar seu switch L3 ?
  5. Avatar de Umesh
    so para complementar, talvez este video possa ajudar:

    https://www.youtube.com/watch?v=768i3V9ST48
Página 2 de 2 PrimeiroPrimeiro 12

+ Enviar Comentário