VLAN - Virtual Local Area Network

Sobre VLAN

Introdução

  • VLAN - Virtual Local Area Network - Rede Local Virtual
  • Implementada na camada 2 (com auxílio da camada 3)
    • Costuma-se endereçar VLANs diferentes em domínios de rede (sub-redes) diferentes para permitir o roteamento entre elas
  • Implementada em switches que suportam VLAN (gerenciáveis)
    • Um switch pode comportar diversas VLANs
    • Cada VLAN se comporta como um switch (ou grupo de switches) independente
    • Uma VLAN não esta limitada a um único switch
    • Switches diferentes podem suportar as mesmas VLAN
  • Segmentação de um domínio de broadcast sem o uso de roteadores
  • Maior desempenho e segurança pois cada VLAN é isolada das outras

Segmentação por VLAN

As VLAN podem ser criadas com base nos seguintes critérios:
  • Baseada em protocolos da camada superior (IP, IPX, LAT, etc.)
  • Baseada na sub-rede IP.
  • Baseada no endereço MAC.
  • Baseada na porta do switch.
Os dois primeiros tipos requerem switches que operem além da camada 2 (switches multilayer). Já as VLAN baseadas em MAC são mias inseguras porque o MAC pode ser clonado, modificado ou monitorado com certa facilidade.

Tipos de VLAN

  • Estática - Implementadas diretamente nos switches
  • Dinâmica - Implementadas em um servidor dedicado, VMPS - VLAN Management Policy Server

Tipos de porta de switch

As portas do switch que implementa VLAN podem operar em um dos modos:
  • Porta Access - Especificada para operar com uma única VLAN, normalmente conectada a um "end device"
  • Porta Trunk - Conecta-se com outro switch ou roteador e trafega dados de todas (ou algumas) VLAN
    • Usa o protocolo aberto IEEE 802.1q (ou DOT1Q) que prevê quadros de enlace modificados, com o ID da VLAN a que pertence
    • O protocolo ISL - Inter-Switch Link, proprietário da Cisco foi um dos primeiros a ser implementado

Formato do quadro 803.2 x DOT1Q:

Ethernet:     Preâmbulo MAC Destino MAC Origem Type L3 Dados da camada 3 FCS
DOT1Q:     Preâmbulo MAC Destino MAC Origem Type L3 Número da VLAN Dados da camada 3 FCS

 

Criando VLANs

Nota: por padrão, a VLAN 1 já vem configurada e ativa em todas as portas do switch.

No modo de configuração global:

vlan NUMERO Cria a VLAN com o número especificado
name NOME Atribui um nome para a VLAN (opcional)
exit Sai da configuração da VLAN NUMERO

 

Atribuindo portas

interface TIPO NUMERO_PORTA Entra na configuração da porta
switchport access vlan NUMERO Atribui a VLAN NUMERO a porta

Via de regra, para manter a segurança da rede, criamos uma VLAN qualquer e atribuimos todas as portas a ela. Normalmente é a VLAN 99 (LIMBO). Depois atribuimos as portas individualmente às VLAN configuradas.

Dica: você pode selecionar uma sequencia de portas de mesmo tipo, desde que as portas estejam no mesmo slot. Exemplo:
interface range fastethernet 0/7-24 Seleciona todas as portas fastethernet de 0/7 até 0/24.
switchport access VLAN NUMERO Atribui o range acima à VLAN NUMERO

 

Porta Trunk

interface TIPO NUMERO_PORTA Entra na configuração da porta
switchport mode trunk Coloca a porta no modo trunk

 

Definindo VLANS na Trunk

switchport trunk allowed vlan OPCAO [NUMERO_VLAN]

Onde OPCAO pode ser:

add Adiciona a VLAN NUMERO_VLAN
all Adiciona todas as VLAN
except Adiciona todas as VLAN exceto NUMERO_VLAN
none Remove todas as VLAN
remove Remove a VLAN NUMERO_VLAN

 

Verificando as VLAN

No modo privilegiado:

show vlan Exibe todas as VLAN atribuidas
show interfaces trunk Lista de portas operando em TRUNK

 

VLAN Nativa

Caso conecte-se um host "não DOT1Q" em uma porta TRUNK, os quadros não marcados serão entregues à VLAN nativa.

Por questões de segurança, não é recomendado o uso da VLAN nativa.

Nas portas trunk de todos os switches, faça:

switchport trunk navive vlan [NUMERO_VLAN] Define a VLAN nativa como NUMERO_VLAN
no switchport trunk navive vlan Desativa a VLAN nativa na porta trunk atual
Lembre-se que:
  • Ambas as portas que participam do TRUNK devem ter a mesma VLAN nativa definida.
  • Todas as portas trunk de todos os switches que participam da VLAN nativa devem tê-la configurada.