O que é VLAN?
VLAN é Virtual Local Area Network, não “VPN” (Virtual Private Network). VLAN é uma tecnologia emergente de troca de dados que divide dispositivos LAN logicamente (não fisicamente) em segmentos para realizar grupos de trabalho virtuais. Essa tecnologia emergente é usada principalmente em switches e roteadores, mas a aplicação principal ainda está nos switches. Porém, nem todos os switches possuem esta função, apenas os switches com protocolo VLAN acima da camada 3 possuem esta função, que pode ser conhecida consultando o manual do switch correspondente.
O IEEE emitiu o rascunho do padrão de protocolo 802.1Q em 1999 para padronizar o esquema de implementação de VLAN. O surgimento da tecnologia VLAN permite que os administradores dividam logicamente diferentes usuários dentro da mesma LAN física em diferentes domínios de transmissão de acordo com os requisitos reais do aplicativo. Cada VLAN contém um grupo de estações de trabalho de computador com os mesmos requisitos e possui os mesmos atributos da LAN formada fisicamente. Uma vez que é dividido logicamente, não fisicamente. Portanto, as estações de trabalho individuais dentro da mesma VLAN não estão restritas ao mesmo intervalo físico, ou seja, essas estações de trabalho podem estar em diferentes segmentos físicos da LAN. Pelas características das VLANs, fica claro que o tráfego broadcast e unicast dentro de uma VLAN não é encaminhado para outras VLANs, ajudando assim a controlar o tráfego, reduzir o investimento em equipamentos, simplificar o gerenciamento de rede e melhorar a segurança da rede.
O desenvolvimento da tecnologia de comutação também acelerou a adoção de novas tecnologias de comutação (VLANs). Ao dividir a rede corporativa em segmentos VLAN de rede virtual, o gerenciamento e a segurança da rede podem ser aprimorados e a transmissão de dados desnecessária pode ser controlada.
Em uma rede compartilhada, um segmento de rede física é um domínio de broadcast. Em uma rede comutada, um domínio de broadcast pode ser um segmento virtual com um conjunto arbitrário de endereços de rede da Camada 2 selecionados (endereços MAC). Desta forma, a divisão de grupos de trabalho em uma rede pode romper as restrições geográficas em uma rede compartilhada e, em vez disso, basear-se inteiramente em funções de gerenciamento. Esse modelo de agrupamento baseado em fluxo de trabalho melhora muito a função de gerenciamento do planejamento e reorganização da rede.
As estações de trabalho na mesma VLAN, independentemente de qual switch elas estão realmente conectadas, se comunicam entre si como se estivessem em switches separados. As transmissões na mesma VLAN só podem ser ouvidas por membros da VLAN e não são transmitidas para outras VLANs, que podem controlar bem a geração de tempestades de transmissão desnecessárias. Ao mesmo tempo, sem roteamento, diferentes VLANs não podem se comunicar entre si, o que aumenta a segurança entre diferentes departamentos na rede corporativa.
Os administradores de rede podem configurar as rotas entre VLANs para gerenciar totalmente o acesso à informação entre diferentes unidades de gerenciamento dentro da empresa. O switch é dividido em VLANs com base no endereço MAC da estação de trabalho do usuário. Portanto, um usuário é livre para mover seu office à rede corporativa, e não importa onde ele acesse a rede de comutação, ele pode se comunicar livremente com outros usuários na VLAN.
As redes VLAN podem ser compostas por dispositivos com tipos de rede mistos, como 10M Ethernet, 100M Ethernet, rede token, FDDI, CDDI, etc., e podem ser estações de trabalho, servidores, hubs, backbones de uplink de rede, etc.
Além das vantagens de dividir a rede em múltiplos domínios de broadcast, controlando efetivamente a ocorrência de broadcast storms e tornando a topologia da rede bastante flexível, as VLANs também podem ser utilizadas para controlar o acesso entre diferentes departamentos e sites da rede.
VLAN é um protocolo proposto para resolver o problema de transmissão e segurança da Ethernet. Ele adiciona o cabeçalho VLAN aos quadros Ethernet, divide os usuários em grupos de trabalho menores com IDs de VLAN e restringe os usuários a visitarem uns aos outros entre diferentes grupos de trabalho, e cada grupo de trabalho é uma LAN virtual. A vantagem da LAN virtual é que ela pode limitar o alcance da transmissão e formar grupos de trabalho virtuais para gerenciar a rede dinamicamente.
Métodos de divisão de VLAN
Os métodos de implementação de VLAN no switch podem ser divididos em seis categorias:
1. Dividir VLAN baseada em portas
Este é o método de divisão de VLAN mais comumente usado e é o mais amplamente utilizado e eficaz, e a maioria dos switches de protocolo VLAN fornece esse método de configuração de VLAN.
Esse método de divisão de VLAN é baseado nas portas de comutação dos switches Ethernet. Ele divide as portas físicas do switch VLAN e as portas PVC (Permanent Virtual Circuit) dentro do switch VLAN em vários grupos, e cada grupo constitui uma rede virtual, que equivale a um switch VLAN independente.
Para quando diferentes departamentos precisam acessar uns aos outros, eles podem ser encaminhados através de um roteador com filtragem de porta baseada em endereço MAC. O conjunto de endereços MAC transitáveis é definido na porta correspondente do switch, switch de roteamento ou roteador mais próximo do site no caminho de acesso de um site. Isso evita a possibilidade de invasores ilegais roubarem endereços IP de dentro para invadir outros pontos de acesso.
Como podemos ver neste próprio método de divisão, a vantagem deste método é que é muito simples definir a associação de VLAN, desde que todas as portas sejam definidas como os grupos de VLAN correspondentes. É adequado para redes de qualquer tamanho. Sua desvantagem é que, se um usuário deixar a porta original e for para uma porta em um novo switch, ela deverá ser redefinida.
2. Divida VLANs com base no endereço MAC
Este método de divisão de VLANs é baseado no endereço MAC de cada host, ou seja, cada host com um endereço MAC é configurado com o grupo ao qual pertence. O mecanismo que ele implementa é que cada NIC corresponde a um único endereço MAC e o switch VLAN rastreia os endereços pertencentes ao VLAN MAC. Essa abordagem para VLANs permite que os usuários da rede retenham automaticamente a participação na VLAN à qual pertencem quando se deslocam de um local físico para outro.
Como pode ser visto no mecanismo dessa divisão, a maior vantagem desse método de divisão de VLAN é que as VLANs não precisam ser reconfiguradas quando os usuários mudam de local físico, ou seja, quando mudam de um switch para outro. Isso ocorre porque é baseado no usuário, não na porta do switch. A desvantagem desse método é que todos os usuários devem ser configurados durante a inicialização. O processo de configuração pode levar muito tempo se houver centenas ou mesmo milhares de usuários, portanto, esse método de particionamento geralmente é adequado para LANs pequenas.
Além disso, esse método de particionamento também reduz a eficiência da execução do switch, pois pode haver muitos membros de grupos VLAN em cada porta do switch, armazenando os endereços MAC de muitos usuários, o que não é fácil de consultar.
Além disso, para usuários de laptop, suas placas de rede podem ser alteradas com frequência, portanto, a VLAN deve ser configurada com frequência.
3. DividireVLANs baseadas em protocolos da camada de rede
As VLANs são divididas por protocolo de camada de rede e podem ser classificadas em redes VLAN como IP, IPX, DECnet, AppleTalk, Banyan, etc. Essas VLANs, compostas de protocolo de camada de rede, permitem domínios de transmissão abranger vários switches VLAN. Isso é muito atraente para administradores de rede que desejam organizar usuários para aplicativos e serviços específicos. Além disso, os usuários podem se mover livremente dentro da rede, mas sua associação à VLAN permanece intacta.
As vantagens desse método são que a localização física do usuário muda sem reconfigurar a VLAN à qual ele pertence e que as VLANs podem ser classificadas de acordo com o tipo de protocolo, o que é importante para os administradores de rede. Além disso, esse método não requer tags de quadro adicionais para identificar VLANs, o que pode reduzir a quantidade de tráfego na rede. A desvantagem dessa abordagem é que ela é ineficiente porque verificar o endereço da camada de rede de cada pacote é demorado para processar (em comparação com as duas abordagens anteriores). Geralmente, os chips do switch podem verificar automaticamente os cabeçalhos do quadro Ethernet dos pacotes na rede, mas é preciso um nível mais alto de habilidade e também é mais demorado para permitir que o chip verifique os cabeçalhos do quadro IP. Claro, isso está relacionado ao método de implementação de cada fornecedor.
4. Divida VLANs com base em IP multicast
IP multicast é na verdade uma definição de VLAN, ou seja, um grupo IP multicast é uma VLAN. Esse método de divisão estende a VLAN para a WAN, portanto, esse método tem maior flexibilidade e é fácil de estender pelo roteador. É adequado principalmente para usuários de LAN que não estão na mesma faixa geográfica para formar uma VLAN. Não é adequado para LANs porque não é eficiente.
5. Divida as VLANs por política
As VLANs baseadas em políticas podem ser atribuídas de várias maneiras, incluindo portas de switch VLAN, endereços MAC, endereços IP e protocolos da camada de rede. Os administradores de rede podem determinar o tipo de VLAN com base em seu próprio modo de gerenciamento e requisitos de unidade.
6. DividireVLANs por autorização de não usuário definida pelo usuário
A alocação de VLAN com base na definição do usuário e na autorização de não usuário significa que as VLANs são definidas e projetadas de acordo com os requisitos especiais dos usuários da rede para atender às redes VLAN especiais. Além disso, usuários não-VLAN podem acessar VLANs somente após serem autenticados pelo gerenciamento de VLAN fornecendo senhas de usuário.
Tas vantagens da VLAN
Para que qualquer nova tecnologia seja amplamente suportada e aplicada, deve haver algumas vantagens importantes, assim como a tecnologia VLAN, cujas vantagens se refletem principalmente nos seguintes aspectos:
- Maior flexibilidade de conexão de rede
A tecnologia VLAN combina diferentes locais, redes e usuários para formar um ambiente de rede virtual, que é tão conveniente, flexível e eficiente quanto usar uma LAN local. A VLAN pode reduzir a sobrecarga de mover ou alterar a localização das estações de trabalho, especialmente para empresas com condições de negócios em constante mudança.
- Controle a transmissão na rede
A VLAN fornece um mecanismo de firewall para evitar transmissão excessiva na rede de comutação. Usando VLANs, uma porta de switch ou usuário pode ser atribuído a um grupo de VLAN específico, que pode estar dentro de uma rede de switch ou em vários switches, e as transmissões dentro de uma VLAN não serão enviadas para fora da VLAN. Da mesma forma, portas adjacentes não recebem broadcasts gerados por outras VLANs. Isso reduz o tráfego de broadcast, libera largura de banda para aplicativos do usuário e reduz a geração de broadcast.
- Melhore a segurança da rede
Porque uma VLAN é um domínio de broadcast separado. As VLANs são isoladas umas das outras, o que melhora a utilização da rede e garante a segurança e a confidencialidade da rede. As pessoas geralmente transmitem dados confidenciais e críticos na LAN. Os dados confidenciais devem ser fornecidos com meios de segurança, como controle de acesso. Um método eficaz e fácil de implementar é segmentar a rede em vários grupos de broadcast diferentes, onde o administrador da rede limita o número de usuários na VLAN e proíbe o acesso a aplicativos na VLAN sem permissão. As portas de comutação podem ser agrupadas com base no tipo de aplicativo e privilégios de acesso, e aplicativos e recursos restritos são normalmente colocados em VLANs de segurança.
Estudo de caso de configuração de VLAN
Uma empresa tem cerca de 100 computadores e há quatro departamentos principais que usam principalmente a rede: Departamento de Produção (20), Departamento Financeiro (15), Departamento de Recursos Humanos (8) e Centro de Informações (12).
A rede inteira usa três switches gerenciados Catalyst 1900 (nomeados: Switch1, Switch2 e Switch3, respectivamente, cada switch é conectado a vários hubs conforme necessário, principalmente para usuários não VLAN, como papelada administrativa, usuários temporários, etc.) e um Roteador Cisco 2514 no meio e na parte traseira da rede, e toda a rede está conectada à Internet por meio do roteador Cisco 2514 está conectado à Internet externa.
Os usuários conectados são distribuídos principalmente em quatro partes, a saber: departamento de produção, departamento financeiro, centro de informações e departamento de recursos humanos. Essas quatro partes são divididas principalmente em VLANs separadas para garantir que os recursos de rede departamentais correspondentes não sejam roubados ou danificados.
Para garantir a segurança dos recursos da rede, especialmente para departamentos sensíveis, como finanças e recursos humanos, as informações na rede não podem ser acessadas por muitas pessoas. Portanto, a empresa adota o método VLAN para resolver os problemas acima.
As Vlans podem ser divididas em departamento de produção, departamento financeiro, departamento de recursos humanos e centro de informações. Os grupos de VLAN correspondentes são Prod, Fina, Huma e Info. A Tabela 1 mostra os segmentos de rede de cada grupo de VLAN.
Nota: A razão pela qual o VLAN ID do switch começa em “2” é porque o switch tem uma VLAN padrão, que é a VLAN “1”, que inclui todos os usuários conectados ao switch.
Processo de configuração de VLAN
O processo de configuração da VLAN é realmente muito simples, exigindo apenas duas etapas.
(1) Nomeando cada grupo de VLAN.
(2) Correspondendo a VLAN correspondente à porta do switch correspondente.
A seguir está o processo de configuração específico.
Passo 1: configure o HyperTerminal, conecte-se ao switch 1900 e configure as VLANs do switch por meio do HyperTerminal. A interface de configuração principal aparece após uma conexão bem-sucedida, conforme mostrado abaixo (informações básicas foram configuradas no switch antes):
Observação: o HyperTerminal é implementado usando o programa Hypertrm que acompanha o Windows. Para obter detalhes, consulte os documentos relacionados.
Passo 2: Clique em “K” e selecione “[K] Command Line” no menu principal para entrar na seguinte interface de configuração de linha de comando:
Neste ponto, entramos no modo de usuário normal do switch, assim como o roteador, este modo pode apenas visualizar a configuração atual, não pode alterar a configuração e pode usar um comando muito limitado. Portanto, devemos entrar no “modo privilegiado”.
Passo 3: Digite o comando “enable” no prompt “>” na etapa anterior para entrar no modo privilegiado. O formato do comando é “>ativar” e, em seguida, o switch é exibido:
Passo 4: Para segurança e conveniência, damos um nome a cada um dos 3 switches Catalyst 1900 e definimos uma senha de login no modo privilegiado. O seguinte é um exemplo de Switch1. O código de configuração é o seguinte:
Nota: A senha do modo privilegiado deve conter de 4 a 8 caracteres. A senha inserida é exibida em texto simples, portanto, mantenha-a confidencial. O switch usa o nível para determinar as permissões de senha. Nível 1 é a senha para acessar a interface de linha de comando. Depois de definir a senha para o nível 1, na próxima vez que você se conectar ao switch e digitar K, será solicitado que você digite a senha, que é a senha definida para o nível 1. nível 15 é a senha do modo privilegiado que você será pediu para entrar depois de digitar o comando "enable".
Passo 5: Defina o nome da VLAN. Como as quatro VLANs pertencem a switches diferentes, o comando de nomenclatura da VLAN é “VLAN, número da VLAN, nome, nome da VLAN. No Switch1, Switch2 e Switch3, configure o código da VLAN 2, 3, 4 e 5 da seguinte maneira:
Nota: A configuração acima é realizada de acordo com as regras da Tabela 1.
Passo 6: Na etapa anterior, configuramos os grupos de VLAN para cada switch. Agora precisamos combinar essas VLANs com os números de porta do switch especificados na Tabela 1. O comando correspondente ao número da porta é vlan-membership static/ dynamic VLAN number. Neste comando, deve-se selecionar “estático” ou “dinâmico”, mas geralmente escolha “estático”.
O aplicativo de número de porta VLAN é configurado da seguinte maneira.
(1) O número da porta VLAN do switch denominado “Switch1” é configurado da seguinte forma.
Nota: “int” é a abreviação do comando “interface”. e0/3″ é a abreviação de “ethernet 0/2”, que representa a porta 2 do módulo 0 do switch.
(2) O número da porta VLAN do switch denominado “Switch2” é configurado da seguinte forma.
(3) O número da porta VLAN do switch denominado “Switch3” é configurado da seguinte forma (inclui a configuração de dois grupos de VLAN), consulte primeiro o código de configuração da VLAN 4 (Huma).
A seguir está o código de configuração para VLAN 5 (Informações).
Agora definimos as VLANs nas portas correspondentes do switch conforme solicitado na Tabela 1. Para verificar nossa configuração, você pode usar o comando “show vlan” no modo privilegiado para exibir a configuração que acabou de ser feita para verificar se está correta .
A descrição acima é uma introdução à configuração de VLAN do switch Cisco Catalyst 1900, a configuração de VLAN de outros switches é basicamente semelhante, consulte o manual do switch relevante.