Como configurar uma VLAN para redes corporativas
LANs virtuais ou VLANs, separe e priorize o tráfego nos links de rede. Eles criam sub-redes isoladas que permitem que certos dispositivos operem juntos, independentemente de estarem na mesma LAN física.
as empresas usam VLANs para particionar e gerenciar o tráfego. Por exemplo, uma empresa que procura separar o tráfego de dados de seu departamento de engenharia do tráfego do Departamento de contabilidade pode criar VLANs separadas para cada departamento. Vários aplicativos executados no mesmo servidor podem compartilhar um link, mesmo que tenham requisitos diferentes. Um aplicativo de vídeo ou voz com requisitos rigorosos de taxa de transferência e latência pode compartilhar um link com um aplicativo com requisitos de desempenho menos críticos.
como funcionam as VLANs?
o tráfego em VLANs individuais é entregue apenas aos aplicativos atribuídos a cada VLAN, fornecendo um nível de segurança. Cada VLAN é um domínio de colisão separado e as Transmissões são limitadas a uma única VLAN. O bloqueio de Transmissões de alcançar aplicativos conectados a outras VLANs elimina a necessidade de esses aplicativos desperdiçarem ciclos de processamento em transmissões Não destinadas a eles.
as VLANs operam na camada 2, a camada de link, e podem ser limitadas a um único link físico ou estendidas em vários links físicos conectando-se a switches da camada 2. Como cada VLAN é um domínio de colisão e os switches de Camada 3 terminam os domínios de colisão, os segmentos de VLAN não podem ser conectados por um roteador. Essencialmente, uma única VLAN não pode abranger várias sub-redes.
os segmentos de sub-rede se conectam por meio de switches. É comum conectar componentes de um aplicativo em execução em vários servidores, colocando-os em uma única VLAN e sub-rede. Por exemplo, uma única sub-rede e VLAN podem ser dedicadas ao departamento de contabilidade, mas se os membros do Departamento estiverem muito distantes para um único cabo Ethernet, os switches conectam os diferentes links Ethernet que carregam a VLAN e a sub-rede, enquanto os roteadores VLAN conectam a sub-rede ao resto da rede.
os links de tronco VLAN carregam mais de uma VLAN, portanto, os pacotes em um tronco carregam informações adicionais para identificar sua VLAN. Os links de acesso carregam uma única VLAN e não incluem essas informações. Os Bits são removidos do pacote conectado ao link de acesso, portanto, uma porta conectada recebe apenas um pacote Ethernet padrão.
como configurar uma VLAN
configurar uma VLAN pode ser complicado e demorado, mas as VLANs oferecem vantagens significativas para as redes corporativas, como segurança aprimorada. As etapas para configurar uma VLAN são as seguintes.
1. Configure a VLAN
todos os switches que carregam a VLAN devem ser configurados para essa VLAN. Sempre que as equipes fazem alterações na configuração de rede, elas devem ter o cuidado de atualizar as configurações do switch, trocar um switch ou adicionar uma VLAN adicional.
2. Configure listas de controle de acesso
ACLs, que regulam o acesso concedido a cada usuário conectado a uma rede, também se aplicam às VLANs. Especificamente, VLAN ACLs (VACLs) controlam o acesso a uma VLAN onde quer que ela se estende por um switch ou onde os pacotes entram ou saem da VLAN. As equipes de rede devem prestar muita atenção ao configurar VACLs, pois configurá-las geralmente é complicado. A segurança da rede pode ser comprometida se ocorrer um erro quando as VACLs são configuradas ou modificadas.
3. Aplicar interfaces de linha de comando
cada fornecedor de SO E switch especifica um conjunto de comandos CLI para configurar e modificar VLANs em seu produto. Alguns administradores constroem arquivos contendo esses comandos e os editam quando necessário para modificar a configuração. Um único erro nos arquivos de comando pode fazer com que um ou mais aplicativos falhem.
4. Considere pacotes de gerenciamento
fornecedores de equipamentos e terceiros oferecem pacotes de software de gerenciamento que automatizam e simplificam o esforço, reduzindo a chance de erro. Como esses pacotes geralmente mantêm um registro completo de cada conjunto de Configurações, eles podem reinstalar rapidamente a última configuração de trabalho no caso de um erro.
identificando VLANs com marcação
o padrão IEEE 802.1 Q define como identificar VLANs.
os endereços de controle de acesso de mídia de destino e de origem aparecem no início dos pacotes Ethernet, e o campo de identificador de VLAN de 32 bits segue.
Tag protocol identifier
o TPID compõe os primeiros 16 bits do quadro VLAN. O TPID contém o valor hexadecimal 8100, que identifica o pacote como um pacote VLAN. Os pacotes sem dados VLAN contêm o campo EtherType na posição do pacote.
informações de controle de Tag
o campo TCI de 16 bits segue o TPID. Ele contém o campo de ponto de código de prioridade de 3 bits (PCP), o indicador elegível de gota de bit único (DEI) e o campo de identificador de VLAN de 12 bits (VID).
o campo PCP especifica a qualidade de serviço exigida pelos aplicativos que compartilham a VLAN. O padrão IEEE 802.1 p define esses níveis como os seguintes valores:
- valor 0 indica um pacote que a rede faz o seu melhor esforço para entregar.
- o valor 1 identifica um pacote em segundo plano.
- valor 2 a valor 6 identifique outros pacotes, incluindo valores que indicam pacotes de vídeo ou voz.
- o valor 7, a prioridade a mais alta, é reservado para pacotes do controle de rede.
o DEI de bit único segue o campo PCP e adiciona mais informações ao campo PCP. O Campo DEI identifica um pacote que pode ser descartado em uma rede congestionada.
o campo VID consiste em 12 bits que identificam qualquer uma das 4.096 VLANs que uma rede pode suportar.
VLANs baseadas em Ethernet
as VLANs baseadas em Ethernet podem ser estendidas para Wi-Fi usando um ponto de acesso (AP) com reconhecimento de VLAN. Esses APs separam o tráfego com fio de entrada usando o endereço de sub-rede associado a cada VLAN. Os nós finais recebem apenas os dados na sub-rede configurada.
a segurança no ar não pode ser aplicada como pode em um fio. Identificadores de conjunto de serviços, ou SSIDs, com senhas diferentes são usados quando necessário, como em redes de convidados.
as VLANs foram desenvolvidas no início da evolução da tecnologia de rede para limitar as transmissões e priorizar o tráfego. Eles provaram ser úteis, pois as redes aumentaram em tamanho e complexidade.