VLAN (Virtual LAN), em resumo, é uma LAN (Local Area Network / Rede Local) virtual que permite a conexão física (seja via cabo ou sem-fio) entre um grupo de dispositivos, como computadores, servidores e outros recursos, geralmente conectados através de um switch ou um wireless access point, segmentados em diferentes domínios de broadcast. Para ficar mais claro e simples, as VLANs permitem a partição, ou divisão, de uma rede local em diferentes segmentos lógicos (sub-redes, menores, independentes), com isso, tendo uma organização maior dos clientes (dispositivos) e do tráfego desta rede (redução de colisões de pacotes), além de permitir que estes clientes, mesmo fisicamente distantes, tenham uma interconexão entre si, ou seja, estejam conectados a uma mesma rede.
VLAN é uma rede virtual que opera dentro de uma LAN, ou seja, ela depende da LAN para existir e operar, mas, é logicamente independente.
VPC: em ambientes em nuvem (cloud) existe o recurso de VPC, a Virtual Private Cloud, que é uma “sub-rede” que permite isolar recursos entre diferentes organizações, dentro do ambiente de nuvem pública. O conceito é muito semelhante ao de VLANs. Para que estas VPCs se comuniquem, é preciso envolver um gateway.
Switches HPE / Aruba
Para o acesso a interface de gerenciamento web do switch, consulte seu manual de instruções (datasheet) e confirme qual seu endereço IP padrão.
VLAN Configuration
Acesse o menu VLAN / Configuration e cadastre todas as VLANs desejadas e seus IDs, número identificador único que deverá usado em outros equipamentos que farão parte desta rede, como o roteador e/ou outros switches.
VLAN Port Membership
Cenário utilizado neste exemplo
- LAN 1 – Clientes / Hosts: Portas 1 a 24. Devem fazer parte da VLAN ID 3 (LAN 1);
- LAN 2 – Clientes / Hosts: Portas 29 a 46. Devem fazer parte da VLAN ID 4 (LAN 2);
- Impressoras: Portas 25 a 28. Devem fazer parte da VLAN ID 2 (Devices);
- Roteadores e outros switches: Portas 47 e 48. Devem fazer parte da VLAN ID 1 (default).
- Selecione o ID da VLAN que será configurada, como por exemplo, a VLAN ID 3 (imagem abaixo);
- Para as portas que farão parte desta VLAN (ID 3), neste caso da porta 1 a 24, use a configuração:
- Participation: Include
- Tagging: Untagged
- Para todas as outras portas (exceto para as citadas no passo 4), que não farão parte desta VLAN, use a configuração abaixo:
- Participation: Exclude
- Tagging: Untagged
- Para as portas que permitirão a este switch se conectar com outros switches ou roteadores que, neste exemplo são as duas últimas portas (47 e 48) e estarão na VLAN Default (ID 1), use a configuração abaixo:
- Participation: Include
- Tagging: Tagged
A configuração da VLAN ID 4 deverá ficar muito semelhante a imagem acima, alternando somente entre as portas configuradas como Include e Exclude / Untagged. Já na configuração da VLAN ID 2, somente as portas 25 a 28 estarão como Include / Untagged. Todas as outras (exceto as portas 47 e 48), estarão com o Exclude / Untagged.
VLANs não utilizadas
- Todas as portas, da 1 a 46, deverão estar com a configuração:
- Participation: Exclude
- Tagging: Untagged
- As portas desta VLAN ID 1, ou seja, somente a 47 e 48, deverão estar com a configuração:
- Participation: Include
- Tagging: Untagged
VLAN Port Configuration
Conclusão
- As portas 1 a 24 fazem parte da VLAN ID 3;
- As portas 25 a 28, fazem parte da VLAN ID 2;
- As portas 29 a 46, fazem parte da VLAN ID 4;
- As portas 47 e 48 fazem parte da VLAN Default, ID 1, porém, permitem o tráfego de todas as VLANs criadas deste cenário.
Neste cenário, os dispositivos conectados as portas membros de uma VLAN, só poderão se comunicar com outros dispositivos conectados a esta mesma VLAN. Por exemplo, um computador conectado a porta 1, só poderá se comunicar com outro computador / servidor conectado às portas 2 a 24. Para que este mesmo computador se conecte a outros computadores / servidores (ou outras redes, como a Internet), conectados a outras VLANs (como a partir das portas 25), é preciso que um roteador (camada 3) seja utilizado e que este roteador (ou um firewall) permita esta comunicação (network policies).
Vale destacar que cada rede deve possuir um endereçamento único, ou seja, para cada VLAN será necessário utilizar um range de IPs diferentes entre si. Caberá ao gateway fazer parte de cada uma destas sub-redes (endereços), permitindo (ou não) a comunicação entre elas.
Switches TP-Link
O switch usado no cenário abaixo, um TL-SG108E, é muito mais simples quando comparado aos switches HPE/Aruba, usados no cenário acima. Este switch possui apenas 8 portas, porém, é compatível com o padrão / protocolo 802.1Q, ou seja, permite o uso e configuração de VLANs.
Neste switch, quase toda a configuração de VLAN pode ser realizada em sua interface web, no menu VLAN / 802.1Q VLAN (imagem abaixo).
VLAN Configuration e Port Membership
Neste exemplo, vamos criar uma segunda VLAN (ID 13) e atribuir a ela apenas 2 portas (a porta 7 e 8). Para isso, basta digitar o ID desejado (neste exemplo, o 13) no campo VLAN ID e então teclar Tab. Automaticamente, o switch exibirá todas as portas como Not Member: yes (ou check).
Feito isso, para as portas 7 e 8, que devem fazer parte da VLAN ID 13, use a configuração: Untagged: yes.
A porta de uplink, onde está conectado o roteador / gateway desta rede, é a porta 1. Neste caso, usando a mesma configuração vista no cenário acima, use a configuração: Tagged: yes.
As portas 1 a 6, que devem fazer parte da VLAN ID 1, ficarão com a configuração: Not Member: yes.
- VLAN ID 1: ter como membro (Member Ports) todas as 8 portas (Untagged Ports);
- PVID 1: estar setado nas portas 1 a 6;
- VLAN ID 13: ter como membro (Member Ports) somente as portas 1, 7 e 8, sendo a porta 1 como Tagged Ports e as portas 7 e 8 como Untagged Ports;
- PVID 13: estar setado nas portas 7 e 8.
Políticas de Rede (Firewall)
Como citado acima, VLANs estão na camada 2 do Modelo OSI e, para que estas sub-redes, que devem possuir endereçamentos diferentes, se comuniquem (ou não), um gateway precisa ser envolvido. Neste cenário, o gateway da rede é o próprio firewall desta rede, que pode gerenciar as regras de comunicação entre estas VLANs (sub-redes).
No exemplo abaixo, as regras de rede (também chamadas de ACLs / Access Control List ou Network Policies / Rules) podem ser descritas da seguinte maneira, considerando:
- Name: uma descrição simples da regra;
- From (Incoming interface): interface de rede de origem (como uma porta física do roteador (LAN) ou uma sub-rede (VLAN);
- To (Outgoing interface): interface de rede de destino (como uma porta física do roteador (LAN ou WAN) ou uma sub-rede (VLAN);
- Source: endereço de rede / sub-rede ou objeto (como um computador específico) de origem;
- Destination: endereço de rede / sub-rede ou objeto (como um computador específico) de destino;
- Service: serviço ou porta utilizada (HTTPS, DNS, SSH, etc);
- Action: ação para esta regra (Accept, Deny ou outra);
- NAT: se o recurso de NAT deve ser usado ou não (Enabled ou Disabled)
Na configuração acima, podemos afirmar que:
- A regra ID 1, chamada de Internet: permite (Action = Accept) que os pacotes vindos da interface internal-lan (From), com destino a interface wan (To), ou seja, a Internet, sejam trafegados, independente qual seja sua origem ou quem ele seja (Source), qual seja o seu destino (Destination) e qual serviço ele solicitará (Service / Ports). Neste caso ainda, o gateway usará o recurso de NAT (Network Address Translation, também conhecido como Masquerading), para que os endereços internos (da LAN) sejam reescritos pelo endereço externo (WAN) do Gateway. Neste exemplo, a internal-lan possui o endereçamento 192.168.100.0/24.
- A regra ID 7, chamada de VLAN13 to Internet: permite (Action = Accept) que os pacotes vindos da interface vlan13 (From), com destino a interface wan (To), ou seja, a Internet, sejam trafegados, independente qual seja sua origem ou quem ele seja (Source), qual seja o seu destino (Destination) e qual serviço ele solicitará (Service / Ports). Neste caso ainda, o gateway usará o recurso de NAT (Network Address Translation, também conhecido como Masquerading), para que os endereços internos (da VLAN) sejam reescritos pelo endereço externo (WAN) do Gateway. Neste exemplo, a vlan13 possui o endereçamento 192.168.113.0/24.
- A regra ID 8, chamada de VLAN13 to LAN: permite (Action = Accept) que os pacotes vindos da interface vlan13 (From), com destino a interface internal-lan (To), ou seja, a rede LAN, sejam trafegados, independente qual seja sua origem ou quem ele seja (Source), qual seja o seu destino (Destination) e qual serviço ele solicitará (Service / Ports). Neste caso, o recurso de NAT (Disabled) é desnecessário, já que não há trafego entre LAN e WAN.
*A regra acima está desabilitada, assim, sua configuração é ignorada por padrão. - A regra ID 9, chamada de VLAN13 to SERVERS: permite (Action = Accept) que os pacotes vindos da interface vlan13 (From), com destino a interface internal-lan (To), ou seja, a rede LAN, sejam trafegados, desde que sua origem sejam endereços IPs da VLAN13 (Source) e que o destino sejam dois servidores específicos da LAN (Destination), independente de qual serviço ele solicitará (Service / Ports). Neste caso, o recurso de NAT (Disabled) é desnecessário, já que não há trafego entre LAN e WAN.
Desta maneira, pode-se concluir que qualquer computador conectado a LAN ou VLAN13, poderá acessar a Internet (regras ID 1 e ID 7). Os computadores conectados a VLAN13 só poderão se comunicar com 2 servidores específicos, que estão na LAN (regra 9). Qualquer outra comunicação com um endereço de destino, local, não será permitida, já que a regra que poderia permitir esta comunicação está desabilitada (regra ID 8).
*Com informações de: Lifewire – VLAN, Intelbras – Guia de Boas Práticas para Cascateamento de Switches, UFRJ – VLANS, IFSC – Redes Locais Virtuais, Wikipedia – Virtual Local Area Network (VLAN), Wikipedia – Virtual Private Cloud (VPC), PPLWare – Redes – Sabe o que é uma VLAN?, Google Cloud – VPC, TP-Link – Como configurar VLAN Switches Easy Smart.
muito boa explicaçao, eu peguei o trabalho de TI em uma empresa e estou com um cenario parecido, porem existe 4 Vlans que no caso sao: lan(onde fica os Pcs e impressoras, Wifi(separado da rede), vlan da Oi fibra e a Vpn para comunicar com a filial atravez de fibra.
Obrigado, Alexandre!