Como funciona uma VLAN

De uma maneira objetiva e rápida podemos dizer que uma VLAN nada mais do que uma segmentação de rede que é feita de maneira virtual. Como o o próprio nome já diz Virtual LAN ou Virtual Local Area Network é justamente isso, uma rede local que é é feita de maneira virtualizada dentro um único equipamento, normalmente um switch.

E porque é dito que é virtualizada? Por que caso não existisse VLANs, a única forma de utilizar segmentação de rede seria separar as redes em switchs distintos. Isso quer dizer que teríamos que sim, ter 2 switchs físicos realizando essa separação.

Outra forma que teríamos de separar ou apartar duas redes seria colocar endereços IPs diferentes em cada um dos equipamentos que quiséssemos segmentar. Porém isso no dia a dia de um administrador de rede não é nada viável e plausível para se gerenciar.

Sendo assim, gosto de dizer que VLANs nada mais são que “ilhas” que separam uma rede da outra. Isso é comumente feito nas portas do switch, como podemos ver abaixo:

Na imagem acima podemos notar que temos uma separação ilustrativa nas portas. Podemos dizer que cada uma dessas separações por cor são uma rede diferente separa por VLAN. Dessa forma podemos garantir que a rede vermelha não comunique em nada com a rede azul, amarela e verde. Isso vale pra cada uma das redes que foram apartadas, ou seja, as VLANs nos permite que a gente transforme um switch de rede de 24 portas em 2, 3, 4 ou mais switchs menores. Lembrando que não existe uma receita de bola formula da maneira correta de se criar VLANs, quem define como vai ser feito essa separação é justamente o administrador. Lembrando ainda que as portas que são separadas uma das outras por VLAN, não necessariamente necessitam ficar uma do lado da outra como mostrei na imagem acima. Sendo assim podemos ter as portas 1, 2 e 3 na VLAN X e as portas 4, 9 e 12 na VLAN Y, por exemplo.

Mas final de contas, porque separar redes?

Segmentação de rede é uma boa prática para bem dizer qualquer rede, mas porque esse prática é tão recomendada assim? O primeiro ponto a se destacar é que eu posso criar VLANs para separar os tipos de dispositivo da minha rede. Dessa forma eu posso ter uma VLAN para os computadores, outra para as impressoras, mais uma para os pontos de acesso sem fio e assim por diante. Com isso o primeira ganho que temos é que, já que separamos um switch em duas ou mais redes, vai ser necessário atribuir diferentes escopos de endereço IP para essas redes. Sendo assim passamos a ter uma facilidade em reconhecer um tipo de equipamento apenas olhando para o seu endereço de IP, ou seja, para sua VLAN.

Aplicações de VLAN

Entretanto, fazer o uso de VLANs vai muito além epenas da segmentação das redes em si. Abaixo vou considerar 3 dos tópicos mais importantes na utilização de VLAN.

[su_spacer]

Evitar Broadcast

Um bom motivo para se começar a utilizar VLAN, é diminuir a propagação de broadcast nada rede. Broadcast pra quem não sabe é quando um computador envia um pacote para todos os outros computadores da rede. Em redes de computadores já é conhecido que um ativo de rede troca informação com outro ativo muito constante e de maneira muito corriqueira. Entretanto algumas coisas exigem que um dispositivo faça o uso de broadcast, que como eu já falei, é o envio de uma informação para todos os demais computadores online na rede como um todo. O maior exemplo disso é a requisição de endereço IP para o servidor de DHCP. E essa requisição acontece com todos os computadores no momento em que você o liga, ou seja, diariamente todos os computadores enviam um pacote para todos os computadores da rede, visto que o a solicitação de IP é de fato uma requisição muito comum e plausível em diversas situações

Fácil Configuração

Outro ponto interessante a se observar nas VLANs é que, em função de estarmos trabalhando com redes separadas. Algumas configurações e administrações de rede acabam de tornando muito mais fáceis. Uma delas é de que é possível priorizar o tráfego de um VLAN. Sendo assim é até uma boa prática priorizar o tráfego da VLAN que foi feita para os dispositivos voip, visto que a voz sob IP é mais sensível a falhas, no momento em que a rede esta com um alto grau de tráfego como um todo. Outro ponto que é muito atraente é a possibilidade de bloquear todos os IPs de uma determinada VLAN para que eles não naveguem não internet. Obviamente para isso será preciso um firewall de borda. Dessa forma é necessário apenas bloquear o tráfego HTTP e HTTPS que tenham origem no escopo de rede da VLAN 1, 2 ou 3 por exemplo. Isso por si só já é uma introdução para o próximo tópico que eu considero importante que é a segurança.

Segurança

Esse eu considero o ponto mais atrativo no momento em que se começa a utilizar VLANs visto que, já que eu estou fazendo a segmentação das redes, eu posso muito bem restringir o acesse entre esses redes colocando um roteador ou firewall no meio delas. Com isso eu posso dizer que os notebooks que estão na VLAN do setor administração , não se comuniquem com os computadores do setor de vendas, desde de que claro, cada um desses setores estejam separados em uma VLAN cada um deles. Mais atrativo do que isso é separar o uso de celulares dos funcionários que estão na redes sem fio dos computadores da empresa, bem como separar a rede dos servidores e ativos de rede num geral.

Ônus no Uso de VLAN

Nem tudo é mil maravilhas no momento em que adotamos o uso de VLANs. Sendo assim, pra terminar vou destacar 2 pontos que são um pouco desagradáveis na usabilidades das VLANS.

Ambiente Complexo

O uso de VLANs deixa a rede de computadores e o ambiente de TI muito mais corporativo e sério, porém é válido destacar que todos os switchs da rede precisam ser gerenciáveis e isso encarece um pouco o custo da rede em si. Atualmente isso não tem sido um grande empecilho, visto que já é possível encontrar bons switchs de rede no mercado abaixo da faixa de 2 mil reais. Outro aspecto a se destacar é que a equipe de rede num geral precisa ser mais especializada para que a gestão e a operação do dia a dia seja tranquila e eficiente. Isso muitas vezes envolve ter um analista ou um gestor sênior ou pleno dentre o time de infraestrutura de TI.

Dificuldade na Expansão da Rede

Por último é legal salientar que as VLANs tornam a rede de computadores muito mais rígida, visto que no momento em que é preciso que X portas de um determinado switch estejam em determinada VLAN, antes de começar a conectar os cabos e realizar o serviço físico de cabeamento do ambiente, é necessário confirmar que essas portas estejam configuradas corretamente. Para isso vai ser necessário que um analista de rede conecte no gerenciamento do switch, seja por interface web ou SSH e realize ou confirme que a configuração necessário esta feita. É claro que ter uma documentação de rede facilita muito essa gestão e administração, porém ao mesmo tempo a gente sabe que no dia-a-dia da operação nem sempre isso vai ser fácil e rápido de ser realizado.

Mateus Wolff

Meu nome é Mateus Wolff e trabalho com TI desde 2009. Sou arquiteto de soluções de proteção de dados e tenho algumas certificações como VMCE, VCP-DCV e ITIL.

Participo do programa de reconhecimento Veeam Vanguard e sou ex membro do grupo Veeam Legends.

Também sou líder do grupo Veeam User Group Brasil.