12/11/13

Virtual LAN's - Entendendo as VLAN's

Virtual LAN's

Isto nos leva a outra questo. As redes se tornaram muito maiores e a preocupao com segurana, gerenciamento e desempenho aumento tanto quanto a capacidade dos switchs d e gerenciar o controle de trfego.Entra ento o conceito das "Virtual LAN's".

A ideia separar segmentos de rede em 2 ou mais domnios de broadcast, mesmo que todas as mquinas estejam conectadas no mesmo switch, estaro "presas" em uma rede virtual onde s podem se comunicar diretamente com mquinas do mesmo domnio de broadcast. Basicamente o administrador da rede tem de configurar o switch para que determinadas portas sejam entendidas como membros de VLAN's diferentes, e o trfego de uma no se aplica a outra. Imagine um Switch configurao): de 8 portas representando apenas uma VLAN (sem nenhuma

Mensagens destinadas endereos de broadcast atingem todas as mquinas, j que s existe um domnio de broadcast. Em seguida 2 portas so configuradas como membros da VLAN 2:

Agora mquinas conectadas s portas 1 e 6 no tm comunicao com as outras. Note que esta configurao feita apenas no switch e totalmente transparente para os hosts conectados. Mesmo se voc espetar outros switchs em portas relacionadas a VLAN's, tudo funciona normalmente. Imagine que agora ele trabalha como 2 switchs diferentes . Voc pode continuar o processo e selecionar portas do switch para que trabalhem em VLAN's diferentes e ter vrios domnios de br oadcast na mesma rede fsica. Naturalmente o administrador vai implementar faixas de endereos IP diferentes para cada VLAN, deixando as coisas mais claras.

www.hardware.com.br/artigos/entendendo-vlans/virtual-vlans.html

1/2

12/11/13

Virtual LAN's - Entendendo as VLAN's

Algum poderia perguntar qual a diferena desta configurao (que atua na camada 2) para uma rede onde simplesmente os hosts so configurados em faixas de endereo IP distintas (fazendo VLAN's em camada 3) e no se comunicariam da mesma forma. Desta maneira ainda seria possvel um engraadinho alterar o seu endereo IP e obter acesso a outras mquinas de sub-redes diferentes, sem falar que quanto maior o domnio de broadcast, maior o nmero de mquinas que um atacante pode explorar com ARP spoofing por exemplo. O separao da rede por VLAN's ainda melhora o trfego j que diminui os broadcast storms , que apesar de necessrios podem gerar problemas diversos que seriam propagados por toda a rede. Em seguida temos as portas que trabalham como "Trunk port" que podem carregar trfego de VLANs diferentes. A ideia que tendo vrios switchs gerenciveis na rede, todos eles vo ter portas membros de VLAN's comuns . O trabalho das portas trank o mesmo que as portas chamadas "uplink" que cascateiam o trfego, mas desta vez marcando os frames provenientes de cada VLAN com uma tag indicando o nmero da VLAN (Por isso a maioria usa o termo "tagged port"). A marcao feita respeitando o protocolo 802.1q, que compatvel com qualquer fabricante. Se um frame de uma determinada VLAN, de acordo com o MAC , no pertence a nenhuma das portas daquele switch ele encaminhado para a porta trunk encapsulado com o nmero correspondente. Ao chegar no outro switch a porta tambm deve estar configurada como trunk , ento ele far a verificao da VLAN correspondente e escolher a porta onde est o dono da mensagem segundo a VLAN indicada, ou mesmo encaminhar para uma outra porta trunk. Assim podemos ter um cenrio com vrios switchs trabalhando com vrias VLAN's como se houvesse um conjunto de switchs para cada VLAN.

www.hardware.com.br/artigos/entendendo-vlans/virtual-vlans.html

2/2