Dentro de uma rede de computadores, uma VLAN é quando você cria uma separação entre partes da rede. Você literalmente divide a rede em pedaços separados, aonde um pedaço não fala com o outro (pelo menos não diretamente). Assim temos um único switch que se conecta a todos os computadores da rede, porém o administrador informa ao switch quais computadores (ou impressoras, servidores, telefones IP, etc.) se falam diretamente e quais não podem se falar.Assim, cada "ilha" é uma VLAN. Ou seja, temos apenas um switch real, porém várias redes virtuais (dai o termo VLAN). O conceito de VLAN pode se estender a vários switchs, em uma rede grande. O conceito é o mesmo: um equipamento de uma certa VLAN (para exemplificar, vamos chamar de VLAN 10) fala diretamente com qualquer dessa mesma VLAN, estando no mesmo switch ou não. Já um equipamento que esteja conectado na VLAN 15 não consegue falar diretamente com um outro que esteja na VLAN 10, estando esse outro no mesmo switch ou não.
Então quando um administrador criar VLANs em uma rede, ele está separando essas redes. Para uma VLAN pode falar com outra, é necessário um roteador ou firewall conectado a cada uma das VLANs, fazendo a ponte entre elas.
Mas qual a razão de se criar VLANs em uma rede?
A primeira razão é evitar a grande quantidade de broadcasts.
O que é um broadcast?
Em algumas situações um equipamento TCP/IP precisa enviar um pacote para toda a rede. Por exemplo, quando um computador deseja saber o endereço MAC do roteador, ele enviar o pacote para toda a rede (todos os equipamentos daquela rede recebem a requisição). Apenas o roteador responde, porém todos os equipamentos da rede receberam a requisição.
Assim, em algumas situações e em alguns momentos específicos cada equipamento da rede envia pacotes de broadcast, que acabam chegando (atrapalhando para ser mais exato) todos os equipamentos da rede.
Porém o broadcast fica dentro de cada VLAN. Um broadcast na VLAN 10 chega a todos os equipamentos dessa VLAN, mas não chega a nenhum dos equipamentos das demais VLANs.
Assim uma das razões de se dividir a rede em VLANs é diminuir a quantidade de broadcasts que cada equipamento recebe. Um computador em uma rede de 1000 computadores vai receber o dobro de broadcast do que se ele estivesse em uma rede de 500 computadores. Assim se eu dividir uma rede de 1000 equipamentos em duas VLANs de 500 máquinas, eu reduzo automaticamente para a metade a quantidade de pacotes de broadcasts.
No entanto, apesar de ser verdade isso tudo, os broadcasts causam poucos problemas. Mesmo em uma rede grande, com 2000 computadores, a quantidade de broadcasts não será grande o suficiente para afetar a performance da rede. Obviamente que em uma rede de 10.000 computadores a coisa fica feia, mas uma rede de 10.000 computadores é algo raro.
Assim, o controle dos broadcasts é uma razão para se implementar VLANs, porém uma razão fraca e mesmo assim em redes muito grandes.
Então porque implementar VLANs em uma rede?
A segurança
Hoje em dia a principal razão para se implementar VLANs é a segurança. Por exemplo eu posso colocar os telefones IP e o PABX IP em uma VLAN e os computadores em outra VLAN, dessa forma tenho certeza que nenhum usuário abusado tente mexer na rede de telefonia e também garanto que nenhum erro de operação de um usuário, por pior que seja, atrapalhe a telefonia.
Dessa forma as empresas podem colocar um firewall ou pelo menos um roteador com ACL interligando as VLANs. Se o administrador precisar mudar a configuração de um telefone IP ou do PABX IP, o firewall/roteador autoriza, mas um usuário normal não teria esse privilégio.
Dessa forma as empresas devem pensar em dividir a rede em pedaços com funções diferentes: redes de usuários, rede de telefonia IP e rede de vigilância IP.
As empresas também pode separar os servidores em uma VLAN separada, no entanto nesse caso é importante tem um roteador de alta performance para conectar a VLAN dos usuários até a VLAN dos servidores. Se o roteador não tiver uma excelente performance e uma baixa latência ele irá causar atrasos graves na rede que irão afetar os usuários. Nesse casos os switchs L3 são essenciais (um switch L3 é um switch normal que tem dentro um roteador de alta performance).
Outra aplicação de seguraça é separar departamentos: VLAN do departamento de vendas separada da VLAN do departamento de RH, aonde a única comunicação entre eles se faz via firewall/roteador com ACL.
Para saber mais
Para quem um pouco mais de informação, segue abaixo um vídeo resumo:
Resumo
Na época em que o Ethernet era 10Mbps e 100Mbps era conexão de backbone, se usava VLANs para evitar que o broadcast congestionasse a rede. Hoje em dia, em tempos de Gigabit e 10Gbps, essa preocupação deixa de ser importante (apesar de existir).
Hoje em dia, a principal razão para se implementar VLANs é a segurança entre aplicações (usuários, telefonia, vigilância, etc.), camadas de rede (usuários, servidores, storage, etc.) e departamentos (vendas, RH, administração, etc.).
Em todos os casos, sempre será necessário um roteador para interligar essas VLANs e nessa caso, um firewall ou um switch L3 com ACL é essencial para garantir a segurança - não adianta criar as VLANs para isolar as redes e depois interliga-las por um roteador sem controle, pois você vai voltar a ter as preocupações de segurança.
Compartilhe
Se você achou útil este artigo, por favor compartilhe utilizando os botões do Twitter, Facebook e Google+ abaixo para que outros possam ter acesso.
Comentários