Em uma rede local, a VLAN é algo muito simples: são "ilhas" que o administrador da rede cria, os equipamentos que estão conectados em uma VLAN não conseguem falar diretamente com equipamentos que estejam em outra VLAN. O administrador pode criar quantas VLANs ele quiser (na verdade, pode criar aproximativamente umas 4.000 VLANs, que é o limite dos switches).
No entanto as VLANs criam uma dificuldade: como conectar cada VLAN aos servidores e a Internet? Se elas não se falam, como vão compartilhar impressoras, servidor de email, etc? Na verdade a maneira mais simples de um administrador configurar uma rede é deixar todos os equipamentos em uma mesma VLAN, onde todos os recursos são compartilhados.
Então para que criar VLANs? Antigamente o brodcast (quando um equipamento envia um pacote para todos os outros equipamentos da rede) era um problema, e a VLANs ajudavam a limitar já que o broadcast de um equipamento só atinge quem estiver na mesma VLAN. No entanto hoje em dia as portas e switches já tem capacidade muito maior do que o tráfego de broadcast, mesmo em redes muito grandes. Então o bloqueio de broadcast já não é um fator hoje importante para justificar o trabalho e os problemas de se criar VLANs.
Segurança
Hoje em dia uma das principais razões para se implementar VLANs é segurança. Um equipamento (seja notebook, desktop, smartphone, etc) que esteja contaminado por um vírus normalmente só consegue atacar diretamente outros equipamentos que estejam dentro da mesma VLAN.
Além disso se houver um usuário mal intencionado dentro da empresa, ele vai estar limitado a atacar diretamente apenas os equipamentos que estejam na mesma VLAN.
Obviamente que sempre existem exceções, mas em regra geral estar em VLAN separada significa estar mais protegido.
Assim a VLAN da diretoria, estando separada da VLAN de vendas, vai estar mais protegida. Além disso para se interconectar VLANs se usa switches L3 ou mesmo firewalls, que podem fazer o controle de pacote e garantir a comunicação segura entre VLANs. Dentro de uma mesma VLAN existe poucos recursos de segurança que um switch possa fazer.
Priorização
Colocar equipamentos em VLANs diferente **NÃO** quer dizer isolar os congestionamentos. É importante entender isso muito bem!
Imagine que temos 2 switches (switch A e switch B) ligados por uma conexão gigabit. Podemos, por exemplo, criar duas VLANs nesses dois switches, uma de desktops e outra de telefonia IP. Se a VLAN de desktop gerar muito tráfego ela vai congestionar a interconexão gigabit e a telefonia IP vai apresentar problemas. Isso porque essas duas VLANs estão usando a mesma ponte e, se o administrador não fizer nada, não vai haver nenhuma priorização e assim o congestionamento de dados vai atrapalhar a telefonia IP.
Isso não quer dizer que as VLANs não ajudem. O administrador pode habilitar o recurso de priorização do switch (hoje em dia a maioria dos switches possui algum tipo de prioriação, algum QoS) e a maneira mais fácil de fazer essa configuração é por VLAN. O administrador indica para o switch que na conexão gigabit entre os switches o tráfego da VLAN de telefonia deve ser priorizado. Simples assim.
Dessa forma, o uso de VLAN não gera automaticamente priorização em interconexões congestionados, mas simplifica bastante.
Resumo
A explicação de que o uso de VLANs permite uma maior eficiência na rede por isolar o tráfego de broadcast já não é tão efetiva. Se fosse apenas por isso, uma rede poderia operar tranquila com milhares de equipamentos na mesma VLAN e o impacto do broadcast seria mínimo.
Hoje em dia VLAN serve principalmente como mecanismo de segurança e facilidade de configuração de regras de priorização na rede.
No entanto as VLANs criam uma dificuldade: como conectar cada VLAN aos servidores e a Internet? Se elas não se falam, como vão compartilhar impressoras, servidor de email, etc? Na verdade a maneira mais simples de um administrador configurar uma rede é deixar todos os equipamentos em uma mesma VLAN, onde todos os recursos são compartilhados.
Então para que criar VLANs? Antigamente o brodcast (quando um equipamento envia um pacote para todos os outros equipamentos da rede) era um problema, e a VLANs ajudavam a limitar já que o broadcast de um equipamento só atinge quem estiver na mesma VLAN. No entanto hoje em dia as portas e switches já tem capacidade muito maior do que o tráfego de broadcast, mesmo em redes muito grandes. Então o bloqueio de broadcast já não é um fator hoje importante para justificar o trabalho e os problemas de se criar VLANs.
Segurança
Hoje em dia uma das principais razões para se implementar VLANs é segurança. Um equipamento (seja notebook, desktop, smartphone, etc) que esteja contaminado por um vírus normalmente só consegue atacar diretamente outros equipamentos que estejam dentro da mesma VLAN.
Além disso se houver um usuário mal intencionado dentro da empresa, ele vai estar limitado a atacar diretamente apenas os equipamentos que estejam na mesma VLAN.
Obviamente que sempre existem exceções, mas em regra geral estar em VLAN separada significa estar mais protegido.
Assim a VLAN da diretoria, estando separada da VLAN de vendas, vai estar mais protegida. Além disso para se interconectar VLANs se usa switches L3 ou mesmo firewalls, que podem fazer o controle de pacote e garantir a comunicação segura entre VLANs. Dentro de uma mesma VLAN existe poucos recursos de segurança que um switch possa fazer.
Priorização
Colocar equipamentos em VLANs diferente **NÃO** quer dizer isolar os congestionamentos. É importante entender isso muito bem!
Imagine que temos 2 switches (switch A e switch B) ligados por uma conexão gigabit. Podemos, por exemplo, criar duas VLANs nesses dois switches, uma de desktops e outra de telefonia IP. Se a VLAN de desktop gerar muito tráfego ela vai congestionar a interconexão gigabit e a telefonia IP vai apresentar problemas. Isso porque essas duas VLANs estão usando a mesma ponte e, se o administrador não fizer nada, não vai haver nenhuma priorização e assim o congestionamento de dados vai atrapalhar a telefonia IP.
Isso não quer dizer que as VLANs não ajudem. O administrador pode habilitar o recurso de priorização do switch (hoje em dia a maioria dos switches possui algum tipo de prioriação, algum QoS) e a maneira mais fácil de fazer essa configuração é por VLAN. O administrador indica para o switch que na conexão gigabit entre os switches o tráfego da VLAN de telefonia deve ser priorizado. Simples assim.
Dessa forma, o uso de VLAN não gera automaticamente priorização em interconexões congestionados, mas simplifica bastante.
Resumo
A explicação de que o uso de VLANs permite uma maior eficiência na rede por isolar o tráfego de broadcast já não é tão efetiva. Se fosse apenas por isso, uma rede poderia operar tranquila com milhares de equipamentos na mesma VLAN e o impacto do broadcast seria mínimo.
Hoje em dia VLAN serve principalmente como mecanismo de segurança e facilidade de configuração de regras de priorização na rede.
Comentários