Networking

Redes: Saiba o que é uma VLAN e aprenda a configurar

47 Comentários

O termo VLAN (Virtual LANs – redes locais virtuais) não é propriamente novo para os leitores do Pplware. Em finais de 2010, escrevemos aqui um artigo sobre VLANs e também quais os benefícios numa rede de dados.

Hoje vamos apresentar mais alguns conceitos e ensinar a configurar num switch Cisco.


Afinal o que é uma VLAN?

Devido ao crescimento e complexidade das redes informáticas, é muito comum nos dias de hoje que a rede física seja “dividida” em vários segmentos lógicos, denominadas de VLANs. Uma VLAN é basicamente uma rede lógica onde podemos agrupar várias máquinas de acordo com vários critérios (ex. grupos de utilizadores, por departamentos, tipo de tráfego, etc).

As VLANs permitem a segmentação das redes físicas, sendo que a comunicação entre máquinas de VLANs diferentes terá de passar obrigatoriamente por um router ou outro equipamento capaz de realizar encaminhamento (routing), que será responsável por encaminhar o tráfego entre redes (VLANs) distintas. De referir ainda que uma VLAN define um domínio de broadcast (ou seja, um brodcast apenas chega aos equipamentos de uma mesma VLAN). As VLANs oferecem ainda outras vantagens das quais se destacam: segurança, escalabilidade, flexibilidade, redução de custos, etc.

No exemplo da imagem a seguir temos 2 VLANs criadas no switch (VLAN 100 e VLAN 200).  Na VLAN 100 temos o Host A e o Host B. Na VLAN 200 temos o Host C e o Host D. Num switch podemos configurar várias VLANs criando assim vários domínios de broadcast  – o tráfego de uma VLAN não é enviado para outra VLAN. Para que tal aconteça é necessário que haja encaminhamento (por exemplo através de um router). Assim, neste exemplo, independentemente das máquinas estarem ligadas ao mesmo equipamento físico, o Host A só consegue comunicar com o Host B (e vice-versa) e o mesmo acontece com o Host C e o Host D.

Quando ter uma rede física segmentada em VLANs?

Imaginem, por exemplo, que foram contactados para implementar uma rede numa Universidade. Considerando que vamos ter utilizadores/serviços/perfis distintos (ex. Apoio à Direção, pessoal da contabilidade, pessoal dos recursos humanos, externos, etc) a ligarem-se à mesma rede física. Nesse sentido é importante que as máquinas estejam em redes separadas (mesmo estando ligadas no mesmo switch ou segmento de rede). Não faz sentido (essencialmente por questões de segurança), que um utilizador (ex.um aluno), se ligue à mesma rede onde estão os utilizadores que fazem parte do serviço da contabilidade.

Vejam o seguinte cenário para um edifício: 3 grupos distintos de utilizadores que pertencem à contabilidade, gestão de recursos humanos e apoio à direção. Os utilizadores dos três serviços encontram-se distribuídos pelos vários pisos no mesmo edifício, mas em termos de rede (uma que vez foram configuradas VLANs), encontram-se na rede (VLAN) definida para cada serviço.

A comunicação entre utilizadores de serviços diferentes só é possível, se configurado o encaminhamento no router.

A constituição de VLANs numa rede física, pode dever-se a questões de:

  • Organização – diferentes departamentos/serviços podem ter a sua própria VLAN. De referir que a mesma VLAN pode ser configurada ao longo de vários switchs, permitindo assim que utilizadores do mesmo departamento/serviço estejam em locais físicos distintos (ex. Utilizador A – Polo 1, utilizador B – Polo 2) da mesma instituição;
  • Segurança– Pelas questões que já foram referidas acima, ou por exemplo para que os utilizadores de uma rede não tenham acesso a determinados servidores;
  • Segmentação– Permite dividir a rede física, em redes lógicas mais pequenas e assim tem um melhor controlo/gestão a nível de utilização/tráfego.

 

VLANs – Tipo de portas

Um switch com a capacidade para criação de VLAN suporta dois tipos de portas:

  • Portas de Acesso (ligações de acesso)
  • Portas Trunk (ligações partilhadas)

Uma Porta de Acesso (access), permite associar uma porta do switch a uma vlan. As portas do tipo acesso são usadas para ligar PCs, impressoras, etc. Por omissão, todas as portas do switch vêm configuradas na VLAN 1.

Uma Porta Trunk, normalmente usada para interligação de switchs ou ligação a routers, e permite a passagem de tráfego de várias VLANs. Configurando uma porta como trunk, todo o tráfego de todas as VLANs criadas no switch podem passar por lá, no entanto o administrador pode limitar ao número de VLANs que pretender. Como podem ver pela imagem seguinte, a ligação entre o switch A e o Switch B é realizado através de portas Trunk isto porque, no mesmo link, é necessário passar tráfego da VLAN 100 e 200.

Como configurar?

Para este artigo vamos considerar o exemplo anterior. Vamos também definir o seguinte endereçamento:

  • VLAN 100: 192.168.100.0/24
  • VLAN 200: 192.168.200.0/24

Para começar vamos criar as VLANs no switch A e depois associar a porta Fa0/2 e Fa0/3 à VLAN 100 e a Fa0/4 à VLAN 200. Vamos ainda atribuir o nome Estudantes à VLAN 100 e Docentes à VLAN 200. Para tal, entramos no SwitchA e realizamos as seguintes configurações:

SwitchA> enable
SwitchA# configure terminal
SwitchA(config)#vlan 100
SwitchA(config-vlan)#name estudantes
SwitchA(config-vlan)#vlan 200
SwitchA(config-vlan)#name docentes
SwitchA(config-vlan)#exit

SwitchA(config)#interface fastEthernet 0/2
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 100

SwitchA(config-if)#interface fastEthernet 0/3
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 100

SwitchA(config-if)#interface fastEthernet 0/4
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 200

Devem realizar uma configuração semelhante para o SwitchB

SwitchB> enable
SwitchB# configure terminal
SwitchB(config)#vlan 100
SwitchB(config-vlan)#name estudantes
SwitchB(config-vlan)#vlan 200
SwitchB(config-vlan)#name docentes
SwitchB(config-vlan)#exit

SwitchB(config)#interface fastEthernet 0/2
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 100

SwitchB(config-if)#interface fastEthernet 0/3
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 200

SwitchB(config-if)#interface fastEthernet 0/4
SwitchB(config-if)#switchport mode access
SwitchB(config-if)#switchport access vlan 200

Por fim vamos configurar as portas trunk. Para tal vamos ao SwitchA, e definimos a porta fastEthernet 0/1 como Trunk.

SwitchA(config-if)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode trunk

Devem realizar uma configuração semelhante para o SwitchB

SwitchB(config-if)#interface fastEthernet 0/1
SwitchB(config-if)#switchport mode trunk

Caso pretendam ver as VLANS por porta, podem executar o comando show vlan

Testes

Vamos agora verificar se há comunicação entre máquinas da mesma VLAN, ligadas a switchs diferentes. Para a realização de testes vamos tentar pingar do PC0 para o PC3 (que pertencem à VLAN 100). Em seguida vamos pingar do PC2 para para PC5 (que pertencem à VLAN 200).

Comunicação entre PC0 e PC3

Comunicação entre PC2 e PC5

Espero que tenham percebido o conceito de VLAN, e caso queiram colocar em prática podem sempre consultar a data sheet dos vossos switchs para saber se suportam VLANS. Alguém usa esta tecnologia?

Existem ainda outros conceitos dentro do assunto das VLANs como por exemplo VTP, trunking (protocolo 802.1Q ou ISL da Cisco), subinterfaces, etc. Esperamos trazer estes temas em próximos artigos.

Leia ainda:

NIC Bonding – Aprenda o que é e como configurar

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
switch VLAN

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Experimente já a Redstone 6, a próxima grande versão de testes do Windows 10
Artigo anterior

Experimente já a Redstone 6, a próxima grande versão de testes do Windows 10
10 Apps pagas à borla na Play Store… por tempo limitado!
Próximo artigo

10 Apps pagas à borla na Play Store… por tempo limitado!
PUB

Comentários

47

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Jorge
    Jorge

    Adorei o artigo, bastante detalhado!

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Obrigado. PP
      Não é fácil escrever sobre uma tecnologia que tem tanta coisa. Depois escrevo outra.

      Responder
      1. Avatar de Tavares Da Silva
        Tavares Da Silva

        Muito obrigado, gostei

        Responder
    2. Avatar de Mota
      Mota

      +1

      Responder
    3. Avatar de Francisco
      Francisco

      também gostei. vou dar save
      isto pode ser bastante útil para jogar jogos antigos em lan sem recorrer ao mau atualmente hamachi

      Responder
    4. Avatar de Luis Couto
      Luis Couto

      +1

      Responder
  2. Avatar de PS
    PS

    Posso atribuir regras de firewall para as diferentes VLans no switch cisco?

    Responder
    1. Avatar de Piwi
      Piwi

      Assumindo que estás a falar de ACLs (access-lists), independentemente do tipo, a resposta é sim.

      Responder
    2. Avatar de Pedro Pinto
      Pedro Pinto

      Sim 🙂

      Responder
  3. Avatar de Amilcar Alho
    Amilcar Alho

    Mais um artigo à PP!
    Já sentia falta de mais um excelente artigo.
    Parabéns PP! 😉

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Obrigado. abraço.

      Responder
  4. Avatar de Pedro Fonseca
    Pedro Fonseca

    Artigo muito bom, muito informativo e bem explicado.

    Responder
  5. Avatar de Yosef Shlomo
    Yosef Shlomo

    Ola, o que sao esses
    /24 /16 e sei la mais quantos podem ser ? na teoria e na pratica o que isso significa e como usar ?
    obrigado

    Responder
    1. Avatar de Louro
      Louro

      Acho que isto responde a tua pergunta.

      http://www.steves-internet-guide.com/subnetting-subnet-masks-explained/

      Responder
      1. Avatar de Yosef Shlomo
        Yosef Shlomo

        obrigado, mas nao responde ! é mais um texto escrito para quem já trabalha com isso, nao para leigos

        Responder
    2. Avatar de Jorge silva
      Jorge silva

      Boas basicamente o /XX designa-se por máscara que define o número de IP`s que estão incluídos numa rede. Por exemplo se tivermos a rede 10.0.0.0/24 quer dizer que a rede vai desde o IP 10.0.0.1 até ao 10.0.0.254

      Responder
    3. Avatar de Pedro Pinto
      Pedro Pinto

      é a mascara 🙂
      Escrevi algo sobre isso aqui: https://pplware.sitedev.pt/tutoriais/networking/redes-slash-24-24-ou-255-255-255-0/

      Responder
  6. Avatar de Borges
    Borges

    Boas, é possivel de determinado pc na rede ter acesso a várias vlans simultaneamente ?

    Responder
    1. Avatar de Joao Silva
      Joao Silva

      Claro que é, em vez de configures a interface em modo access, configuras em modo trunk, mas… o interface do pc tem que entender vlans.

      Responder
      1. Avatar de Borges
        Borges

        E assim irá criar uma nova VLAN “mista” ?

        Responder
        1. Avatar de Luiz
          Luiz

          Hey Borges,

          Não.
          Cada pacote de cada vlan tem um identificativo a que vlan esse pacote pertence. Uma frame L2 poderá conter essa identificativo.

          Se um PC recebe uma frame/trama com um indicativo (em trunk/ com dot1q) ele irá ignorar por defeito, a não ser que tenhas um placa que consiga perceber isso e que actives essa opção na mesma.

          Quando ativares, terás que atribuir uma “sub-interface” para cada Vlan.

          Isto é, se o Switch entrega-te 3 vlans, (native, 5 e 10) e queres que o servidor/pc comunique com as 3, terás que ter 3 “adaptadores” um em cada vlan.

          P.S. native = sem o dot1q header / em acesso

          Para todos os efeitos esse PC poderá ( se quiseres ) fazer de router entre essas 3 vlans.

          Cumprimentos,

          Responder
          1. Avatar de Borges
            Borges

            Quando referes sub interfaces terei que ter uma placa de rede existente para cada vlan ou pode-se criar interfaces virtuais ?

    2. Avatar de Victor
      Victor

      Pra uma VLAN poder se comunicar com a outra, o Switch precisa ser Level 3, pra poder fazer o “roteamento”.

      Responder
      1. Avatar de Daniel
        Daniel

        Router on a Stick.

        Responder
  7. Avatar de Jhonathan
    Jhonathan

    VPN?

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      hein?

      Responder
  8. Avatar de Pedro Carvalho
    Pedro Carvalho

    Duvida? É possível enviar 2 ou mais vlans de um router para dentro de outro router com outras vlans sem que estas entrem em conflito.

    Exemplo: router 1 cisco (rede biblioteca) tem: vlan 2(internet | altice), vlan 3(voip1) , vlan 4 (servidores). Fa0/1 vlan 2 – Fa0/2 vlan 2 | vlan 3 – Fa0/3 vlan 2 | vlan 4.

    router 2 cisco (rede escritório) tem: vlan 5(internet | nos) , vlan 2(voip2), vlan 3 (VPN) . Fa0/1 vlan5 – Fa0/2 vlan 2 | vlan 5 |vlan 3

    Problema: preciso de criar um posto de trabalho(rede biblioteca) com acesso ao “voip2” e “internet | nos” sem que este entre em conflito com “voip1″ nem com”internet | altice”, problema acrescido não posso alterar as configurações do router 2 cisco (pertence a fornecedor). Basicamente queria isolar a configurações Fa0/2 do router 2 cisco e inserir no router 1 cisco.

    Responder
    1. Avatar de Daniel
      Daniel

      Layer 2 – Switch
      Layer 3 – Router

      Alhos e bugalhos.
      (V)LAN é layer 2.

      Responder
      1. Avatar de Pedro Carvalho
        Pedro Carvalho

        Layer 2

        Responder
      2. Avatar de Luiz
        Luiz

        Well…

        Uma Routing port é vlan aware por defeito…
        Se criares uma sub-interface nessa routing port e indicares qual dot1q vlan vai “ouvir” podes ter 2 Vlans a bater numa mesma interface no Router…
        Acho que Estares a dizer ” alhos e bugalhos ” para uma pessoa a pedir ajuda não é o mais indicado 😉

        Cumps,

        Responder
        1. Avatar de Marcos
          Marcos

          Obrigado, existem pessoas que querem ajudar felizmente, mas outras….

          Responder
    2. Avatar de Luiz
      Luiz

      Hey Pedro,

      Acho que entendi tudo.

      Acredito que a Fa0/2 do Router 2 Cisco (NOS) deverá estar conectado a um Switch em Trunk.
      O que precisas fazer é conseguir configurar uma porta com access vlan 5 e voice vlan 2 nesse switch e estender um cabo até a biblioteca ( se for menos que 100m ).

      Se for mais que 100m, vais precisar que exista um Switch na Biblioteca, um Switch no Escritório, passar um patching de Fibra entre os 2, colocar essas portas em Trunk. E fazer o acima no Switch local do Escritório.

      Se nem o Switch for de tua Gestão, e acreditando que és um cliente Empresarial, liga para o Suporte Empresarial da NOS e pede ajuda… Se tiveres equipamentos SOHO Cisco/Huawei ( Cisco 88x / Huawei S2700 , típico de ligações pequenas empresariais ), deves ter Suporte Grandes Empresas / Corporate ( 21 010 4250 / 808 10 10 90 )

      Cumprimentos,

      Responder
  9. Avatar de Dude
    Dude

    Discordo por completo. O artigo não é nada “pro”. Até é bastante simples. Começa por explicar o conceito de VLAN, quando utilizar e a forma básica de a(s) configurar, neste caso concreto num switch Cisco. Se estas “coisas” de tecnologia e afins te fazem confusão, podes sempre procurar artigos de caça e de pesca, sem desmérito destas atividades.

    Responder
  10. Avatar de Pedro Pinto
    Pedro Pinto

    Olha nei sei que te diga 😀

    Responder
    1. Avatar de Dude
      Dude

      Sim, caro Costa, tenho vários switches Cisco (virtuais) em casa. Aliás, tenho os que quiser, no Cisco Packet Tracer, claro… Virtualização, conheces?

      Responder
      1. Avatar de Costa
        Costa

        Pronto então, és mau a interpretar um comentário e alem disso acabaste de te contradizer, parabéns.
        Do site da cisco -> “Cisco developed Packet Tracer to help Networking Academy students achieve the most optimal learning experience while gaining practical networking technology skills.”
        Portanto, tal como está no site, é para treino de profissionais na area.

        Virtualização? Conheço, mas gosto mais do real (os únicos switch cisco que usei, foram reais, daqueles que custam dinheiro sabes ), a idade do virtual já lá vai há muitos anos, era tipo isto https://youtu.be/EH3aklfDBqo , belos tempos…

        Como andas nos treinos “virtuais”, tens aqui algo talvez mais ao teu gosto -> http://www.introversion.co.uk/uplink/ ,quando saiu teve o seu momento…

        Se achares o uplink velho, olha tens este site para os teus treinos https://legacy.hackerexperience.com/ , parece que vais ficar um “espada” na coisa das redes, mas “virtuais”…

        Responder
  11. Avatar de Jorge MIguel Santos
    Jorge MIguel Santos

    Mais um artigo de excelência com assinatura do Pedro Pinto 😀

    BTW, há uma coisa que me mete confusão: Tirando todas as outras partes e sem entrar a fundo, e por mera curiosidade, sabes como funciona a infraestrutura da meo fibra?
    Eles têm o ONT ligado ao router que depois têm VLANS para net, TV e assim, sabes como o protocolo é feito? Já vi que os routers da asus estão preparados para isso, assim como openwrt, mas o que queria saber era mesmo o conceito. Tens alguma coisa sobre isso ou está pensar fazer algo?

    Obrigado.

    Responder
    1. Avatar de Luiz
      Luiz

      O Conceito dessas vlans de serviço em FTTx é um pouco mais complexo do que aqui foi exposto.
      O protocolo de trunking usado é o mesmo DOT1Q, mas existem uns truques para por a funcionar corretamente.

      Por exemplo, os pedidos de DHCP em cada Vlan ( para ganhar IP corretamente ) podem ter de conter algumas opções “maradas”/”escondidas” para conterem a resposta certa.

      Sem falar que para conseguires usufruir do serviço de IPTV tens de ter um equipamento que suporte IGMP, dado que a BOX terá de fazer um join ao canal e esse join tem de ser propagado até o HeadEnd.

      Para a voz ainda é mais complicado, usa-se o protocolo SIP, além de teres de ter um IP na rede de VOIP deles, tens de saber como a Autenticação SIP é feita ( se é feita se quer ) e ter um equipamento que Suporte SIP como deve ser.

      Alguns colegas meus já substituíram o TG784v3 por algo mais porreiro (de gama SOHO Cisco), mas foram semanas a batalhar e com inside info do que estaria a bater na trave 🙂

      Conto algum dia poder pedir um ONT L2, liga-se a um bom Switch ( que suporte IGMP ), colocas uma interface na Vlan de Internet, outra na Vlan de IPTV, essa da vlan de IPTV vai para as boxes, e da internet ir para um Appliance interna ( sonhos… )

      Cumprimentos,
      LzS

      Responder
  12. Avatar de Luiz
    Luiz

    Hey Pedro,

    Podias ter usado é aquele EVE-NG catita que configuraste no outro dia ;). O Packet-Tracer tem muitas limitações.

    Cumprimentos,
    LzS

    Responder
  13. Avatar de Marcos
    Marcos

    Podiam usar o GNS3 em vez do Packet Tracer

    Responder
  14. Avatar de Zecatronix
    Zecatronix

    É possível ligar a um switch, 2 routers em que um fornece dhcp para determinadas portas do switch e o outro fornece dhcp para outra portas configuradas no switch. O switch em questão suporta vlans.
    Mas não estou a ter sucesso com a configuração.
    Cumprimentos

    Responder
  15. Avatar de Lucas
    Lucas

    cara como determino um ip para a vlan ? como o swtch sabe qual ip tem a vlan 100 por exemplo ?

    Responder
  16. Avatar de Joycy Samira da Silva
    Joycy Samira da Silva

    Gostei muito, parabéns pelo o trabalho.

    Responder
  17. Avatar de Vinicius
    Vinicius

    Se duas vlans forem atribuídas ao mesmo modem, ela pode causar conflito? Um mesmo modem Cliente tratando de Cliente final, pode ter duas vlans atreladas ao mesmo equipamento?

    Responder
  18. Avatar de Alexandre
    Alexandre

    Boa noite,

    estou a fazer um trabalho para a escola e surgiu-me uma dúvida.
    Qual será a melhor forma para as VLANs do Switch comunicarem com o Router?
    Encapsulamento? É que quando faço isso, as VLANs passam a comunicar umas com as outras,

    Alguém me pode ajudar?

    obrigado

    Responder
  19. Avatar de Hortencio
    Hortencio

    Gostei deste artigo. Me ajudou e me vai ajudar bastante. Explicacao clara e detalhada

    Responder
  20. Avatar de Roberto
    Roberto

    Boa noite pedro, existe cursos de rede online de qualidade?
    Gostaria de aprofundar os meus conhecimentos em redes.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.