Professional Documents
Culture Documents
Introduo s VLAN
Este documento pretende dar uma breve introduo s Virtual LAN (VLAN), um conceito
fundamental nas redes locais da actualidade.
Conceito
Por razes de ordem diversa (organizao da rede, desempenho, privacidade, segurana, etc.)
frequentemente necessrio dividir a rede de uma organizao em diversas ilhas sem ligao
directa entre si (domnios de difuso). Tradicionalmente, essa diviso correspondia a uma separao
fsica numa rede ethernet comutada, cada domnio de difuso corresponde a um ou mais
comutadores ligados entre si, funcionando como uma LAN independente. Dado no existir nenhuma
ligao directa entre as LAN assim formadas (caso contrrio a separao perder-se-a), se houver
necessidade de comunicao entre essas diferentes LAN, elas tm que ser interligadas atravs de um
router.
Apesar de funcionar, este tipo de diviso da rede pode ser muito ineficiente ou inconveniente.
comum a diviso lgica que se quer fazer da rede no se mapear bem na diviso dos espaos fsicos.
Por exemplo, uma empresa instalada num edifcio de vrios pisos que tenha um departamento de
desenvolvimento, outro de marketing e outro de servios administrativos, e que queira separar as
redes desses departamentos pode precisar de ter em cada piso o triplo dos comutadores de que
necessitaria se as redes no estivessem isoladas. Pior, se num piso faltasse uma porta para ligar o
computador do funcionrio de um dado departamento seria necessrio instalar mais um comutador,
mesmo que sobrassem portas livres nos comutadores dos outros departamentos. A aquisio,
renovao, manuteno e administrao de todo o equipamento adicional tem, naturalmente,
custos, mas a diviso pelo que se tornou necessrio encontrar uma outra alternativa.
Para resolver estas questes, a maioria dos comutadores actuais (excepto os de muito pequena
dimenso destinados a uso em SOHO) permite fazer a diviso de uma mesma rede fsica em
diferentes domnios de difuso, designados VLAN (LAN virtuais). Do ponto de vista lgico, diferentes
VLAN funcionam como se fossem redes independentes, com cablagem e equipamentos separados.
Tal como no caso em que a separao era fsica, continua a no haver ligao directa entre mquinas
pertencentes a diferentes VLAN, pelo que a comunicao entre elas tem que ser feita atravs de um
router1.
Alguns comutadores so capazes de detectar os endereos IP em uso nas suas VLAN e encaminhar pacotes
entre elas, prescindindo assim de um router (salvo para comunicao com o exterior).
Figura 1 Segmentao da rede com base na localizao fsica (tradicional) ou em critrios lgicos (VLAN)
O mecanismo mais bsico das VLAN consiste na atribuio de cada uma das portas do comutador a
uma dada VLAN, de modo a que haja comunicao directa apenas entre portas pertencentes
mesma VLAN. Tramas recebidas pelo comutador numa porta pertencente a uma VLAN, mesmo que
sejam de broadcast, nunca so retransmitidas para portas pertencentes a VLAN diferentes (ou seja,
cada VLAN um domnio de difuso independente). A atribuio de uma porta (fsica) do comutador
a uma dada VLAN pode ser feita atravs de configurao (VLAN estticas), ou ento de forma
automtica (VLAN dinmicas). No segundo caso, a atribuio de uma porta a uma VLAN pode fazerse com base em critrios como o endereo MAC da mquina ligada nessa porta (critrio de camada
2), do seu endereo IP (critrio de camada 3), ou ainda por autenticao atravs do protocolo
802.1x.
VLAN 1
(default)
VLAN 2
VLAN 3
VLAN trunking
Havendo uma ou mais VLAN que se estendem por vrios comutadores surge outra questo: com
cada porta atribuda a uma e uma s VLAN, para manter o seu funcionamento inalterado ( podem
trocar-se tramas entre quaisquer portas de uma mesma VLAN mas no entre portas de VLAN
diferentes) seria necessrio ter vrias ligaes fsicas (i.e., vrios cabos de rede) a interligar cada par
de comutadores, um por VLAN. Quer o consumo excessivo de portas a que conduz, quer a
necessidade de instalar cablagem adicional, tornariam esta soluo indesejvel, pelo que foi
desenvolvida uma alternativa.
Figura 3 Interligao entre comutadores apenas com uma VLAN por porta
De modo a poder fazer com apenas um cabo a interligao entre comutadores com VLAN, estes
permitem configurar cada porta num de dois modos: acesso ou trunk. Enquanto uma porta de
acesso est atribuda a uma nica VLAN, nas portas de trunking circulam tramas de diferentes VLAN.
Para que um comutador, quando recebe uma trama numa porta em modo trunk, possa saber a que
VLAN pertence, as tramas enviadas em ligaes em modo trunk precisam de transportar no
cabealho uma etiqueta (VLAN tag) indicando a VLAN a que pertence. Infelizmente, no existe
nenhum campo no cabealho das tramas ethernet normais onde a VLAN tag possa ser transportada,
pelo que necessrio utilizar nas portas em modo trunk um encapsulamento diferente. O
encapsulamento standard para tramas enviadas por portas em modo trunk est definido na norma
802.1Q. Existem encapsulamentos alternativos, como o Cisco Inter-Switch Link (ISL), mas por ser
proprietrios no so adequados para redes com equipamento de mltiplas marcas.
Uma porta em modo trunk pode ter configurada uma VLAN nativa. Nesse caso, uma trama com
encapsulamento ethernet normal recebida nessa porta assume-se pertencente VLAN nativa. Em
alternativa, pode-se configurar a porta de trunking para descartar as tramas recebidas sem etiqueta
VLAN.