Qual é a diferença entre uma VLAN e uma sub-rede?

Sub-rede - é uma gama de endereços IP determinados por parte de um endereço (muitas vezes chamado endereço de rede) e uma máscara de sub-rede (netmask). Por exemplo, se a máscara de rede é 255.255.255.0 (ou /24 para abreviar), e o endereço de rede é 192.168.10.0, então isso define uma gama de endereços IP 192.168.10.0 até 192.168.10.255. Abreviatura para escrita que é 192.168.10.0/24.

VLAN - Uma boa maneira de pensar nisto é a “partição do switch”. Digamos que tem um comutador de 8 portas que é compatível com a VLAN. Pode atribuir 4 portas a uma VLAN (digamos VLAN 1) e 4 portas a outra VLAN (digamos VLAN 2). A VLAN 1 não verá qualquer tráfego da VLAN 2 e vice-versa, logicamente, tem agora dois comutadores separados. Normalmente num switch, se o switch não tiver visto um endereço MAC, “inundará” o tráfego para todos os outros portos. As VLANs impedem isso.

Se dois computadores vão falar usando TCP/IP, então uma de duas condições deve ser satisfeita:

• Devem pertencer à mesma sub-rede. Isto significa que o endereço da rede deve ser o mesmo e a máscara de rede deve ser igual ou inferior. Assim, um computador com uma interface com um endereço IP de 192.168.10.4/24 pode falar com um computador com uma interface com um endereço IP de 192.168.10.8/24 sem problemas, desde que ambos estejam ligados ao mesmo switch físico ou VLAN. Se a interface do segundo computador ligado a esse mesmo switch físico ou VLAN fosse 192.168.11.8/24, ele ignoraria o tráfego (a menos que a interface estivesse em modo promíscuo).

• É necessário que exista um router entre os dois computadores que possa encaminhar o tráfego entre sub-redes. O computador A e o computador B precisam de uma rota (ou gateway padrão) para este router. Digamos que um computador com uma interface com um endereço IP de 192.168.10.4/24 quer falar com um computador com uma interface com um endereço IP de 192.168.20.4/24. Sub-redes diferentes, por isso temos de passar por um router. Digamos que existe um router com dois interfaces (os routers por definição têm dois interfaces), um em 192.168.10.254/24 e outro em 192.168.20.254/24. Se a tabela de rotas ou DHCP estiver correctamente configurada e ambos os computadores A e B puderem alcançar as interfaces do router nas suas respectivas sub-redes, então podem falar entre si indirectamente através do router.

Forçar o tráfego a passar por um router, apesar de não ser necessário como no nosso switch de 8 portas acima, tem benefícios de segurança e desempenho - dá-lhe a oportunidade de filtrar o tráfego, uma oportunidade de encaminhar o tráfego de forma óptima com base no tipo, e os routers não encaminham o tráfego transmitido (a não ser que estejam configurados de forma invulgar). As VLANs são por vezes utilizadas como um “hack” para gerir o fluxo/visibilidade do tráfego de broadcast IPv4.

Editar para responder a algumas das suas questões:

• Conceptualmente as VLANs são equivalentes aos switches. O que vem em 1 porto de uma VLAN é replicado (“inundado”) para todos os outros portos, a menos que a VLAN tenha visto/aprendido o endereço MAC antes, então é direccionado para esse porto. Não existe uma porta de acesso à VLAN propriamente dita. Uma “gateway” significa sempre o endereço IP de um router.

• Para a VLAN 1 falar com a VLAN 2, uma interface na VLAN 1 deve estar ligada a um router, uma interface na VLAN 2 deve estar ligada a um router, e esse router deve estar configurado para encaminhar o tráfego entre essas sub-redes. No nosso exemplo de 8 portas acima, se quiséssemos encaminhar tráfego entre essas VLANs, teríamos que gastar 1 porta em cada VLAN conectada a um roteador. O mesmo com um switch.

Tenho a certeza que muitos switches/hardware topo de gama têm um “VLAN router” “embutido” para eles onde gastar uma porta extra dentro de cada VLAN a ligá-la a um router físico não é realmente necessário se quiser encaminhar entre VLANs no mesmo switch. Isto pode ser onde o IP ou “gateway” da VLAN entra em jogo. (Convido os mais conhecedores a editar isto)

• Quando um computador recebe o seu IP via DHCP, normalmente também recebe o “gateway padrão” a partir desse mesmo servidor DHCP. Alguém tem de configurar correctamente o servidor DHCP. Protocolos de roteamento como RIP, IS-IS, OSPF e BGP também podem adicionar rotas. Claro que tem a opção de adicionar rotas manualmente (“static” routes)

• Se o seu switch tem uma porta série ou porta rotulada “consola” é provavelmente gerida e suporta VLANs.

Achei as outras explicações complicadas.

• VLAN permite etiquetar todos os pacotes de rede com um número mágico (por exemplo 3* ).
• Apenas outros cartões de rede definidos para 3* verão esses pacotes

Definir um monte de computadores para VLAN 3* e eles estarão no seu pequeno mundo isolado; eles não verão nenhum outro tráfego.

De repente você pode ter múltiplas LANs operando nos mesmos fios (i.e. LANs virtuais). Pode até ter dois computadores com o mesmo IP, uma vez que eles têm uma etiqueta VLAN diferente (por exemplo, 3 verses7)

A definição de um ID de VLAN é feita configurando o driver do cartão de rede:

A sua quilometragem variará com o seu cartão de rede e os seus drivers.

A explicação simplista é que as VLANs existem para permitir que diferentes sub-redes partilhem a cablagem física, as portas e a comutação. Você poderia ter sub-redes distintas na sua rede sem vlans, mas teria que ter um conjunto diferente de fios para cada uma.

1.Se eu tiver várias sub-redes, presumo que precisaria de um router para comunicar entre cada sub-rede.

Sim, precisa de um router para mover pacotes entre sub-redes.

Apenas os dispositivos dentro de cada sub-rede estariam no domínio de transmissão local para essa sub-rede. É verdade?

Sim, uma sub-rede é um domínio de difusão.

2.Preciso de uma sub-rede para configurar uma VLAN?

Sim.

3.Estou ciente de que uma VLAN pode existir dentro de uma sub-rede, mas o meu entendimento é que teria de atribuir à VLAN um endereço IP dessa sub-rede.

Não, no meu entender, as VLANs são definidas nos switches e isolam o tráfego de cada VLAN.

Como pode ser isolada do resto da sub-rede?

Uma VLAN é uma sub-rede.

4.Quando é que criaria uma VLAN especialmente se eu fosse capaz de segmentar a minha rede utilizando sub-redes?

Quando necessita de segmentar o tráfego em dois ou mais grupos sem separar a infra-estrutura física (principalmente comutadores) em dois ou mais grupos físicos.

5.Continuo a deparar-me com o ponto em que as redes locais virtuais (VLANs) nos permitem criar redes lógicas e físicas diferentes; enquanto que a sub-redes IP nos permite simplesmente criar redes lógicas através da mesma rede física. No entanto, não tenho a certeza do que isto significa exactamente quando lê a mesma rede física.

Uma LAN física é composta principalmente por switches e cabos dispostos (no caso da Ethernet) numa única estrutura em árvore.

Normalmente uma LAN é uma única subrede. Uma organização pode ter várias LANs ligadas por routers.

Uma única LAN física pode ser dividida em várias LANs lógicas (VLANs) utilizando o suporte de VLAN nos switches. Cada VLAN tem então uma subrede separada. Um router é portanto necessário para mover pacotes entre as LANs lógicas (VLANs).

Actualização: algumas respostas a perguntas de seguimento em comentários.

se eu quisesse dispositivos em 2 VLANs separadas para comunicar que um router não é necessário pois posso usar o trunking.

Aqui estão algumas citações de http://www.formortals. com/an-introduction-to-vlan-trunking/

“VLAN trunking permite que um único adaptador de rede se comporte como "n” número de adaptadores de rede virtuais, onde “n” tem um limite teórico superior de 4096 mas está tipicamente limitado a 1000 segmentos de rede VLAN.“

”Routers podem tornar-se infinitamente mais úteis uma vez que estão troncalizados na infra-estrutura de comutação da empresa. Uma vez troncalizados, tornam-se omnipresentes e podem fornecer serviços de encaminhamento para qualquer sub-rede em qualquer canto da rede da empresa.“

Assim, ainda precisa de um encaminhador mas, com o troncamento de VLAN, pode ser um encaminhador com um só braço (encaminhador num stick). Os switches high end incluem capacidades de encaminhamento, pelo que poderá não precisar de um router separado porque o seu switch high-end é também um router de camada 3.

Quando diz que preciso de uma subrede para configurar uma VLAN o que quer dizer exactamente?

As VLANs são um conceito de camada 2. Tal como os switches Ethernet são um dispositivo de camada 2. As VLANs podem fazer um par de switches fazer trabalhos onde de outra forma poderia precisar de meia dúzia de switches em grupos isolados. No entanto os seus nós (computadores, impressoras, etc) tipicamente usam endereçamento camada 3 (IP).

Para nós numa VLAN (N para Rede) comunicar com nós noutra VLAN (N para Rede) é necessário um Protocolo de Inter-Rede (ou seja IP). No IP para mover pacotes entre Redes precisamos que cada Rede tenha um endereço de rede de camada-3 diferente.

É aqui que entra a sub-redes - dividindo o intervalo de endereços de rede de uma organização de camada-3 alocada em sub-redes, utilizando máscaras de sub-redes. Depois pode utilizar um router para permitir que os dispositivos de uma subrede (numa VLAN) comuniquem com dispositivos de outra subrede (noutra VLAN).

1.Se eu tiver várias sub-redes, presumo que precisaria de um router para comunicar entre cada sub-rede. Apenas os dispositivos dentro de cada subrede estariam no domínio de transmissão local para essa subrede. Será isso correcto?

As Redes IP (sub-redes) são um conceito de camada 3. Se dois PC’s estiverem ligados ao mesmo switch L2 sem VLAN’s estarão no mesmo domínio de difusão L2, mas não no domínio de difusão L3.

2.Preciso de uma subrede para configurar uma VLAN?

Não. No entanto, se quiser que os dispositivos de uma VLAN comuniquem entre si, provavelmente precisarão de algum protocolo L3.

3.Estou ciente de que uma VLAN pode existir dentro de uma subrede, mas o meu entendimento é que teria de atribuir à VLAN um endereço IP dessa subrede. Como pode ser isolada do resto da subrede?

Não está claro o que está a perguntar.

4.Quando é que iria configurar uma VLAN especialmente se eu fosse capaz de segmentar a minha rede utilizando sub-redes?

As VLANs são simplesmente uma forma de fazer um dispositivo L2 parecer múltiplos dispositivos L2.

1. Continuo a deparar-me com o ponto em que as redes locais virtuais (VLANs) nos permitem criar diferentes redes lógicas e físicas; enquanto a subrede IP nos permite simplesmente criar redes lógicas através da mesma rede física. no entanto, não tenho a certeza do que isto significa exactamente quando lê a mesma rede física.