VLAN (Virtual Local Area Network)
Segmentação e Limitação de Tráfego Broadcast + Segurança + Escalabilidade.
Extremamente importante para o dia a dia de um Analista de Infraestrutura de Redes, nesse artigo vou te mostrar os principais comandos utilizados por nós engenheiros na configuração de VLANs em Switches Cisco.
Se você estar se preparando para o Exame de Certificação CCNA recomendo fortemente dominar esse conteúdo.
Definindo VLANs
Utilizamos o comando vlan vlan-id em modo de configuração global para criar uma VLAN específica no Switch. Podemos atribuir um nome a essa VLAN, uma descrição para fins de gerenciamento e Troubleshooting utilizando o subcomando name.
SW1(config)#vlan 10
SW1(config-vlan)#name NUGGETS
SW1(config-vlan)#vlan 20
SW1(config-vlan)#name CISCO
O ID de VLAN é um número de identificação atribuído a VLAN e pode ser qualquer coisa entre 1 e 4094. Dentro desse intervalo temos o Normal-range (IDs de VLAN 1 – 1001), o intervalo de VLANs reservadas para Token Ring (IDs de VLAN 1002 – 1005 (Tecnologia legada)) e o Extended-range (IDs de VLAN 1006 – 4094).
Especificamente o Normal-range são as VLANs que utilizamos no dia a dia de mercado e que rodam em qualquer versão de IOS sem a necessidade de configuração adicional.
É possível criarmos mais de uma VLAN de forma simultânea ou ainda definirmos um intervalo através do range link symbol - criando um range de VLANs.
SW1(config)#vlan 40,50,60-61
Criadas as VLANs, podemos visualizar as informações através do comando show vlan brief. Esse é o comando mais utilizado quando estamos fazendo Troubleshooting. Ele apresenta uma tabela de forma abreviada com as informações de todas as VLANs criadas na caixa, contendo o ID, Name, Status e a qual interface cada VLAN está associada
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
10 NUGGETS active
20 CISCO active
40 VLAN0040 active
50 VLAN0050 active
60 VLAN0060 active
61 VLAN0061 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
SW1#
Associando interfaces a VLANs
Definimos ou segmentamos domínios de broadcast inserindo uma TAG, um ID dentro do Header, protocolo 802.1Q | dot1q. O Switch ao receber um frame, ele olha o Header, checa o ID e encaminha o frame para as interfaces específicas associadas aquele ID.
Por default, todas as interfaces em um Switch Cisco são associadas a VLAN 1, que é a VLAN Default já criada na caixa.
SW1(config)#interface fa0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
Uma interface do tipo acesso é onde chegam os nossos Endpoints como PCs, IP Phones, Impressoras e assim por diante. A saída dos comandos acima troca o modo de operação da interface Fa0/1 para do tipo acesso e associa a interface ao ID de VLAN 10.
Podemos fazer o mesmo para a VLAN 20 aplicando a config a múltiplas interfaces.
SW1(config)#interface range fa0/2-3
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 20
Agora a saída do comando show vlan brief mostra que as interfaces Fa0/1, Fa0/2 e F0/3 foram associadas as VLANs 10 e 20.
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig0/1, Gig0/2
10 NUGGETS active Fa0/1
20 CISCO active Fa0/2, Fa0/3
40 VLAN0040 active
50 VLAN0050 active
60 VLAN0060 active
61 VLAN0061 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Podemos rodar o comando show vlan id para ver informações específicas sobre uma determinada VLAN.
SW1#show vlan id 10
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
10 NUGGETS active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10 enet 100010 1500 - - - - - 0 0
SW1#sh vlan id 20
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
20 CISCO active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
20 enet 100020 1500 - - - - - 0 0
SW1#
Olhando para a última saída do comando show vlan brief, a VLAN 30 não aparece listada na Table. É possível criamos uma VLAN associando o ID direto a interface em modo de configuração específico.
SW1(config)#interface range fa0/10-11
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport access vlan 30
% Access VLAN does not exist. Creating vlan 30
SW1(config-if-range)#end
SW1#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gig0/1
Gig0/2
10 NUGGETS active Fa0/1
20 CISCO active Fa0/2, Fa0/3
30 VLAN0030 active Fa0/10, Fa0/11
40 VLAN0040 active
50 VLAN0050 active
60 VLAN0060 active
61 VLAN0061 active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
SW1#
Ao associar as interfaces Fa0/10 e Fa0/11 a VLAN 30, o Switch percebe que não possui esse ID e então cria de forma automática atribuindo o nome default VLAN0030.
Restringindo VLANs em interfaces Trunk
Por default, uma interface do tipo Trunk encaminha e recebe tráfego de múltiplas VLANs. O tráfego de todas as VLANs é permitido em um Trunking. É possível restringir o tráfego de algumas VLANs removendo os IDs de VLAN da lista permitida.
Para restringir o tráfego de VLAN em uma conexão Trunk, usamos o comando switchport trunk allowed vlan vlan-id para remover uma VLAN específica da lista permitida, onde o VLAN-ID especifica uma VLAN ou um intervalo de VLANs que deverão ser permitidas no Trunking.
SW1(config)#int gi0/1
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport trunk allowed vlan 10,20
A saída do comando show interface gi0/1 switchport mostra que a interface opera em modo Trunk e que apenas as VLANs 10 e 20 estão habilitadas. Esse é um comando poderosíssimo. Ele trás várias informações importantes.
SW1#show interface gi0/1 switchport
Name: Gig0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: 10,20
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
SW1#
A opção add permite ao Switch adicionar VLANs a lista de VLANs permitidas.
SW1(config)#interface gi0/1
SW1(config-if)#switchport trunk allowed vlan add 30
SW1(config-if)#do show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gig0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Gig0/1 10,20,30
A opção remove permite ao Switch remover VLANs da lista.
SW1(config)#interface gi0/1
SW1(config-if)#switchport trunk allowed vlan remove 30
SW1(config-if)#do show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gig0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Gig0/1 10,20
Não especificar a opção add ao adicionar novas VLANs a uma conexão Trunk pode dar muito ruim, isso gera Downtime e um enorme esforço administrativo, principalmente se tivermos o tráfego de um grande número de VLANS passando ali.
Por fim, e não menos importante, as informações de VLANs ficam em um arquivo chamado vlan.dat armazenado na memória flash do switch. Para excluir informações de VLANs, devemos remover esse arquivo através do comando delete flash: vlan.dat.
Outros comandos
show running-config
show interfaces status
show interfaces fa0/1 status
show vlan
show vlan summary
no vlan 10
shutdown vlan 10
switchport trunk allowed vlan all
switchport trunk allowed vlan except
switchport trunk allowed vlan remove 10-20
show mac address-table
Assim, finalizamos o conteúdo sobre VLANs.
Espero contribuir com a sua evolução.
Bons estudos.
