As Private Vlans (PVLANs) são uma funcionalidade avançada em redes locais virtuais (VLANs) que permitem segmentar ainda mais uma VLAN existente, criando subgrupos com níveis diferentes de isolamento. Isso aumenta a segurança e otimiza o uso da rede. Elas são especialmente úteis em ambientes onde há necessidade de controle rígido de comunicação entre dispositivos dentro da mesma VLAN.
Utilidades das Private VLANs:
1 - Isolamento de dispositivos na mesma VLAN:
As PVLANs permitem que dispositivos dentro da mesma VLAN não se comuniquem diretamente, exceto quando autorizado. Por exemplo, em um data center, servidores de diferentes clientes podem ser colocados na mesma VLAN, mas não poderão trocar dados entre si diretamente.
2 - Aumento de segurança:
Evita que dispositivos comprometam uns aos outros em caso de ataques, como worms ou malware, que podem se espalhar rapidamente em redes tradicionais sem PVLANs.
3 - Segmentação em Redes de Data Centers e hospedagem:
Em ambientes de hospedagem compartilhada, como provedores de serviços de internet (ISPs) ou Data Centers, PVLANs isolam os servidores dos clientes enquanto ainda permitem que eles se comuniquem com o gateway para acessar a internet.
4 - Redução do número de VLANs:
Ao invés de criar uma VLAN separada para cada cliente ou dispositivo que precisa de isolamento, você pode criar uma única VLAN e subdividi-la em PVLANs. Isso reduz a complexidade de gerenciamento e o consumo de IDs de VLANs (limitado a 4096).
5 - Flexibilidade em políticas de comunicação:
Oferece controle granular sobre quem pode se comunicar com quem, usando os tipos de portas da PVLAN (veja abaixo).
Tipos de portas em PVLANs:
1 - Primary VLAN:
A VLAN principal que conecta todas as sub-VLANs (PVLANs). Todo o tráfego da PVLAN é roteado através dela.
2 - Isolated Ports:
Dispositivos conectados a essas portas só podem se comunicar com o gateway (porta Uplink) e não entre si.
3 - Community Ports:
Dispositivos conectados às portas da mesma comunidade podem se comunicar entre si, mas não com dispositivos de outras comunidades ou portas isoladas.
4 - Promiscuous Ports:
Dispositivos conectados a portas promíscuas podem se comunicar com todas as outras portas (isoladas, comunitárias ou outras promiscuas) dentro da PVLAN. Normalmente, isso é usado para gateways ou roteadores.
Cenários de Uso:
1 - Hospedagem Compartilhada:
Um servidor de gateway em uma porta promíscua oferece internet para servidores em portas isoladas ou comunitárias, garantindo que os servidores não se comuniquem diretamente.
2 - Segmentação de usuários em rede Wi-fi públicas:
Usuário de um hotel ou café podem ser isolados uns dos outros, mas ainda assim ter acesso ao gateway para navegar na internet.
3 - Segurança em Data Centers:
Evita a comunicação direta entre maquinas virtuais de clientes diferentes na mesma VLAN física.
Exemplo de configuração no switch Nexus:
Topologia:
Isolated Ports:
Community Ports:
Promiscuous Ports:
Alguns comandos show:
