Configure a VLAN privada no switch L3 D-Link DGS-1520-28MP

Antes de iniciar este tutorial completo, devemos indicar que esta opção de configuração está disponível para toda a família D-Link DGS-1520, uma vez que todos esses switches compartilham o mesmo firmware, exceto por aspectos únicos como as portas Multigigabit 2,5G e o PoE de dois de seus quatro modelos. Portanto, este tutorial é válido para toda a família de switches, e também para outros modelos do fabricante D-Link que possuem VLANs privadas, pois o firmware é muito semelhante ao de outros modelos como DGS-3630 e DGS-3130 que analisamos anteriormente em RedesZone.

O que são VLANs privadas e para que servem?

VLANs privadas são uma forma muito elegante de segmentar a rede corretamente, permitindo ou negando a comunicação entre diferentes computadores na mesma sub-rede. Essa característica dos switches L2 mais avançados nos permite isolar as portas no mesmo segmento IP, sem a necessidade de usar listas de controle de acesso para permitir ou negar esse tráfego.

Se quisermos configurar uma rede na qual temos todos os computadores na mesma sub-rede, mas eles não podem se comunicar entre si, uma maneira muito elegante de fazer isso é usando essas VLANs privadas que temos disponíveis. Em equipes L3, cada uma das VLANs é normalmente atribuída a uma sub-rede específica, portanto, é possível que estejamos perdendo endereços IP. Essas VLANs privadas nos permitirão dividir o domínio de broadcast em um ou mais subdomínios, com diferentes permissões: os clientes podem se comunicar uns com os outros ou estão completamente isolados?

Em VLANs privadas, sempre temos um par de VLAN primária e secundária, um domínio de VLAN privado pode ter um ou mais pares de primário-secundário e cada um desses pares representa um subdomínio de broadcast. Todos os casais, a única coisa que eles compartilham é a VLAN primária, o que é diferente é a VLAN secundária. Só pode haver uma VLAN primária em cada domínio de VLAN privado, porque a VLAN secundária é usada para separar o tráfego dentro do mesmo domínio de VLAN no nível L2. Existem dois tipos de VLANs secundárias e devem ser diferenciados corretamente:

• Community VLAN ou community : as portas que são configuradas dentro da mesma VLAN primária e a VLAN secundária configurada como “Community”, poderão se comunicar entre si sem a necessidade de um roteador ou subir até L3. Pode haver várias VLANs como Comunidade no mesmo domínio de VLAN privada, mas entre diferentes VLANs de «Comunidade» elas NÃO serão capazes de se comunicar, apenas dentro dela. Este tipo de VLAN permite a comunicação com a porta promíscua.
• VLAN isolada ou isolada : as portas configuradas dentro da mesma VLAN primária e VLAN secundária configurada como Isolada NÃO poderão se comunicar. Eles ficarão totalmente isolados, só poderão se comunicar com a porta “Promiscuo” que veremos mais tarde.

As portas promíscuas, ou também conhecidas como “Porta Promíscua”, são as portas que estão associadas à VLAN primária, e ambas as portas que estão na Comunidade e Isoladas poderão se comunicar com esta porta. Esta porta promíscua só pode ser atribuída a uma VLAN privada, e não a várias, a menos que seja uma “Porta promíscua de tronco”.

Como você pode ver no gráfico acima, as equipes de uma mesma comunidade podem se comunicar entre si, e também com o porto promíscuo, mas não podem se comunicar com outras comunidades ou com portos isolados. As portas configuradas como “portas isoladas” só podem se comunicar com a porta promíscua, nem mesmo entre si.

Uma vez que sabemos o que são VLANs privadas, em RedesZone configuramos uma arquitetura de rede fazendo uso de VLANs privadas no D-Link DGS-1520-28MP, e vamos explicar como a configuramos.

Configuração de VLAN privada no switch L3 D-Link DGS-1520-28MP

Em RedesZone já explicamos como configurar um switch Managed L3 DGD-3630 com VLANs privadas, realizamos exatamente o mesmo cenário de configuração com este novo modelo D-Link DGS-1520-28MP. A primeira coisa que vamos dar a você é um pequeno diagrama das portas configuradas:

• Portas 9 a 16: configuradas como host, para aplicar VLANs privadas com Comunidade ou Isoladas.
• Portas 17 e 18: configuradas como uma porta promíscua, onde estarão todas as VLANs privadas.

Na porta 17 e na porta 18, conectamos nosso roteador doméstico e também um servidor NAS. A sub-rede usada é a 10.10.2.0/24 usual. Em seguida, conectamos 2 PCs em duas portas configuradas de maneiras diferentes (Comunidade e Isolada) e verificamos se o que explicamos acima é verdadeiro. A arquitetura de rede que criamos no switch L3 D-Link DGS-1520-28MP é a seguinte :

Criamos duas VLANs primárias, VLAN 100 e 200. Em seguida, criamos VLAN 101 e 201 como “Comunidade” e VLAN 201 e 202 como “VLAN isolada” e as aplicamos às portas correspondentes nas quais nos conectamos os diferentes PCs. Todo o processo pode ser feito através da interface gráfica do fabricante D-Link, embora também possamos entrar via Telnet ou SSH para fazê-lo por comandos.

No switch L3 D-Link DGS-1520-28MP, a primeira coisa que devemos fazer é entrar no menu do switch L3, se for a primeira vez que você entra em um switch L3 D-Link, você deve colocar o IP privado no seu PC dentro do intervalo 10.90.90.0/24, e então entrar via http : //10.90.90.90 com o nome de usuário “admin” e sem senha.

Criação das VLANs “normais” no switch L3 D-Link DGS-1520-28MP

A primeira coisa que temos que fazer é criar as VLANs como normalmente faríamos, vamos para a seção ” Recursos de VLAN L2 / VLAN / 802.1Q ” . Aqui devemos inserir os VIDs um por um, também podemos colocar todos os VIDs separados por vírgulas para criá-los ao mesmo tempo. Não importa se já temos VLANs normais e usadas, ambas as opções de configuração podem coexistir sem problemas no switch L3 D-Link DGS-1520-28MP.

Depois que as VLANs forem criadas, vamos alterar o nome para torná-lo mais descritivo; finalmente, a lista de VLANs criadas ficaria assim no switch L3 D-Link DGS-1520-28MP:

Configuração de VLAN ID em VLAN privada (primária, comunidade e isolada)

Uma vez que as tenhamos criado, vamos trabalhar na seção «VLAN Privada», a partir daqui iremos configurar as VLANs, associá-las entre si e aplicá-las às diferentes portas no switch L3 D-Link DGS-1520-28MP:

A primeira coisa que temos que fazer é configurar os IDs de VLAN como primária, comunidade ou isolada. À medida que configuramos os IDs de VLAN, clicaremos em “Status: Ativado”, desta forma não teremos que fazer isso posteriormente. Na área «VLAN privada», devemos indicar o VID como «100», definir como «Ativado» e configurar o tipo, que no caso da VLAN ID 100 é «Primário». Lembramos brevemente como você deve configurá-los:

1. Primário: 100 e 200
2. Comunidade: 101 e 201
3. Isolado: 102 e 202

Não importa a ordem em que você os configura, você finalmente terá algo assim no switch L3 D-Link DGS-1520-28MP:

Associação da comunidade e VLAN IDs isolados ao primário

Neste ponto, configuramos os IDs de VLAN e configuramos se o ID de VLAN que queremos ser configurado como primário, comunitário ou isolado. Agora precisamos associar a comunidade e os IDs de VLAN isolados à VLAN primária correta. Dependendo da montagem da rede, deve ser assim:

• Associar VID 101 e 102 a 100
• Associe VID 201 e 202 a 200.

Para isso, na seção “Private VLAN Association” selecionamos o VID da VLAN primária e associamos à secundária, como você pode ver aqui no switch L3 D-Link DGS-1520-28MP:

Depois de fazer isso com todos os VIDs, ele deve estar perfeitamente configurado na parte inferior assim:

Configure as portas físicas do switch e associe a VLAN privada a elas

Uma vez que configuramos todas as VLANs como primárias, comunitárias ou isoladas, e as associamos umas às outras, teremos que configurar as portas físicas.

Agora temos que ir para a seção ” Interface VLAN ” e configurar as portas físicas onde conectamos os PCs na parte inferior como ” Host “. Devemos lembrar que as portas onde o roteador e o servidor estão conectados devem ser configuradas como “Porta Promiscouos”, e não como “Host”. Podemos clonar essa configuração para obter um intervalo de portas facilmente e não ter que ir uma por uma no switch L3 D-Link DGS-1520-28MP:

Uma vez que as portas tenham sido configuradas como ” Host “, seria necessário associar a VLAN primária e secundária a essa porta, isso é feito na seção “VLAN Privada”. Colocamos a porta ou portas que queremos configurar como VLAN 100 primária e 101 secundária, e clicamos em «Aplicar». Devemos fazer o mesmo com as portas cuja VLAN secundária é 102 e com os pares 200-201 e 200-202. Tudo isso deve ir na seção “Private VLAN Host Association”.

Depois de configurar todas as portas, a configuração feita deve aparecer logo abaixo.

Configuração da «porta promíscua» e adicionar as VLANs privadas no switch L3 D-Link DGS-1520-28MP

Agora devemos configurar as portas “Porta promíscua” de acordo, vamos para a seção “Interface VLAN” e selecione o modo VLAN promíscuo e clique em “Aplicar”. Isso devemos fazer com as portas 17 e 18 de acordo com a montagem realizada:

Uma vez que as portas são configuradas, devemos mapear as VLANs privadas para as portas correspondentes. Vamos para a seção “VLAN privada” e na parte “Mapeamento de VLAN privada” selecionamos a porta 1 e colocamos como VID 100 primária e como VID secundária 101, 102. O mesmo com a VLAN 200 primária e suas secundárias, em Você pode ver as seguintes imagens:

Como você pode ver, cada VLAN privada é mapeada para uma porta promíscua:

Até agora, chegamos com nosso tutorial sobre como configurar VLANs privadas no switch D-Link DGS-1520-28MP, um dispositivo de alto desempenho. Se agora realizarmos a comunicação entre os PCs de uma mesma comunidade, veremos que existe comunicação entre eles e com o porto promíscuo.