Que são Vlans e Bridge Groups?

O que são VLANs?

Uma VLAN ou (Virtual Area Networks) é um agrupamento lógico de dispositivos de rede ou de usuários que não se limita a um segmento de switch físico. Os dispositivos ou usuários de uma VLAN podem ser agrupados por funções, departamentos, aplicações, etc., independentemente da localização física de seu segmento. Uma VLAN cria um domínio de broadcast único que não se restringe a um segmento físico, e é considerado como uma sub-rede. A configuração da VLAN é realizada no switch através do software. As VLAN atuais foram padronizadas de acordo com a norma IEEE 802.1Q.

Sem título

É importante em qualquer arquitetura de VLAN, tenha a capacidade de transportar informações de VLAN entre todos os switches da rede pois a cada frame de dados a que atravessar um switch é feito uma inserção de TAG ou identificação que faz referencia aquela VLAN que o frame faz parte.

vlans2

Roteamento Inter-VLAN

Após segmentar a rede em vários domínios de broadcast utilizando VLANs, se tivermos utilizando um firewall por exemplo precisamos permitir a conectividade entre computadores de VLANs diferentes. Quando não existe um dispositivo de Firewall entre as VLANs de diferentes segmentos de Rede temos que utilizar um dispositivo Layer 3, que realize o roteamento entre as VLANs.

inter-vlans

 

Bridge Group

Os Bridge Group (BG) foram criados para fornecer um método para agrupar duas ou mais VLANs em um único domínio de broadcast, o bridge group é usado para conectar o tráfego entre duas interfaces. Por exemplo, agrupar duas VLANs conectadas por meio de um Firewall e fazer a inspeção de trafego dentro dessa rede, o funcionamento consiste em configurar uma para tráfego de VLAN L2 e outra L3 para fazer parte do mesmo bridge group. Isso criará uma ligação entre as duas VLANs e os pacotes Ethernet de uma LAN serão visíveis na outra. Se definir o bridge-group em ambas as interfaces, elas se tornarão parte de um único domínio de broadcast.

Na topologia abaixo é uma demonstração de comunicação entre duas redes utilizando bridge group, quando o PC1 iniciar o tráfego fora da sua sub-rede, ele irá fazer o ARP para o seu gateway, que começará na VLAN 100, em seguida, vai atravessar o firewall para VLAN 110, então o switch SW responderá na VLAN 110 enviando o trafego para o PC2 com base nas informações na sua tabela de roteamento.

bridge-group