Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Melhores práticas de VLAN e Dicas de segurança para roteadores comerciais Cisco

Opções de download

  • PDF     (696.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (617.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (423.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de Janeiro de 2020
ID do documento:1580148576950702

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Objetivo

O objetivo deste artigo é explicar os conceitos e as etapas para executar as melhores práticas e dicas de segurança ao configurar VLANs em equipamentos comerciais da Cisco.

Table Of Contents

Introduction

Quer tornar sua rede empresarial mais eficiente e, ao mesmo tempo, mantê-la segura? Uma das maneiras de fazer isso é configurar corretamente as redes locais virtuais (VLANs).

Uma VLAN é um grupo lógico de estações de trabalho, servidores e dispositivos de rede que parecem estar na mesma LAN (Local Area Network, rede local) apesar de sua distribuição geográfica. Em resumo, o hardware nas mesmas VLANs permite que o tráfego entre os equipamentos seja separado e mais seguro.

Por exemplo, você pode ter um departamento de Engenharia, Marketing e Contabilidade. Cada departamento tem funcionários em diferentes andares do prédio, mas eles ainda precisam acessar e comunicar informações em seu próprio departamento. É essencial para o compartilhamento de documentos e serviços da Web.

As VLANs precisam ser configuradas com as melhores práticas para manter sua rede segura. Faça as seguintes opções inteligentes ao configurar VLANs. Você não vai se arrepender!

Dispositivos aplicáveis

  • RV042
  • RV110W
  • RV130
  • RV132
  • RV134W
  • RV160W
  • RV215W
  • RV260
  • RV260P
  • RV260W
  • RV320
  • RV325
  • RV340
  • RV340W
  • RV345
  • RV345P

Talvez você esteja interessado em saber que os roteadores das séries RV160 ou RV260 podem transportar até 16 VLANs, enquanto os roteadores das séries RV34x podem transportar até 32 VLANs. O RV320 suporta até 7 VLANs. Se você quiser saber quantas VLANs seu roteador pode transportar, consulte a Folha de Dados do seu modelo específico no site da Cisco. Selecione Suporte e insira o número do modelo ou simplesmente faça uma pesquisa na Data Sheet (Folha de dados) e no número do modelo.

Algum vocabulário rápido para os novatos

Porta de acesso: Uma porta de acesso transporta tráfego para apenas uma VLAN. As portas de acesso são frequentemente chamadas de portas não marcadas, pois há apenas uma VLAN nessa porta e o tráfego pode ser passado sem marcas.

Porta de tronco: Uma porta em um switch que transporta tráfego para mais de uma VLAN. As portas de tronco são frequentemente chamadas de portas marcadas, pois há mais de uma VLAN nessa porta e o tráfego para todas, exceto uma VLAN, precisa ser marcado.

VLAN nativo: A única VLAN em uma porta de tronco que não recebe uma marca. Qualquer tráfego que não tenha uma marca será enviado para a VLAN nativa. É por isso que ambos os lados de um tronco precisam ter a mesma VLAN nativa ou o tráfego não vai para o lugar correto.

Prática recomendada nº 1 - Atribuição de porta de VLAN

Conceitos básicos da atribuição de portas

  • Cada porta LAN pode ser definida como uma porta de acesso ou porta de tronco.
  • As VLANs que você não deseja no tronco devem ser excluídas.
  • Uma VLAN pode ser colocada em mais de uma porta.

Configurando portas de acesso

  • Uma VLAN atribuída a uma porta LAN
  • A VLAN atribuída a esta porta deve ser rotulada como Não Marcada
  • Todas as outras VLANs devem ser rotuladas como excluídas dessa porta

Para defini-las corretamente, navegue até LAN > VLAN Settings. Selecione as IDs da VLAN e clique no ícone de edição. Selecione o menu suspenso para qualquer uma das interfaces LAN para VLANs listadas para editar a marcação de VLAN. Clique em Apply.

Confira este exemplo de cada VLAN atribuída a sua própria porta LAN:

Essa imagem da interface gráfica do usuário (GUI) foi tirada de um roteador RV260W. Suas opções podem parecer um pouco diferentes. Por exemplo, na série RV34x, os rótulos Untagged, Excluded e Tagged são abreviados como apenas a primeira letra. O processo ainda é o mesmo.

Configurando portas de tronco

  • Duas ou mais VLANs compartilham uma porta LAN
  • Uma das VLANs pode ser rotulada como Não rotulada.
  • O restante das VLANs que fazem parte da porta de tronco deve ser rotulado como Marcado.
  • As VLANs que não fazem parte da porta de tronco devem ser rotuladas como excluídas para essa porta.

Veja este exemplo de várias VLANs que estão todas em portas de tronco. Para defini-las corretamente, selecione as IDs de VLAN que precisam ser editadas. Clique no ícone de edição. Altere-os com base nas suas necessidades, seguindo as recomendações acima. A propósito, você observou que a VLAN 1 é excluída de cada porta de LAN? Isso será explicado na seção Práticas recomendadas para a VLAN 1 padrão.

Perguntas mais freqüentes

Por que uma VLAN não é marcada quando é a única VLAN nessa porta?

Como há apenas uma VLAN atribuída em uma porta de acesso, o tráfego de saída da porta é enviado sem nenhuma marca de VLAN nos quadros. Quando o quadro alcança a porta do switch (tráfego de entrada), o switch adicionará a marca da VLAN. 

Por que as VLANs são marcadas quando fazem parte de um tronco?

Isso é feito para que o tráfego que passa não seja enviado para a VLAN errada nessa porta. As VLANs estão compartilhando essa porta. Semelhante aos números de apartamentos adicionados a um endereço para garantir que o e-mail vá para o apartamento correto dentro desse prédio compartilhado.

Por que o tráfego permanece sem marcação quando faz parte da VLAN nativa? 

Uma VLAN nativa é uma forma de transportar tráfego não marcado através de um ou mais switches. O switch atribui qualquer quadro não marcado que chega em uma porta rotulada à VLAN nativa. Se um quadro na VLAN nativa deixar uma porta de tronco (rotulada), o switch retira a marca da VLAN.

Por que as VLANs são excluídas quando não estão nessa porta?

Isso mantém o tráfego nesse tronco somente para as VLANs que o usuário especificamente deseja. É considerada uma boa prática.

Prática recomendada nº 2 - VLAN 1 padrão e portas não utilizadas

Todas as portas precisam ser atribuídas a uma ou mais VLAN, incluindo a VLAN nativa. Os roteadores Cisco Business vêm com a VLAN 1 atribuída a todas as portas por padrão.

Uma VLAN de gerenciamento é a VLAN usada para gerenciar, controlar e monitorar remotamente os dispositivos na sua rede usando Telnet, SSH, SNMP, syslog ou FindIT da Cisco. Por padrão, essa também é a VLAN 1. Uma boa prática de segurança é separar o gerenciamento e o tráfego de dados do usuário. Portanto, é recomendável que, ao configurar VLANs, você use VLAN 1 somente para fins de gerenciamento.

Para se comunicar remotamente com um switch Cisco para fins de gerenciamento, o switch deve ter um endereço IP configurado na VLAN de gerenciamento. Os usuários em outras VLANs não seriam capazes de estabelecer sessões de acesso remoto ao switch a menos que fossem roteados para a VLAN de gerenciamento, fornecendo uma camada adicional de segurança. Além disso, o switch deve ser configurado para aceitar apenas sessões SSH criptografadas para gerenciamento remoto. Para ler algumas discussões sobre este tópico, clique nos links a seguir no site da Comunidade Cisco:

Perguntas mais freqüentes

Por que a VLAN 1 padrão não é recomendada para segmentar virtualmente sua rede?

A principal razão é que os agentes hostis sabem que a VLAN 1 é o padrão e frequentemente usada. Eles podem usá-lo para obter acesso a outras VLANs através de "salto de VLAN". Como o nome indica, o ator hostil pode enviar tráfego falsificado que se posiciona como VLAN 1, permitindo o acesso às portas de tronco e, portanto, a outras VLANs.

Posso deixar uma porta não utilizada atribuída à VLAN 1 padrão?

Para manter sua rede segura, você não deve. Recomenda-se configurar todas essas portas para serem associadas a VLANs diferentes da VLAN 1 padrão.

Não quero atribuir nenhuma de minhas VLANs de produção a uma porta não utilizada. O que eu posso fazer?

É recomendável criar uma VLAN "dead-end" seguindo as instruções da próxima seção deste artigo.

Prática recomendada nº 3 - Criar uma VLAN "Dead End" para portas não utilizadas

Etapa 1. Navegue até LAN > VLAN Settings.

Escolha qualquer número aleatório para a VLAN. Certifique-se de que essa VLAN não tenha DHCP, roteamento entre VLANs ou gerenciamento de dispositivos habilitados. Isso mantém as outras VLANs mais seguras. Coloque qualquer porta LAN não utilizada nesta VLAN. No exemplo abaixo, a VLAN 777 foi criada e atribuída à LAN5. Isso deve ser feito com todas as portas LAN não utilizadas.

Observe que as outras VLANs estão excluídas desta porta LAN.

Etapa 2. Clique no botão Aplicar para salvar as alterações de configuração feitas por você.

Prática recomendada nº 4 - Telefones IP em uma VLAN

O tráfego de voz tem requisitos rigorosos de qualidade de serviço (QoS). Se a sua empresa tiver computadores e telefones IP na mesma VLAN, cada um tentará usar a largura de banda disponível sem considerar o outro dispositivo. Para evitar esse conflito, é uma boa prática usar VLANs separadas para tráfego de voz e dados de telefonia IP. Para saber mais sobre essa configuração, consulte os seguintes artigos e vídeos:

Prática recomendada nº 5 - Roteamento entre VLANs

As VLANs são configuradas para que o tráfego possa ser separado, mas às vezes você precisa que as VLANs possam rotear entre si. Esse é o roteamento entre VLANs e geralmente não é recomendado. Se isso for necessário para sua empresa, configure-a o mais seguro possível. Ao usar o roteamento entre VLANs, certifique-se de restringir o tráfego usando ACLs (Access Control Lists, listas de controle de acesso) para servidores que contêm informações confidenciais.

As ACLs executam a filtragem de pacotes para controlar a movimentação de pacotes através de uma rede. A filtragem de pacotes fornece segurança limitando o acesso do tráfego a uma rede, restringindo o acesso de usuários e dispositivos a uma rede e impedindo que o tráfego saia de uma rede. As listas de acesso IP reduzem a chance de falsificação e ataques de negação de serviço e permitem acesso de usuário dinâmico e temporário por meio de um firewall.

Conclusão

Aqui está, agora você conhece algumas práticas recomendadas para configurar VLANs seguras. Lembre-se dessas dicas ao configurar VLANs para sua rede. Listados abaixo estão alguns artigos que têm instruções passo a passo. Isso o manterá em direção a uma rede produtiva e eficiente, ideal para a sua empresa.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
27-Jan-2020
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco