Configuração de VLANs e Trunk nos Switches UniFi
Há vários modelos de Switches UniFi para ambientes de pequeno a grande porte, sendo que todos são gerenciados através da interface intuitiva do software UniFi Controller. Além disso, todos eles suportam uma grande variedade de recursos, incluindo VLANs.
Observação: Para obter informações detalhadas sobre os diferentes modelos de switch UniFi, recomendamos a leitura deste artigo.
A configuração de VLANs é fundamental em qualquer ambiente corporativo, já que são comumente utilizadas para quebrar os domínios de broadcast em grandes redes de computadores, o que é muito desejável para dois fins principais: (i) desempenho e (ii) segurança.
Quando algumas portas de um (ou mais) switch(es) são colocadas em uma determinada VLAN os quadros de broadcast originados por uma máquina ficam restritos somente a essas portas, o que implica em melhor desempenho decorrente da presença de menos máquinas gerando broadcasts. Outra vantagem do ponto de vista de segurança é que deixa de existir a possibilidade de alcançabilidade entre outras portas que não sejam membros da mesma VLAN na camada de enlace.
Em redes maiores que possuem várias sub-redes é muito comum utilizar VLANs nos switches em conjunto com roteadores, por exemplo o UniFi Security Gateway (USG), para associar cada sub-rede com sua respectiva VLAN, através de um processo denominado roteamento inter-VLAN, ilustrado na figura abaixo.
Para lidar com VLANs, o primeiro passo é criá-las no software UniFi para que os switches tenham ciência da sua existência. A boa notícia é que se a rede for unificada e o roteamento inter-VLAN tiver sido configurado através de um UniFi Security Gateway (USG), então o UniFi automaticamente já saberá quais VLANs existem na rede, ou seja, não será necessário criá-las.
Observação: Leia este artigo para saber mais sobre as características do UniFi Security Gateway (USG) e recursos suportados, por exemplo a respeito da configuração de roteamento inter-VLAN.
Se ainda assim existir alguma necessidade específica na empresa que demande a criação manual de VLANs nos switches, por exemplo no caso do roteador que faz roteamento inter-VLAN não ser um USG, basta fazê-lo através da seguinte opção:
> Settings
> Networks
> + Create New Network
> “Selecionar VLAN-Only em Purpose”
Toda porta de um switch pode ser:
- TRUNK
- ACESSO
Uma porta trunk é aquela que permite a passagem de múltiplas VLANs em um mesmo link, já que para tanto é utilizado o encapsulamento 802.1q que permite fazer a marcação (tagged) das VLANs para que a outra ponta consiga fazer a separação lógica dos pacotes de cada VLAN, desde que o dispositivo vizinho também tenha suporte a 802.1q. Para fins de compatibilidade, em todo trunk é permitida a passagem de uma única VLAN sem marcação (untagged), denominada VLAN nativa, dessa forma um PC tradicional que normalmente não suporta VLANs consegue comunicação na rede através dessa VLAN nativa sem tag.
Uma porta de acesso é aquela que permite somente a passagem de uma única VLAN sem marcação (untagged), dessa forma o dispositivo conectado nessa porta não precisa ter suporte ao encapsulamento 802.1q e ainda assim será automaticamente vinculado à VLAN configurada na porta de acesso do switch de maneira totalmente transparente.
Por exemplo, na figura acima vamos assumir que as portas 01, 03, 05, 07 e 09 de um Switch UniFi serão utilizadas para ligar respectivamente:
- Porta 01: Trunk Ligado no USG (Roteador)
- Porta 03: Trunk Ligado ao AP UniFi (VLANs 91, 92 e 93)
- Porta 05: Cloud-Key na VLAN Nativa (1)
- Porta 07: PC da Empresa na VLAN 92
- Porta 09: Laptop de Visitante na VLAN 93
Uma das vantagens de utilizar uma infraestrutura unificada totalmente composta por equipamentos da família UniFi é que os Switches UniFi foram desenvolvidos para simplificar a instalação de redes Wi-Fi que utilizam APs UniFi. Por isso, diferente da maioria das outras soluções no mercado, todas as portas de um Switch UniFi já são automaticamente configuradas como trunk (perfil All) para permitir a passagem de todas as VLANs vinculadas aos SSIDs da rede Wi-Fi.
Ou seja, basicamente nada precisa ser configurado nas portas 01 e 03 do switch para permitir a passagem de todas as VLANs. No entanto, para vincular uma porta a apenas uma única VLAN (untagged), é necessário fazer a alteração do seu perfil selecionando a VLAN desejada. Nesse exemplo, queremos vincular a porta 3 à VLAN 1 (Nativa), a porta 7 à VLAN 92 (Corporativo) e a porta 9 à VLAN 93 (Visitante). Essa configuração para torná-las porta de acesso em uma única VLAN pode ser facilmente realizada através da seguinte opção ilustrada na figura abaixo:
> Devices
> “Selecionar o Switch”
> Ports
> Edit na Porta Desejada
> Switch Port Profile
> “Selecionar a VLAN de Acesso”
O vídeo abaixo reforça todas essas explicações e também mostra como seria possível criar perfis personalizadas nas portas dos switches, por exemplo para aqueles cenários em que é necessário permitir a passagem de apenas algumas VLANs, diferente do trunk padrão que permite a passagem de todas.
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.
