Virtual LAN. Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente. Várias VLANs podem coexistir em um mesmo comutador (switch), de forma a dividir uma rede local (física) em mais de uma rede (virtual), criando domínios de broadcast separados. Vantagens: Segurança, Redução de custos, Melhor desempenho, Redução dos domínios de transmissão, Maior eficiência da equipe de TI, Gerenciamento mais simples de projetos e aplicativos.
Em Vlan antes de configura um endereço IP em uma subinterface, o comando encapsulation dot1q VLAN_id deve ser especificado primeiro. Ainda sobre Vlans, antes de excluir uma VLAN ativa, recomenda-se reatribuir todas as portas atualmente atribuídas como membro dessa VLAN . Qualquer porta que seja um membro de uma VLAN excluída se tornará inutilizável.
Uma VLAN de gerenciamento é usada para acessar e configurar remotamente um switch. As VLANs de dados são usadas para separar uma rede em grupos de usuários ou dispositivos. A VLAN padrão é a VLAN inicial na qual todas as portas de switches são colocadas durante o carregamento da configuração padrão em um switch.
O comando show interfaces trunk (ver Vlan Nativa) exibe as portas que são portas trunk, o modo de trunking, o tipo de encapsulamento, o status do trunk, a VLAN nativa e as VLANs permitidas no link.
Para que estações de trabalho conectadas ao switch 1 poder enviar tráfego para as estações de trabalho no switch 2 é preciso permitir a VLAN 20 no link trunk
Os roteamentos antigos entre VLANS exigem que cada VLAN seja atribuída a uma interface física diferente no roteador. Assim, se houver 5 VLANS para configurar, é necessário haver 5 interfaces físicas no roteador, uma para cada VLAN.
atribuir a VLAN 10 para tráfego não marcado – switchport trunk native vlan 10
ativar a interface atual como tronco – switchport mode trunk
proíbir a VLAN 10 na interface tronco – switchport trunk allowed vlan remove 10
É na memória Flash que o intervalo normal de VLANs é armazenado e fica um arquivo chamado vlan.dat.
Com router on a stick (interfaces virtuais) , as subinterfaces são usadas em uma interface física de roteador. Uma subinterface por VLAN é usada nesse projeto
Para tráfego de voz é necessário fazer uma VLAN exclusiva para isto.
Comando switchport access vlan 99 – atribuir a porta a uma VLAN específica (no caso 99)
A Cisco possibilita configurar um firewall simples que fornece recursos de filtragem básica que usam ACLs em rotadores. ACLs é uma série de comandos de IOS que controlam se um roteador encaminha ou elimina pacotes com base nas informações encontradas no cabeçalho do pacote. ACL de entrada ou saída. O nome de uma ACL padrão nomeada diferencia maiúsculas de minúsculas.
ACL padrão mais perto do destino, ACL estendida (especifica) mais perto da origem
As ACLs podem ser usadas para o seguinte:
- Limitar o tráfego de rede, a fim de proporcionar um desempenho adequado de rede
- Restringir a entrega de atualizações de roteamento
- Fornecer um nível básico de segurança
- Filtrar o tráfego com base no tipo de tráfego enviado
- Filtrar o tráfego com base no endereçamento IP.
Listas de acesso padrão apresentam a sintaxe access-list e um número entre 1 e 99, seguidos pela palavra-chave permit ou deny e pelo endereço IP de origem
Se todas as ACEs tiverem instruções deny , todo o tráfego será negado, pois há um comando deny any implícito ao final de toda ACL padrão.
no access-list access-list number> remove a ACL da running-config imediatamente. Desativar uma ACL em uma interface, o comando é (config-if)# no ip access-group.
show access-lists é usado para elencar todas as listas de acesso configurada em um roteador
A entrada e a saída são interpretadas do ponto de vista do roteador. O tráfego designado em uma ACL de entrada será negado ou permitido ao chegar nessa interface do roteador vindo de uma origem. O tráfego designado em uma ACL de saída será negado ou permitido ao sair da interface para o destino.
Para negar o tráfego da rede 172.16.0.0/16, usa-se o comando access-list 95 deny 172.16.0.0 0.0.255.255. Para permitir todos os outros tráfegos, adiciona-se a instrução access-list 95 permit any.