Para que serve uma VLAN?

Dentro de uma rede de computadores, uma VLAN

quando voc cria uma separao entre partes da rede. Voc literalmente divide a rede em
pedaos separados, aonde um pedao no fala com o outro (pelo menos no diretamente).
Assim temos um nico switch que se conecta a todos os computadores da rede, porm o
administrador informa ao switch quais computadores (ou impressoras, servidores, telefones
IP, etc.) se falam diretamente e quais no podem se falar.
Assim, cada "ilha" uma VLAN. Ou seja, temos apenas um switch real, porm vrias redes
virtuais (dai o termo VLAN). O conceito de VLAN pode se estender a vrios switchs, em uma
rede grande. O conceito o mesmo: um equipamento de uma certa VLAN (para exemplificar,
vamos chamar de VLAN 10) fala diretamente com qualquer dessa mesma VLAN, estando no
mesmo switch ou no. J um equipamento que esteja conectado na VLAN 15 no consegue
falar diretamente com um outro que esteja na VLAN 10, estando esse outro no mesmo switch
ou no.
Ento quando um administrador criar VLANs em uma rede, ele est separando essas redes.
Para uma VLAN pode falar com outra, necessrio um roteador ou firewall conectado a cada
uma das VLANs, fazendo a ponte entre elas.
Mas qual a razo de se criar VLANs em uma rede?
A primeira razo evitar a grande quantidade de broadcasts.
O que um broadcast?
Em algumas situaes um equipamento TCP/IP precisa enviar um pacote para toda a rede. Por
exemplo, quando um computador deseja saber o endereo MAC do roteador, ele enviar o
pacote para toda a rede (todos os equipamentos daquela rede recebem a requisio). Apenas
o roteador responde, porm todos os equipamentos da rede receberam a requisio.
Assim, em algumas situaes e em alguns momentos especficos cada equipamento da rede
envia pacotes de broadcast, que acabam chegando (atrapalhando para ser mais exato) todos
os equipamentos da rede.

Porm o broadcast fica dentro de cada VLAN. Um broadcast na VLAN 10 chega a todos os
equipamentos dessa VLAN, mas no chega a nenhum dos equipamentos das demais VLANs.
Assim uma das razes de se dividir a rede em VLANs diminuir a quantidade de broadcasts
que cada equipamento recebe. Um computador em uma rede de 1000 computadores vai
receber o dobro de broadcast do que se ele estivesse em uma rede de 500 computadores.
Assim se eu dividir uma rede de 1000 equipamentos em duas VLANs de 500 mquinas, eu
reduzo automaticamente para a metade a quantidade de pacotes de broadcasts.
No entanto, apesar de ser verdade isso tudo, os broadcasts causam poucos problemas. Mesmo
em uma rede grande, com 2000 computadores, a quantidade de broadcasts no ser grande o
suficiente para afetar a performance da rede. Obviamente que em uma rede de 10.000
computadores a coisa fica feia, mas uma rede de 10.000 computadores algo raro.
Assim, o controle dos broadcasts uma razo para se implementar VLANs, porm uma razo
fraca e mesmo assim em redes muito grandes.
Ento porque implementar VLANs em uma rede?
A segurana
Hoje em dia a principal razo para se implementar VLANs a segurana. Por exemplo eu posso
colocar os telefones IP e o PABX IP em uma VLAN e os computadores em outra VLAN, dessa
forma tenho certeza que nenhum usurio abusado tente mexer na rede de telefonia e
tambm garanto que nenhum erro de operao de um usurio, por pior que seja, atrapalhe a
telefonia.
Dessa forma as empresas podem colocar um firewall ou pelo menos um roteador com ACL
interligando as VLANs. Se o administrador precisar mudar a configurao de um telefone IP ou
do PABX IP, o firewall/roteador autoriza, mas um usurio normal no teria esse privilgio.
Dessa forma as empresas devem pensar em dividir a rede em pedaos com funes diferentes:
redes de usurios, rede de telefonia IP e rede de vigilncia IP.
As empresas tambm pode separar os servidores em uma VLAN separada, no entanto nesse
caso importante tem um roteador de alta performance para conectar a VLAN dos usurios
at a VLAN dos servidores. Se o roteador no tiver uma excelente performance e uma baixa
latncia ele ir causar atrasos graves na rede que iro afetar os usurios. Nesse casos os
switchs L3 so essenciais (um switch L3 um switch normal que tem dentro um roteador de
alta performance).
Outra aplicao de seguraa separar departamentos: VLAN do departamento de vendas
separada da VLAN do departamento de RH, aonde a nica comunicao entre eles se faz via
firewall/roteador com ACL.

Resumo
Na poca em que o Ethernet era 10Mbps e 100Mbps era conexo de backbone, se usava
VLANs para evitar que o broadcast congestionasse a rede. Hoje em dia, em tempos de Gigabit
e 10Gbps, essa preocupao deixa de ser importante (apesar de existir).
Hoje em dia, a principal razo para se implementar VLANs a segurana entre aplicaes
(usurios, telefonia, vigilncia, etc.), camadas de rede (usurios, servidores, storage, etc.) e
departamentos (vendas, RH, administrao, etc.).
Em todos os casos, sempre ser necessrio um roteador para interligar essas VLANs e nessa
caso, um firewall ou um switch L3 com ACL essencial para garantir a segurana - no adianta
criar as VLANs para isolar as redes e depois interliga-las por um roteador sem controle, pois
voc vai voltar a ter as preocupaes de segurana.