Por: Cleiton Santos – Especialista de Produtos

Um dos requisitos mais solicitados em soluções que exigem switches gerenciáveis é o uso de VLAN (Virtual Local Area Network) – também conhecido como: IEEE 802.1Q. Há diversos motivos que corroboram sua implementação, entre eles estão a segurança da rede local, segregação do tráfego, priorização dos pacotes transitando na rede, entre outros. Logo, uma VLAN consiste em um grupo de participantes de um segmento da rede que podem se comunicar entre si como se pertencessem a uma LAN separada/independente.

Conceitualmente, uma VLAN fornece segmentação de rede na camada de enlace de dados (camada 2 do modelo ISO/OSI). A segmentação é obtida adicionando aos frames Ethernet identificadores conhecidos como “tag de VLAN” (vide Figura 1). Dessa forma, as portas dos switches gerenciáveis são configuradas para serem associadas (ou não) a uma determinada marcação (“tag”) de VLAN. Sendo assim, o tráfego da VLAN será enviado somente às portas participantes desta rede virtual.

Figura 1 – Diferenças entre os frames Ethernet sem e com “tag” de VLAN.

Sabe-se que diversos protocolos industriais e/ou conjunto de funcionalidades utilizam deste conceito, entre eles: GOOSE, RSTP, MSTP, MRP, TSN, QoS, entre outros; logo, nota-se que o conceito de VLAN é muito utilizado tanto diretamente, quanto indiretamente nas soluções de redes Ethernet e, por consequência, há uma relevância considerável por utilizar equipamentos que suportam tal funcionalidade, como, por exemplo, switches gerenciáveis.

Apesar de que, em um primeiro momento, sua compreensão e configuração possa assustar alguns usuários, sua implementação nos equipamentos HIRSCHMANN é extremamente fácil. Portanto, de forma a elucidar o presente conceito, tomemos como exemplo o seguinte caso:

Figura 2 – Exemplo de implementação de três VLANs. (Fonte: Hirschmann User Manual Basic Configuration HiOS-2S GRS).

Como pode ser observado na Figura 2, há três diferentes VLANs e dois switches gerenciáveis neste exemplo, onde

• VLAN 1: responsável por conectar a estação de gerenciamento à ambos os switches, assim como a comunicação entre switches via porta #5 (equipamento da esquerda) e porta #1 (equipamento da direita);
• VLAN 2: responsável por interligar os dispositivos identificados como “A”, “D”, “E” e “G”, sendo os dois primeiros conectados no switch da esquerda e os dois últimos conectados no switch da direita;
• VLAN 3: responsável por interligar os dispositivos identificados como “B” e “C” (conectados no switch à esquerda) e, “F” e “H” (conectados no switch à direita.

Vale salientar que, neste exemplo, os equipamentos “A” e “D” não conversam com os equipamentos “B” e “C”, apesar de todos estarem conectados no mesmo switch, ou seja, os mesmos estão virtualmente segregados. A mesma premissa é válida para o switch da direita, onde os equipamentos “E” e “G” não se comunicam com os equipamentos “F” e “H”.

Logo, uma das formas mais simples de compreender, solucionar e implementar essa problemática seria por meio da criação das tabelas de ingresso e egresso para ambos os equipamentos (switches). Em suma:

• Tabela de ingresso: especifica qual ID de VLAN será atribuído aos pacotes que estão chegando;
• Tabela de egresso: especifica por quais portas o dispositivo pode enviar os pacotes desta VLAN; opções:
  • “U” (untagged): a porta é membro da VLAN e, portanto, transmite os pacotes de dados, porém sem a “tag” de VLAN; normalmente, essa opção é utilizada quando o dispositivo conectado nesta porta não compreende a “tag” de VLAN (ex.: computadores comuns);
  • “T” (tagged): a porta é membro da VLAN e, neste caso, transmite os pacotes de dados com a “tag” de VLAN; normalmente, com o intuito de manter a “tag” original, essa opção é utilizada nos uplinks entre equipamentos de rede;
  • “F” (forbidden): a porta não é membro da VLAN e, portanto, não transmite pacotes de dados desta VLAN; além disso, o dispositivo impede que a porta se torne um membro da VLAN por meio da função MVRP (Multiple VLAN Registration Protocol);
  • “ – ” (not a member): a porta não é membro da VLAN e, portanto, não transmite pacotes de dados da VLAN.

Além destas opções, na HIRSCHMANN, os equipamentos contam ainda com verificações adicionais visando a segurança da rede, as quais podem ser definidas pelo usuário na tabela de ingresso. Tais opções seriam:

• Admitir todos: a porta aceita pacotes de dados com e sem a “tag” de VLAN.
• Admitir somente pacotes com “tag” de VLAN: a porta somente aceita pacotes de dados com “tag” de VLAN;
• Ingress filtering (ativo): o dispositivo compara o ID da VLAN no pacote de dados com as VLANs das quais o dispositivo é membro; se o ID da VLAN no pacote de dados corresponder a uma dessas VLANs, a porta transmitirá o pacote de dados; caso contrário, o dispositivo descartará o pacote de dados.

Logo, uma das possíveis soluções de configuração para o exemplo ilustrado na Figura 2 é apresentado na Tabela 1. Note que, para facilitar, as tabelas de ingresso e egresso de cada switch foram compactadas e exibidas em apenas um quadro.

Tabela 1 – Tabelas de ingresso e egresso do exemplo (Figura 2).
(Fonte: Hirschmann User Manual Basic Configuration HiOS-2S GRS).

Em suma, o artigo de hoje teve por objetivo apresentar brevemente o conceito de VLANs e exemplificar seu uso com um case de aplicação. Portanto, o presente artigo visa auxiliar os clientes e parceiros na compreensão e implementação de VLANs em seus projetos de redes Ethernet industriais.

Obs. 1: nos equipamentos HIRSCHMANN, as tabelas apresentadas acima são encontradas nos seguintes menus: tabela de egresso [Switching à VLAN à Configuration]; tabela de ingresso [Switching à VLAN à Port];

Obs. 2: como a visualização do conceito de VLAN é muito abstrato, sugere-se o uso do software Industrial HiVision para apresentação visual dos equipamentos relacionados com uma determinada VLAN (tema este para um outro artigo técnico!).

Referências:

1. Hirschmann User Manual Basic Configuration HiOS-2S GRS, 2015.
2. Hirschmann Reference Manual Graphical User Interface HiOS-2S GRS (Greyhound Switch), 2017.