Graduação Tecnológica em Redes de Computadores ...echaia.com.br/aulas/comutacao_redes/aula3.pdf · Referências para essa aula KUROSE, James. Redes de Computadores e a Internet,

http://www.echaia.com.br

Graduação Tecnológica em Redes de Computadores

Comutação de Redes

Euber Chaia Cotta e [email protected]


Graduação Tecnológica em Redes de Computadores

Unidade III – VLAN (Virtual LAN) IEEE 802.1Q

Euber Chaia Cotta e [email protected]


Referências para essa aula

KUROSE, James. Redes de Computadores e a Internet, 5ª Ed. 2010, Cap. 5.6.5 Rede Local Virtual (VLANs)

TANENBAUM, James. Redes de Computadores, 5ª Ed. 2011, Cap. 4.8.5 LANs Virtuais

FILIPPETTI, Marco Aurélio. CCNA 5.0 Guia Completo de Estudo, 2014

Cap. 3.4 Virtual LANs (VLANs)


Deficiências de redes Nível 23 Deficiências:Falta de isolamento de tráfegoUso ineficiente dos comutadoresGerenciamento dos usuários

(Kurose)Obs: a legenda da Fig. 5.26 do Kurose (p.351) está errada, pois na rede ilustrada não há Hub, apenas Switches.

Switch de núcleo

Switches secundários


Deficiências de redes Nível 2Falta de isolamento de tráfego:Broadcasts poluem toda a rede (Ex: ARP, DHCP, quadros com end. MAC de destino desconhecidos).Riscos a segurança e privacidade.

Para solucionar o problema do isolamento, poderíamos trocar o comutador central por um roteador.

Mas é possível fazer isso com comutadores de camada 2, sem precisar de um roteador.

(Kurose)


Deficiências de redes Nível 2Uso ineficiente de comutadores (otimização das portas)Em cada um dos switches da topologia distribuída sobrarão portas. Se fosse possível instalar apenas um comutador no núcleo da rede para atender todas as estações, não sobrariam tantas portas nesse switch central, reduzindo o custo da rede.

Mas ainda assim, haveria necessidade de criar isolamento de tráfego na LAN.

(Kurose)


Deficiências de redes Nível 2Problemas de gerenciamento de usuários quando cada setor de uma empresa tem um switch para atender seus respectivos usuários:Usuários que se mudam de um setor para outro tem que ter o seu cabeamento direcionado para um novo switch.Funcionários que pertencem a 2 setores são um problema.

(Kurose)


Mas há solução...

SOLUÇÃO PARA AS DEFICIÊNCIAS CITADAS:

Adotar no core (núcleo) da rede um switch com suporte a Rede Local Virtual = VLAN (em inglês: virtual LAN).

O padrão IEEE 802.1Q define as VLANs.


Mais motivos para criarmos VLANs

Além do problema da segurança, Filippetti cita o tráfego de broadcast como motivo para criação de VLANs:

Switches segregam domínios de colisão, criando segmentos individuais e dedicados. Então, quando usamos muitos switches numa rede, as restrições as distâncias do padrão Ethernet são minimizadas e poderemos ter redes maiores e mais dispersas.Porém, quando o número de usuários cresce, cresce o tráfego de broadcast e cai o desempenho da LAN, e isso exige a criação de VLANs.

(Filippetti)


Mais motivos para criarmos VLANs

Segundo Tanenbaum, são motivos para criar VLANs:

Separação de VLANs em função da estrutura organizacional da empresa e não em função do lay-out físico

Separação de VLANs em função da carga:– Tráfego mais intenso pode ser separado em uma VLAN, para não afetar

outras VLANs. – VLANs que precisam de desempenho maior devem ser isoladas

Broadcast poluem a rede:– Broadcast gerado por protocolos de nível 2 e 3– Tempestade de broadcast

(Tanenbaum)


Definição de VLAN

Segundo Filippetti:

VLANs são domínios lógicos definidos em switches. Essa é uma forma de segmentar um grande domínio de broadcast, sem necessidade de usarmos um equipamento layer 3.

Máquinas de uma VLAN enxergam apenas os quadros originados na mesma VLAN.

Broadcasts gerados em uma VLAN ficam contidos naquele domínio.

(Filippetti)


VLAN baseadas em portas

Grupos de portas formam VLANs;

Cada VLAN é um domínio de broadcast;

Quadros de cada VLAN são isolados uns dos outros;

Se o usuário da porta 8 for realocado na Computação, o gerente da rede associará essa porta à VLAN da Computação;

Uma porta pode estar associada a mais de uma VLAN.

(Kurose)


VLANs com múltiplos switchesSolução 1:

Cada VLAN é interligada com um cabo.

Pergunta:Qual é o inconveniente dessa solução?

(Kurose)


Solução 2, mais escalável:Entroncamento de VLANs (truncking)Em cada switch, uma porta será confgurada como porta tronco para interconectar os switches.A porta tronco pertence a todas as VLANs.

VLANs com múltiplos switches

Pergunta: Como o switch sabe que o quadro que chega a uma porta tronco pertence a uma VLAN específca?

(Kurose)


Frame TaggingResposta: O Frame Tagging permite que cada quadro seja associado a uma VLANs. Permite também que os switches direcionem os quadros para as portas de saídas associadas às VLANs corretas.

Chama-se Frame Tagging o processo de inserção da identificação da VLAN em cada quadro IEEE 802.1Q.

– Tag = rótulo, etiqueta– Frame Tagging =

“rotulagem de frames” ou “etiquetamento de frames”

Esse campo do quadro (rótulo) é chamado de– VLAN ID ou– VLAN color (Filippetti

)


O quadro IEEE 802.1Q

Porém, para que os quadros sejam etiquetados (taggeados) o quadro IEEE 802.3 original teve que ser modificado!

Em 1995 foi criado o quadro IEEE 802.1Q para os quadros que atravessam portas tronco.

(Kurose)

IEEE 802.3 original:

IEEE 802.1Q:


Novos campos (rótulo de 4 Bytes):Identificador de protocolo (2 Bytes)

Valor fixo: 0x8100 = Hexadecimal 81 00.Controle de informação (2 Bytes)

Contém a identificação da VLAN com 12 bits.

Mais 3 bits para definir ‘prioridade de transmissão’.

Assim, as portas tronco sabem para qual VLAN encaminhar os quadros entrantes.

(Kurose)



Pergunta:

E se uma placa de rede comum (de um PC, por exemplo) recebesse um quadro IEEE 802.1Q? O que ocorreria?

(Filippetti)



Problemas da adoção do quadro IEEE 802.1Q

E as milhões de placas de rede existentes?

Terão que ser trocadas?

Se as placas não forem trocadas, como o quadro IEEE 802.1Q será gerado? Ou, por quem será gerado?

(Tanenbaum)


Resposta:

O quadro IEEE 802.1Q é adotado apenas nas portas tronco que interligam os switches!

Ou seja, apenas os switches são trocados!

Segundo Tanenbaum, na medida que novas placas de rede entrem no mercado, espera-se que elas sejam compatíveis com o padrão 802.1Q e possam preencher os novos campos.

(Tanenbaum, p.217)



O que acontecerá com o tamanho máximo dos quadros IEEE 802.1Q?

Resposta:

O limite de 1518 Bytes foi simplesmente aumentado para 1522 Bytes

(Tanenbaum)



Por que os 3 bits de prioridade?Segundo Tanenbaum:

“O campo de 3 bits Prioridade não têm nenhuma relação com VLANs, mas, como a mudança no cabeçalho Ethernet é um evento que acontece uma vez a cada década, demora três anos e envolve uma centena de pessoas, por que não incluir alguns outros benefícios?”

(Tanenbaum)


Tabela interna de VLANs

Assim, como ocorre com as tabelas MAC, switches também podem se autoconfigurar para construção das sua tabela de VLAN, com base na observação das tags que passam pelas portas tronco.

(Tanenbaum)


Tipos de associações VLAN

Associação estática:

VLANs são criadas manualmente, por meio da associação de cada porta do switch a determinadas VLANs.

Associação dinâmica:

Um servidor centralizado pode, dinamicamente, mapear determinadas informações dos usuários (como MAC address ou nome de usuário) a determinadas VLANs.

(Filippetti)


Associação estática de VLANs

É o modo mais comum de se criar VLANs.

As portas são manualmente associadas a determinadas VLANs.

Método recomendado quando o movimento de dispositivos dentro da rede é praticamente estático.

(Filippetti)


Associação estática de VLANs

É o modo mais comum de se criar VLANs.

As portas são manualmente associadas a determinadas VLANs.

Método recomendado quando o movimento de dispositivos dentro da rede é praticamente estático.

(Filippetti)


Associação dinâmica de VLANs

Requer um servidor VMPS (VLAN Management Policy Server) que precisa ser instalado e configurado.

Método útil quando há alta mobilidade de dispositivos

Com o VMPS é possível associar VLANs específicas a– MAC Address– Protocolos– Aplicações – Credenciais de acesso (login e senha)

(Filippetti)


Identificação de portas em VLANsQuando usamos VLANs , pode haver 2 tipos de portas:

– Porta de acesso (access port)– Porta de transporte (trunk port)

Portas de acesso (access port)São portas conectadas aos dispositivos finais (PCs, impressoras, servidores, etc). Esse tipo de porta pode ser associado a uma única VLAN.Em um switch, se um quadro IEEE 802.1Q passar por uma porta dessas com destino aos elementos conectados a ela, o switch removerá do quadro as informações sobre VLANs.Dispositivos conectados a portas de acesso não conseguem se comunicar no nível de enlace com outras VLANs.

(Filippetti)


Identificação de portas em VLANsPortas de transporte (trunk port)São portas que transportam quadros com a devida identificação de VLAN (tagging) de um switch para outro.Um porta de transporte pode ser associada a várias VLANs.São usadas em:

– Uplinks entre switches– Conexões entre switches e routers– Conexões entre switches e servidores– Conexões entre switches e impressoras

Por padrão, portas de transporte podem transmitir quadros de todas as VLANs. O bloqueio de VLANs exige que configuração manual para exclusão.

(Filippetti)

Caso esses elementos sejam compartilhados por várias VLANs sem a necessidade de usar um router.


Frame Tagging em redes Metro Ethernet

Padrão IEEE 802.1ad: permite o duplo tagging de quadros Ethernet:O frame é encapsulado com a informação de uma VLAN interna (inner tag), que é a VLAN da empresa contratante.Posteriormente, o frame recebe informações sobre a VLAN externa (outter tag), que é a VLAN do provedor.

Adotado em redes METRO ETHERNET:

O provedor encapsula os frames previamente identificados com a informação da VLAN do contratante, acrescentando as informações da VLAN do provedor. Esse quadro duplamente rotulado é transmitido pela rede Metro Ethernet. Na porta de saída da rede Metro, a outter tag do provedor é removida.

(Filippetti, p.92)


Duplo tagging em redes Metro Ethernet

Outter tag: o rótulo da operadora de telecom (provedor) separa as VLANs de diferentes empresas contratantes. Inner tag: o rótulo da empresa contratante separa as suas VLANs internas.


Roteamento entre VLANs

Solução 1: instalar um router externo na interface 1 e configurá-la como pertencente a ambas as VLANs.

Um datagrama da VLAN1 que tem como destino a VLAN2 passa primeiro pela VLAN1, depois alcança o roteador, que o encaminha para a VLAN2.

Router externo

(Kurose, p.356)

Pergunta: Se 2 VLANs são isoladas, como o tráfego de uma VLAN pode atingir outra?


Roteamento entre VLANsSolução 2: Um único dispositivo pode ser projetado e fabricado de modo que seja simultaneamente um comutador VLAN e um router, tornando o roteador externo desnecessário.

(Kurose, p.356)


Roteamento entre VLANs

Solução 1, segundo Filippetti:

Para que dispositivos em VLANS diferentes se comuniquem é necessário haver um dispositivo de camada 3.

Um router, com suporte ao padrão IEEE 802.1Q, pode ser conectado a uma das portas do switch para realizar essa tarefa.

Nome da solução: router-on-a-stick.

(Filippetti)


Roteamento entre VLANsSolução 2, segundo Filippetti:

Adotar switches de camada 3, capazes de executar roteamento.

Vantagens:Melhor desempenho.Em geral esses equipamentos têm maior densidade de portas.Topologia simplificada.

Desvantagem:Custo maior.

(Filippetti)


(Filippetti, p.94)

Solução 1: Comunicação interVLANs por meio de um router

router-on-a-stick.


Solução 2: Comunicação interVLANs por meio de um swtich L3

Esse é um cenário semelhante ao anterior, porém com um switch de camada 3:


Roteamento entre VLANs e endereçamento IP

ATENÇÃO. Note nas duas figuras anteriores um detalhe muito importante:

É preciso que cada VLAN pertença a uma rede IP distinta, pois equipamentos Layer 3 não encaminham pacotes originados e destinados a uma mesma rede IP.

Então, é recomendável que cada VLAN esteja associada a uma rede IP diferente.

Se 2 VLANs distintas forem associadas a uma mesma rede IP, a comunicação entre elas jamais ocorrerá.

(Filippetti)


Copyright

Material baseado nos slides do Prof. Rodrigo Moreno MarquesEngenheiro EletricistaEspecialista em Engenharia de TelecomunicaçõesMestre em Ciência da InformaçãoDoutor em Ciência da Informação (UFMG)


Documents

Graduação Tecnológica em Redes de Computadores ...echaia.com.br/aulas/comutacao_redes/aula3.pdf · Referências para essa aula KUROSE, James. Redes de Computadores e a Internet,