Vlan

Switching e VLANs

� Virtual LANs (VLANs)– Em uma rede comutada, a rede é plana, ou seja, todos os

pacotes broadcast transmitidos são "enxergados" por todos os dispositivos conectados à rede, mesmo que um dispositivo não seja o destinatário de tais pacotes.

Switching e VLANs

� Virtual LANs (VLANs)– Uma vez que o processo de comutação na camada 2

segrega domínios de colisão, criando segmentos individuais para cada dispositivo conectado ao switch, as restrições relacionadas à distância impostas pelo padrão Ethernet são reduzidas, significando que redes geograficamente maiores podem ser construídas.

Switching e VLANs

� Virtual LANs (VLANs)

– Quanto maior o número de usuários e dispositivos, maior o volume de broadcasts e pacotes que cada dispositivo tem de processar transitando na rede.

– Outro problema inerente às redes comutadas é a segurança, uma vez que todos os usuários "enxergam" todos os dispositivos.

– Com a criação de VLANs, você pode resolver uma boa parte dos problemas associados à comutação na camada 2.

Switching e VLANs

� Eis algumas das razões para se criar LANs Virtuais (VLANs):

– Redução do tamanho e aumento do número de domínios de broadcast;

– Agrupamento lógico de usuários e de recursos conectados em portas administrativamente definidas no switch;

– VLANs podem ser organizadas por localidade, função, departamento etc., independentemente da localização física dos recursos;

– Melhor gerenciabilidade e aumento de segurança da rede local (LAN);

– Flexibilidade e escalabilidade.

Switching e VLANs

� O que é uma VLAN– Uma Rede local Virtual (VLAN) é um agrupamento lógico de

estações, serviços e dispositivos de rede, independente da localização física.

– Um exemplo seria agrupar logicamente usuários de um departamento que estão em segmentos físicos diferentes.

– A configuração ou reconfigu-ração de VLANs é realizada através de software.

Switching e VLANs

� Redução do Tamanho dos Domínios de Broadcast

– Os roteadores, por definição, mantêm as mensagens de broadcast dentro da rede que os originou.

– Switches, por outro lado, propagam mensagens de broadcast para todos os seus segmentos.

– Por esse motivo, chamamos uma rede comutada de "plana", porque se trata de um grande domínio de broadcast.

– Um bom administrador de redes deve certificar-se de que a rede esteja devidamente segmentada para evitar que problemas em um determinado segmento se propaguem para toda a rede.

Switching e VLANs


– A maneira mais eficaz de se conseguir isso é através da combinação entre comutação e roteamento (switching e routing).

– Uma vez que o custo dos switches vem caindo, é uma tendência real que empresas substituam redes baseadas em hubs por redes baseadas em switches.

– Com isto já temos uma redução natural do tamanho dos dominios de colisão. Se o switch também possuir o recurso de VLAN, também podemos ter a redução do tamanho do dominio de broadcast.

Switching e VLANs


– Em uma VLAN, todos os dispositivos são membros do mesmo domínio de broadcast.

– As mensagens de broadcast, por default, são barradas de todas as portas em um switch que não sejam membros da mesma VLAN.

– Routers devem ser usados em conjunto com switches para que se estabeleça a comunicação entre VLANs, o que impede que mensagens de broadcast sejam propagadas por toda a rede.

Switching e VLANs


– Vamos considerar um projeto de rede necessita de três domínios de broadcast separados:

Na figura 1 não é usada VLAN, por isso são necessarios 3 switches para obter

3 domínios de broadcasts.

Na figura 2 três VLANs são criadas utilizando-se 1 switch e obtendo-se 3

domínios de broadcasts.

Switching e VLANs� Melhor Gerenciabilidade e Aumento de Segurança da

Rede Local (LAN)– Um dos grandes problemas com redes planas é que o nível mais alto

de segurança é implementado através dos routers.

– A segurança é gerenciada e mantida pelo router, porém qualquer um que se conecte localmente à rede tem acesso aos recursos disponíveis naquela VLAN específica.

– Outro problema é que qualquer um pode conectar um analisador de rede em um hub e, assim, ter acesso a todo tráfego daquele segmento de rede.

– Ainda outro problema é que usuários podem se associar a um determinado grupo de trabalho simplesmente conectando suas estações ou laptops a um hub existente, ocasionando um certo "caos" na rede.


Rede Local (LAN)– Através da criação de VLANs, os administradores adquirem o controle

sobre cada porta e cada usuário.

– O administrador controla cada porta e quais recursos serão alocados a ela.

– Os switches podem ser configurados para informar uma estação gerenciadora da rede sobre qualquer tentativa de acesso a recursos não-autorizados.

– Se a comunicação inter-VLANs é necessária, restrições em um roteador podem ser implementadas.

– Restrições também podem ser impostas a endereços de Hardware (MAC), protocolos e a aplicações.


Rede Local (LAN)

– Switches apenas analisam frames para filtragem, não chegam a analisar qualquer informação de camada de Rede.

– Isso pode ocasionar a propagação de broadcasts pelo switch.

– Ao se criar VLANs, entretanto, você está criando domínios de broadcast, ou seja, está segmentando sua rede local.

– Uma mensagem de broadcast enviada por um dispositivo membro de uma VLAN "x" não será propagada para portas do switch associadas a uma VLAN "y".


Rede Local (LAN)– Ao associar portas em um switch ou grupo de switches conectados

entre si (switch fabric) a determinadas VLANs, você tem a flexibilidade de adicionar apenas os usuários desejados ao domínio de broadcast criado, independentemente de sua localização física.

– Isso pode evitar fenômenos onerosos para a rede, como as "tempestades de broadcast".

– Quando uma VLAN torna-se muito volumosa, mais VLANs podem ser criadas para evitar que mensagens de broadcast consumam uma largura de banda excessiva.

– Quanto menor o número de usuários em uma VLAN, menor o domínio de broadcast criado.


Rede Local (LAN)

Switching e VLANs

� Melhor Gerenciabilidade e Aumentode Segurança da Rede Local (LAN)

– Observe que na figura, cada rede é conectada ao roteador, possuindo sua própria identificação lógica de rede (como um endereço IP, por exemplo).

– Um dispositivo conectado à VLAN A, por exemplo, deve possuir o mesmo endereço de rede de onde a VLAN A se encontra para que seja possível a sua comunicação com toda a rede.

– A figura ilustra como os switches simplesmente ignoram qualquer barreira física.

Switching e VLANs


– Switches possibilitam uma flexibilidade e escalabilidade maior que roteadores.

– Através da utilização de switches você pode agrupar usuários por grupos de interesse, que são conhecidos como VLANs organizacionais.

– Mesmo com todos esses recursos, switches não podem substituir roteadores.

Switching e VLANs


– Na figura, repare que temos quatro VLANs. – Os dispositivos membros de determinada VLAN podem se

comunicar com outros da mesma VLAN sem problemas. – Para se comunicarem com dispositivos de outra VLAN, porém, o

uso de um roteador é necessário.– Quando configurados em uma VLAN, os dispositivos entendem

que, de fato, fazem parte de um "backbone colapsado".– Resumindo, a comunicação inter-VLANs, da mesma forma que

uma comunicação entre diferentes LANs, deve ser feita por intermédio de um roteador ou outro dispositivo de camada 3.

Switching e VLANs

� Tipos de Associações VLAN

– VLANs são, tipicamente, criadas por um administrador de redes, que designa determinadas portas de um switch para uma determinada VLAN. Essas são chamadas VLANs estáticas.

– Caso o administrador inclua todos os endereços de hardware dos dispositivos da rede em um banco de dados específico, os switches podem ser configurados para designar VLANs dinamicamente.

Switching e VLANs

� Tipos de Associações VLAN

– Associação Estática� O modo mais comum e seguro de se criar uma VLAN é

estaticamente.

� A porta do switch designada para manter a associação com uma determinada VLAN fará isso até que um administrador mude a sua designação.

� Esse método de criação de VLANs é fácil de implementar e monitorar, funcionando muito bem em ambientes onde o movimento de usuários dentro de uma determinada rede é controlado.

Switching e VLANs

� Associação Dinâmica

– Associação Dinâmica� VLANs dinâmicas determinam a designação de uma VLAN para um

dispositivo automaticamente.

� Através do uso de softwares específicos de gerenciamento, é possível o mapeamento de endereços de hardware (MAC), protocolos e até mesmo aplicações ou logins de usuários para VLANs específicas.

� Por exemplo, suponha que os endereços de Hardware dos laptops de uma rede tenham sido incluídos em uma aplicação que centraliza o gerenciamento de VLANs.

Switching e VLANs

� Associação Dinâmica

– Associação Dinâmica� Se um host é então conectado à porta de um switch que não tenha

uma VLAN associada, o software gerenciador procurará pêlos endereços de hardware armazenados e, então, associará e configurará a porta do switch para a VLAN correta (mapeamento MAC x VLAN).

� Se um usuário muda de lugar, o switch poderá associar automaticamente a VLAN correta para ele, onde quer que esteja.

� Embora este método simplifique muito a vida do administrador uma vez que o banco de dados MAC x VLAN esteja formado, um esforço considerável é exigido inicialmente, na criação do mesmo.

Switching e VLANs

� Identificação de VLANs

– VLANs podem se espalhar por uma "malha" de switches inter-conectados.

– Os switches desse emaranhado devem ser capazes de identificar os frames e as respectivas VLANs às quais estes pertencem.

– Para isso foi criado o recurso frame tagging (ao pé da letra, "etiquetamento de frames" - utilizaremos o termo "identificação de frames", no entanto).

– Utilizando o recurso de identificação de frames, os switches podem direcionar os frames para as portas apropriadas.

Switching e VLANs


– Existem dois diferentes tipos de link em um ambiente comutado:

� Links de acesso (access links)

� Links de Transporte (trunk links)

Switching e VLANs


– Links de acesso (access links):

� Links que são apenas parte de uma VLAN e são tidos como a VLAN nativa da porta.

� Qualquer dispositivo conectado a uma porta ou link de acesso não sabe a qual VLAN pertence.

� Ele apenas assumirá que é parte de um domínio de broadcast, sem entender a real topologia da rede.

� Os switches removem qualquer informação referente às VLANs dos frames antes de enviá-los a um link de acesso.

� Dispositivos conectados a links de acesso não podem se comunicar com dispositivos fora de sua própria VLAN, a não ser que um roteador faça o roteamento dos pacotes;

Switching e VLANs


– Links de Transporte (trunk links)

� Também denominados uplinks, podem carregar informações sobre múltiplas VLANs, sendo usados para conectar switches a outros switches, routers ou mesmo a servidores

� Links de Transporte são suportados em Fast ou Gigabit Ethernet somente. (é importante lembrar-se desta característica: link de transporte não são suportados em I0BaseT Ethernet)

– Desde que sua interface suporte o protocolo ISL ou 802.1Q

Switching e VLANs


– Links de Transporte (trunk links)– Para identificar a VLAN à qual um determinado

frame Ethernet pertence, os switches podem suportar duas diferentes técnicas:

– ISL (Inter-Switch Link Protocol) (proprietário CISCO e portanto somente visto em equipamentos CISCO)

– IEEE 802.1Q. (não-proprietário utilizado por todos os fabricantes, inclusive a CISCO – atualmente é o padrão nos equipamentos CISCO)

� Links de Transporte são utilizados para transportar VLANs entre dispositivos e podem ser configurados para transportar todas as VLANs ou somente algumas.

Switching e VLANs


– Links de Transporte (trunk links)� Links de Transporte ainda possuem uma VLAN nativa (default -

VLAN1), que é utilizada para gerenciamento e em caso de falhas.

� O processo de "entroncamento" de links permite que você torne uma única interface (ou porta) de um switch ou servidor parte de múltiplas VLANs simultaneamente.

� O benefício disso é que um servidor, por exemplo, pode ser membro de duas ou mais VLANs de forma concomitante, o que evita que usuários de VLANs diferentes tenham de atravessar um router para poder ter acesso aos recursos desse servidor.

Switching e VLANs


– Links de Transporte (trunk links)� O "entroncamento" de portas é bastante comum na conexão entre

switches (uplinks), já que os links de transporte podem transportar informações sobre algumas ou todas as VLANs existentes através de apenas um link físico.

� Caso os links entre switches (uplinks) não sejam entroncados, apenas informações sobre a VLAN 1 (chamada VLAN default) serão transportadas através do link.

� Ao se criar uma porta transporte (trunk port), informações sobre todas as VLANs são transportadas através dela, por default.

� VLANs indesejadas devem ser manualmente excluídas do link para que suas informações não sejam propagadas através dele.

Switching e VLANs


– Frame Tagging� Um switch conectado a uma rede de grande porte necessita fazer

um acompanhamento dos usuários e frames que atravessam o aglomerado de switches e VLANs.

� Uma "malha" de switches é um grupo de switches que compartilham as mesmas informações de VLAN.

� O processo de identificação de frames (frame tagging) associa, de forma única, uma identificação a cada frame.

� Essa identificação é conhecida como VLAN ID ou VLAN color.

Switching e VLANs


– Frame Tagging

� A tecnologia de frame tagging foi criada para ser utilizada quando um frame Ethernet atravessasse um link de transporte (trunked link).

Switching e VLANs


– Frame Tagging

� A única mudança é a adição de um par de campos de 2 bytes. O primeiro é o campo ID de protocolo de VLAN, que sempre tem o valor 0x8100. Tendo em vista que esse número é maior que 1500, todas as placas Ethernet o interpretam como um tipo, e não como um comprimento. O que uma placa antiga faz com um quadro desse tipo é discutível, pois tais quadros não devem ser enviados a placas antigas.


– Frame Tagging

– O segundo campo de 2 bytes contém três subcampos:

� O principal é o Identificador de VLAN, que ocupa os 12 bits de baixa ordem. É isso que interessa — a que VLAN o quadro pe rtence.

� O campo de 3 bits Prioridade não tem nenhuma relaçã o com VLANs mas, como a mudança no cabeçalho Ethernet é um even to que acontece uma vez em cada década, demora três anos e envolve uma centena de pessoas, por que não incluir alguns outr os benefícios?

– Esse campo torna possível distinguir o tráfego de tempo real permanente do tráfego de tempo real provisório e do tráfego não relacionado ao tempo, a fim de fornecer melhor qualidade de serviço em redes Ethernet.

– Ele é necessário para voz sobre a Ethernet (embora o IP tivesse um campo semelhante durante um quarto de um século sem que ninguém jamais o tenha usado).

Switching e VLANs

Switching e VLANs


– Frame Tagging� A identificação (tag) da VLAN é removida do frame

antes que ele deixe o link de transporte, tornando o processo totalmente transparente.

� Cada switch que o frame atravessa deve identificar o ID (tag) da VLAN a que ele pertence e, então, determinar o que fazer com ele baseado na tabela de filtragem (filter table).

Switching e VLANs


– Frame Tagging

� Caso o frame alcance um switch que possua outro link de transporte, ele será encaminhado através da porta onde esse link se encontra.

� Uma vez que o frame alcance uma porta para um link de acesso, o switch remove a identificação da VLAN.

� O dispositivo final receberá os frames sem ter de entender à qual VLAN eles pertencem, garantindo a transparência do processo.

Switching e VLANs


– Roteamento entre VLANs

� Dispositivos dentro de uma VLAN encontram-se dentro do mesmo domínio de broadcast e podem se comunicar sem problemas.

� VLANs segmentam a rede, criando diferentes domínios de broadcast.

� Para que dispositivos em diferentes VLANs comuniquem-se entre si, é necessário o uso de um roteador.

Switching e VLANs


– Roteamento entre VLANs

� Um router com uma interface para cada VLAN pode ser usado ou, simplesmente, um router que suporte ISL ou IEEE 802.1Q em sua interface.

� No caso de apenas algumas VLANs (duas ou três), um roteador com duas ou três interfaces l0BaseT já é o suficiente.

� Entretanto, no caso de mais VLANs do que interfaces disponíveis, o roteamento ISL em uma interface FastEthernet ou GigaEthernet pode ser usado

Documents

Vlan