VLAN (Virtual LAN) IEEE 802.1Q - EChaia

http://www.echaia.com.br

Cisco CCNA V 6.0

Certificação 200-125

Unidade I – VLAN (Virtual LAN)

IEEE 802.1Q

Euber Chaia Cotta e Silva

[email protected]


Referências para essa aula

KUROSE, James. Redes de Computadores e a Internet, 5ª Ed. 2010,

Cap. 5.6.5 Rede Local Virtual (VLANs)

TANENBAUM, James. Redes de Computadores, 5ª Ed. 2011, Cap. 4.8.5

LANs Virtuais

FILIPPETTI, Marco Aurélio. CCNA 5.0 Guia Completo de Estudo, 2014

Cap. 3.4 Virtual LANs (VLANs)


Deficiências de redes Nível 2

3 Deficiências:

Falta de isolamento

de tráfego

Uso ineficiente dos

comutadores

Gerenciamento dos

usuários

(Kurose) Obs: a legenda da Fig. 5.26 do Kurose (p.351) está errada, pois na

rede ilustrada não há Hub, apenas Switches.

Switch de núcleo

Switches secundários



Falta de isolamento de tráfego:

Broadcasts poluem toda a rede (Ex: ARP, DHCP, quadros com

end. MAC de destino desconhecidos).

Riscos a segurança e privacidade.

Para solucionar o problema do isolamento, poderíamos trocar o

comutador central por um roteador.

Mas é possível fazer isso com comutadores de camada 2, sem

precisar de um roteador.

(Kurose)



Uso ineficiente de comutadores (otimização das portas)

Em cada um dos switches da topologia distribuída sobrarão

portas.

Se fosse possível instalar apenas um comutador no núcleo da

rede para atender todas as estações, não sobrariam tantas

portas nesse switch central, reduzindo o custo da rede.

Mas ainda assim, haveria necessidade de criar isolamento

de tráfego na LAN.

(Kurose)



Problemas de gerenciamento de usuários quando cada

setor de uma empresa tem um switch para atender seus

respectivos usuários:

Usuários que se mudam de um setor para outro tem que ter o

seu cabeamento direcionado para um novo switch.

Funcionários que pertencem a 2 setores são um problema.

(Kurose)


Mas há solução...

SOLUÇÃO PARA AS DEFICIÊNCIAS CITADAS:

Adotar no core (núcleo) da rede um switch com suporte a

Rede Local Virtual = VLAN (em inglês: virtual LAN).

O padrão IEEE 802.1Q define as VLANs.


Mais motivos para criarmos VLANs

Além do problema da segurança, Filippetti cita o tráfego de

broadcast como motivo para criação de VLANs:

Switches segregam domínios de colisão, criando segmentos

individuais e dedicados. Então, quando usamos muitos

switches numa rede, as restrições as distâncias do padrão

Ethernet são minimizadas e poderemos ter redes maiores e

mais dispersas.

Porém, quando o número de usuários cresce, cresce o

tráfego de broadcast e cai o desempenho da LAN, e isso

exige a criação de VLANs.

(Filippetti)


Mais motivos para criarmos VLANs Segundo Tanenbaum, são motivos para criar VLANs:

Separação de VLANs em função da estrutura organizacional da

empresa e não em função do lay-out físico

Separação de VLANs em função da carga:

–Tráfego mais intenso pode ser separado em uma VLAN, para não

afetar outras VLANs.

–VLANs que precisam de desempenho maior devem ser isoladas

Broadcast poluem a rede:

–Broadcast gerado por protocolos de nível 2 e 3

–Tempestade de broadcast (Tanenbaum)


Definição de VLAN

Segundo Filippetti:

VLANs são domínios lógicos definidos em switches. Essa

é uma forma de segmentar um grande domínio de broadcast,

sem necessidade de usarmos um equipamento layer 3.

Máquinas de uma VLAN enxergam apenas os quadros

originados na mesma VLAN.

Broadcasts gerados em uma VLAN ficam contidos naquele

domínio.

(Filippetti)


VLAN baseadas em portas

Grupos de portas formam VLANs;

Cada VLAN é um domínio de broadcast;

Quadros de cada VLAN são isolados uns dos outros;

Se o usuário da porta 8 for realocado na Computação, o gerente da

rede associará essa porta à VLAN da Computação;

Uma porta pode estar associada a mais de uma VLAN.

(Kurose)


VLANs com múltiplos switches Solução 1:

Cada VLAN é interligada com um cabo.

Pergunta:

Qual é o inconveniente dessa solução?

(Kurose)


Solução 2, mais escalável: Entroncamento de VLANs (truncking) Em cada switch, uma porta será configurada como porta tronco para interconectar os switches. A porta tronco pertence a todas as VLANs.

VLANs com múltiplos switches

Pergunta: Como o switch sabe que o quadro que chega a uma porta tronco pertence a uma VLAN específica?

(Kurose)


Frame Tagging Resposta: O Frame Tagging permite que cada quadro seja

associado a uma VLANs. Permite também que os switches

direcionem os quadros para as portas de saídas associadas às

VLANs corretas.

Chama-se Frame Tagging o processo de inserção da

identificação da VLAN em cada quadro IEEE 802.1Q.

–Tag = rótulo, etiqueta

–Frame Tagging = “rotulagem ou etiquetamento de frames”

Esse campo do quadro (rótulo) é chamado de

–VLAN ID ou

–VLAN color

(Filippetti)


O quadro IEEE 802.1Q

Porém, para que os quadros sejam etiquetados (taggeados)

o quadro IEEE 802.3 original teve que ser modificado!

Em 1995 foi criado o quadro IEEE 802.1Q para os quadros que

atravessam portas tronco.

(Kurose)

IEEE 802.3 original:

IEEE 802.1Q:


Novos campos (rótulo de 4 Bytes):

Identificador de protocolo (2 Bytes)

Valor fixo: 0x8100 = Hexadecimal 81 00.

Controle de informação (2 Bytes)

Contém a identificação da VLAN com 12 bits.

Mais 3 bits para definir „prioridade de transmissão‟.

Assim, as portas tronco sabem para qual VLAN encaminhar os quadros

entrantes. (Kurose)



Pergunta:

E se uma placa de rede comum (de um PC, por exemplo)

recebesse um quadro IEEE 802.1Q? O que ocorreria?

(Filippetti)



Problemas da adoção do quadro

IEEE 802.1Q

E as milhões de placas de rede existentes?

Terão que ser trocadas?

Se as placas não forem trocadas, como o quadro IEEE

802.1Q será gerado? Ou, por quem será gerado?

(Tanenbaum)


Resposta:

O quadro IEEE 802.1Q é adotado apenas nas portas tronco

que interligam os switches!

Ou seja, apenas os switches são trocados!

Segundo Tanenbaum, na medida que novas placas de rede

entrem no mercado, espera-se que elas sejam compatíveis

com o padrão 802.1Q e possam preencher os novos

campos. (Tanenbaum, p.217)


IEEE 802.1Q


O que acontecerá com o tamanho máximo dos

quadros IEEE 802.1Q?

Resposta:

O limite de 1518 Bytes foi simplesmente

aumentado para 1522 Bytes

(Tanenbaum)


IEEE 802.1Q


Por que os 3 bits de prioridade? Segundo Tanenbaum:

“O campo de 3 bits Prioridade não têm nenhuma relação com

VLANs, mas, como a mudança no cabeçalho Ethernet é um

evento que acontece uma vez a cada década, demora três anos

e envolve uma centena de pessoas, por que não incluir alguns

outros benefícios?”

(Tanenbaum)


Tabela interna de VLANs

Assim, como ocorre com as tabelas MAC,

switches também podem se autoconfigurar para

construção das sua tabela de VLAN, com base

na observação das tags que passam pelas

portas tronco.

(Tanenbaum)


Tipos de associações VLAN

Associação estática:

VLANs são criadas manualmente, por meio da associação

de cada porta do switch a determinadas VLANs.

Associação dinâmica:

Um servidor centralizado pode, dinamicamente, mapear

determinadas informações dos usuários (como MAC

address ou nome de usuário) a determinadas VLANs.

(Filippetti)


Associação estática de VLANs

É o modo mais comum de se criar VLANs.

As portas são manualmente associadas a

determinadas VLANs.

Método recomendado quando o movimento de

dispositivos dentro da rede é praticamente

estático.

(Filippetti)


Associação estática de VLANs

É o modo mais comum de se criar VLANs.

As portas são manualmente associadas a

determinadas VLANs.

Método recomendado quando o movimento de

dispositivos dentro da rede é praticamente

estático.

(Filippetti)


Associação dinâmica de VLANs

Requer um servidor VMPS (VLAN Management Policy

Server) que precisa ser instalado e configurado.

Método útil quando há alta mobilidade de dispositivos

Com o VMPS é possível associar VLANs específicas a

–MAC Address

–Protocolos

–Aplicações

–Credenciais de acesso (login e senha)

(Filippetti)


Identificação de portas em VLANs Quando usamos VLANs , pode haver 2 tipos de portas:

–Porta de acesso (access port)

–Porta de transporte (trunk port)

Portas de acesso (access port)

São portas conectadas aos dispositivos finais (PCs, impressoras,

servidores, etc).

Esse tipo de porta pode ser associado a uma única VLAN.

Em um switch, se um quadro IEEE 802.1Q passar por uma porta

dessas com destino aos elementos conectados a ela, o switch

removerá do quadro as informações sobre VLANs.

Dispositivos conectados a portas de acesso não conseguem se

comunicar no nível de enlace com outras VLANs.

(Filippetti)


Identificação de portas em VLANs

Portas de transporte (trunk port)

São portas que transportam quadros com a devida

identificação de VLAN (tagging) de um switch para outro.

Um porta de transporte pode ser associada a várias VLANs.

São usadas em:

–Uplinks entre switches

–Conexões entre switches e routers

–Conexões entre switches e servidores

–Conexões entre switches e impressoras

Por padrão, portas de transporte podem transmitir quadros de

todas as VLANs. O bloqueio de VLANs exige que configuração

manual para exclusão.

(Filippetti)

Caso esses elementos

sejam compartilhados

por várias VLANs sem

a necessidade de usar

um router.


Frame Tagging em redes Metro

Ethernet Padrão IEEE 802.1ad: permite o duplo tagging de quadros Ethernet:

O frame é encapsulado com a informação de uma VLAN interna

(inner tag), que é a VLAN da empresa contratante.

Posteriormente, o frame recebe informações sobre a VLAN externa

(outter tag), que é a VLAN do provedor.

Adotado em redes METRO ETHERNET:

O provedor encapsula os frames previamente identificados com a

informação da VLAN do contratante, acrescentando as informações da

VLAN do provedor. Esse quadro duplamente rotulado é transmitido

pela rede Metro Ethernet. Na porta de saída da rede Metro, a outter

tag do provedor é removida. (Filippetti, p.92)


Duplo tagging em redes Metro

Ethernet

Outter tag: o rótulo da operadora de telecom (provedor) separa as VLANs de

diferentes empresas contratantes. Inner tag: o rótulo da empresa contratante

separa as suas VLANs internas.


Roteamento entre VLANs

Solução 1: instalar um router externo na interface 1 e configurá-la

como pertencente a ambas as VLANs.

Um datagrama da VLAN1 que tem como destino a VLAN2 passa

primeiro pela VLAN1, depois alcança o roteador, que o encaminha

para a VLAN2.

Router

externo

(Kurose, p.356)

Pergunta: Se 2 VLANs são isoladas, como o tráfego de

uma VLAN pode atingir outra?



Solução 2: Um único dispositivo pode ser projetado e fabricado de

modo que seja simultaneamente um comutador VLAN e um router,

tornando o roteador externo desnecessário.

(Kurose, p.356)



Solução 1, segundo Filippetti:

Para que dispositivos em VLANS diferentes se comuniquem é

necessário haver um dispositivo de camada 3.

Um router, com suporte ao padrão IEEE 802.1Q, pode ser

conectado a uma das portas do switch para realizar essa tarefa.

Nome da solução: router-on-a-stick.

(Filippetti)



Solução 2, segundo Filippetti:

Adotar switches de camada 3, capazes de executar roteamento.

Vantagens:

Melhor desempenho.

Em geral esses equipamentos têm maior densidade de portas.

Topologia simplificada.

Desvantagem:

Custo maior.

(Filippetti)


(Filippetti, p.94)

Solução 1:

Comunicação interVLANs por meio de um router

router-on-a-stick.


Solução 2:

Comunicação interVLANs por meio de um swtich L3

Esse é um cenário semelhante ao anterior, porém com um

switch de camada 3:


Roteamento entre VLANs e endereçamento IP

ATENÇÃO. Note nas duas figuras anteriores um detalhe muito

importante:

É preciso que cada VLAN pertença a uma rede IP distinta, pois

equipamentos Layer 3 não encaminham pacotes originados e

destinados a uma mesma rede IP.

Então, é recomendável que cada VLAN esteja associada a uma

rede IP diferente.

Se 2 VLANs distintas forem associadas a uma mesma rede IP, a

comunicação entre elas jamais ocorrerá.

(Filippetti)


Copyright

Material baseado nos slides do Prof.

Rodrigo Moreno Marques Engenheiro Eletricista

Especialista em Engenharia de Telecomunicações

Mestre em Ciência da Informação

Doutor em Ciência da Informação (UFMG)


VLAN (Virtual LAN) IEEE 802.1Q - EChaia

Documents