1

UNIVERSIDADE ESTCIO DE S

CURSO DE REDES DE COMPUTADORES PROFESSOR MARCELO BERRDO REVISO 10/09/2000 NOTAS DE AULA REDES VIRTUAIS 1. REDES VIRTUAIS - DEFINIO: N o passado, as R edes L ocais (L A N s) eram definidas com o um a rede de com putadores localizados em um a mesma rea, Hoje, Uma LAN pode ser definida como um nico domnio de broadcast. A comunicao entre as redes realizada por roteadores (e switches de camada 3). Por definio, um roteador (router) o dispositivo de conexo de redes que interliga diversas Redes, WAN e LAN. O roteador, a princpio, deixar passar todo o trfego destinado uma rede por ele conhecida, porm no permite a passagem de broadcasts e multicasts de uma rede para outra. Um switch tradicional opera na camada 2 do modelo OSI. um dispositivo de conexo entre diferentes sub-redes de uma LAN, ou seja, diferentes domnios de coliso. A segmentao realizada pelo switch por domnios de coliso. Isto significa que no propaga colises entre os segmentos a ele conectados. Os switches, alm disto, constroem tabelas de endereos MAC, de forma a permitir interpretar os endereos de destino nos quadros, e repass-los porta correspondente. Endereos de destino broadcast e multicast, entretanto, por se destinarem a todos ou a um grupo de usurios de uma LAN, tm que obrigatoriamente ser repassados a todas as portas do switch.

Figura 1 Domnios de Coliso e de Broadcast Quanto maior o tamanho da rede, segmentada apenas por switches, maior ser o trfego de broadcasts (normalmente utilizados em informaes de controle de servidores ou de estaes que se anunciam), e multicasts (mais utilizados em aplicaes especficas, como a videoconferncia). Eventualmente este trfego de broadcasts poder ser to intenso, competindo

DOMNIOS DOMNIOS DE COLISODE COLISO

SEGMENTO LAN

SEGMENTO LAN

SEGMENTO LAN

SEGMENTO LAN

BRIDGE ouSWITCH

BRIDGE ouSWITCH

ROUTERou

SWITCHLAYER 3

DOMNIOS DE BROADCASTDOMNIOS DE BROADCAST

2

com pacotes de dados pela banda passante, que poder afetar a performance da rede. Alm disto, por questes de segurana, poder ser desejvel que se contenha a expanso de quadros broadcast/multicast pelo ambiente da rede. A s V L A N s perm item que os adm inistradores de rede segmentem logicamente uma LAN em diferentes domnios de Broadcast. Por se tratar de uma segmentao lgica, e no fsica, diferentemente dos roteadores, que fazem uma segmentao fsica, as estaes no precisam estar fisicamente no mesmo local, nem mesmo conectadas ao mesmo switch. Usurios de diferentes andares de um prdio, ou mesmo de diferentes prdios, podem agora pertencer a uma mesma LAN. O s roteadores sero necessrios apenas para perm itir a com unicao entre duas V L A N s.

Figura 2 Im plem entao de R edes V irtuais (V L A N s) 2. APLICAES DAS REDES VIRTUAIS: Redes virtuais so um meio altamente flexvel de segmentao de redes corporativas, permitindo que estaes no pertencentes ao mesmo switch sejam agrupados em uma rede nica, bem como definir mais de uma rede em um nico equipamento. So particularmente teis, entre outras, nas seguintes situaes abaixo: Resoluo de problemas de gargalo, devido capacidade de isolar o trfego

broadcast/multicast intenso; flexibilizar a configurao da rede, tornada necessria devido a reestruturaes dentro da

empresa, mudanas de layout, agrupando usurios e meios que se comunicam mais freqentemente, independente da posio espacial em que se encontram.

Implementao de medidas de segurana, uma vez que os grupos de trabalho podem ser

isolados, s podendo ser conectados atravs de algum dispositivo que roteie trfego

DOMNIOS DOMNIOS DE COLISODE COLISO

VLAN B

VLAN B

VLAN A

VLAN A

BRIDGE ouSWITCH

BRIDGE ouSWITCH

ROUTERou

SWITCHLAYER 3

DOMNIOS DE BROADCASTDOMNIOS DE BROADCAST

(1 OU + PORTAS)

DOMNIOS DOMNIOS DE COLISODE COLISO

3

(roteadores, Layer 3 switches). Desta forma podem ser aplicados filtros de camada 3 e outras medidas de segurana baseadas em roteadores;

Otimizar o acesso aos servidores, Priorizando o acesso corporativo aos servidores

corporativos, configurando-os em todas as V L A N s, e o acesso departam ental aos servidores departamentais, configurando-os nas m esm as V L A N s dos seus u surios;

Simplificar o gerenciamento da rede, permitindo toda a configurao da rede atravs de uma

estao de gerenciamento, sem a necessidade de se alterar cabeamento e hardware. 3. C L A S S IF IC A O D A S V L A N s Q U A N T O A O M T O D O D E A T R IB U I O : Em geral, podemos distinguir pelo menos 5 modelos bsicos de determinao e controle de pacotes em uma VLAN:

3.1. V L A N s basead as em portas (cam ad a 1):

E ste o m odo m ais antigo de atribuio de V L A N s. N esta im plem entao, o adm inistrador associa cada porta do switch a uma VLAN. Por exemplo, as portas 1 a 3, e 11 podem ser ligadas a uma VLAN correspondente ao departamento de Vendas, as portas 4 a 6, e 12 correspondente ao departamento de Engenharia, e as portas 7 a 10 do departamento Administrativo. O switch determina a identidade da VLAN de cada pacote, identificando a porta na qual ele chega.

Figura 3 C onfigurao de V L A N s por portas Quando o usurio for deslocado para uma porta diferente do switch, o administrador dever simplesmente associar a nova porta VLAN original do usurio. A mudana da rede ser, ento, transparente ao usurio e o administrador no precisa alterar as ligaes do cabeamento. Diferentemente dos outros mtodos de atribuio, porm, h necessidade de que o administrador de rede reconfigure manualmente as portas para manter a VLAN original do usurio, sendo esta a principal desvantagem deste mtodo. Se utilizarmos este mtodo, devemos ter em mente que, se um hub for conectado a uma porta do switch, todos os usurios conectados a este hub iro obrigatoriamente fazer parte de uma mesma VLAN, ou seja, no podemos configurar mais de uma VLAN em um mesmo segmento fsico.

1 2 3 4 5 6 7 8 9 10 11 12

VLAN AVLAN B

VLAN C

DEPTO.VENDAS

DEPTO.ENGENHARIA

DEPTO.ADMINISTRATIVO

SERVIDORENGENHARIA

SERVIDORVENDASSERVIDORADMINISTRATIVO

4

3.2. V L A N s basead as em endereos M A C (cam ad a 2):

A identidade de um pacote neste caso determinada pelo seu endereo MAC de origem ou de destino. Cada switch contm uma tabela de endereos MAC e suas identidades correspondentes. Neste tipo de configurao, no h necessidade do switch ser reconfigurado toda vez que a estao do usurio for conectada a uma porta diferente. Tambm posso configurar endereos M A C distintos que venham atravs de um a nica porta, em diferentes V L A N s. Neste caso, as estaes cujos MAC compartilham a mesma porta do switch, se estiverem conectadas a um hub ou a um switch que no permita configurao de V L A N s, no se beneficiaro das vantagens de se configurar V L A N s, com o conteno de broadcasts, e implementao de segurana. A grande desvantagem deste mtodo a complexidade na tarefa de associar entidades VLAN a cada endereo MAC encontrado, tornando-se muito onerosa no caso de grandes redes que chegam a Ter milhares de usurios. Em algumas poucas implementaes esta dificuldade minimizada utilizando-se mtodos de aprendizagem dinmica, em que as V L A N s baseadas em endereos M A C so criadas a partir de uma informao do estado atual da rede, como as estaes conectadas a cada porta do switch. T am bm no perm itido associar por este m todo um endereo M A C a vrias V L A N s ao mesmo tempo. Esta implementao til quando, nas mudanas de departamentos, os usurios costumam levar suas estaes de trabalho. Se as estaes permanecem nas salas originais e os usurios recebem novos equipam entos, ser necessrio reconfigurar as novas estaes nas V L A N s correspondentes. 3.3. V L A N s basead as em protocolos (camada 3): Por este mtodo, a identidade VLAN de um pacote baseada em protocolos de rede, roteveis ou no (IP , IP X , A ppleT alk...) ou endereos de cam ada 3. E m bora estas V L A N s sejam baseadas em informaes da camada 3, isto no constitui uma funo de roteam ento e no deve ser confundido com roteam ento de cam ada de rede. Este tipo de configurao mais flexvel e fornece um agrupamento de usurios mais lgico, permitindo adotar uma estratgia de VLAN baseada em aplicao. Alm disto, possibilita aos usurios moverem-se fisicamente sem ter que configurar manualmente cada endereo de rede de suas estaes. Uma rede IP ou uma rede IPX podem receber, cada uma, uma VLAN correspondente, A dicionalm ente, V L A N s baseadas em protocolos possibilitam ao adm in istrador associar protocolos no roteveis, como Netbeui e DECNET, C om o desvantagem da im plem entao de V L A N s baseadas em protocolos, que o seu desempenho tende a ser inferior ao das outras metodologias, pois a verificao dos endereos de camada 3 em pacotes mais lenta que a verificao de endereos MAC, por exemplo. 3.4. V L A N s basead as em IP m ulticast:

5

E ste m todo pode ser considerado um caso especial do m todo de configurao de V L A N s baseadas em protocolos. Quando um pacote IP enviado por multicast, ele enviado a um endereo que representante (proxy) para um grupo explicitamente definido de endereos IP que so dinamicamente estabelecidos. As estaes se juntam a um grupo IP multicast em particular respondendo afirmativamente a uma notificao de broadcast, sinalizando a existncia do grupo. Cada estao que se junta a um grupo de multicast IP pode ser vista como membro de uma mesma LAN virtual, enquanto membros do grupo de multicast, o que significa que as V L A N s definidas por este m todo so dinmicas, muito flexveis e sensveis a aplicaes. A s V L A N s definidas atravs de grupos de m ulticast IP so capazes de estender as conexes atravs de roteadores e W A N s. 3.5. V L A N s basead as em inform aes de cam ad a 4: Por este mtodo os grupos so formados de acordo com os protocolos ou servios utilizados (como por exemplo, o FTP, WWW, etc). A configurao nestes casos sempre dinmica, podendo uma porta do switch fazer parte de mais de uma VLAN ao mesmo tempo, dependendo das aplicaes que a estao correspondente est executando. O s sw itches que perm item a definio de V L A N s por esta tcnica so geralm ente bem mais caros, e, tendem a ser bem mais lentos, devendo compensar a latncia gerada pela necessidade de tratar os pacotes com base em informaes superiores camada 3 com tcnicas de co/mutao mais eficientes. 3.6. C om binand o V L A N s atrib ud as por d iferentes m todos: Como visto, todos os mtodos possuem vantagens e limitaes. Diversos fabricantes, objetivando alcanar o mximo grau de flexibilizao, combinam dois ou mais mtodos em seus produtos, perm itindo aos adm inistradores de rede configurar V L A N s da form a m ais adequada para o ambiente particular das suas redes.

4. C L A S S IF IC A O D A S V L A N s Q U A N T O A O M T O D O D E IDENTIFICAO:

Os usurios so agrupados em uma VLAN por uma das seguintes tcnicas: Implcito (Filtragem de Pacotes e Explcito (Identificao de Pacotes). O mtodo de Identificao utilizado ser o responsvel pelo agrupamento dos usurios segundo uma destas tcnicas:

4.1. Mtodo Implcito: (Filtragem de Pacotes) No Mtodo Implcito, os switches que suportam uma mesma VLAN devem possuir uma tabela de endereos MAC dos seus membros. A estes endereos so relacionadas as V L A N s que eles pertencem . E m todo pacote lido o endereo M A C . A s V L A N s foram

6

definidas anteriormente de acordo com a tcnica escolhida (porta, protocolo, IP multicast ou endereo MAC), e correlacionadas aos endereos MAC das tabelas. P or exem plo, se foram configuradas as V L A N s A e B no sw itch 1, e as V L A N s A, B e C no switch 2, o switch 1 ter uma tabela listando todos os endereos MAC conhecidos que pertencem s V L A N s A e B , e o sw itch 2 ter na tabela todos os endereos M A C conhecidos das V L A N s A , B e C .

A cada elemento novo adicionado rede ser atribuda a sua VLAN correspondente, com base na tcnica escolhida (porta, protocolo, IP multicast ou endereo MAC). O switch que detectar e incluir o elemento na sua tabela de endereos MAC ir repassar sincronizar sua tabela de endereos MAC com todos os outros switches que reconhecerem a VLAN do elemento includo na tabela. Este mtodo traz como desvantagens a necessidade de um processamento adicional do switch antes de repassar cada pacote, e um nvel extra de administrao em cada switch (para a sincronizao das tabelas dos switches). Este processamento adicional e o trfego de controle de sincronizao gerados podem gerar latncia e afetar o desempenho da rede. O bservao: com o visto, no som ente V L A N s por endereos M A C tero seus m em bros identificados pelo m todo im plcito, sendo possvel configurar V L A N s por portas, protocolo e IP multicast para utilizarem este mtodo. 4.2. Mtodo Explcito: (Identificao de Pacotes) No Mtodo Explcito, o tamanho do pacote alterado, com o acrscimo de uma etiqueta (tag), para identificar a identidade V L A N , com base na tcnica escolhida (porta, protocolo, IP multicast ou endereo MAC). Este mtodo est sendo padronizado pelo IEEE como a norma IEEE 802.1Q. Por ser um padro, basta configurar o switch para suporte a T ag de V L A N s IEEE 802.1Q , que ele ser capaz de identificar a VLAN ao qual o pacote pertence, no sendo necessrio trfego adicional de controle entre switches. Tambm, teoricamente, poderemos ter em uma mesma rede equipamentos de fabricantes diferentes que suportem IEEE 802.1Q. Ao ser entregue estao de destino, o switch a ela conectado ir remover a identificao da VLAN. Quando um pacote entra em um switch, a determinao de sua identidade pode ser baseada por sua porta, endereo MAC, protocolo ou IP multicast. Quando um pacote sai do switch, a determinao de sua identidade VLAN pode ser implcita (utilizando tabelas de endereo MAC) ou explcita (utilizando uma etiqueta que lhe foi atribuda pelo primeiro switch).

5. CLASSIFICAO DAS V L A N s Q U A N T O A O M T O D O D E

CONFIGURAO:

5.1. Configurao Esttica:

A configurao inicial (setup) e os deslocamentos e mudanas subsequentes so controlados pelo administrador da rede. Este mtodo tpico dos switches mais baratos, e til para redes pequenas, porm para redes maiores pode-se tornar impraticvel.

7

A configurao esttica indicada para redes cujas mudanas e deslocamentos so controlados e bem administrados. essencial que exista um software de gerncia adequadamente robusto, proporcional ao tamanho da rede, para configurar as portas. 5.2. Configurao Semi Esttica:

So mtodos mistos, onde a configurao inicial automatizada e as mudanas subsequentes so realizadas manualmente, ou vice-versa.

5.3. Configurao Dinmica:

As estaes associam-se dinam icam ente s V L A N s, dependendo da aplicao, user id ou outro critrio ou poltica pr definida pelo administrador da rede. Este tipo de configurao suportado por software de gerncia de rede com inteligncia suficiente para tal. Pode ser aplicado em redes de qualquer tamanho, sendo particularmente adequado s grandes redes.

6. C L A S S IF IC A O D O S T IP O S D E F R A M E S R E L A C IO N A D O S S V L A N s:

E xistem trs tipos de fram es relacionados s V irtual L A N s:, quais sejam :

Untagged Frames; Priority Tagged Frames; VLAN-Tagged Frames

Um Untagged Frame, como o nome j diz, no possui a etiqueta identificadora de VLAN. o frame Ethernet comum. Um Priority Tagged Frame possui a etiqueta, porm o campo destinado definio de VLAN no preenchido ( um quadro com o tag com inform ao da classe de prioridade IEEE 802.1p, porm sem as informaes de VLAN IEEE 802.1Q). A associao de V L A N s aos quadros Untagged e Priority Tagged realizada com base em parmetros associados com a porta de recepo, ou ainda, baseados nos dados contidos neles (endereos MAC, protocolo de identificao, etc). Um VLAN-Tagged Frame carrega a informao explcita da VLAN a que pertence, na etiqueta agregada ao cabealho do pacote. Caso o valor seja nulo. A identificao do quadro como sendo de uma VLAN particular feita, ento, com base nas informaes contidas no cabealho do pacote.

6.1. C olocao dos cabealhos em fram es de V L A N s: Os cabealhos (tag-headers), em V L A N s, so colocados im ediatam ente aps o cam po de

endereo MAC de origem do frame a ser transmitido. Se os mtodos de acesso ao meio diferem do destinatrio e do remetente, colocar cabealho

no frame pode envolver a traduo ou o encapsulamento do resto do frame. Deve ser realizada a recomputao do Frame Check Sequence (FCS).

8

O Tag-Header, ou Tag Control Info (TCI), composto de quatro partes: O Tag Protocol Identifier T P ID ), tam bm cham ado de T agged F ram e-T ype Interpretation, P riority, C F I (Canonical Format Indicator) e o VLAN Identifier. Seu tamanho total de 4 bytes nas redes Ethernet, e de 10 bytes nas redes baseadas em token-passing (Token-Ring e FDDI). Tagged Frame Type Interpretation: um campo de 2 bytes, que no caso de redes

Ethernet, para indicar que um quadro do tipo Tagged, seu valor ser de 81-00 h

Priority: este campo utilizado para a definio de classes de servio (CoS - IEEE 802.1p), sendo composto de 3 bits, e interpretado como um nmero binrio, possibilitando 8 combinaes. Podem ser definidos at 7 nveis de prioridade, pois uma das combinaes reservada.

CFI Canonical Format Indicator: possui som ente 1 bit, setado para 0, indicando qu e

toda a informao sobre o endereamento MAC est no formato cannico. VLAN Identifier: possui tamanho de 12 bits e identifica a VLAN a qual o frame pertence.

A VLAN codificada como um nmero binrio. Alguns bits deste campo possuem significados especficos e os dem ais so utilizados na codificao das V L A N s.

Figura 4 formato do Tag Header (TCI) S e o valor da V L A N ID for 0 (nulo), indica que o TCI possui apenas informao de prioridade. (Priority Tagged Frames). O valor da V L A N ID igual 1, inform a que a um pacote que est entrando em um sw itch e qu e dever receber a configurao da VLAN pelo dispositivo, por se tratar de um VLAN-Tagged Frame. O valor da VLAN ID = FFF reservado, no podendo ser utilizado para a configurao de V L A N s.

2 bytes 3 bits 1 bit 12 bits

8100h

Tagget Frame Type Interpretation

Priority CFI

0

802.1Q VLANIdentification Number