Redes Sem Fio (Wireless): Fundamentos e Padrões

Transcrição

1 Redes Sem Fio (Wireless): Fundamentos e Padrões As redes locais sem fio (WLANs) constituem-se como uma alternativa às redes convencionais com fio, fornecendo as mesmas funcionalidades, mas de forma flexível, de fácil configuração e com boa conectividade em áreas prediais ou de campus. Classificações WPAN Wireless Personal Area Network (WPAN, rede de área pessoal sem fio) é um tipo de rede onde vários dispositivos, como celulares, estão conectados a uma rede sem fio disponibilizada em um alcance pequeno, normalmente alguns metros. Está normalmente associada ao Bluetooth (antigamente ao IR). Pode ser vista com a interacção entre os dispositivos móveis de um utilizador. A WPAN é projectada pra pequenas distância, baixo custo e baixas taxas de transferência. WLAN Wireless LAN ou WLAN (Wireless Local Area Network) é uma rede local que usa ondas de rádio para fazer uma conexão Internet ou entre uma rede, ao contrário da rede fixa ADSL ou conexão-tv, que geralmente usa cabos. WLAN Indoor Dizemos que uma WLAN é indoor quando o sinal está sendo transmitido em ambiente fechado normalmente na presença de muitos obstáculos, um escritório é um bom exemplo.

2 Não há necessidade de visada direta entre as antenas para que haja comunicação. Alcance pequeno em torno de até 300 metros. Podem ter a presença de um Ponto de Acesso ou não. ADHOC: Não existem Pontos de Acesso (AP) Comunicação feita cliente cliente Não existe canalização do tráfego Performance diminui a medida que novos clientes são acrescentados Suporta no máximo 5 clientes para uma performance aceitável com tráfego leve Infraestrutura: Necessidade de um Ponto de Acesso (AP) Comunicação cliente cliente não é permitida. Toda a comunicação é feita com o AP. Centralização do tráfego. Todo o tráfego da Rede passa pelo AP. Compreende dois modos de operação: BSS (Basic Service Set), ESS (Extended Service Set) Sistema BSS Consiste de um Ponto de Acesso ligado a rede cabeada e um ou mais clientes wireless. Quando um cliente quer se comunicar com outro ou com algum dispositivo na rede cabeada deve usar o Ponto de Acesso para isso. O BSS compreende uma simples célula ou área de RF e tem somente um identificador (SSID). Para que um cliente possa fazer parte da célula ele deve estar configurado para usar o SSID do Ponto de Acesso. Sistema ESSS São 2 sistemas BSS conectados por um sistema de distribuição, seja ele LAN, WAN, Wireless ou qualquer outro. Necessita portanto de 2 Pontos de Acesso. Permite roaming entre as células. Não necessita do mesmo SSID em ambos os BSS.

3 WLAN Outdoor Dizemos que uma WLAN é outdoor quando o sinal está sendo transmitido ao ar livre, uma comunicação entre dois prédios é um bom exemplo. As antenas ficam nos topos dos prédios e para que haja comunicação é necessário haver visada direta entre elas. Possui longo alcance podendo chegar a vários kilômetros. WMAN Wireless Metropolitan Area Network é uma rede de área metropolitana sem fio (wireless). WWAN Wireless Wide Area Network WWAN (Rede de longa distância sem-fio) é uma tecnologia que as operadoras de celulares utilizam para criar a sua rede de transmissão (CDMA, GSM, etc). Padrões Como WLANs usam o mesmo método de transmissão das ondas de radio AM/FM, as leis que as regem são as mesmas destes. O FCC (Federal Comunications Comission), regula o uso dos dispositivos WLAN. O IEEE ( Institute of Eletrical and Eletronic Engineers) é responsável pela criação e adoção dos padrões operacionais. Citamos os mais conhecidos: : Criado em 1994, foi o padrão original. Oferecia taxas de transmissão de 2 Mbps. Caiu em desuso com o surgimento de novos padrões a:

4 Dentro dos padrões do IEEE chegava a 54 Mbps, mas nos fabricantes não padronizados podia chegar até 108 Mbps; Frequência de 5 GHz; Suportava 64 utilizadores por AP; Não sofria de interferência; Incompatível com os padrões no que diz respeito a Access Points b e g; Alcance indoor de até 25 mts e outdoor de 75 metros; b: Transmissão de até 11 Mbps padronizada pelo IEEE e 22 Mbps nos não padronizados; Frequência de 2.4 GHz; Inicialmente suportava 32 utilizadores por AP; Alta interferência, devido a telefones móveis, microondas e dispositivos Bluetooth; Muito utilizado por provedores de internet sem fio; Incompatibilidade com dispositivos de fabricantes diferentes; Alcance indoor até 35 metros e outdoor até 100 metros; e: Agrega o QoS às redes sem fio; Adicionado o recurso Transmission Opportunity (TXOP), que permite a transmissão em rajadas, otimizando a utilização da rede; g: Baseado na compatibilidade do b; Velocidade de 54 Mbps; Incompatibilidade com dispositivos de fabricantes diferentes, assim como o b; Alcance indoor de até 25 mts e outdoor de 75 metros; Suscetível a interferência; i:

5 Atualização de segurança, integrando o AES (Advanced Encryption System), que é mais seguro, em vez do RC4, que é pouco seguro; n: Taxas de transferência de 65 Mbps a 300 Mbps; Método de Transmissão MIMO-OFDM (MIMO significa multiple-in, multiple-out, tecnologia de multiplexação que amplia o alcance e a velocidade de redes sem fios, podendo atingir 108 megabits por segundo. Já o OFDM, do inglês Orthogonal frequency-division multiplexing é uma técnica onde múltiplos sinais são enviados em diferentes frequências.); Frequência de 2.4 GHZ ou 5 GHz; Alcance indoor até 50 metros e outdoor de 126 metros; r: Padroniza o hand-off rápido, quando o cliente se reassocia em outro AP se estiver se locomovendo; : Utiliza um tipo de radiação eletromagnética; Classe mw (20 dbm) e alcance de até 100 metros; Classe mw (4 dbm) e alcance de até 100 metros; Classe 3 1 mw (0 dbm) e alcance de até 1 metro; Versão 1.2 tem velocidade de 1 Mbit/s (mais comum); Versão EDR tem velocidade de 3 Mbit/s; Versão 3.0 tem velocidade de 24 Mbit/s (mais raro); Frequência 2.4 GHz a 2.5 GHz; Utiliza criptografia de 128 bits SAFER+ (cifragem de blocos); : Wi-Max; Tem o objetivo de promover a compatibilidade e interoperabilidade entre equipamentos do padrão ;

6 Alcance de até 50 km; Transmissão de 280 Mbps; Utilização outdoor; Configuração de uma rede sem fio A configuração da rede wireless é feita em duas etapas. Primeiro você precisa configurar o ESSID, o canal e (caso usada encriptação) a chave WEP ou WPA que dá acesso à rede. O ESSID é uma espécie de nome de rede. Dois pontos de acesso, instalados na mesma área, mas configurados com dois ESSIDs diferentes formam duas redes separadas, permitindo que a sua rede não interfira com a do vizinho, por exemplo. Mesmo que existam várias redes na mesma sala, indicar o ESSID permite que você se conecte à rede correta. Em seguida temos o canal, que novamente permite que vários pontos de acesso dentro da mesma área trabalhem sem interferir entre si. Temos um total de 16 canais (numerados de 1 a 16), mas a legislação de cada país permite o uso de apenas alguns deles. Nos EUA, por exemplo, é permitido usar apenas do 1 ao 11 e na França apenas do 10 ao 13. Essa configuração de país é definida na configuração do ponto de acesso. O ESSID sozinho provê uma segurança muito fraca, pois qualquer um que soubesse o nome da rede poderia se conectar a ele ou mesmo começar a escutar todas as conexões. Embora o alcance normal de uma rede wireless, usando as antenas padrão das placas e os pontos de acesso, normalmente não passe de 30 ou 50 metros (em ambientes fechados) usando antenas maiores, de alto ganho e conseguindo uma rota sem obstáculos, é possível captar o sinal de muito longe, chegando a 2 ou até mesmo a 5 km, de acordo com a potência de sinal do ponto de acesso usado.

7 Segurança Vejamos abaixo alguns tipos de criptografia utilizado em redes sem fio: WEP (Wired Equivalent Privacy) foi ratificado em 1999 o primeiro protocolo de segurança tendo como objetivo dar segurança as redes sem fio por meio de um processo de autenticação, mas com o passar do tempo o protocolo ficou desatualizado e foram descoberto várias vulnerabilidades no protocolo WEP onde hoje ele e facilmente quebrando em pouco tempo, apesar do protocolo ainda ser um dos mais usados hoje em dia e padrão dos modens mais antigos. WEP2 ou WPA (Wi-Fi Protected Access) foi lançado em 2003 e apenas um grande upgrade no WEB tendo como objetivo melhorar a segurança das redes sem fio, combantendo quase todas as vulnerabilidades do WEP, com tecnologia aprimorada de autenticação de usuário e de criptografia dinâmica. WPA2 foi ratificado em meados de 2004 corresponde a versão final do WPA, a diferença entre WPA e WPA2 e que o WPA utiliza o algoritmo RC4 o mesmo sistema de encriptação utilizado no WEB o TKIP (Temporal Key Integrity Protocol), enquanto o WPA2 se basea na criptografia AES (Advanced Encryption Standard) mais segura que a TKIP, mas exige mais processamento e algumas placas mais antigas não suportam o WPA2 nem mesmo atualizado a firmware. WPA-PSK de maneira simples WPA-PSK é uma criptografia forte em que as chaves de criptografia (TKIP) e frequentemente mudada o que garante mais segurança protegendo de ataque hack, muito utilizado por usuários domésticos. WPA2-PSK e ainda mais seguro que o WPA-PSK onde sua criptografia (AES) e extremamente forte e resistência a ataques, adotado como padrão de criptografia do governo americano.

8 Embora nenhum seja livre de falhas, elas são uma camada essencial de proteção, que evita que sua rede seja um alvo fácil. É como as portas de uma casa. Nenhuma porta é impossível de arrombar, mas você não gostaria de morar numa casa sem portas. O WEP é relativamente fácil de quebrar, usando ferramentas como o kismet e ao aircrack, mas o WPA pode ser considerado relativamente seguro. A regra básica é que os micros precisam possuir a chave correta para se associarem ao ponto de acesso e acessarem a rede. Em geral os pontos de acesso permitem que você especifique várias chaves diferentes, de forma que cada micro pode usar uma diferente. Questões de Concursos (Prova: FCC 2010 TRT 22ª Região (PI) Técnico Judiciário Tecnologia da Informação) Handoff é o procedimento empregado em redes sem fio para tratar a transição de uma unidade móvel de uma célula para outra de forma transparente ao usuário, ou seja, um cliente wireless se reassocia quando estiver se locomovendo de um ponto de acesso para outro na mesma rede. O Handoff está contido no padrão a) IEEE g b) IEEE i c) IEEE n d) IEEE r e) IEEE t (Prova: FCC 2009 SEFAZ-SP Agente Fiscal de Rendas Tecnologia da Informação Prova 3) As redes wireless utilizam os padrões IEEE de conectividade sem fio para redes locais, que determinam a velocidade, ou taxa de transmissão em Mbps, e a frequência, ou faixa de operação em GHz. O padrão que tem as características de velocidade e frequência corretas corresponde a: a) IEEE n 128 Mbps 5 GHz.

9 b) IEEE g 54 Mbps 5 GHz. c) IEEE b 54 Mbps 5 GHz. d) IEEE a 11 Mbps 2,4 GHz. e) IEEE Mbps 2,4 GHz. (Prova: FCC 2011 TRT 23ª REGIÃO (MT) Analista Judiciário Tecnologia da Informação) Para tornar confidenciais as mensagens nas redes de comunicação sem fio, os protocolos WEP, WPA e WPA2 se baseiam, respectivamente, entre outros componentes, no algoritmo de criptografia: a) RC4, RC4 e AES. b) RC4, RC4 e RC4. c) AES, AES e RC4. d) AES, AES e AES. e) RC4, AES e AES. (Prova: FCC 2011 INFRAERO Analista de Sistemas Segurança da Informação) Sobre segurança em redes sem fio, a) a única maneira de detectar falsos concentradores é avaliando a que distância se encontram em relação à estação de monitoramento. b) os concentradores podem ser úteis para prover monitoramento do tráfego, o que é suficiente para identificar qualquer tipo de ataque. c) o correto monitoramento do ambiente de rede é uma das ações de segurança mais importantes e deve ter prioridade sobre os demais processos de segurança. d) o monitoramento de rede pode detectar os pontos de falha, mas não poderão explicar como um determinado ataque, bem sucedido ou não, ocorreu. e) o administrador deve monitorar apenas os padrões em uso no ambiente. (Prova: COPEVE-UFAL 2011 UFAL Analista de Tecnologia da Informação) Os dois modos de operação das redes sem fio são: a) Cabeada e sem cabos. b) CSMA/CD e CSMA/CA.

10 c) a/b e g d) RTS e CTS. e) Infraestrutura e ad-hoc. Comentários e Gabarito (Prova: FCC 2010 TRT 22ª Região (PI) Técnico Judiciário Tecnologia da Informação) Handoff é o procedimento empregado em redes sem fio para tratar a transição de uma unidade móvel de uma célula para outra de forma transparente ao usuário, ou seja, um cliente wireless se reassocia quando estiver se locomovendo de um ponto de acesso para outro na mesma rede. O Handoff está contido no padrão Letra D. No padrão Wi-Fi r a letra r no final significa roaming, que caracteriza a novidade do novo padrão: a possibilidade de trocar de ponto de acesso sem a perda da conexão. (Prova: FCC 2009 SEFAZ-SP Agente Fiscal de Rendas Tecnologia da Informação Prova 3) As redes wireless utilizam os padrões IEEE de conectividade sem fio para redes locais, que determinam a velocidade, ou taxa de transmissão em Mbps, e a frequência, ou faixa de operação em GHz. O padrão que tem as características de velocidade e frequência corretas corresponde a: Letra A. Padrão IEEE n Segundo suas especificações, pode alcançar velocidades na faixa de 300 Mbps e, teoricamente, pode atingir taxas de até 600 Mbps. Trabalha nas frequências de 2,4GHz e 5GHz. (Prova: FCC 2011 TRT 23ª REGIÃO (MT) Analista Judiciário Tecnologia da Informação) Para tornar confidenciais as mensagens nas redes de comunicação sem fio, os protocolos WEP, WPA e WPA2 se baseiam, respectivamente, entre outros componentes, no algoritmo de criptografia: Letra A.

11 (Prova: FCC 2011 INFRAERO Analista de Sistemas Segurança da Informação) Sobre segurança em redes sem fio, Letra C. Essa questão é fácil de ser respondida por eliminação, pois não encontrei em nenhum lugar uma referência quanto a afirmação da alternativa correta. (Prova: COPEVE-UFAL 2011 UFAL Analista de Tecnologia da Informação) Os dois modos de operação das redes sem fio são: Letra E. Veja aqui na postagem, no tópico WLAN Indoor. Modelos Funcionais de Gerenciamento de Redes OSI Os modelos funcionais de gerenciamento de redes OSI, dividemse em 5 tipos, sendo eles descritos abaixo com mais detalhes: Gerenciamento de Configuração Refere-se aos ajustes e mudanças das configurações das redes e seus componentes. Isso envolve a configuração dos parâmetros como os limites para que um alarme seja ativado e uma notificação seja enviada. Suas funções básicas são: Coletar informações da topologia de rede; Controlar inventário; Iniciar e encerrar as operações dos elementos gerenciados; Alterar a configuração dos elementos gerenciados; Gerar relatórios de configuração;

12 Um exemplo simples, seria determinar os equipamentos que devem ser atualizados. Gerenciamento de Falhas Cuida da detecção e isolamento dos problemas que causam falhas na rede. Um Sistema de Gerenciamento de Redes (NMS Network Management System) constantemente monitora a rede e exibe em tempo real os alarmes. As falhas são eliminadas tão cedo quanto possível, podendo, para isso, mudar a configuração da rede que é responsabilidade do gerenciamento de configuração. Várias falhas podem ser resolvidas automaticamente. É uma das áreas mais importantes e desenvolvidas de gerenciamento de redes. Há várias ferramentas disponíveis, desde aplicativos para mainframes até aplicativos utilizados em mesas de teleprocessamento, cujo controle se dá com o trabalho dos dados fornecidos em estações de trabalho. As informações são bastante abrangentes e completas. Pode-se saber desde uma queda de portadora até a falha de um aplicativo de comunicação de dados. Com estas informações, a qualidade do serviço acertada com os usuários tende a ser mantida, uma vez que o setor responsável pela administração do ambiente informatizado antecipa-se aos usuários na solução de problemas da rede. Gerenciamento de Desempenho Lida com o comportamento da rede. Um sistema monitor mostra o estado da rede, medindo o tráfego e estatísticas que refletem o desempenho da rede. As estatísticas incluem os tráfego de dados, atraso na rede, etc. As estatísticas das aplicações podem ajudar nas decisões das políticas usadas que afetam o gerenciamento das aplicações como , transferência de

13 arquivos, tráfego da web, etc. Algumas das questões relativas ao gerenciamento do desempenho, são: Qual é o nível de capacidade de utilização? O tráfego é excessivo? O throughput foi reduzido para níveis aceitáveis? Existem gargalos? O tempo de resposta está considerado aceitável ou deve melhor? Um exemplo seria a taxa de utilização de determinados dispositivos. Gerenciamento de Segurança Envolve uma gama de aspectos referentes a segurança. Ele engloba segurança nas comunicações da rede, acesso a recursos da rede, etc. Existem firewalls que protegem as redes corporativas e os recursos da rede de pessoas não autorizadas e programas contendo vírus. A criptografia possui um papel fundamental no gerenciamento de segurança. O gerenciamento de segurança abrange: Controle de serviços; Garantir que a politica de segurança seja seguida em conformidade; Controlar acesso à rede ou parte da rede e às informações obtidas dos nodos da rede; Coletar, armazenar e examinar os registros de auditoria e logs de segurança, bem como ativação e desativação destas atividades. Um exemplo seria a listagem de acessos/horários e objetos.

14 Gerenciamento de Contabilidade Em resumo ele lida com os privilégios dos usuários da rede, bem como administra os custos da rede estabelecendo métricas para estabelecer o uso de recursos e serviços. Evitar que um usuário ou grupo de usuários abuse de seus privilégios de acesso e monopolize a rede, em detrimento de outros usuários; Evitar que usuários façam uso ineficiente da rede, assistindo-os na troca de procedimentos e garantindo a desempenho da rede; Conhecer as atividades dos usuários com detalhes suficientes para planejar o crescimento da rede. Um exemplo seria de indicar horários de maior demanda por determinados serviços. Gerenciamento de Redes: Protocolo SNMP Protocolo SNMP (do inglês Simple Network Management Protocol Protocolo Simples de Gerência de Rede) é um protocolo usado para gerenciar redes TCP/IP complexas. Com o SNMP, os administradores podem gerenciar e configurar computadores de rede de um computador localizado centralmente em vez de ter que executar o software de gerenciamento de rede. Também é possível usar o SNMP para monitorar o desempenho da rede, detectar problemas de rede e acompanhar quem usa a rede e como ela é usada. Sua especificação está contida no RFC 1157.

15 O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sistemas. Este gerenciamento é conhecido como modelo de gerenciamento SNMP, ou simplesmente, gerenciamento SNMP. Por tanto, o SNMP é o nome do protocolo no qual as informações são trocadas entre a MIB e a aplicação de gerência como também é o nome deste modelo de gerência. Os comandos são limitados e baseados no mecanismo de busca/alteração. No mecanismo de busca/alteração estão disponíveis as operações de alteração de um valor de um objeto, de obtenção dos valores de um objeto e suas variações. A utilização de um número limitado de operações, baseadas em um mecanismo de busca/alteração, torna o protocolo de fácil implementação, simples, estável e flexível. Como conseqüência reduz o tráfego de mensagens de gerenciamento através da rede e permite a introdução de novas características. Exemplo de SNMP

16 Equipamentos Geridos São elementos da rede (pontes, hubs, routers ou servidores), contendo objectos geridos (managed objects) que podem ser informações sobre o material, elementos de configuração ou informações estatísticas. Estes dispositivos colectam e armazenam informações de gestão e mantém estas informações disponíveis para sistemas NMS através do protocolo SNMP. Agentes É um processo executado na máquina gerenciada, responsável pela manutenção das informações de gerência da máquina. As funções principais de um agente são: Atender as requisições enviadas pelo gerente; Enviar automaticamente informações de gerenciamento ao gerente, quando previamente programado; O agente utiliza as chamadas de sistema para realizar o monitoramento das informações da máquina e utiliza as RPC (Remote Procedure Call) para o controle das informações da máquina. Gerente É um programa executado em uma estação servidora que permite a obtenção e o envio de informações de gerenciamento junto aos dispositivos gerenciados mediante a comunicação com um ou mais agentes. O gerente fica responsável pelo monitoramento, relatórios e decisões na ocorrência de problemas enquanto que o agente fica responsável pelas funções de envio e alteração das informações e também pela notificação da ocorrência de eventos específicos ao gerente.

17 Sistema NMS Um sistema NMS (Network Management System) é responsável pelas aplicações que monitoram e controlam os Dispositivos Geridos. Normalmente é instalado num (ou mais que um) servidor de rede dedicado a estas operações de gestão, que recebe informações (pacotes SNMP) de todos os dispositivos geridos daquela rede. Operações do Protocolo SNMP Existem duas operações básicas (SET e GET) e suas derivações (GET-NEXT, TRAP). A operação SET é utilizada para alterar o valor da variável; o gerente solicita que o agente faça uma alteração no valor da variável; A operação GET é utilizada para ler o valor da variável; o gerente solicita que o agente obtenha o valor da variável; A operação de GET-NEXT é utilizada para ler o valor da próxima variável; o gerente fornece o nome de uma variável e o cliente obtém o valor e o nome da próxima variável; também é utilizado para obter valores e nomes de variáveis de uma tabela de tamanho desconhecido; A operação TRAP é utilizada para comunicar um evento; o agente comunica ao gerente o acontecimento de um evento, previamente determinado. São sete tipos básicos de trap determinados: coldstart: a entidade que a envia foi reinicializada, indicando que a configuração do agente ou a implementação pode ter sido alterada; warmstart: a entidade que a envia foi reinicializada, porém a configuração do agente e a implementação não foram alteradas; linkdown: o enlace de comunicação foi interrompido; linkup: o enlace de comunicação foi estabelecido;

18 authenticationfailure: o agente recebeu uma mensagem SNMP do gerente que não foi autenticada; egpneighborloss: um par EGP parou; enterprisespecific: indica a ocorrência de uma operação TRAP não básica. Management Information Base MIB O conjunto de todos os objetos SNMP é coletivamente conhecido como MIB (do inglês: Management Information Base). O standard SNMP não define o MIB, mas apenas o formato e o tipo de codificação das mensagens. A especificação das variáveis MIB, assim como o significado das operações GET e SET em cada variável, são especificados por um padrão próprio. A definição dos objetos do MIB é feita com o esquema de nomes do ASN.1, o qual atribui a cada objeto um prefixo longo que garante a unicidade do nome, a cada nome é atribuído um número inteiro. Também, o SNMP não especifica um conjunto de variáveis, e como a definição de objetos é independente do protocolo de comunicação, permite criar novos conjuntos de variáveis MIB, definidos como standards, para novos dispositivos ou novos protocolos. Por isso, foram criados muitos conjuntos de variáveis MIB que correspondem a protocolos como UDP, IP, ARP, assim como variáveis MIB para hardware de rede como Ethernet ou FDDI, ou para dispositivos tais como bridges, switches ou impressoras. Existem basicamente três tipos de MIBs: MIB II Fornece informações gerais de gerenciamento sobre um determinado equipamento gerenciado. Através deste, podemos obter informações como: número de pacotes transmitidos, estado da interface, entre outras; MIB Experimental É aquela em que seus componentes (objetos) estão em fase de desenvolvimento e teste, em geral, eles fornecem características mais específicas sobre a tecnologia dos meios de transmissão e

19 equipamentos empregados; MIB Privada É aquela em que seus componentes fornecem informações específicas dos equipamentos gerenciados, como configuração, colisões e também é possível reinicializar, desabilitar uma ou mais portas de um roteador; Mensagens do protocolo SNMP Uma mensagem SNMP deve definir o servidor do qual vai se obter ou alterar os atributos dos objetos, e que será o responsável pela conversão das operações requisitadas em operações sobre a MIB. Após verificar os campos de uma mensagem o servidor deve utilizar as estruturas internas disponíveis para interpretar a mensagem e enviar a resposta da operação ao cliente que a solicitou. As mensagens no protocolo SNMP não possuem campos fixos e por isso são construídas de trás para frente. A mensagem possui três partes principais: version, community, SNMP PDU: A version contem a versão do SNMP. Tanto o gerente como o agente devem utilizar a mesma versão. Mensagens contendo versões diferentes são descartadas. A community que identifica a comunidade. É utilizada para permitir acesso do gerente as MIBs; A SNMP PDU é a parte dos dados, possui PDU (Protocol Data Units) que são constituídas ou por um pedido ou por uma resposta a um pedido. Limitações Algumas limitações do SNMP são: Não é apropriado para o gerenciamento de redes muito grandes, devido à limitação de performance de pooling;

20 Traps SNMP não são reconhecidos; O padrão SMNP básico provê somente autenticação trivial; O modelo SNMP MIB é limitado e não suporta aplicações que questionam o gerenciamento, baseadas em valores ou tipos de objetos; Não suporta comunicação manager-to-manager. Segurança O SNMP, até a sua versão mais atual (v2), não suporta qualquer tipo de autenticação, o que o torna vulnerável a uma série de ameaças de segurança. Tais ameaças incluem o acesso e modificação não autorizada de dados nas MIBs dos dispositivos gerenciados. Essa vulnerabilidade do protocolo faz com que diversos fabricantes não implementem a operação Set, reduzindo o SNMP a uma ferramenta de monitoração apenas. Questões de Concursos (Prova: FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) No funcionamento da Internet, as aplicações que operam por meio de protocolos na camada de aplicação da arquitetura TCP/IP, empregam portas conhecidas na comunicação com os protocolos TCP e UDP, ambos da camada de transporte. Nesse sentido, as aplicações SNMP com UDP e SSH na interação com o TCP, utilizam portas padronizadas e identificadas, respectivamente, pelos números: a) 127 e 22 b) 127 e 25 c) 135 e 23 d) 161 e 25 e) 161 e 22 (Prova: FGV 2008 Senado Federal Analista de Suporte de

21 Sistemas / Redes de Computadores) O protocolo SNMP ( Simple Network Management Protocol ) representa a solução adotada na Internet para permitir que gerentes de redes possam localizar e corrigir problemas. Nesse contexto, a seguir são apresentados os objetivos de duas modalidades de gerência. G1 permitir a preparação, a inicialização, a partida, a operação contínua e a posterior suspensão dos serviços de interconexão entre sistemas abertos, com a função de manutenção e monitoração da estrutura física e lógica de uma rede, incluindo a verificação da existência dos componentes e da interconectividade entre esses componentes; G2 monitorar os estados dos recursos, da manutenção de cada um dos objetos gerenciados, e pelas decisões que devem ser tomadas para restabelecer as unidades do sistema que venham a dar problemas. As modalidades de gerência descritos em G1 e G2 são, respectivamente, denominadas gerência de: a) configuração e mudanças. b) capacidade e desempenho. c) capacidade e falhas. d) capacidade e mudanças. e) configuração e falhas. (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas / Redes de Computadores) No funcionamento do protocolo SNMP ( Simple Network Management Protocol ) existem duas operações básicas e suas derivações, a saber: OP1 utilizada para ler o valor da variável; o gerente solicita que o agente obtenha o valor da variável; OP2 utilizada para comunicar um evento; o agente comunica ao gerente o acontecimento de um evento, previamente determinado. As operações OP1 e OP2 são, respectivamente, conhecidas por: a) PUT e TRAP. b) GET e TRAP. c) SET e TRAP. d) GET e LINK. e) PUT e LINK.

22 (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas / Redes de Computadores) O protocolo SNMP ( Simple Network Management Protocol ) faz parte da pilha TCP/IP e é utilizado para obter informações de servidores SNMP. No seu funcionamento, utiliza o conceito de MIB ( Management Information Base ), definido pelo RFC1066 como o conjunto de objetos gerenciados que procura abranger todas as informações necessárias para a gerência da rede. Resultante da evolução, a RFC 1213 definiu três tipos de MIBs que fornecem informações: T1 gerais de gerenciamento sobre um determinado equipamento gerenciado, como número de pacotes transmitidos e estado da interface; T2 específicas sobre as tecnologias dos meios de transmissão e equipamentos empregados; T3 específicas dos equipamentos empregados, como configuração, colisões, sendo também possível reinicializar ou desabilitar uma ou mais portas do roteador. As MIBs dos tipos T1, T2 e T3 são, respectivamente, dos seguintes tipos: a) principal, experimental e operacional. b) II, tecnológica e privada. c) principal, tecnológica e operacional. d) II, experimental e privada. e) principal, experimental e privada. (Prova: FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) SNMP tem por significado Simple Network Management Protocol e é um protocolo da arquitetura TCP/IP, empregado para obter informações de servidores nas atividades de gerenciamento. No seu funcionamento, utiliza o conceito de Management Information Base MIB, definido pelo RFC1066 como o conjunto de objetos gerenciados, que procura abranger todas as informações necessárias para a gerência da rede. Foram definidas, por meio da RFC 1213, três tipos de MIBs: * a primeira, que fornece informações gerais de gerenciamento sobre um determinado equipamento gerenciado, como número de pacotes transmitidos e estado da interface. * a segunda, que fornece informações específicas sobre as

23 tecnologias dos meios de transmissão e equipamentos empregados. * a terceira, que fornece informações específicas dos equipamentos empregados, como configuração, colisões, sendo também possível reinicializar ou desabilitar uma ou mais portas do roteador. A primeira é uma MIB do tipo II; a segunda, é denominada EXPERIMENTAL e a terceira é conhecida pela denominação: a) PRIVADA b) DIGITAL c) OPERACIONAL d) ANALÓGICA e) GERENCIAL Comentários e Gabarito (Prova: FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) No funcionamento da Internet, as aplicações que operam por meio de protocolos na camada de aplicação da arquitetura TCP/IP, empregam portas conhecidas na comunicação com os protocolos TCP e UDP, ambos da camada de transporte. Nesse sentido, as aplicações SNMP com UDP e SSH na interação com o TCP, utilizam portas padronizadas e identificadas, respectivamente, pelos números: Letra E. Os agentes SNMP recebem as requisições na porta 161 (UDP). Já os gerentes recebem notificações na porta 162 (UDP). O SSH trabalha na porta 22 por padrão. (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas / Redes de Computadores) O protocolo SNMP ( Simple Network Management Protocol ) representa a solução adotada na Internet para permitir que gerentes de redes possam localizar e corrigir problemas. Nesse contexto, a seguir são apresentados os objetivos de duas modalidades de gerência. G1 permitir a preparação, a inicialização, a partida, a operação contínua e a posterior suspensão dos serviços de interconexão entre sistemas abertos, com a função de

24 manutenção e monitoração da estrutura física e lógica de uma rede, incluindo a verificação da existência dos componentes e da interconectividade entre esses componentes; G2 monitorar os estados dos recursos, da manutenção de cada um dos objetos gerenciados, e pelas decisões que devem ser tomadas para restabelecer as unidades do sistema que venham a dar problemas. As modalidades de gerência descritos em G1 e G2 são, respectivamente, denominadas gerência de: Letra E. Baseado no modelo funcional OSI, o Gerenciamento da Configuração refere-se aos ajustes e mudanças das configurações das redes e seus componentes. Isso envolve a configuração dos parâmetros como os limites para que um alarme seja ativado e uma notificação seja enviada. Já o Gerenciamento de Falhas cuida da detecção e isolamento dos problemas que causam falhas na rede. Um Sistema de Gerenciamento de Redes (NMS Network Management System) constantemente monitora a rede e exibe em tempo real os alarmes. As falhas são eliminadas tão cedo quanto possível, podendo, para isso, mudar a configuração da rede que é responsabilidade do gerenciamento de configuração. Várias falhas podem ser resolvidas automaticamente. (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas / Redes de Computadores) No funcionamento do protocolo SNMP ( Simple Network Management Protocol ) existem duas operações básicas e suas derivações, a saber: OP1 utilizada para ler o valor da variável; o gerente solicita que o agente obtenha o valor da variável; OP2 utilizada para comunicar um evento; o agente comunica ao gerente o acontecimento de um evento, previamente determinado. As operações OP1 e OP2 são, respectivamente, conhecidas por: Letra B. Quando ele executa a operação de ler o valor de uma variável, utiliza-se o GET. Já para avisar um evento, o TRAP é quem realiza essa função. Veja o artigo desta página para mais informações.

25 (Prova: FGV 2008 Senado Federal Analista de Suporte de Sistemas / Redes de Computadores) O protocolo SNMP ( Simple Network Management Protocol ) faz parte da pilha TCP/IP e é utilizado para obter informações de servidores SNMP. No seu funcionamento, utiliza o conceito de MIB ( Management Information Base ), definido pelo RFC1066 como o conjunto de objetos gerenciados que procura abranger todas as informações necessárias para a gerência da rede. Resultante da evolução, a RFC 1213 definiu três tipos de MIBs que fornecem informações: T1 gerais de gerenciamento sobre um determinado equipamento gerenciado, como número de pacotes transmitidos e estado da interface; T2 específicas sobre as tecnologias dos meios de transmissão e equipamentos empregados; T3 específicas dos equipamentos empregados, como configuração, colisões, sendo também possível reinicializar ou desabilitar uma ou mais portas do roteador. As MIBs dos tipos T1, T2 e T3 são, respectivamente, dos seguintes tipos: Letra D. Essa questão é fácil, pois se você souber pelo menos os nomes das MIBs, por eliminação você consegue responder a questão. De qualquer forma, as definições estão claras quanto a cada uma das MIBs, sendo respectivamente MIB II, experimental e a privada. (Prova: FGV 2010 BADESC Analista de Sistemas Suporte Técnico e Gerência de Redes de Computadores) SNMP tem por significado Simple Network Management Protocol e é um protocolo da arquitetura TCP/IP, empregado para obter informações de servidores nas atividades de gerenciamento. No seu funcionamento, utiliza o conceito de Management Information Base MIB, definido pelo RFC1066 como o conjunto de objetos gerenciados, que procura abranger todas as informações necessárias para a gerência da rede. Foram definidas, por meio da RFC 1213, três tipos de MIBs: * a primeira, que fornece informações gerais de gerenciamento sobre um determinado equipamento gerenciado, como número de pacotes transmitidos e estado da interface. * a segunda, que fornece informações específicas sobre as

26 tecnologias dos meios de transmissão e equipamentos empregados. * a terceira, que fornece informações específicas dos equipamentos empregados, como configuração, colisões, sendo também possível reinicializar ou desabilitar uma ou mais portas do roteador. A primeira é uma MIB do tipo II; a segunda, é denominada EXPERIMENTAL e a terceira é conhecida pela denominação: Letra A. Mais uma questão fácil, baseado no mesmo princípio que se você souber pelo menos os nomes das MIBs você consegue responder a questão. Veja o artigo desta página para mais informações. VLAN Virtual Local Area Network Uma VLAN (Virtual Local Area Network ou Virtual LAN, em português Rede Local Virtual) é uma rede local que agrupa um conjunto de máquinas de maneira lógica e não física. Quem quiser, pode conferir um Mapa Mental sobre o assunto. Motivação Imagine uma empresa, cujo crescimento acelerado impossibilitou um projeto ordenado de expansão, que possua uma dezena de departamentos conectados a uma rede local interna. Ao contrário do que se pensa, os funcionários de cada departamento estão espalhados pelos andares da sede. Como organizar um domínio para cada setor da empresa?

27 Uma solução possível seria a segmentação da rede interna em redes virtuais, uma para cada departamento. Outro exemplo é a formação de grupos temporários de trabalho. Hoje em dia é comum o desenvolvimeto de projetos envolvendo diversos setores de uma empresa, como marketing, vendas, contabilidade e pesquisa. Durante o período do projeto, a comunicação entre seus membros tende a ser alta. Para conter o trafégo broadcast, pode-se implementar uma VLAN para este grupo de trabalho. Os exemplos anteriores mostram que as VLAN proporcionam uma alta flexibilidade a uma rede local. Isto é ideal para ambientes corporativos, onde a todo momento ocorrem mudanças de empregados, reestruturações internas, aumento do número de usuários, entre outras situações. Entendendo a VLAN Com o crescimento e aumento da complexidade das redes, muitas empresas adotaram as VLANs (redes locais virtuais) para tentar estruturar esse crescimento de maneira lógica. Uma VLAN é, basicamente, uma coleção de nós que são agrupados em um único domínio broadcast, baseado em outra coisa que não a localização física. Na maioria dos switches, você pode criar uma VLAN, simplesmentepor uma conexão através da Telnet (em inglês). Depois, basta configurar os parâmetros da VLAN (nome, domínio e configuração das portas). Depois que você criar a VLAN, qualquer segmento de rede conectado às portas designadas vai se tornar parte desta VLAN. Você pode criar mais de uma VLAN em um switch, mas estas redes não podem se comunicar diretamente por ele. Se elas pudessem, não faria sentido ter uma VLAN. Afinal, o objetivo da VLAN é isolar uma parte da rede. A comunicação entre as VLANs requer

28 o uso de um roteador. As VLANs podem se expandir por múltiplos switches e você pode configurar mais de uma VLAN em cada switch. Para que múltiplas VLANs em múltiplos switches possam se comunicar através de um link entre os switches, você deve usar um processo chamado trunking. Trunking é a tecnologia que permite que as informações de múltiplas VLANs trafeguem em um único link. Tipologia Foram definidos vários tipos de VLAN, de acordo com o critério de comutação e o nível em que se efetua: Uma VLAN de nível 1 (também chamada VLAN por porta, em inglês Port-Based VLAN) define uma rede virtual em função das portas de conexão no comutador; Uma VLAN de nível 2 (igualmente chamada VLAN MAC, em inglês MAC Address-Based VLAN) consiste em definir uma rede virtual em função dos endereços MAC das estações. Este tipo de VLAN é muito mais flexível que a VLAN por porta, porque a rede é independente da localização da estação; Uma VLAN de nível 3: distinguem-se vários tipos de VLAN de nível 3 A VLAN por subrede (em inglês Network Address- Based VLAN) associa subredes de acordo com o endereço IP fonte dos datagramas. Este tipo de solução confere uma grande flexibilidade, na medida em que a configuração dos comutadores se altera automaticamente no caso de deslocação de uma estação. Por outro lado, uma ligeira degradação de desempenhos pode fazer-se sentir, dado que as informações contidas nos pacotes devem ser analisadas mais finamente. O VLAN por protocolo (em inglês Protocol-Based VLAN) permite criar uma rede virtual por tipo

29 deprotocolo (por exemplo TCP/IP, IPX, AppleTalk, etc.), agrupando assim todas as máquinas que utilizam o mesmo protocolo numa mesma rede. Vantagens A VLAN permite definir uma nova rede acima da rede física e a esse respeito oferece as seguintes vantagens: Mais flexibilidade para a administração e as modificações da rede porque qualquer arquitetura pode ser alterada por simples parametrização dos comutadores; Ganho em segurança, porque as informações são encapsuladas num nível suplementar e são eventualmente analisadas; Redução da divulgação do tráfego sobre a rede; Segurança. Separar os sistemas que contêm dados sigilosos do resto da rede reduz a possibilidade de acesso não autorizado. Projetos/aplicativos especiais. As tarefas de gerenciar um projeto ou trabalhar com um aplicativo podem ser simplificadas pelo uso de uma VLAN que congrega todos os nós necessários. Desempenho/Largura de banda. Um monitoramento cuidadoso da utilização da rede permite que o administrador crie VLANs que reduzam o número de saltos entre os roteadores e aumentem a largura de banda aparente para os usuário da rede. Broadcasts/Fluxo de tráfego. A característica principal de uma VLAN é que ela não permite que o tráfego broadcast chegue aos nós que não fazem parte da VLAN. Isso ajuda a reduzir o tráfego de broadcasts. As listas de acesso permitem que o administrador da rede controle quem vê o tráfego da rede. Uma lista de acesso é uma tabela criada pelo administrador nomeando os endereços que têm acesso àquela rede.

30 Departamentos/Tipos específicos de cargos. As empresas podem configurar VLANs para os departamentos que utilizam muito a Internet (como os departamentos de multimídia e engenharia) ou VLANs que conectam categorias específicas de empregados de departamentos diferentes (gerentes ou pessoal de vendas). Padrões As VLAN são definidas pelos padrões IEEE 802.1D, 802.1p, 802.1Q e Para mais informações, é aconselhável consultar os documentos seguintes : IEEE 802.1D IEEE 802.1Q IEEE Tratamento de Quadros Quando um dispositivo de rede (ponte, comutador), com suporte ao padrão IEEE 802.1Q, recebe quadros vindos de uma estação de trabalho, ele os rotula, marca. Este rótulo (tag), chamado de identificador VLAN (VID), indica a rede virtual de onde vem o quadro. Este processo é chamado de marcação explícita (explicit tagging). Também é possível determinar a qual VLAN o quadro recebido pertence utilizando a marcação implícita (implicit tagging). Neste procedimento o quadro não é rotulado, mas VLAN de origem do quadro é identificada por outro tipo de informação, como por exemplo a porta onde o quadro chegou. A marcação pode ser baseada na porta de onde veio o quadro, no campo do endereço MAC (Media Access Control) da fonte, no endereço de rede de origem ou algum outro campo ou combinação destes. As VLANs podem ser classificadas de acordo com o

31 método utilizado. Para ser capaz de rotular um quadro, utilizando qualquer um dos métodos citados anteriormente, o dispositivo de rede deve manter atualizado uma base de dados contendo um mapeamento entre VLANs e de onde e qual o campo é utilizado na marcação. Este banco de informações é chamado filtering database e deve ser o mesmo em todos os equipamentos. O comutador, ou ponte, determina para onde deve ir o quadro como numa LAN. Uma vez indicado o destino do quadro, também é necessário determinar se o identificador VLAN deve ser adicionado ao quadro e enviado. Caso o destino do quadro seja um dispositvo com suporte a VLANs (VLAN-aware) o identificador VID é adicionado. Entretanto, se o destinatário não suporta o padrão IEEE 802.1Q (VLAN-unaware), o dispositvo envia o quadro sem VID. Para entender como funciona uma rede local virtual é necessário conhecer os seus tipos, as formas de conexão entre seus dispositvos, a base da dados utilizada para enviar corretamente os quadros a VLAN de destino (filtering database) e o processo de marcação, utilizado para identificar a VLAN originária do quadro.

32 O encaminhamento de pacotes para o padrão IEEE 802.1Q As decisões sobre o encaminhamento dos quadros são baseadas nas três regras seguintes, considerando uma implementação baseada em portas (mais detalhes em Classificação ): Regras de Entrada (Ingress Rules), utilizadas para determinar a quais VLANs pertencem os quadros recebidos. Regras de Encaminhamento entre Portas, decidem se o quadro deve ser filtrado ou encaminhado. Regras de Saída (Egress Rules), determinam se o quadro deve ser enviado com ou sem rótulo. Classificação de Quadros As redes locais virtuais lidam com três tipos básicos de quadros:

33 Quadros sem rótulo (Untagged frames) Quadros com rótulo de prioridade (Priority-tagged frames) Quadros com rótulo VLAN (VLAN-tagged frames) Um quadro sem rótulo ou com rótulo de prioridade não carrega nenhuma identificação de qual VLAN veio. Tais quadros são classificados como vindos de uma VLAN particular baseado em parâmetros associados a porta receptora, ou, em soluções proprietárias, baseado no conteúdo do quadro (endereço MAC, identidficador de protocolo da camada 3, etc.). É importante observar que para o propósito de indentifição de uma VLAN, os quadros com rótulo de prioridade são tratados igualmente aos sem rótulo. A prioridade é tratada por outro padrão, o IEEE 802.1p, assunto de um outro trabalho desta mesma disciplina. Um quadro com rótulo VLAN carrega um identificação explícita da sua VLAN de origem (VID), ou seja, ele possui em seu cabeçalho um rótulo contendo um campo VID não-nulo. Tal quadro é classificado como originário de uma VLAN particular baseado no valor deste identificador. A presença de um VID não-nulo no cabeçalho do quadro significa que algum outro dispositivo, ou o gerador do quadro ou uma ponte (ou comutador) com suporte a VLAN, mapeou este quadro em uma VLAN e inseriu o identificador apropriado. Para uma dada VLAN, todos os quadros transmitidos devem ser rotulados obrigatoriamente da mesma forma neste segmento. Eles tem de ser ou todos sem rótulo, ou todos com rótulo VLAN, possuindo o mesmo VID. Em outras palavras, um dispositivo pode transmitir quadros sem rótulo para algumas VLANs e quadros rotulados (VID) para outras em um dado enlace, mas não pode transmitir os dois formatos para mesma VLAN.

34 Marcação de Quadros (Tagging) É necessário que os quadros, ao serem enviados através da rede, possuam um meio de indicar a qual VLAN pertencem, de modo que a ponte encaminhe-os somente para as portas que também pertencem a esta rede virtual. Do contrário, os quadros são encaminhados para todas as portas. Isto é o que normalmente ocorre. Esta informação é adicionada ao quadro na forma de um rótulo ou marcação (tag) em seu cabeçalho. Este rótulo permite especificar informações sobre a prioridade de um usuário, assim como indica o formato do endereço MAC (Media Access Control). Como visto anteriormente, quadros que possuem rótulo são enviados através de enlaces híbridos e troncos. Existem dois formatos de rótulos: Rótulo para o cabeçalho do quadro Ethernet (Ethernet Frame Tag Header) O rótulo para o quadro Ethernet consiste em uma identificação do protocolo (TPID Tag Protocol Identifier) e uma informação de controlo (TCI Tag Control Information). Sendo 2 octetos TPID e 2 octetos TCI; Rótulo para o cabeçalho Token Ring e FDDI (Fiber Distributed Data Interface) O rótulo para o cabeçalho token ring e para o FDDI consiste de um campo TPID SNAP-codificado (SNAP-enconded TPID) e do campo TCI. Sendo 8 octetos TPID (SNAP codificado) e 2 octetos TCI. O rótulo de identificação de protocolo indica que um rótulo de cabeçalho (tag header) vem a seguir. Já o TCI, figura 8, contém as informações sobre a prioridade do usuário, o formato canônico de indicação (CFI Canonical Format Indicator), e o identificador VLAN (VID).

35 O campo de prioridade possui 3 bits. Ele carrega informações de prioridade para serem codificadas no quadro. Existem oito níveis de prioridade. O nível zero é o de menor prioridade e o sete de maior prioridade. Maiores informações sobre prioridade podem ser obtidas no suplemento IEEE 802.1p, tema de outro trabalho desta disciplina. O bit CFI é usado para indicar que todos os endereços MAC presentes no campo de dados MAC (MAC data field) estão na forma canônica. Este campo é interpretado de forma diferente de acordo com a tecnologia utilizada (Ethernet, token ring, FDDI). O campo VID é utilizado para identificar, de forma única, a qual VLAN pertence o quadro. Podem existir um máximo de 4095 VLANs (2 12-1). O número zero é usado para indicar que não há um identificador VLAN, mas a informação sobre a prioridade está presente. Isto permite que a prioridade seja codificada em redes locais sem prioridade. A inserção do rótulo no cabeçalho do quadro aumenta em quatro octetos o seu tamanho, no caso do Ethernet, e dez, no caso do token ring. Toda a informação contida no quadro original é retida. O campo EtherType e o identificador VLAN são inseridos depois do endereço MAC da fonte, mas antes do campo EtherType/Tamanho ou Controle Lógico de Enlace (Logical Link Control).Como os quadros são agora mais longos, o CRC (Cyclic Redundancy Check) tem de ser recalculado. Tipos de Conexões Dispositivos em uma rede local virtual podem ser conectados de três maneiras diferentes, levando-se em consideração se estem suportam ou não o padrão IEEE 802.1Q (VLAN-awareou VLANunaware). São elas:

36 Enlace tronco (Trunk Link) Todos os dispositivos conectados a um enlace deste tipo, incluindo estações de trabalho, devem, obrigatoriamente, ter suporte à VLANs, isto é, serem dipositivos VLAN-aware. Todos os quadros em um trunk link tem de possuir um rótulo VLAN. Enlace de Acesso (Access Link) Um enlace de acesso conecta um dispositivo sem suporte a VLAN a uma porta de uma ponte/comutador VLAN-aware. Todos os quadros neste tipo de enlace, obrigatoriamente, não devem possuir rótulo (mais detalhes em classificação de quadros ). O dispositivo sem suporte pode ser um ou vários segmentos de uma rede local convencional contendo outros dispositivos também sem suporte ao IEEE 802.1Q. Enlace Híbrido (Hybrid Link) Este é uma combinação dos dois enlaces anteriores. Em um enlace híbrido são conectados tanto dispositvos com suporte a VLANs, quanto os sem. Num enlace desta natureza pode haver quadros com (tagged frames) e sem rótulo (untagged frame), mas todos os quadros para uma VLAN específica tem de ser com rótulo VLAN ou sem rótulo. Vale lembrar que para situações de identificação os quadros com rótulo de prioridade são tratados como sem rótulo. Uma rede pode possuir uma combinação dos três tipos de enlace anteriormente referidos. Base de Dados de Filtragem (Filtering Database) As informações dos membros de uma VLAN são armazenadas em uma base de dados de filtragem (Filtering Database) que consiste de dois tipos de entrada: estáticas e dinâmicas.