UNIVERSIDADE DO VALE DO ITAJAÍ WILLIAN SAVI ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES LOCAIS UTILIZANDO VLAN

Transcrição

1 UNIVERSIDADE DO VALE DO ITAJAÍ WILLIAN SAVI ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES LOCAIS UTILIZANDO VLAN São José 2005

2 WILLIAN SAVI ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES LOCAIS UTILIZANDO VLAN Trabalho De Conclusão de Curso apresentado como requisito parcial para obtenção do título de Bacharel em Ciência da Computação na Universidade do Vale do Itajaí, Centro de Educação São José. Prof. Msc. Alexandre Moraes Ramos São José 2005

3 WILLIAN SAVI ESTRATÉGIA PARA ANÁLISE DE TRÁFEGO DE REDES LOCAIS UTILIZANDO VLAN Este trabalho de Conclusão de Curso foi julgado adequado para obtenção do título de Bacharel em Ciência da Computação e aprovado pelo Curso de Ciência da Computação, da Universidade do Vale do Itajaí (SC), Centro de Educação São José. São José, 14 de Dezembro de Apresentada à Banca Examinadora formada pelos professores: Prof. Msc. Alexandre Moraes Ramos Univali Centro de Educação São José Prof. Sandro Daros de Luca, membro da banca examinadora Prof. Paulo Roberto Riccioni Gonsalves, membro da banca examinadora

4 DEDICATÓRIA A meu pai (in memorium) que despertou em mim o desejo pelo conhecimento.

5 AGRADECIMENTOS Agradeço a Deus por me permitir lutar por meus objetivos; Á minha esposa Raquel pelo eterno companheirismo; Á minha família e principalmente a minha mãe pelo apoio moral e financeiro; E aos colegas de trabalho pela compreensão e ajuda.

6 Toda tecnologia suficientemente avançada é indistinguível da magia" Arthur C. Clarke

7 RESUMO Apesar da tecnologia VLAN ser comumente utilizada para segmentação de redes locais e suas vantagens teoricamente conhecidas, poucos são os estudos que comprovam na prática sua eficiência, ou ainda que indiquem as diferenças entre os tipos existentes. Desta forma, este estudo propõe verificar o comportamento do fluxo de dados em uma rede local, quando esta é segmentada utilizando-se uma VLAN de teste. Para tal, serão coletados dados que permitam monitorar o comportamento do throughput, latência, perda de pacotes e broadcast. Palavras Chaves : VLAN, 802.1q, MAC, TAG, assimétrica, por porta, throughput, latência, perda de pacotes, broadcast.

8 ABSTRACT Despite the technology VLAN widespread used for segmentation of local network and its advantages theoretically known, few they are the studies that prove them in the practical one or that they indicate the differences between the diverse existing types. This study it considers to verify the behavior of the flow of data, in a local area network, when of the implementation of one VLAN of tests using the segmentations symmetrical and for door. For such, will be collected date that will allow to monitor the behavior of throughput, latency, loss of packages and broadcast. Keys Words : VLAN, 802.1q, MAC, TAG, symmetrical, for door, throughput, latency, loss of packages, broadcast.

9 LISTAS LISTA DE FIGURAS Figura 1 Exemplo de VLAN com segmentação por Porta Figura 2 - Exemplo de VLAN com segmentação por endereço MAC...21 Figura 3 - Exemplo de VLAN com segmentação por protocolo...23 Figura 4 Formato de quadro Ethernet e 802.1Q Figura 5 - Formato clássico do quadro Ethernet...28 Figura 6 Formato utilizado pela BayNetWork...28 Figura 7 Tratamento de quadro (antes)...28 Figura 8 Tratamento de quadros (depois)...29 Figura 9 Tratamento de quadro com TAG (antes)...30 Figura 10 - Tratamento de quadro com TAG (depois)...30 Figura 11 Exemplo de utilização...31 Figura 12 Exemplo de utilização com roteador...31 Figura 13 Exemplo de utilização assimétrica...32 Figura 14 Exemplo prático de utilização...33 Figura 15 Formas da latência...35 Figura 16- Representação da alocação dos patch-panel...41 Figura 17 Seqüência de etapas...45 Figura 18 Ambiente 1 : VLAN por porta...46 Figura 19 Ambiente 2 : Vlan assimétrica...50 Figura 20- Ambiente de coleta VLAN por porta - Protocolos...52 Figura 21 Ambiente de coleta VLAN assimétrica Protocolos...53 Figura 22 Ambiente de coleta VLAN roteada - Pacotes...53

10 Figura 23 Ambiente de coleta VLAN assimétrica - Pacotes...54 Figura 24 -Broadcast medido na VLAN 1 roteada...59 Figura 25 Broadcast medido na VLAN 2 roteada...60 Figura 26 Identificação do broadcast percebido na VLAN2 roteada...61 Figura 27 Identificação do protocolo do broadcast percebido na VLAN2 roteada...61 Figura 28-Broadcast medido na VlAN 1 assimétrica...62 Figura 29 Broadcast medido na VLAN 2 assimétrica...62 Figura 30 Identificação de Broadcast na VLAN 2 assimétrica...63 Figura 31 Broadcast medido na VLAN 3 assimétrica...64

11 LISTA DE ABREVIATURAS ANSI - American National Standards Institute BPF - Berkeley Packet Filter CRC - Cyclic Redundancy Check CSMA/CD - Carrier Sense Multiple Acces with Collision Detect EIA/TIA - Electronic / Telecommunications Industries Association. IEEE - Institute of Eletrical and Eletronics Engineers ISO - International Organization for Standardization LAN - Local Area Network MAC - Media Access Control OSI - Open Systems Interconnection RTT - Round-trip Time VLAN - Virtual Local Area Network UTP - Unshielded Twisted Pair

12 SUMÁRIO 1 INTRODUÇÃO OBJETIVOS Objetivo geral Objetivos específicos JUSTIFICATIVA ESCOPO E DELIMITAÇÃO DO TRABALHO ORGANIZAÇÃO DO TRABALHO VLAN VANTAGENS DO USO DE VLAN TIPOS DE VLAN VLAN com segmentação por Porta VLAN com segmentação por MAC Address VLAN com segmentação por Protocolo PADRÃO 802.1Q PADRÃO 802.1P EXEMPLOS DE TRATAMENTO DE QUADROS EXEMPLOS DE UTILIZAÇÃO DIAGNÓSTICO DE REDE DEFINIÇÃO DA VARIÁVEIS DE MEDIDAS Latência Perda de pacote Throughput Broadcast...37

13 3.2 FERRAMENTAS NTOP ETHREAL TCPDUMP DESENVOLVIMENTO AMBIENTE DE TESTES Switch Equipamentos ASPECTOS METODOLÓGICOS DO EXPERIMENTO PREPARAÇÃO DO AMBIENTE DE TESTES Implantação da Vlan por porta Topologia Configuração dos elementos de rede Implantação da vlan assimétrica Topologia Configuração dos elementos de rede COLETA DE DADOS ANÁLISE DOS RESULTADOS Throughput Latência Perda de pacotes Broadcast CONSIDERAÇÕES FINAIS REFERÊNCIA BIBLIOGRÁFICA...68

14 1 INTRODUÇÃO O atual estágio da evolução da tecnologia e a crescente dependência das empresas e indivíduos aos recursos de rede, tem feito com que o volume do tráfego em LAN s ( Local Area Network) aumente de forma notável. Para suportar esse rápido crescimento do número de redes, máquinas e usuários conectados, há uma grande variedade tecnológica, tanto em infraestrutura como em aplicações utilizadas nestas redes. Como exemplos de aplicações temos as trocas de s, conversação, comércio eletrônico, aplicações multimídia entre tantas outras. Esta diversidade de aplicações reflete diretamente na alta variedade de diferentes tipos de protocolos, os quais trafegam neste tipo específico de rede. Topke (2001), afirma que em virtude deste volume e diversidade de tráfego os parâmetros que definem as medidas qualitativas e quantitativas são de difícil mensuração. Isto faz com que a maioria dos administradores de rede não conheçam o fluxo do tráfego das redes sobre as quais são responsáveis, ou seja, desconhecem onde o tráfego se origina, qual o seu destino e quais são as aplicações que mais geram tráfego. É nesse cenário que este trabalho fará uma contribuição para a comunidade acadêmica/científica por meio do desenvolvimento de estratégias para coleta e análise de tráfego. Isto, por sua vez, permitirá um melhor conhecimento das características relevantes de infraestruturas baseadas em redes TCP/IP. Para tal, será avaliada a tecnologia de VLAN (Virtual Local Area Network), a qual vem sendo usada para segmentar logicamente redes locais, com o intuito de torná-las mais seguras e de menor complexidade de administração. 1.1 OBJETIVOS Objetivo geral Além de desenvolver estratégias para coleta e análise do fluxo do tráfego em uma rede local baseada em TCP/IP, a fim de fornecer parâmetros que determinem o desempenho desta, este trabalho tem como objetivo geral, a verificação do comportamento deste fluxo, quando a rede analisada é segmentada utilizando-se a tecnologia de VLAN (Virtual Local Area Network).

15 Objetivos específicos Estudo teórico da tecnologia VLAN. Definição dos parâmetros a serem medidos. Estudo prático das principais ferramentas disponíveis. Definição dos métodos de coleta de dados. Definição dos métodos de análise dos dados. Aplicação da coleta e análise. Implementação da tecnologia com a utilização de diferentes tipos de segmentação lógica. Aplicação de uma nova coleta e análise de dados. Comparação dos resultados pré e pós-segmentação. 1.2 JUSTIFICATIVA Sloan (2001) afirma que se um administrador não conhece o comportamento normal de uma rede não estará habilitado a identificar um comportamento anormal. O mesmo autor afirma ainda que, se não há um conhecimento do tipo do tráfego em uma rede, não é possível determinar planos para solução de problemas que possam surgir. Como administrar algo que não se conhece? Em virtude da grande variedade de aplicações, que atualmente estão implementadas em redes locais, há uma profusão de diferentes protocolos trafegando nas redes locais modernas. Tal fator acaba por gerar muitas dificuldades em entender e estabelecer parâmetros que expressem, de forma simplificada e de fácil avaliação, as características do tráfego em redes TCP/IP. Há uma grande variedade de ferramentas para coleta e análise de dados, disponíveis no mercado, que podem fornecer muitas informações acerca do comportamento de uma rede.

16 14 Porém, a forma mais adequada de realizar a coleta e análise destes dados é de difícil definição, visto não haver uma clara determinação de quais as variáveis que devem ser observadas. Segundo Sloan (2001) o sucesso na solução de problemas relacionados a redes locais depende, em grande parte, da eficiência e qualidade da coleta. Caso esta não seja realizada de forma adequada a posterior análise estará comprometida. Desta forma não basta apenas analisar corretamente os dados, deve se também coleta-los de forma adequada. Através do correto monitoramento pode-se gerenciar melhor a distribuição dos recursos de rede, gerando melhorias de desempenho e conseqüentemente economia de recursos financeiros. O que também justifica este trabalho é falta de estudos que realmente comprovem as vantagens do uso da tecnologia VLAN. Muito se tem encontrado sobre esta tecnologia, porém poucas referências demonstram na prática sua real eficiência. 1.3 ESCOPO E DELIMITAÇÃO DO TRABALHO Este trabalho limita-se a interpretar os resultados apresentados pelas ferramentas já disponíveis no mercado, fugindo de seu escopo a coleta, tratamento e análise dos dados através da implementação de novas ferramentas. Com relação aos aspectos relacionados ao fluxo de dados de rede, não será dado foco no fato que originou este fluxo, limitando-se apenas a observar seu comportamento. Neste trabalho não serão utilizados métodos estatísticos para análise da massa de dados capturada. 1.4 ORGANIZAÇÃO DO TRABALHO No capítulo 2, será apresentada uma revisão bibliográfica da tecnologia VLAN, onde serão mostrados diversos conceitos e características pertinentes, além do detalhamento dos principais tipos de implementação existentes, sendo finalizado por exemplos práticos de sua utilização. O capítulo 3, descreverá os aspectos relacionados a diagnóstico de rede tais como variáveis de medida e ferramentas as quais serão utilizadas no decorrer deste trabalho.

17 15 No capítulo 4 será tratado da parte prática deste estudo, abordando com detalhes todos os procedimentos realizados pra a preparação do ambiente de testes. Neste mesmo capítulo serão apresentados todos os resultados obtidos, utilizando-se pra isso tabelas e gráficos, além de telas capturas diretamente das ferramentas utilizadas. E para finalizar este trabalho o capítulo 5 apresentará considerações finais sobre todo o aprendizado obtido ao longo deste estudo.

18 16 2 VLAN O conceito de VLAN (Virtual Local Area Network) surgiu em 1985 por meio das empresas americanas AT&T, US Sprint e MCI e trata-se de uma segmentação lógica de uma rede física, de acordo com uma organização básica. De acordo com Vasconcelos (2003, p.100) as VLAN atuam basicamente na segmentação de uma rede LAN em grupos específicos de trabalho, fazendo com que o tráfego de dados seja direcionado a grupos de estações específicas. Dentre as várias definições, pode-se destacar: 1. Varadarajan (2004) as define como "estruturas capazes de segmentar, logicamente, uma rede local em diferentes domínios de broadcast". 2. Uma definição mais precisa para uma VLAN seria um domínio lógico de difusão (broadcast). Em outras palavras, temos um domínio no qual todos os participantes de um mesmo grupo estão se vendo. Os demais, embora ligados no mesmo switch, não pertencem à VLAN. DANTAS (2002, p.180) 3. Virtual LAN é uma rede composta de computadores instalados em diferentes pontos (tais como andares ou ainda edifícios separados), que se comporta como uma rede local. CYCLADES (2000, p.62). 4. Para Peterson (2004, p.138) VLAN é uma técnica que permite que uma única LAN seja dividida em várias LAN s aparentemente separadas Com base nos conceitos elencados, no contexto deste trabalho, entende-se por VLAN, como sendo a segmentação de uma única LAN física em diversas LAN lógicas, sendo que estas últimas se comportam como LAN físicas diferentes, de forma que as estações de cada uma destas não se enxerguem diretamente, a não ser que se utilize algum elemento capaz de interligá-las, como um roteador ou switch. Face ao grande volume de pacotes de broadcast (difusão) gerado pelos muitos protocolos e aplicações que fazem uso deste recurso, as VLAN têm assumido um papel importante para as redes corporativas atuais, diminuindo o impacto do uso de tal recurso.

19 17 De acordo com Furtado (2004) todo o raio de ação de um pacote broadcast (difusão) é considerado um domínio de broadcast, sendo que dois domínios de broadcast não poderão comunicar-se entre si sem o auxílio de um dispositivo específico que realize tal conexão. Segundo Furtado (2004), o grande problema do broadcast é que a maioria das estações normalmente recebe pacotes inúteis. Muitos protocolos de comunicação e aplicações fazem o envio de pacotes para todas as estações, mesmo que o objetivo seja alcançar somente um único host. Uma vez que "todos" recebem pacotes de "todos", a todo instante, há uma redução significativa na performance da rede, pois os computadores gastam banda e recursos de rede. 2.1 VANTAGENS DO USO DE VLAN Segundo Vasconcelos (2003, p.100) a VLAN proporciona aumento de desempenho em redes LAN, dando melhor controle sobre a segurança de dados, controle de acesso e melhoria do tráfego. Obtém-se otimização da banda de rede, devido à redução do tráfego, visto que tal tráfego é limitado a grupos de estações de trabalho específicos. A tecnologia fornece uma série de benefícios, entre outros a redução do tráfego broadcast, um nível de segurança mais elevado, contenção do tráfego em segmentos locais da rede, filtragem e priorização de tráfego. (FALBRIARD, 2002, p.187). Moraes (2002) sita a limitação do tráfego a domínios específicos já pré-estabelecidos, proporcionando mais segurança a estes, ou seja dados acessados em uma VLAN, não poderão ser acessados por outra e vice-versa. No quesito segurança as VLAN proporcionam controlar se deve ocorrer e como deve ocorrer a comunicação entre diferentes segmentos, proporcionando um nível a mais de segurança na rede. De acordo com Vasconcelos (2003, p.101), o aspecto de segurança é implementado devido ao fato das estações, apesar de estarem fisicamente conectadas ao mesmo switch, podem fazer parte de VLAN diferentes. Seu uso diminui o número de roteadores necessários, pois se criam domínios de broadcast utilizando switch ao invés de roteadores. Uma movimentação de um usuário, de um local para outro não gera tanto incômodo, pois pode ser feita remotamente, sem a necessidade de modificações físicas, proporcionando flexibilidade de trabalho.

20 18 Por não utilizar roteadores, introduzir uma possível redução de cabeamento e facilidade de gerenciar, as redes se tornam mais econômicas. Sendo que a performance também é ocasionada pela diminuição do número de equipamentos. Para Peterson (2004, p.138) a técnica aumenta a escalabilidade das LAN, nas palavras deste autor, um recurso atraente nas VLANs é a possibilidade de alterar a topologia lógica sem mover o cabeamento ou alterar quaisquer endereços. De acordo com Moraes (2002) utilizando VLAN têm-se a possibilidade de organizar a rede logicamente, sem estar limitado à topologia de rede e das ligações físicas. Dispositivos conectados em diferentes switch podem estar agrupados na mesma VLAN, bem como dispositivos que estejam em localizações físicas distantes (diferentes edifícios, diferentes países). Sua utilização também é benéfica por permitir uma organização (segmentação), da rede por setores da empresa. Assim cada VLAN pode estar associada a um departamento, mesmo que fisicamente seus integrantes estejam muito distantes, com isso a lógica de distribuição estará implantada Porém, segundo relatos de Peterson (2004, p.139), a principal vantagem é a limitação do números de segmentos de uma LAN que receberão determinados pacotes de broadcast. Como as VLAN demarcam um domínio de broadcast, elas evitam que o tráfego desnecessário circule pela rede. Em redes onde o trafego de broadcast e multicast constituem uma parte significativa do todo, as VLAN podem aumentar a performance (desempenho) da rede. Tendo por premissa os argumentos apresentados, nos parágrafos anteriores, pode-se resumir as principais vantagens do uso de VLAN em: - Melhora do desempenho da rede. - Aumento da segurança. - Maior facilidade de gerenciamento e organização. - Aumento da escalabilidade. - Redução de custos.

21 TIPOS DE VLAN Existem várias formas de se implementar as VLAN, elas dependem da tecnologia empregada e das funções existentes nos dispositivos que vão implementá-las. As formas, oficialmente aceitas pelo IEEE (Institute of Electricaland Electronics Engineers), são estática e dinâmica. Como exemplo de estáticas temos segmentação por Porta, sendo os tipos Mac Address e Protocolo classificadas como VLAN dinâmicas. Nos itens a seguir serão apresentadas as principais formas reconhecidas pela IEEE, suas vantagens e desvantagens quando comparadas umas as outras VLAN com segmentação por Porta Neste tipo, implementado na camada 1 do modelo de referencia OSI, a criação da VLAN é feita definindo-se quais portas do switch pertencem a qual VLAN. De acordo com Vasconcelos (2003) dividem-se as portas do switch em redes LAN s diferentes, onde cada microrede é considerada uma LAN virtual. Desta forma, os equipamentos (estações, servidores, impressoras entre outros) conectados a estas portas farão parte de uma rede local virtual, no qual poderão compartilhar suas informações e seus dados, preservando a banda dos outros usuários e aumentando a performance da rede local como um todo. Cada porta do switch pode estar associada a uma VLAN, com isto, torna-se possível ter várias VLANs no mesmo switch, sem que em nenhum momento elas se comuniquem. A ligação a outros switch, que suportem VLAN, é feita através de trunk-ports (troncos) que normalmente estão associadas a várias VLAN. Isto é possível, associando uma porta do switch à várias VLAN e em seguida conecta-la a porta de outro switch, configurada da mesma forma. Para Nicolleti (2000) este método de segmentação é o mais comumente utilizado pois sua configuração é rápida e simples, garantindo um ótimo funcionamento da VLAN. No entanto, este método apresenta alguns contratempos, uma de suas desvantagens está associada a locomoção de usuários para um local diferente no qual originalmente ele estaria conectado. Para isso o administrador de rede terá que configurar novamente a porta no switch, e conseqüentemente a VLAN sofreria uma mudança.

22 20 Uma outra desvantagem, citada por Nicoletti (2000), é em relação a possibilidade de haver um hub (repetidor) conectado a uma porta do switch. Isto fará com que, obrigatoriamente, todas as portas que aquele hub tiver, façam parte de uma única rede, o que em alguns casos pode não ser desejado. Atualmente tal problema não é muito significativo, já que a existência de hubs é cada vez menos comum. A figura abaixo nos mostra como uma VLAN com segmentação por porta pode ser implementada. Figura 1 Exemplo de VLAN com segmentação por Porta. Fonte : NICOLLETTI (2000) Na figura 1 há duas VLAN, uma representada pela cor vermelha e outra pela cor azul. Observa-se que os switch possuem apenas duas portas, sendo cada uma delas configurada para pertencer a uma VLAN. Estações conectada a uma porta, configurada para uma determinada VLAN, passa a fazer parte desta. É importante perceber uma das desvantagens deste método acerca da utilização de hub, visto não ser possível ter estações pertencentes a diferentes VLAN conectadas no mesmo hub VLAN com segmentação por MAC Address As VLANs segmentadas por endereço MAC (Media Access Control), implementadas na camada 2 do modelo de referência OSI, são criadas a partir da premissa que todos os

23 21 integrantes da VLAN em questão possuem um endereço MAC diferente. O switch então reconhece todos os endereços MAC da requerida VLAN e os associa. Para que isso seja possível, segundo Tanenbaum (2003), o switch tem uma tabela listando o endereço MAC de 48 bits de cada máquina conectada ao dispositivo, juntamente com a VLAN em que essa máquina está. Neste tipo de VLAN ao mover um dispositivo da rede, não se faz por necessário reconfigurálo para que este continue pertencendo a mesma VLAN, pois o endereço MAC faz parte da sua placa de interface de rede. Comparando esta segmentação de VLAN com a VLAN baseada em portas isto é uma vantagem, pois, não é necessário reconfigurar nenhuma tabela dos integrantes da VLAN. Pois, neste tipo de configuração, não importa em que porta do switch determinada placa de rede está conectada, mas sim o endereço MAC que cada uma carrega consigo. Porém, este tipo de segmentação apresenta desvantagem quando inicialmente tem-se que inserir todos os integrantes de uma rede na tabela de endereços MAC do switch. Esta tarefa fica complexa quanto maior for o número de dispositivos em uma rede. Para Vasconcelos (2003) outra desvantagem deste método, ocorre quando da necessidade da troca da interface de rede de uma estação, visto que neste caso será necessário a reconfiguração da VLAN. Na figura 2 demonstra-se como podemos segmentar uma VLAN por MAC Address. Figura 2 - Exemplo de VLAN com segmentação por endereço MAC. Fonte : NICOLLETTI (2000)

24 22 Na implementação, representada na figura 2, tem-se duas VLAN, não importando em qual porta dos elementos as estações estão conectadas, mas sim seu endereço MAC. Ao analisarem as estações conectadas em um hub, percebe-se que elas pertencem a VLAN diferentes, eliminado o problema inerente a segmentação por porta VLAN com segmentação por Protocolo As VLAN em questão associam ao switch que a implementa os endereços de rede (camada 3 do modelo OSI) que comporão a VLAN, ou pode-se estabelecer, que equipamentos que utilizam determinado protocolo farão parte de uma VLAN e os que utilizam outro protocolo farão parte da outra. Segundo Nicolleti (2000) poderão ser usados os seguintes protocolos : - DECNET. - NETBEUI. - IPX. - IP. Quando uma VLAN for segmenta por protocolos diferentes, sua implementação fica fácil pois os integrantes da VLAN, em questão, podem ser identificados de acordo com campo tipo de protocolo encontrado no cabeçalho da camada 2. Porém, de acordo com Nicolleti (2000) se a segmentação por protocolo se referir ao endereço lógico, tem-se cada endereço físico recebendo seu endereço de sub-rede, e o encaminhamento de dados é feito através de roteamento baseado no endereço IP. Assim como na segmentação por MAC Address, esta segmentação é independente da distribuição física. Este tipo de segmentação de VLANs também apresenta suas deficiências, em relação ao encaminhamento de pacotes, pois utiliza informações da camada 3, e isso causa retardo nos pacotes. Usar informações da camada 3 causa, para Vasconcelos (2003), a necessidade de switch que possua a tecnologia conhecida com Layer 3. Porém a atual popularização do uso deste elemento tem atualmente, atenuado tal dificuldade. Ainda com relação as deficiências desta segmentação, Tanenbaum (2003, p.355) afirma que o único problema com essa abordagem é que ela viola a regra mais fundamental das redes : a independência das camadas. Não interessa à camada de enlace de dados o que está no campo

25 23 de carga útil. Ela não deve examinar a carga útil e certamente não deve tomar decisões com base no conteúdo desse campo. Uma conseqüência dessa abordagem é que uma mudança no protocolo da camada 3 causa a falha repentina dos switch. Infelizmente, existem no mercado switch que funcionam dessa maneira. Estas dificuldades fazem da segmentação por protocolo a menos popular entre os administradores de redes. Exemplifica-se, através da figura 3, uma situação de como implementar VLANs por segmentação de protocolo se referindo ao endereço IP. Figura 3 - Exemplo de VLAN com segmentação por protocolo. Fonte : NICOLLETTI (2000) Podemos observar que as estações que fazem parte da VLAN azul possuem endereços IP de classes diferentes das estações da VLAN em vermelho. De acordo com Dantas (2002), apesar da VLAN baseada em portas parecer consistente para muitos produtos de fabricantes de rede, os produtos VLAN baseados em MAC e Protocolos vêem ganhando uma grande aceitação. Principalmente com a popularização do switch de nível 3. Os tipos de VLAN apresentados são os principais, porém há disponíveis no mercado outros tipos de segmentação, os principais exemplos são : - segmentação baseada em autenticação de usuários; - segmentação baseada em políticas gerais e

26 24 - segmentação baseada por aplicações. Apesar desses tipos serem soluções proprietárias de diferentes fabricantes todas são baseadas nos mesmos padrões da IEEE seguidos pelas VLAN com segmentação por porta, endereço MAC e por protocolo. Tais padrões são apresentados a seguir. 2.3 PADRÃO 802.1Q Em 1998 o IEEE publicou o padrão 802.1Q, uma mudança no padrão do cabeçalho Ethernet para que este suportasse mais um campo, a ser utilizado em VLAN. Este padrão determina as ações do switch ao receber um quadro, ou seja, define como deve classificar o quadro em alguma VLAN, como decidir para onde o quadro será enviado, em qual fila de prioridade será colocado na saída, qual informação de controle no quadro (tagging de acordo com alguma regra - porta, MAC, protocolo etc.) deve modificar/incluir, além de como um switch se comunica com outro. Segundo Thomas (2003) as normas que regulamentam a operação de VLAN s são a IEEE 802.1Q, de 1998, e a IEEE 802.1V, de 2001, que é um adendo à 802.1Q. Estas normas tratam apenas de VLAN que utilizam o método de rotulação explícita, ou seja, as VLAN s que trabalham nas camadas 1 e 2 do modelo RM-OSI. Outros tipos de VLAN s, definidas em camadas mais elevadas, são soluções proprietárias. Segundo Varadarajan (2004), quando um dispositivo de rede, com suporte ao padrão IEEE 802.1Q, recebe quadros vindos de uma estação de trabalho, ele os rotula, inserido um novo campo chamado de TAG, indicando a rede virtual de onde vem o quadro e a prioridade. Este processo é chamado de marcação explícita (explicit tagging). O termo TAG é bastante utilizado em diversas áreas de Tecnologia da Informação, como por exemplo delimitadores de estilo e/ou conteúdo nas linguagens HTML e XML, e não deve ter seu objetivo confundido com o utilizado ao longo deste trabalho. Para Moraes (2002), tal marcação é necessária para que, ao serem enviados através da rede, possam ser identificados a qual VLAN os quadros pertencem, de modo que o dispositivo (ponte, switch) encaminhe-os somente para as portas que também pertencem a esta rede virtual. Do contrário, os quadros são encaminhados para todas as portas.

27 25 De acordo com Dantas (2002) as TAG são campos de 4 bytes inseridos no quadro Ethernet original, entre os campos de endereço do remetente e o campo tipo/tamanho. A figura 4 apresenta o formato padrão antes e depois da inserção. Figura 4 Formato de quadro Ethernet e 802.1Q. Fonte : Tanenbaum (2004) De acordo com Bicudo (2004), esse novo campo de 4 bytes a ser adicionado, a chamada TAG, contém: ID de protocolo de VLAN: dois bytes de valores fixos igual a 0x8100. Esse valor específico determina que os próximos dois bytes carregam informações do TAG dos padrões 802.1p e 802.1Q. Alguns autores utilizam apenas o rótulo 8100; Priorty: responsável por carregar a informação da prioridade através de LANS. Os três bits são capazes de representar oito diferentes níveis de prioridades ( de 0 a 7); CFI - Canonical Format Indicator: apenas um bit que em '0' indica forma canônica, enquanto em '1' indica forma não-canônica. Esta forma é usada no método de acesso ao meio roteados por FDDI/Token-Ring para sinalizar a ordem da informação de endereço encapsulado no quadro. Tanembaun (2004) faz sérias críticas de caráter político a existência deste campo : a política do comitê não é diferente da política comum : se você votar no meu bit eu voto no seu. VID Identificador de VLAN : identifica a qual VLAN o quadro pertence. Pelo seu tamanho, doze bits, pode-se calcular o número máximo de VLANs que podem ser unicamente identificadas , sendo que a VLAN 0 e a

28 26 VLAN 4095 são reservadas. Para Tanenbaum (2003) este é o mais importante campo. A inclusão de um campo em um quadro pode gerar um problema para protocolos que não contém um campo de priorização (como o Ethernet). O problema dessa inclusão é a não conformidade com padrão de tamanho máximo do quadro de 1500 bytes de dados, ou seja, todos os equipamentos que implementam Ethernet teriam,teoricamente, problemas. De acordo com IEEE o quadro Ethernet não pode exceder 1518 octetos, então se ao quadro é adicionado o TAG do 802.1Q/p, o tamanho máximo passará a ser de 1522, o que abre uma janela de possíveis problemas com equipamentos que implementam o Ethernet e fazem isso através de hardware. (Bicudo, 2004). Uma solução proposta por Moraes (2002) seria a redução do tamanho máximo de "payload" dos dados em 4 bytes, fazendo assim com que o tamanho do quadro se mantivesse. Tanenbaum (2003) afirma que a solução é perceber que os campos VLAN só realmente são usados pelas pontes e switch, e não pelas máquina dos usuários. A afirmação de Tanenbaum (2003) é comprovada na prática, onde um switch recebe um quadro com TAG e tem que entregá-lo a uma estação que possui uma interface de rede sem suporte ao 802.1Q ele simplesmente retira essa TAG. Uma vez indicado o destino do quadro, também é necessário determinar se o identificador VLAN deve ser adicionado ao quadro e enviado. (Moraes, 2004) Ainda segundo o mesmo autor, caso o destino do quadro seja um dispositivo com suporte a VLAN a TAG é adicionada. Entretanto, se o destinatário não suporta o padrão IEEE 802.1Q o dispositivo envia o quadro sem a TAG. Porém, o problema não tem solução se o próprio switch não suporta 802.1Q. Também é possível determinar a qual VLAN o quadro recebido pertence utilizando a marcação implícita (implicit tagging). Neste procedimento o quadro não é rotulado, mas a VLAN de origem do quadro é identificada por outro tipo de informação, como por exemplo a porta onde o quadro chegou. (Moraes,2004). Para saber onde deve ser encaminhado o quadro, o dispositivo de rede utiliza um base de dados chamada de filtering database, que deve estar presente e ser a mesma em todos os equipamentos da rede. Esta base, que deve estar sempre atualizada contém um mapeamento entre VLANs. De acordo com Tanenbaum (2003), os dispositivos com suporte a 802.1Q