Uso de Virtual Lan (VLAN) para a disponibilidade em uma Rede de Campus Edson Rodrigues da Silva Júnior. Curso de Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Fevereiro de 2010. Resumo Com a crescente utilização das redes de computadores e as interconexões de várias redes locais (LAN), interatividade e recursos disponíveis, surgem à necessidade de organização, controle, performance e uma melhor gerência nos meios de comunicação e de tráfego. As redes de campus oferecem maneiras simples e fáceis de escalabilidade com o mínimo de interferência nas implantações dos projetos de redes. Esse estudo mostra como o uso de Redes Locais Virtuais (VLAN) possibilita a criação de várias redes em único segmento físico presente.
1. Redes de Campus. Um campus é um prédio ou conjunto de prédios conectados a rede de uma empresa formada por várias LANs, sendo também definido como uma empresa ou parte de uma empresa contida em uma área geográfica fixa. A principal característica de um ambiente de campus é que a empresa possui redes conectadas entre si através de cabos físicos, que em geral usam tecnologias de LAN, tais como Ethernet, Token Ring (já em desuso) e o FDDI (Fiber Distributed Data Interface) A Figura 1-1 mostra uma rede de campus de exemplo. Figura1 - Uma rede de campus comum. Os administradores de redes quando elaboram projetos de instalação em campus, devem usar meios de tráfego de forma efetiva, eficiente e conectividades mais velozes. Para alcançar esta meta, o mesmo deverá compreender, implementar e gerenciar o fluxo de tráfego de toda a sua rede. No começo, as redes de campus eram formadas por uma única rede local, na qual os novos usuários eram conectados devido às limitações de distância. Em geral, as redes de campus ficavam restritas a um único prédio ou a vários prédios próximos fisicamente. A LAN era uma rede física que conectava os dispositivos. No caso da Ethernet, todos os dispositivos compartilhavam o half-duplex de 10 Mbps disponível. Devido ao esquema CSMA/CD (Carrier Sense Multiple Access/Collision Detection) usado pela Ethernet, toda a LAN era considerada um domínio de colisão. Devido às restrições da rede Ethernet os usuários eram conectados fisicamente a um único dispositivo de acesso para minimizar o número de pontos no backbone. Embora os hubs tenham alcançado este requisito e se tornado os dispositivos padrões para os acessos múltiplos à rede, o rápido aumento na demanda dos usuários teve um forte impacto sobre o desempenho da rede. 1.1 Domínio de colisão em uma Rede de Campus Tradicional. Um dos grandes problemas enfrentados pelos administradores de redes era a disponibilidade de uma rede de campus, quando ela se encontra em um domínio de colisão, pois, os quadros que são direcionados entre computadores distintos em numa mesma LAN, todos os outros dispositivos conectados na rede serão visíveis. Para resolver foram criadas as
bridges (pontes), que limitavam os domínios de colisão, redirecionando pela Camada 2 do Modelo OSI. Karen Webb [1] define como: Um domínio de colisão é formado por todos os dispositivos que possam ver ou estar envolvidos em uma colisão. Um dispositivo da Camada 2, como uma bridge ou um switch,limita um domínio de colisão. Um domínio de colisão é diferente de um domínio de broadcast. Um domínio de broadcast é formado por todos os dispositivos que podem ver o broadcast. Um dispositivo da Camada 3, como um roteador,limita um domínio de broadcast. Por default, portas de bridge tradicionais criam domínios de colisão separados, mas participam de um mesmo domínio de broadcast..(webb, 2003) No entanto, como as bridges lêem apenas o endereço MAC no quadro, o broadcast continua inundando a rede com quadros inúteis que poderão limitar a largura de banda da mesma, os roteadores trabalham na camada 3 do modelo OSI, e isso limita a propagação de broadcast de uma rede para outra, e que pode tomar decisões inteligentes no que se refere ao fluxo de informações que se destina a uma sub-rede. Figura 2 - A solicitação MAC é passada de bridge para bridge até chegar ao servidor. No exemplo acima, o pacote IP ARP (Address Resolution Protocol) que solicita o endereço MAC de destino propagando em todos os hosts da rede, a fim de encontrar o endereço IP do mesmo, inunda a sub-rede para fazer com que o dispositivo responda ao broadcast. Como a rede vai aumentando, o tráfego de broadcast também aumentará e isso fará com que a largura de banda disponível reduza. E não é somente em rede broadcast que isso acontece; em redes multicast também ocorre devido ao aumento de transmissão e do tipo de aplicação de dados em um número específico de usuários. 1.3 Uma solução: a localização de tráfego. Para solucionar o problema mencionado, existem duas opções para conter a propagação de broadcast em uma LAN com redes comutadas. Criação de várias sub-redes usando o roteador: é possível que com a criação de subredes dentro dos roteadores, o tráfego de broadcast não passará, mas criará um gargalo na rede, pois os switches processam milhões de pacotes por segundo, enquanto que roteadores fazem centenas de milhares de pacotes por segundo, além de fazer o processo de comutação tanto na camada 2 como na camada 3.
Usando LAN Virtual (VLAN): como o nome já diz, é a criação de redes virtuais em um único dispositivo físico, com o intuito de filtrar o domínio de broadcast dentro de uma sub-rede no meio físico e separar o fluxo de tráfego. A VLAN possui características que são: Os dispositivos são membros de um único domínio de broadcast: uma estação só transmite broadcast a seu próprio domínio. Uma VLAN tem número de portas de um switch: como as estações pertencem a uma VLAN, elas estarão associadas a uma porta no switch, como também podem participar através do MAC da estação. As VLANs fazem a contenção de tráfego: em uma rede que possui V-LAN, todo o tráfego de dados, incluindo broadcast e multicast será limitado dentro dessa rede, sendo ela roteada em um processo de Camada 3. Segurança: além do que mencionado acima, essa limitação permitirá mais controle nos acessos internos a essa rede, inclusive, checando se dentro da mesma há algum dispositivo que exceda a largura de banda disponível. Nivelamento na carga de acesso: Usando a VLAN de forma inteligente, o processo de roteamento permitirá melhores acessos a rotas de destino. 1.4 A regra 80/20 e 20/80 como forma de controle na rede. Atualmente, as aplicações estão necessitando de mais recursos provenientes (se não diretamente) ao backbone. Essas aplicações que incluem, Voz Sobre IP (VoIP), programas de videoconferência e eventos transmitidos ao vivo vem ganhando notoriedade. Anterior a este evento, as redes eram regidas por duas regras: a regra 80/20 e a regra 20/80. A Regra 80/20: no início, o ambiente de rede era constituído de redes segmentas no mesmo local onde ficavam os servidores que tinham mais acessos, e isso minimizava a carga no backbone da rede, pois o acesso limitava a um único local devidamente planejado, deixando 80% do acesso a rede local e 20% ao backbone. Não havia a necessidade de acréscimo de switch e hubs para um melhor desempenho na rede. A nova regra 20/80: é o efeito contrário da anterior. Parte dos acessos será de 20% em redes locais e 80 % no backbone. Com o surgimento de aplicações com base na Web o computador passa a ser tanto receptor quanto alimentador de informações, e isso gera uma grande quantidade de tráfego vindo de todos os níveis de rede e sub-rede, sem que os usuários precisem saber de onde os dados estão localizados. Como conseqüência da consolidação dos servidores centrais, o tráfego de dados passa a ser pelo backbone. 2. VLAN ponto-a-ponto e VLAN local. Numa definição básica, existem dois métodos de limites de uma VLAN que são VLAN ponto-a-ponto e VLAN local. Vamos a elas. VLAN ponto-a-ponto: A principal característica é que há um agrupamento de dispositivos na rede baseado em algo comum, como por exemplo, o uso de um servidor, setor ou um departamento, que permita a manutenção de 80 % em rede local.
Figura 3. VLANs ponto-a-ponto. VLAN local: com a centralização de recursos, uma V-LAN local tem como base nos limites geográficos, e isso permite uma melhor consistência no gerenciamento de recursos em comum. Figura 4 - VLANs Locais ou geográficas. 2.1 Identificação de VLANs e tipos de enlace. Em um ambiente Ethernet, os switches permitem que várias VLANs possam estar em um mesmo switch, e são capazes de transportar tráfegos de diferentes VLANs. Por isso, a Ethernet não permite uma identificação, pois a informação já está incluída no pacote. Numa rede de campus, a associação de usuários a grupos de VLANs permite ser direcionada para a porta certa. Como essa identificação foi desenvolvida para comunicações entre switches, o switch identifica no cabeçalho e decidirá se faz o broadcast ou faz outra informação para outras portas da mesma VLAN. Num ambiente de switch, existem dois tipos de enlace: de acesso e de tronco. No enlace de acesso existe uma única VLAN, a qual é chamada de VLAN nativa. Esse tipo de enlace é restritivo, pois não recebe nenhuma informação de outra VLAN a não ser que tenha
acesso a um roteador. No enlace de tronco é configurado para receber mais VLANs e transporta VLANs entre dispositivos. Segundo Karen Webb, alguns enlaces são considerados híbridos, ou seja, elas são ao mesmo tempo um enlace de tronco e um enlace de acesso..., ainda segundo Karen... Se o quadro recebido for etiquetado, ele será associado aquela VLAN que for igual ao campo VLAN_ID da etiqueta do quadro, se o quadro recebido não for etiquetado, ele será associado ao PVID (Port VLAN). 3. VLAN Trunking Protocol (VTP). Para um melhor gerenciamento na rede de campus, a CISCO* criou o VTP (VLAN Trunking), que consiste de mensagens que usam quadros de tronco da Camada 2 para adicionar, excluir e renomear de VLANs, sendo que, além disso, o VTP mantém a consistência na rede. O VTP reduz o surgimento de inconsistências nas alterações, pois as VLANs podem se fundir quando há nomes duplicados e quando o mapeamento da rede local é modificado (por exemplo, do Ethernet para FDDI.) O VTP tem quatro vantagens: Rastreamento e monitoramento; Consistência da configuração; Esquema de mapeamento atravessando backbones de cabeamento misto; Anúncio dinâmico de VLANs acrescentados à rede; Configuração Plug-and-Play **. No domínio de uma VTP, um switch pode ser configurado para apenas um domínio VTP como também ser formado por mais de um dispositivo conectado. Isso facilita o gerenciamento e permite que o switch receba ou não informações de uma VTP. A esse feito é chamado modo transparente. Na adição de uma ou mais VLANs, os switches servidores e/ou clientes deve estar preparados para receber o tráfego no protocolo 802.10. 3.1 Modos de operação VTP. Nos switches da família Catalisty da CISCO, pode ser realizado dois modos de VTP em uma rede de campus: Switch modo Server: no modo server, pode ser criado,alterado e excluído qualquer VLAN em todo o domínio VTP. Os servidores VTP se encarregam de atualizar e de sincronizar qualquer alteração para outros switches do mesmo domínio. Switch modo Client: no modo client, não se pode criar, alterar e nem excluir VLANs de um client VTP. Switch modo transparent: nesse modo, os switches não participam do VTP. Não anuncia e nem compartilha a informação na VLAN em anúncios recebidos, no entanto, na versão 2 do VTP, as informações são encaminhadas para as suas portastronco. *O nome Cisco provém da palavra reduzida de São Francisco; o nome cisco Systems (com o "c" minúsculo) continuou a ser usado pela comunidade de engenharia mesmo após o nome oficial da companhia ser alterado oficialmente para Cisco Systems, Inc. Fonte: Wikipédia (http://www.wikipedia.org). ** O método Plug-and-Play permite que os dispositivos que são conectados aos equipamentos, sejam reconhecidos sem a necessidade ou interferência mínima do usuário.
Tabela 1 Relação dos modos de switch. Criar e/ou alterar VLAN. Exclusão de VLAN. Atualização e sincronização de VLAN. Switch Modo Server. Switch Modo Client. Switch Modo Transparent. (versão 1). * Sim Não Não participa. Sim Não Não participa. Sim Sim Não participa. * Na versão 1, O Switch opera sem participação da VLAN, na versão 2 as atualizações são enviadas na portas-tronco. Nos anúncios VTP, os parâmetros de reconhecimento das VLANs são enviados para os endereços multicast, mas não encaminhados pelas bridges normais. Com as informações adquiridas, qualquer dispositivo que pertença no mesmo domínio saberá quais as configurações necessárias para a conectividade. Nesses anúncios existem dois tipos de mensagens: as requisições que pedem informações no momento de inicialização e as respostas dos servidores. A informação chega à forma de mensagens com os anúncios embutidos no quadro. 4. Poda VTP (VTP prunning). A poda VTP (ou VTP prunning) é um recurso para aumentar a largura de banda numa rede. A principal característica é a limitação da retransmissão de broadcast, multicast e unicast que não pertencem a VLAN configurada na rede. Nas figuras 5 e 6 mostram como ocorre numa rede de switches com e sem a poda VTP.
Figura 5 Rede de switches sem ativação da poda VTP. Nesta figura, vemos que a propagação de broadcast irá afetar a todos os switches nos quais a poda VTP não está ativada. Como conseqüência, haverá retransmissão de broadcast na rede, ocasionando gargalos no tráfego. Figura 6 Rede de switches com ativação da poda. Agora, com a ativação mostrada nesta figura, o host A, quando envia o broadcast até o host B, só será retransmitido através do switch 01,02 e switch 04, enquanto os switches 03,05 e 06 estar limitado a somente dentro de seu domínio VLAN. 5. Conclusão. As leituras e análises dos assuntos tratados nos mostram que o trabalho de um administrador de redes vai além de um simples conceito. É necessário enxergar a aplicabilidade das coisas e fazer com que elas sejam eficazes. Concluir um estudo é instigar a imaginação para uma nova descoberta. Sendo assim, pode-se concluir que ao projetar uma VLAN numa rede de campus, o administrador de rede terá facilidades na escalabilidade, e maior controle nas falhas e no fluxo de dados.
6. Referência Bibliográfica. [1] Webb, Karen Construindo Redes CISCO usando comutação multicamadas. Tradução Flavia Barktevivius Cruz, Pearson Education do Brasil, 2003. Título original: Building Cisco multilayer switched networks. ISBN 85.346.150-2 Acesso ao site http://www.cisco.com/web/about/ac50/ac47/2.html no dia 10 de fevereiro de 2010, às 14:45.