Roteamento e Comutação
Uma estação é considerada parte de uma LAN se pertencer fisicamente a ela. O critério de participação é geográfico. Quando precisamos de uma conexão virtual entre duas estações que estão em duas LANs fisicamente diferentes podemos criar uma VLAN (Virtual Local Area Network), que é uma rede configurada por software em vez de fiação física. Vlan 2 Vlan 3
Uma LAN é um domínio de broadcast criado por um ou mais switches. Utilizando VLAN é possível utilizar conjunto de portas para criar diferentes domínios de broadcast. Para que os computadores se comuniquem na mesma VLAN o Domínio de broadcast switch precisa ser configurado e switch cada porta correspondente deve ser atribuída a essa VLAN. Uma porta de switch com uma única VLAN configurada é chamada de porta de acesso. Domínio de broadcast Lembre-se: só porque dois computadores estão conectados fisicamente ao mesmo switch não significa que eles podem se comunicar.
Benefícios de uma VLAN Segurança: grupos que têm dados confidenciais são separados do restante da rede, o que diminui as chances de violações das informações confidenciais. Os computadores dos funcionários estão na VLAN 10, estando totalmente separados do tráfego de dados dos alunos e dos convidados. Redução de custo: economia de custos é resultante da menor necessidade das atualizações de rede caras e do uso mais eficiente da largura de banda e dos uplinks existentes. Desempenho mais alto: dividir as redes da Camada 2 simplesmente em vários grupos de trabalho lógicos (domínios de broadcast) reduz um tráfego desnecessário na rede e aumenta o desempenho.
Benefícios de uma VLAN Maior eficiência do pessoal de TI: VLANs simplificam o gerenciamento da rede porque os usuários com requisitos de rede semelhantes compartilham a mesma VLAN. Quando você provisiona um novo switch, todas as políticas e procedimentos já configurados para a VLAN específica são implementados quando as portas são atribuídas. Também é fácil para o pessoal de TI identificar a função de uma VLAN, dando a ela um nome apropriado. Vlan 10 Vlan 10 Vlan 20 Vlan 20
Tipos de VLAN Atualmente, há basicamente uma forma de implementar VLANs VLANs baseadas em porta. Uma VLAN baseada em porta é associada a uma porta chamada de VLAN de acesso. VLAN de dados: uma VLAN de dados é uma VLAN configurada para transportar apenas o tráfego gerado pelo usuário. Uma VLAN pode transportar o tráfego baseado em voz ou o tráfego usado para gerenciar o switch, mas esse tráfego não faria parte de uma VLAN de dados. É uma prática comum para separar o tráfego de voz e de gerenciamento do tráfego de dados. A importância de separar dados de usuário dos dados de controle de gerenciamento do switch e do tráfego de voz é realçada pelo uso de um termo especial para identificar VLANs que só transportam dados de usuário uma "VLAN de dados". Às vezes, uma VLAN de dados é conhecida como VLAN de usuário.
Tipos de VLAN VLAN nativa: uma VLAN nativa é atribuída a uma porta de tronco 802.1Q. Uma porta de tronco 802.1Q oferece suporte ao tráfego de muitas VLANs (tráfego marcado), bem como também ao tráfego que não vem de uma VLAN (tráfego sem marcação). A porta de tronco 802.1Q posiciona o tráfego sem marcação na VLAN nativa. As VLANs nativas são definidas na especificação IEEE 802.1Q para manter a compatibilidade com versões anteriores com tráfego sem marcação comum a cenários de rede local antigos. Tendo em vista as nossas finalidades, uma VLAN nativa serve como um identificador comum em extremidades opostas de um link de tronco.
Tipos de VLAN VLAN de gerenciamento: é uma VLAN configurada para acessar os recursos de gerenciamento de um switch. A VLAN 1 serviria como a VLAN de gerenciamento se você não tivesse definido alguma outra para este propósito. Você atribui à VLAN de gerenciamento um endereço IP e uma máscara de sub-rede. Um switch pode ser gerenciado por HTTP, Telnet, SSH ou SNMP. Pelo fato de a VLAN 1 ser a padrão para gerenciamento do switch, ela não é a melhor opção em função de possibilitar a um usuário arbitrário se conectar ao switch para usar o gerenciamento. VLAN de voz: é fácil perceber por que uma VLAN separada é necessária para suportar Voz sobre IP (VoIP). Imagine que você esteja recebendo uma chamada de emergência e, de repente, a qualidade da transmissão cai tanto que não é possível compreender o que está sendo dito. O tráfego VoIP exige: -Largura de banda assegurada para garantir qualidade de voz -Prioridade de transmissão sobre outros tipos de tráfego da rede -Capacidade de roteamento em áreas congestionadas na rede -Atraso inferior a 150 milissegundos (ms) através da rede
Tipos de VLAN Vlan Nativa Vlan Voz Vlan Dados Vlan Gerenciamento
Modos de portas de switch VLAN VLAN As portas de switch são interfaces apenas da Camada 2 associadas a uma porta física. As portas de switch são usadas para gerenciar a interface física e os protocolos associados da Camada 2. Elas não tratam roteamento. As portas de switch pertencem a uma ou mais VLANs. Uma porta pode ser configurada para suportar estes tipos de VLAN: VLAN estática: é a maneira típica de se criar VLANs e são mais seguras. A porta de um switch que for associada a uma VLAN sempre se mantém naquela VLAN até que um administrador altere a associação da porta. Esse tipo de configuração é fácil de configurar e monitorar, funcionando bem numa rede em que o movimento dos usuários é controlado. VLAN de voz: uma porta é configurada para estar no modo de voz para que seja capaz de suportar um telefone IP acoplado.
Modos de portas de switch VLAN VLAN VLAN dinâmica: determinam a associação de nós a VLAN automaticamente. Usando software de gerenciamento inteligente, podem-se habilitar endereços de hardware (MAC), protocolos ou mesmo aplicativos para criar VLANs. Por exemplo, suponha que os endereços MAC foram definidos através de um aplicativo de gerenciamento de VLANs. Se o nó é então conectado a uma porta do switch não associada, o banco de dados de gerenciamento de VLANs pode procurar pelo endereço de hardware, associar e configurar a porta do switch para a VLAN correta. Todavia, mais trabalho administrativo é necessário inicialmente para configurar o banco de dados. Administradores CISCO podem usar o serviço VMPS (VLAN Management Policy Server) para configurar um banco de dados de endereços MAC que podem ser usados para endereçamento dinâmico de VLANs. VMPS é banco de dados de mapeamentos de endereço MAC para VLAN.
Identificando VLANs Ao configurar uma VLAN, você deve atribuir a ela uma ID numérica, podendo também dar-lhe um nome. A finalidade das implementações VLAN é associar criteriosamente portas com VLANs específicas. Você configura a porta para encaminhar um quadro para uma VLAN específica. É possível configurar uma porta para pertencer a uma VLAN, atribuindo um modo de associação que especifica o tipo de tráfego transportado pela porta e as VLANs às quais ela pode pertencer. VLANs podem se espalhar através de vários switches. Switches nessa estrutura devem manter um registro dos frames e a qual VLAN eles pertencem. Essa função é denominada de Frame Tagging. Os switches podem então direcionar os frames para as portas apropriadas dependendo da VLAN a qual eles pertençam
Frame tagging Um switch numa rede precisa de uma maneira de manter o caminho que os frames viajam na estrutura de switches e VLANs. Uma estrutura de switches é um grupo de switches compartilhando as mesmas informações de VLANs. A identificação de frame ou Frame Tagging associa de forma única um ID para cada frame. Isso é algumas vezes referenciado como VLAN ID ou cor. A Cisco utiliza o Frame tagging quando um frame Ethernet atravessa um trunked link. Cada switch que o frame alcança deve identificar a VLAN ID, então determinar o que fazer com o frame baseado na tabela de filtros. Se o frame alcançar um switch que tem outro trunked link, o frame será encaminhado para fora da porta trunk link. Uma vez que o frame alcançar uma saída para o Access link, o switch remove o identificador da VLAN. O dispositivo final receberá os frames sem ter que entender a identificação da VLAN.
Tipos de Link Access Links: links que são somente parte de uma VLAN e são referenciados como VLAN nativa da porta. Qualquer dispositivo conectado a um access link é automaticamente um membro da VLAN. Esse dispositivo apenas assume que é parte de um domínio de broadcast, sem o entendimento da localização física. Switches removem qualquer informação de VLAN do frame antes que ele seja enviado para um dispositivo access link. Dispositivos do tipo access link não podem se comunicar com dispositivos fora de sua VLAN a menos que o pacote seja roteado através de um roteador. Trunk Links: Trunks (Troncos de VLAN) podem suportar várias VLANs. A origem do nome vem do termo tronco do sistema telefônico, na qual são suportadas várias conversações telefônicas. Trunk links são usados para conectar vários switches, roteadores ou mesmo servidores. Trunked links são somente suportados em Fast ou Gigabit Ethernet. Trunk links são usados para transportar VLANs entre dispositivos e podem ser configurados para transportar todas as VLANs ou apenas algumas. Trunk links têm ainda uma VLAN nativa ou default que é usada caso o trunk link falhe.
Métodos de identificação de VLAN VLAN Para manter um registro dos frames que percorrem uma estrutura de switches é usada a Identificação de VLAN o que designa a quais VLANs eles pertencem. Há vários métodos de trunking: ISL: proprietário de switches CISCO, é usado em links FastEthernet e Gigabit Ethernet. Pode ser usada numa porta de switch, interface do roteador e numa placa de rede de servidor. O server trunking faz parte de todas as VLANs (domínios de broadcast) simultaneamente. Os usuários não têm que atravessar um dispositivo nível 3 para acessar o servidor da companhia. IEEE 802.1q: criado pelo IEEE como o método padrão de Frame Tagging. Ele realmente insere um campo dentro do frame para identificar a VLAN. No caso de fazer trunking entre diferentes marcas de switch e CISCO, tem-se que usar 802.1q.
Métodos de identificação de VLAN VLAN LAN emulation (LANE): usado para comunicar várias VLANs sobre ATM. 802.10 (FDDI): usado para enviar informações de VLAN sobre FDDI. Usa o campo SAID no cabeçalho do frame para identificar a VLAN.
Controle de broadcast Broadcasts ocorrem em todos os protocolos, mas com que frequência ocorrem depende do protocolo, do aplicativo executando na rede e como os serviços são usados. Alguns aplicativos mais antigos têm sido reescritos para reduzir necessidades de largura de banda. Todavia, há uma nova geração de aplicativos que são consumidores de largura de banda, consumindo tudo que encontram. Falhas em equipamentos, segmentações inadequadas e firewalls pobremente projetados podem também adicionar problemas para aplicativos de broadcast intensivo. Roteadores, por default, enviam broadcasts somente dentro da rede que originou, mas os switches encaminham broadcasts para todos os segmentos. Como administrador, deve-se ter certeza que a rede está segmentada apropriadamente para que os problemas de um segmento não se propaguem por toda a rede. A maneira mais efetiva de evitar os problemas é a utilização de switches e routers. Todos os dispositivos numa VLAN são membros do mesmo domínio de broadcast e recebem todos os broadcasts. Os broadcasts, por default, são filtrados por todas as portas no switch que não são membros da mesma VLAN. Roteadores, switches nível 3 devem ser usados em conjunção com switches para fornecer conexões entre redes (VLANs), na qual podem fazer com que pacotes de broadcasts parem de se propagar através da rede inteira.
Segurança Qualquer um conectado a rede física poderia acessar os recursos da rede naquela malha física. Um usuário poderia também conectar um analisador de protocolos ao Hub e ver todo o tráfego que passa naquela rede. Outro problema foi que os usuários poderiam unir um grupo de trabalho apenas conectando suas estações ao mesmo Hub. Com o uso de VLANs e criando vários grupos de broadcast, os administradores têm controle sobre portas e usuários. Usuários não terão acesso aos recursos de rede apenas conectando as estações em qualquer porta do switch. O administrador controla cada porta e todos os recursos que são permitidos usar. Os grupos podem ser criados de acordo com os recursos de rede. Os switches podem ser configurados para informar a uma estação de gerenciamento de rede de qualquer acesso não autorizado aos recursos de rede. Se houver necessidade de comunicação entre VLANs, restrições no roteador também podem ser implementadas. Restrições também podem ser colocadas no endereço de hardware, protocolos e aplicativos.
Flexibilidade e escalabilidade Switches nível 2 somente leem por filtragem. Eles não verificam o protocolo da camada de rede. Essa característica faz com que o switch encaminhe todos os pacotes de broadcast. Todavia, através de VLANs, cria-se automaticamente domínios de broadcast. Broadcasts enviados de um nó na VLAN não serão encaminhados para as portas configuradas em outra VLAN. Associando portas de switch ou usuários para grupos de VLANs num switch ou grupo de switches conectados, tem-se a flexibilidade de adicionar somente os usuários intencionados no domínio de broadcast, independente, de sua localização física. Isso pode parar as tempestades de broadcasts causadas por uma falha em uma placa de rede (NIC) ou aplicativos que o estejam gerando. Quando uma VLAN se tornar muito grande, pode-se criar mais VLANs para que os broadcasts não consumam muita largura de banda.