Virtual Local Area Network VLAN

Virtual Local Area Network VLAN 1

Domínios de broadcast com VLANs e Roteadores Permite a criação de Redes Lógicas distintas e independentes em uma mesma rede física Configuração por software (Switch) Hosts conectados a diferentes Switches, comportam-se como se estivessem conectados a um mesmo Switch Divide domínios de broadcast. Melhor desempenho das LANs VLANs devem utilizar sub-redes distintas, mesmo configuradas no mesmo Switch 2

Introdução a VLAN VLANs são usadas para segmentar redes e proporcionam escalabilidade, segurança e gerência Switchs são interligados por VLAN TRUNKS que conduzem o tráfego das diversas VLANs. 3

Introdução a VLAN Hosts em VLANs distintas, se comunicam através do Roteador 4

Duas sub-redes e um Switch, sem VLANs 10.1.0.10/16 DG:10.1.0.1 10.2.0.20/16 DG:10.2.0.1 10.1.0.30/16 DG:10.1.0.1 10.2.0.40/16 DG:10.2.0.1 Broadcasts de camada 2: O que acontece quando o host 10.1.0.10 envia um ARP Broadcast para a Rede 10.1.0.0/16? O Switch inunda todas as suas portas Todos os hosts, inclusive os em sub-redes distintas, recebem o broadcast Os Broadcasts deveriam se propagar apenas em uma rede (performance) Este efeito também acontece para Unicast com MAC não atualizado na Tabela ARP SEGURANÇA: Se o usuário alterar o seu endereço IP, participará sem restrição de qualquer sub-rede 5

Duas sub-redes e um Switch, sem VLANs 10.1.0.1 10.2.0.1 10.1.0.10/16 DG:10.1.0.1 10.2.0.20/16 DG:10.2.0.1 10.1.0.30/16 DG:10.1.0.1 10.2.0.40/16 DG:10.2.0.1 Hosts em sub-redes distintas podem se comunicar através de Roteador 6

Duas sub-redes e um Switch, sem VLANs 10.1.0.1 10.2.0.1 ARP REQUEST Solução tradicional: Múltiplos Switches 10.1.0.10/16 DG:10.1.0.1 10.1.0.30/16 DG:10.1.0.1 10.2.0.20/16 DG:10.2.0.1 10.2.0.40/16 DG:10.2.0.1 Hosts da mesma sub-rede conectados a Switch independente (menor escalabilidade). O Roteador garante segmentação de broadcast e unicast desconhecido. Alto custo e desperdício de portas 7

Domínios de broadcast com VLANs e Roteadores VLAN 10 VLAN 20 ARP REQUEST Porta 1 Porta 8 Porta 14 Porta 24 10.1.0.10/16 DG:10.1.0.1 10.2.0.20/16 DG:10.2.0.1 10.1.0.30/16 DG:10.1.0.1 10.2.0.40/16 DG:10.2.0.1 VLAN é um domínio de brodcast criado em um ou mais Switches. Cada Porta de Switch pode ser designada para uma VLAN distinta. Portas designadas para uma mesma VLAN, estão no mesmo domínio de broadcast. Existem dois tipos de VLANs: Estáticas Dinâmicas 8

Configuração de VLANs Estática: Baseada em portas Conforme um dispositivo ingressa na rede, automaticamente assume a VLAN da porta na qual está conectado Administrador configura cada porta associando uma VLAN específica Dinâmica: Baseadas em endereços de rede MAC ou IP. Administrador cadastra previamente endereços MAC ou IP e os associa às VLANs (banco de dados). Quadros de um determinado endereço, independente da Porta, só serão enviados para os hosts que pertençam à sua VLAN específica. 9

VLAN Estática VLANs são definidas na porta do Switch É o método mais comum de configuração de VLAN O host deve ter endereço IP pertencente a sub-rede da VLAN. O conceito de VLAN está intimamente relacionado ao de sub-rede. A VLAN 1, default, é usada para gerência da rede. Inicialmente todas as Portas da Switch estão associadas a esta VLAN. VLANs estáticas são chamadas PORT-BASED e PORT-CENTRIC 10

VLAN Dinâmica Criadas por software de gerência de rede geralmente utilizados em Switchs avançados Permitem associação à VLAN com base no MAC do dispositivo conectado à Porta do Switch Ao ingressar na rede, o dispositivo envia um query (consulta) para uma database dentro do Switch para obter sua VLAN Notificação quando usuário não reconhecido é acrescentado à rede 11

Tipos de VLANs VLANs baseadas em portas VLANs baseadas em endereço MAC VLANs baseadas em IP 12

Associação por Portas Baseadas nas portas físicas dos Switchs 13

VLANs Centradas em Portas Na associação VLAN port-based ou port-centric, a porta é designada a uma associação VLAN específica independentemente do usuário ou sistema conectado à porta. Quando esse método de associação estiver sendo usado, todos os usuários da mesma porta precisam estar na mesma VLAN. Esse método é fácil de gerenciar porque não é necessário manter tabelas complexas de consulta para a segmentação de uma VLAN. 14

Associação por MAC Computador sempre associado a sua VLAN, independente da porta física a que esteja conectado 15

Associação por Protocolo Baseada no endereço de camada 3. Um exemplo seria usar o endereço IP para associar o computador à sua VLAN, independente da Porta e do seu MAC Associação por Autenticação Baseada nas credenciais fornecidas pelo usuário (ou dispositivo) usando o protocolo 802.1x. Os dispositivos são associados dinamicamente à VLAN 16

Tipos de VLANs 17

Comunicação entre VLANs Com VLAN Taggin Sem VLAN Taggin Sem VLAN Taggin, os troncos que interligam os Switches só transportam tráfego de uma única VLAN. VLAN Taggin é usado apenas quando um único link necessita transportar tráfego para mais de uma VLAN Usualmente o backbone que interliga todas às VLANs de rede tem VLAN Taggin habilitado 18

Vantagens das VLANs As VLANs permitem que os administradores de redes organizem redes locais logicamente em vez de fisicamente. Esta é uma vantagem importante. Isso permite que os administradores de redes realizem várias tarefas: Mover facilmente as estações de trabalho na rede local Adicionar facilmente estações de trabalho à rede local Modificar facilmente a configuração da rede local Controlar facilmente o tráfego da rede Melhorar a segurança 19

Número de VLANs por Switch O número de VLANs em um switch varia conforme vários fatores: Padrões de tráfego Tipos de aplicações As exigências de gerenciamento da rede Atributos que os grupos têm em comum 20

Abrangência das VLANs Cada VLAN precisa ter designado exclusivamente a ela um endereço de subrede de Camada 3 da rede. As VLANs podem existir como redes fim-a-fim ou podem existir dentro de limites geográficos. VLAN FIM-A-FIM VLAN GEOGRÁFICA 21

VLAN fim-a-fim A associação VLAN para usuários é baseada no departamento ou função profissional, independentemente da localização dos usuários. Todos os usuários em uma VLAN devem ter os mesmos padrões de fluxo de tráfego 80/20 (Interno/Externo). Cada VLAN possui um conjunto de requisitos de segurança comum a todos os membros. Como os usuário mudam de ambiente, cada switch eventualmente se torna 22 membro de todas as VLANs.

VLAN fim-a-fim Os servidores de grupos de trabalho operam em um modelo cliente/servidor. Por esta razão, os usuários são designados à mesma VLAN em que está o servidor que utilizam para maximizar o desempenho da comutação de Camada 2 e para manter o tráfego localizado. Um roteador da camada central (core layer) é usado para rotear entre sub-redes. A rede é projetada, com base nos padrões de fluxo do tráfego para manter 80 por cento do tráfego dentro de uma VLAN. Os 20 por cento restantes atravessam o roteador até os servidores corporativos e até a WAN e a Internet. 23

VLAN Geográfica São mais comuns do que as VLANs fim-a-fim. Com a tendência das redes corporativas a centralizarem seus recursos, as VLANs fim-a-fim se tornam mais difíceis de manter. Em uma estrutura geográfica, é típico encontrar a nova regra de tráfego 20/80. Embora essa topologia exija que os serviços dos recursos transitem através de um dispositivo de Camada 3, esse arranjo permite que a rede proporcione um método determinístico e consistente para acessar os recursos. 24

Configuração de VLAN Estática As VLANs estáticas são portas em um switch que são atribuídas manualmente a uma VLAN. Isso pode ser realizado com um aplicativo de gerenciamento de VLAN ou configurado diretamente no switch através da CLI. Essas portas mantêm as configurações de VLAN que lhe foram atribuídas até que sejam modificadas manualmente. Esse tipo de VLAN funciona bem em redes com requisitos específicos: Todas as mudanças são controladas e gerenciadas. Existe um software robusto de gerenciamento de VLAN para configurar as portas. O consumo adicional de recursos necessário para manter endereços MAC de estações finais e tabelas especializadas de filtros não é desejável. 25

Configuração de VLAN Estática Para configurar VLANs em switches Cisco da série 2900, precisam ser seguidas diretivas específicas. O número máximo de VLANs depende do switch. Uma das VLANs default da fábrica é a VLAN1. A VLAN Ethernet default é VLAN1. Anúncios do Cisco Discovery Protocol (CDP) e do VLAN Trunking Protocol (VTP) são enviados na VLAN 1. O endereço IP do switch está no domínio de broadcast da VLAN1 por default. O switch precisa estar no modo de servidor VTP para criar, adicionar ou excluir VLANs. 26

Configuração de VLAN Estática Para criar uma VLAN em um switch a partir da CLI, execute o comando abaixo: Switch#vlan database Um nome também pode ser configurado para a VLAN:, Switch(vlan)#vlan vlan_number name vlan_name Ao sair, a VLAN será aplicada ao switch: Switch(vlan)#exit 27

Configuração de VLAN Estática Para designar a VLAN a uma interface: Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan_number Switch(config-if)#end Switch# Obs: access indica que a porta funcionará como acesso e não como tronco. Deve ser configurada em todas as portas que o Administrador não queira que se transformem em portas tronco Para designar a VLAN a uma faixa de interfaces: Switch(config)#interface range fastethernet 0/9 0/12 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan vlan_number Switch(config-if)#end Switch# 28

Configuração de VLAN Estática Para examinar as configurções de VLAN: Switch#show vlan Switch#show vlan id number Switch#show vlan name vlan2 Outras VLANs default para ambientes não-ethernet (1001,..., 1005) serão listadas Salvando a configuração de uma VLAN Switch#copy running-config tftp (pode também ser usado recurso do HyperTerminal) 29

Excluindo VLANs Para excluir uma VLAN de uma ou mais interfaces: Switch#vlan database Switch(vlan)#no vlan number Quando uma VLAN é excluída, todas as portas designadas àquela VLAN são desativadas. As portas, no entanto, permanecerão associadas à VLAN excluída até que sejam designadas a outra VLAN. Switch#show vlan Switch#show vlan id number Switch#show vlan name vlan2 Podemos também, desassociar as Portas das VLANs, antes da exclusão, resetando as interfaces para a VLAN1. Switch(config-if)#no switchport access vlan vlan_number OBS.: A VLAN1 não pode ser removida do Switch 30

Excluindo VLANs Apagando informações de VLAN: Informações de VLANs são mantidas no arquivo vlan.dat O vlan.dat não é apagada quando apagamos a startup-config Para remover as informações de VLAN, use os seguintes comandos: Switch#delete flash:vlan.dat Delete filename [vlan.dat]? Delete flash:vlan.dat? [confirm] Switch#erase startup-config Switch#reload 31