SegmentaodeRedescomVLAN LeonardoHaffermann PsGraduaoemRedeseSeguranadeSistemas PontifciaUniversidadeCatlicadoParan Curitiba,Novembrode2009 Resumo

Esteartigofoidesenvolvidocomointuitodeaprofundarosconhecimentosreferentes aimplementaodeRedesLocaisVirtuais(Vlan),destinadaaobtenodeumasegmentao lgica(virtual)emumambientefsicoafimdeseobtermelhordesempenhoeseguranaem uma estrutura de rede corporativa. Atravs do estudo de suas diversas caractersticas e configuraespodeseobteroconhecimentonecessrioparacompararasdiferentesformas deimplementaodeVlanse,decertaforma,dominarestatecnologiaquevemsedestacando nosltimosanosporsuaeconomia,flexibilidadeeversatilidade. 1 Introduo Nos ltimosanosavelocidadeeaquantidadedasinformaesquetrafegampela grandeRedetmexperimentadoumcrescimentoquenotendemaisaregredir.Omesmo ocorre,emescalamenor,naredelocaldeumaorganizao,ondeumnmerocrescentede computadores,perifricos(impressoras,scanners,cmeras,telefoniavoip,etc)eservidores quefornecemserviosesistemasdiversos compartilhamomesmomeiodecomunicao gerandoumnveldetrfegonaredeque,senocorretamentegerenciadopodeocasionar lentidoouatmesmoaindisponibilidadedeumoumaisservios. A implantao de VLANs (Virtual Local rea Network) tem a inteno de segmentarumaredelgicaafimdeaumentarocontroledetrfegodarede,diminuiroalcance dedisseminaodepacotesdedifuso(broadcast)edepragasvirtuais,melhoradoassimo desempenhoeaseguranadeumadeterminadarede. Inicialmenteseroapresentadososriscoseproblemasprovenientesdousodeuma rede no segmentada.Emseguidaser expostooconceitodeVLAN para,nasequencia, aprofundarse no estudo das caractersticas, classificao e configurao das VLANs. Finalmenteser apresentadoumcomparativodas tecnologiasestudadas soboenfoqueda segurana,gerenciamentoequalidadedoservio. 2 Descriodetalhadadoproblema Atualmente cadavezmaiscomumousodesoluesvirtuais,disponveisaum clique,parasubstituiraesque,h poucotempo,eramefetuadasfisicamentedemandando deslocamentos etempo disponvel como por exemploem livrarias online onde podemse adquirir livros, fsicos ou virtuais, em pouco tempo sem a necessidade de sair de sua 1

residncia. Emumaorganizaoestatendnciasegueomesmocaminhoafimdeagilizar processos,diminuircustoseaumentarlucros. Esteaumentodesoluese,consequentemente,deinformaestrafegandopelarede trouxe uma nova preocupao para a equipe de TI (Tecnologia da Informao) que o congestionamentodoslinks.Ocrescimentodesenfreadodotrfegoderedecriagargalosem determinados pontos da estrutura, podendo gerar lentido ou at tornar alguns servios indisponveistemporariamente.Estasituaopodeseragravadapelapropagaodepacotes dedifuso(broadcast)queemmuitoscasosconsomemfatiaconsiderveldabandadeum enlacededados. Outra questo importante a se considerar a segurana. Com o aumento de informaesconfidenciaiscirculandopelaredecrescetambmointeressedepessoasmal intencionadasbuscandocapturardadosparafinsdiversospormeiodadisseminaodepragas virtuais(vrus,worms,malwares,etc)ouatravsdesniffers,capturandopacoteseextraindo dadosquelhepareaminteressantesparausofuturo. 3 LAN,SegmentaoeVLAN Umaredelocal(LAN)podeserdefinidacomouma readecomunicaodedados interligadadeabrangnciarestritaealtastaxasdetransmisso,porm maiscomumente descritacomosendoumdomniodebroadcast,istoporque,umpacotededifusolanadoem umaredelocaldisseminaseparatodosospontosdeacessoativos. ASegmentaodeRedessurgiupara,entreoutrosmotivos,limitaradisseminao debroadcastsemumaredelocaleconsisteeminserirdispositivosnarede(roteadores)que bloqueiam apassagemdepacotesdebroadcastsquandoatravessamsuas interfaces.Estes roteadorestmtambmafunodeinterligardiferentesLans. MaisinformaesarespeitodeRedesLocaiseSegmentaodeRedespodemser encontradasemConhecimentosBsicosdeRedes[6]. Noentanto,paraseobteromesmonveldesegmentaoeseguranadeumarede local pode se utilizar uma soluo de baixo custo, se comparado com os preos dos roteadores, atravs de Vlans (Virtual Local rea Network). Uma Vlan proporciona uma segmentaolgicadaredeatravsdecomutadores(bridgesouswitches)comestafuno. Uma atributo importante das Vlans o fato de poder usla onde existe a necessidadedesepararatopologialgicadesegmentosderededatopologiafsica[3].Pode seativarduasVlansemalgumasportasdediferentesswitches,fazendocomqueestasse comportem como duas redes separadas, sendo assim, todos os pacotes provenientes de dispositivosmembrosdeumaVlansomenteseroencaminhadosparaasportasdosswitches pertencentesamesmaVlan.UmexemplobsicodeumaVlanapresentadonafiguraabaixo.

Figura1:ExemplodeVlan AimplementaodoconceitodeVlanstornaogerenciamentodasredeslocaismais flexveislevandoemconsideraoofatodepermitirquecomputadorespossamfazerpartede 2

umaououtraVlansemquesejanecessrioalteraraorganizaofsicadarede.Poroutro lado,emsuaconfiguraobsica,computadoresdeumaVlannopodemsecomunicarcom computadoresdeoutraVlan,damesmaformacomoredeslocaisdiferentesnopodemse comunicar.Assimtambmcomonasredeslocais,nasVlansdevemserusadosdispositivos roteadoresparaproporcionarainterconectividadeentreestas.OroteamentoentreVlansser analisadomaisadiante.NafiguraabaixopodemosverumexemplodeinterligaodeVlans usandoroteadores.

Figura2:InterconexoentreVlans 3.1 CaractersticasdasVLANs AprincipalcaractersticaatribudaaousodeRedesLocaisVirtuaisapossibilidade de seagruparestaespertencentesaumaoumaisLansfsicasparaseformarum nico domniodedifusoouBroadcast,garantindoacomunicaoentreelasmesmoquefaam partedesegmentosfsicosdiferentes[9]. Alm desta existem outras caractersticas importantes quando se avalia o uso de Vlansqueseroabordadasnostpicosaseguir. 3.1.1 Controledepacotesdedifuso(broadcasts) Em uma rede no segmentada, computadores, impressoras e outros dispositivos conectados disseminam uma grandequantidadede pacotes de difuso,sejaporfalhas na conexodoscabos,maufuncionamento deplacasderede,ouat mesmoporprotocolose aplicaesquegeramestetipodetrfego,podendocausaratrasonotempoderespostae lentidonaredelocal.NomodelodeVlans,existeumdomniolgicodedifusoporondeos pacotesdebroadcastoumulticastsocontidosenosepropagamaoutrasredesvirtuais[11]. AssimumaredesegmentadacomVlanscriavriossubdomniosdedifuso, diminuindoo trfegodemensagensdedifusotantonaredesegmentadacomonarededaorganizaoem geral.Aseguirpodemosvernafiguracomosecomportaotrfegodebroadcastsemumarede segmentadacomVlan.

Figura3:DisseminaodebroadcastscomVlan 3.1.2 Gerenciamentodarede EmumaLancomum,quando necessriomudarumcomputadordeumedifcio paraoutro,comumaredeseparada,necessrioexecutarumasriedeprocedimentos,desde lanamentodenovocabeamento,at configuraoderotaseregrasparaqueoequipamento permaneanamesmaredeligadaanteriormente.ComVlans,bastarealizaraconfigurao doscomutadoreseroteadoresparaque,emdeterminadasportas,sejapermitidootrfegode pacotesdaVlanaqualoequipamentopertenciaanteriormente,oqueevitaperdadetempo comdeslocamentoseinstalaes,proporcionandoumaaltaflexibilidade. Os equipamentos que suportam o uso de Vlans tambm possuem funes de monitoramento de trfego e comporta a ativao/desativao de portas permitindo que o administradorbloqueieportasqueapresentemqualquerproblemaouimpedirquepessoas, inadvertidamente,conectemequipamentosemdeterminadaredevirtual. 3.1.3 Performancedarede AimplementaodeVlanparasegmentarumaredemelhoraaperformance.Como relatado anteriormente, os broadcasts e multicasts so confinados a Vlan onde trafegam evitandocongestionamentos.Outracaracterstica ofatodediminuironmerodeestaes quecompartilhamomesmocanallgicodiminuindootempodeacesso[5]. 3.1.4 Segmentaolgicadarede Aimplantaoderedesvirtuaispodeseraplicadadeacordocomgruposdetrabalhos ousetoresmesmoqueestesgruposestejamemlocalizaesfsicasdistintas,garantindoassim asegmentaolgicadarede.Emdeterminadaorganizaoosetorfinanceiropodepertencer aumaVlandiferentedorestantedaorganizaoafimdeprotegerinformaessigilosas.Em outrasituaoumsetorquegeramuitotrfegoderedepodefazerpartedeoutraVlanafimde melhorarodesempenhodarededemodogeral.

3.1.5 Segurana A segurana uma das caractersticas que mais levada em conta quando se implementaVlans,permitindoquedispositivoslocalizadosemdiferentessegmentosfsicose emumamesmaVlanpossamsecomunicarsemquedispositivosfisicamentevizinhostenham acesso [11].Os pacotes transmitidos sonormalmenteentregues somenteao endereo de destinodificultandoainterceptaodosmesmos.QuandosetratadetrfegoentreVlans,os pacotes so submetidos a um roteador, que possui diversas funcionalidades de filtragem, seguranaeprioridade,antesdechegaremaseusupostodestino,criandoassimdomniosde seguranaparaacessoarecursosdarede. 3.1.6 ReduodeTempoeCusto Ousoderoteadoresdedicadospararealizarainterconexoderedeslocais pode tornaroscustosdesegmentaoderedesproibitivos.Ousodecomutadorescombinadocom Vlanspodetornaraimplementaomaisatrativaseconsideradaaquestomonetria. Masumcustoaindamaior amdioelongoprazopodesereferenciaraotempo despendido para reconfiguraes fsicas e migraes de dispositivos entre locais fsicos, grupos ou redes locais diferentes. Usandose Vlans as migraes e reconfiguraes so realizadasemnveldesoftware,atravsdaconsoledegerenciamentodosswitches. 3.2 ClassificaodasVLANs AsRedesLocaisVirtuaispodemserclassificadasdeacordocomseuagrupamento, isto ,aformacomoseroreunidososdispositivosquefaropartedasmesmasVlans.Estes agrupamentospodemserdefinidosporintermdiodasportasdocomutador,pelosendereos fsicosdasinterfacesderede,endereoIPdosclientes,endereosIPmulticast,protocolose tambm por uma combinao de alguns destes. Nas subsees a seguir os tipos de agrupamentosseroapresentadoscommaisdetalhes. 3.2.1 Agrupamentoporportas Este tipo de agrupamento leva em conta apenas as portas do switch, no considerandoosdispositivos,utilizadorousistemaconectados outraponta.Nestemodelo cadaportadoswitch associadaaumaoumaisVlans.Podesedefinir,porexemplo,queas portas2,3,4,8e12deumswitchde16portassejaassociadasVLAN1enquantoasportas 1,5,6,7e15pertencem VLAN2easportas9,10,11,13,14e16faampartedaVLAN3. Casosejanecessriaalgumaalteraooumovimentaodedispositivosdevesereconfigurar asportasafimdeverificarseanovaportafazpartedaVlandesejada.Pelafacilidadede implementao e configurao um dos mtodos de agrupamento mais usado, sendo suportadoportodososfabricantesdeequipamentosquesuportamVlans[7]. 3.2.2 AgrupamentoporEndereoFsico(MAC)

Outra forma de agrupamento de Vlans se faz atravs do endereo fsico das interfacesderededosdispositivos(endereoMAC).Nestemtodo,oadministradorderedes associaumendereoMACdeumdispositivoaumadeterminadaVlannoswitch.Assimos dispositivos podem ser movidos para qualquer localizao, dentro da organizao, que continuaroafazerpartedamesmaredevirtual,semqualquerreconfiguraoposterior[2]. Talvezumdosmaioresinconvenientesdestamodalidadedeagrupamentoofatode que, antes de se colocar em operao, devemse cadastrar todos os endereos MAC dos dispositivosqueseroconectadosnoswitcheassocilosasuasrespectivasVlans,oque, dependendodotamanhodarede,podedispenderbastantetempodetrabalho.Outralimitao destasoluorefereseaimpossibilidadedeassociarmaisdeumaVlanparacadaendereo MAC. 3.2.3 AgrupamentoporEndereoIP Nestamodalidade,osdispositivospodemseragrupadosatravsdeseusendereosou subredesIP.DestaformapodeseatribuirumaVlanadispositivoscomIPespecfico[7].Por exemplo,osdispositivoscomIP172.16.0.10,172.16.0.11e172.16.0.12pertencemVLAN2. Porm,devesetomarcuidadoespecialcomapolticadedistribuiodeendereos IPnarede.Tantoaespecificaomanualdosendereosnoscomputadores,quantoafixao dosendereosdeacordocomooendereoMACnosservidoresDHCPacarretamumacarga extradetrabalhoparaadministraodosendereosquepodemseesgotareimpossibilitara conexodenovosdispositivos. 3.2.4 AgrupamentoporEndereoIPMulticast Quando um dispositivo ingressa em um grupo Multicast, atravs de uma confirmaodeumanotificaopreviamenterecebida,estepassaafazerpartedeumgrupo capazdereceberpacotesatravsdemulticast.OspacotesIPmulticastsoenviadosaum endereoquerepresentaestegrupoequepodeserdefinidodinamicamente. Enquantoestedispositivofizerpartedestegrupomulticast,far tambmpartede determinada Vlan atravs do agrupamento por endereos IP multicast. Esta caracterstica temporriaagregaumagrandecapacidadedeflexibilizaoaestetipodeagrupamento.Estas Vlanstambmpodemtransporolimitedaredeinterna,estabelecendoconexesWanpor seremcapazesdepassarempelosroteadores[2]. 3.2.5 AgrupamentoporProtocolos Emredesondesosuportadosprotocolosdiferentes(IP,IPX,NetBIOS,AppleTalk) este mtodo pode ser usado para agrupar cada protocolo em uma Vlan diferente. Os comutadores verificam cada pacote para identificar a qual rede virtual o mesmo est associadopormeiodotipodeprotocolousado.Apesardesebasearemendereamentode3 nvelestescomutadoresnorealizamfunesderoteamento,sendorestritamenteusadopara identificaoeagrupamentodasVlans. Um dos benefcios do uso deste tipo de Vlan a flexibilidade na localizao e mudana de estaes sem necessidade de reconfigurao. Por outro lado existe perda de 6

performance dos comutadores que suportam este agrupamento pela necessidade de verificaodosendereosnaterceiracamadaaoinvsdaprimeira(endereoMAC). 3.2.6 CombinaodeAgrupamentos Peloapresentadonositensanteriorespodesenotarquecadatipodeagrupamento possui suas vantagens e desvantagens. Pensando em aumentar a autonomia dos administradoresemorganizarsuasredesdaformaquemelhorseadapteassuasnecessidades, atualmente muitos fabricantes tm oferecido equipamentos capazes de mesclar os agrupamentospermitindoumnvelaindamaiordeflexibilizao ecriandoVlanshbridas compelomenosdoistiposdeagrupamentos. 3.3 ConfiguraodasVLANs AsVlanspodemserconfiguradasdetrsformasdiferentesafimdepossibilitarque osdispositivosseconectemaelas.Soelas:Configuraomanual(ouesttica),automtica (oudinmica)esemiautomtica(ousemiesttica).Maisdetalhessobrecadaumadelassero apresentadosaseguir. 3.3.1 ConfiguraoManual NumprocedimentodeconfiguraomanualdeVlanasconfiguraesiniciaisetodas as alteraes posteriores de configurao so de responsabilidade do administrador. Esta modalidade proporciona um algo grau de controle e administrao. Mas dependendo do tamanho deredeimplantada,estegraudeadministraopodetornarseimpraticvel por dependerdainterfernciadeumoperador,sendoqueumadasprincipaisvantagensdousode Vlansjustamentenonecessitardereconfiguraesconstantes. 3.3.2 ConfiguraoAutomtica NummtododeconfiguraoautomticadeVlanosdispositivossoconectados e/ou desconectados automaticamentedas redes virtuais pormeiodecritrios oupolticas previamente configuradas pelo administrador como por exemplo grupos de trabalho ou identificaododispositivoouusurioconectado. Estetipodeconfigurao bemsuportadoemqualquertamanhoderede,mas altamenterecomendadopararedesdegrandeporteporfacilitaraadministraoesermais flexvel. 3.3.3 ConfiguraoSemiautomtica A modalidade deconfiguraosemiautomticaabrangeparticularidades das duas configuraescitadasanteriormente.UmaVlanajustadadeformasemiautomticapermite queasconfiguraesiniciaissejamdefinidasmanualmenteeasfuturasreconfiguraese migraesdeestaesedispositivossorealizadosdinamicamenteouviceversa. 7

3.4 Identificaodequadros(frames) Em um processo de comunicao, quando o trfego de rede atravessa os comutadores,estes devem sercapazesdeidentificaraquaisVlansospacotesfazemparte. Esta identificao pode ser feita atravs do reconhecimento dos quadros que pode ser realizadapelosmtodosimplcitoeexplcito: Mtodoimplcito:oumarcaoimplcita(implicittagging)caracterizaosquadros quenosorotulados.OscomutadoresidentificamaVlanaqueestequadropertence atravsdeinformaescontidasemseuscabealhoscomoporexemplo,aportapor ondeoquadrochegououcruzandooendereoMACcomatabeladeassociaodas Vlans,paraassimencaminharospacotesparaodestinocorreto[5].Nestemtodoos dispositivos daredenonecessariamente precisamsaber queexisteVlans pois o quadropermaneceinalterado; Mtodo explcito: ou marcao explcita (explicit tagging) ocorre quando um dispositivoderedemarca(tagg)oquadrocomumidentificadordeVlanacusandoa qualredevirtualestequadropertence.Nestemtodoosdispositivosprecisamsaber daexistnciadasVlans,poissoinseridasinformaesreferentesaestaidentificao no cabealho do quadro, alterando seu tamanho, e caso um dispositivo que no suporte Vlan receba o quadro,este ser descartado [11]. Os dispositivos na rede devemtambmpossuirumabasededados,igualparatodos,cominformaesde identificao de cada Vlan e onde encontrar estas informaes nos quadros. Os dispositivos adicionam, ou no, a tagg de Vlan dependendo se o dispositivo de destinopossuisuporte,ouno,aoprotocolodeVlan(IEEE802.1Q). 3.4.1 Classificaodeframes A construodequadros relacionados Vlans sodefinidos pelas normas IEEE 802.3aceIEEE802.1QepodemserclassificadoscomoUntaggedframes;Prioritytagged frameseTaggedframes: Untaggedframes:soframesethernetcomuns,semqualquermarcaoadicional; Priority Tagged frames: so frames que possuem a informao de classe de prioridade(IEEE802.1p)pormsemnenhumainformaosobreidentificaoda Vlan.Ataggdeprioridadepossui3bitsdetamanhoepermiteoitovalorespossveis, podendovariardezeroasete; Taggedframes:soframesquepossuemaidentificaodaVlanaquepertence nocampoVID(VlanIndentifier)deoitobits. Osframes Untagged e Priority Tagged realizamaidentificaodas Vlansaque pertencempormeiodaassociaodeportas,endereosMAC,protocolosentreoutros.J os frames Tagged no necessitam de tal associao pois, como explicado anteriormente, j possuemaidentificaodaVlaninclusanocabealho. Nafiguraabaixopodesevisualizarumframeethernetcomum,conformedefinio danormaIEEE802.3ac,ealocalizaoondeinseridaaidentificaodeVlan(Tagg).

Figura4:QuadroEtherneteTaggVlan AinserodastaggsVlancaracterizamsepelaadiodedoiscamposdedoisbytes, posicionadosapsocampodeendereoMACdeorigem,comoprimeirodenominado Tagg ProtocolIdentifier(TPID)queidentificaumframecommarcao(normalmentecomovalor 0x8100)eosegundocampochamadoTaggControllInformation(TCI)quesubdivididoem trscamposidentificadoscomoUserPriority(3bitsdetamanho)quedefineaprioridadedo frame,ocampoCFI(CanonicalFormIndicator1bit)quefoiprojetadoparausoemredes Token Ring e o campo VID (Vlan Identifier 12 bits) que o campo reservado para identificaodeVlans[7]. Se o valor do campo VID for nulo (0x000) significa que o campo no possui informaodeidentificaoeoTCIpossuiapenasinformaodeprioridade.Seovalorfor iguala1(0x001)significaqueoquadro umVlanTaggedframe.OvalordeVIDsetado comoFFF(0xFFF) reservadoenopodeserusadoparaidentificaoeconfiguraode Vlans. OquadropadroEthernet,apsainclusodataggVlansofreumacrscimoemseu tamanho mximo, passando de 1518 para 1522 bytes e precisa ter o FCS (Frame Check Sequence) recalculado para no ser identificado como pacote corrompido por outros dispositivosderede,eestesdevemtambmpossuirsuporteparaidentificaodequadros Vlan,docontrrioospacotesserodescartados[8]. 3.5 VLANTrunking OconceitodeVlanTrunking definidopelanormaIEEE802.1adecaracterizase por sercapazdetransportartrfegodemaisdeumaVlannomesmocircuito.Conforme Barros[12]emumaredecomutadaumtronco umlinkpontoapontoquesuportavrias Vlans.AidentificaodasVlansemumenlaceconfiguradonomodoTrunk(tronco)feita atravsdosmtodosdemarcaodequadros(Vlantagging). Neste modelo de funcionamento todos os dispositivos interconectados devem ter suporteaidentificaodemembrosedosformatosdequadrosdeVlans(Vlanaware)[12]. DispositivosderedequenosuportemoreconhecimentodeVlansnopropagarotrfego deste tipo descartando os quadros, interrompendo e/ou impedindo a comunicao dos dispositivosinterligadosporesteaparelho. Asportasdosdispositivosderedepodemserconfiguradas,almdomodoTronco, nomodoAccess(acesso)que,aocontrriodotrunking,restringeoenlaceatrafegarpacotes de uma nica Vlan pormeio deconfigurao prvia [14].Portas configuradas em modo Acesso tambm no reconhecem quadros com marcao IEEE 802.1Q e descartam todo contedodestetipoquealchegar. Acomunicaoentredoisdispositivoscomsuporte Vlantambms efetivamente ocorrequandoasportasqueosconectamestiveremconfiguradasdemaneiraadequada.Aose 9

conectardoisswitchesquefuncionamcomvriasVlansporexemploambasasportasdevem estarconfiguradascomoTrunkouaconexonoser estabelecida.J aportadeumswitch queseconectaaumaestaofinal(computadorpessoal)recomendasequesejaconfigurada comoAcessoparaqueocomputadorseconecte redesemanecessidadedeconfiguraes especficas. NafiguraabaixopodemosvisualizarofuncionamentodeumaredecomVlansque utilizam o conceito de Trunking para interligar os switches que possuem computadores membrosdediferentesredesvirtuais.Osenlacesquepossuemcomputadoresligadosemuma desuasextremidadessoconfiguradosnomodoAcesso.

Figura5:DisposiodosenlacesTrunkingeAccess EmswitchesdafabricanteCiscoSystemsoadministradorderedespodetambm fazerusodoprotocoloVTP(VlanTrunkingProtocol)afimdesimplificaraconfiguraodas Vlans em uma rede com diversos switches. O protocolo VTP faz a propagao das configuraesrealizadasemumswitchparaosdemaisquesuportemomesmoprotocolo,em mdia,acada5minutos[15].NocasodeserealizaraadiodeumanovaVlanemumarede comdezswitches,oadministradorderedesdeveconfigurar,umaum,osaparelhosqueiro aceitarestetrfegoeporquaisportasestetrfegopassar.ComousodoprotocoloVTPo administradorderedesnecessitaconfigurarumnicoswitcheasconfiguraesoualteraes seropropagadasaosoutrosswitchesdarede.Paraqueoprotocolofuncione necessrio configurartodososdispositivosparaoperaremcomomembrosdeumdomnioVTP. OsdispositivosquetmsuporteaousodoprotocoloVTPpodemtrabalharemtrs modosdeconfigurao: VTPServer: quandooswitchest nomodo VTPServer,asconfiguraesde trunking(nmeroenomesdasVlans)soarmazenadasnamemrianovoltildo aparelho.Porpadrotodososswitchesvmconfiguradosdefbricaparaoperarno modoVTPServer.Qualqueralteraofeitanasconfiguraesser propagadapara todoodomnioVTP; VTP Client: os switches configurados como VTP Client somente recebem e aplicam as alteraes realizadas no VTP Server. As configuraes tambm so armazenadasnamemrianovoltilmasno possvelefetuaralteraesatravs dosaparelhosconfiguradosnestemodo.Normalmenteosdispositivosclientesso conectadosdiretamenteaosservidoresatravsdeportastrunk. VTPTransparent:nomodoVTPTransparentoswitchnoparticipadodomnio VTP,norecebendoasconfiguraesdo VTPServer,mas capazdeencaminhar atualizaesVTP.Emumdispositivoquefuncionanomodotransparente possvel 10

efetuarconfiguraeslocalmenteseminterferirnaconfiguraodeoutrosswitches, sejamestesmembrosdeumdomnioVTPouno. QuandoasconfiguraesdoVTPServersoalteradas,umnovonmerodereviso criado e, aps completado o prazo de cinco minutos, anunciado a todos os membros do domnio VTP. Os clientes ento solicitam, recebem e aplicam a nova configurao automaticamente,semintervenodoadministrador[16]. 3.6 RoteamentoentreVlans Como j foi apresentado anteriormente, as Vlans so comumente destinadas a segmentaoderedesparaasmaisvariadasaplicaesepordiversosmotivos.Porm,em muitoscasosestasVlanstmanecessidadedesecomunicar,eistos possvelquandoso usadosdispositivoscomfunesderoteamento. Existem atualmente trs formas de roteamento entre Vlans: atravs de mltiplos enlaces, atravs de Enlace nico com Trunking e por dispositivo de comutao com processadorderotasinterno(switchdecamada3).Nossubtpicosaseguirostrsmodelos seroapresentadoscommaisdetalhes. 3.6.1 Roteamentoatravsdemltiplosenlaces NestemtododeroteamentoumenlacedecadaVlandeveestarconectadosportas do roteador. Este modelo muito utilizado em roteadores que no possuem suporte a tratamento de frames no padro IEEE 802.1Q e onde os links so obrigatoriamente configuradosnomodoenlace. Estasoluobemsuportadaemredesdepequenoportemastornaseinvivelpara estruturasmaiorespoisdemandariaroteadoresdegrandecapacidade,tantonaquantidadede portasquantonacapacidadedeprocessamento,parainterligartodasasVlans. Nafiguraabaixoapresentadoumexemplodeusodeumroteadorcomvriasportas parainterconectarcadaumadasVlansdeumadeterminadaestruturafsica.

Figura6:Roteamentopormltiplosenlaces 3.6.2 RoteamentoatravsdeenlacenicocomTrunking Esteconceito,comoooprprionomej diz,consisteemutilizaratecnologiade 11

trunkingparaconcentrartodas,ouamaiorquantidadepossvel,deVlansemumamesma conexo fsica do switch ao roteador [11]. Para que isto seja possvel o roteador precisa necessariamentepossuirsuporteVlans. Nestetipodeconfiguraoaportadoswitchedoroteadorquesecomunicamso configuradas no modo trunking. No roteador so criadas interfaces virtuais com as configuraesderededecadaVlan.QuandoexisteacomunicaoentredispositivosdeVlans diferentes,osframesatravessamesteenlaceat oroteadorquerealizaoencaminhamento desteeenviadevoltapelomesmocaminho,agorapertencendoaVlandodispositivode destino. NafiguraabaixoapresentadoumexemploderoteamentoentreVlansutilizandoum nicocaminhoemmodoTrunkingentreoswitcheoroteador.

Figura7:RoteamentoporenlacenicocomTrunking Estasoluoamaiseconmica,prticaerpidadeserimplementadaemumarede comVlanspoisnoexigecompradenovosequipamentosepodeserimplementadasema necessidadedealteraraestruturafsicaderede. 3.6.3 Roteamento por comutador com processador de rotas interno ( switch de camada3) Estemtododeroteamentocaraterizasepelousodecomutadorescompropriedades de manipulao de dados da terceira camada OSI (Transporte), mais conhecidos como switchesdecamadatrs(oudeterceiracamada).Estecomutadorpossuiagrandevantagem desomartodasasfunesdecomutaoeroteamentoemumnicoaparelhoganhandoseem espaofsicoevelocidadedetransmissodosdados,vistoqueestesatravessamum nico aparelhoeavelocidadedetransmissointernaentreosmdulosdecomutaoeroteamento muitomaiorsecomparadacomavelocidadedeumenlaceempartranado. Estesswitchesdeterceiracamadatmacapacidadedecriaodeinterfacesderede virtuais,chamadasSVI's(SwitchVirtualInterface)quesoassociadasacadaVlandarede [14].EstasSVI'sencaminhamosframesdasVlansparaoroteadorinternoqueseencarregade realizarainterconexoentreasdiferentesVlans. Nafiguraaseguir mostradoumcenrioondeseutilizaumcomutadordecamada trs para implementar o roteamento entre as Vlans de uma determinada rede fsica segmentadaporVlans.

12

Figura8:Roteamentoporswitchdeterceiracamada Estemodeloderoteamento extremamenteeficiente,sendoamelhorentreastrs soluesapresentadas.Poroutrolado,oscustosdeaquisiodeequipamentosdecomutao decamadatrsaindasoumpoucoelevados,tornandoovivelapenasemestruturasgrandes ondeousoderoteamentoporenlacenicocomtrunkingdeixardeservantajoso. 3.7 SpanningTree Atualmente,paragarantiradisponibilidadedeacessonasredeslocais,tmseoptado por investir em caminhos redundantes de acesso. Esta redundncia pode ser alcanada interligandoseosswitchesdaredeinternaemformadeanel,ondeoltimoswitchseconecta aoprimeiro.Porm,estasoluopodeliteralmenteparararede,vistoqueexistiriamaisdeum caminhoparasealcanaromesmodestino,oqueocasionarialoopsat acompletaexausto doenlace. Paraevitarosproblemasocasionadospelaredundnciadeacessosfoidesenvolvidoo protocoloSTP(SpanningTreeProtocol)definidopelanormaIEEE802.1dquegaranteque hajasomenteumcaminhovlidoparacadadestino.Souza[17]dizqueoobjetivodoSTP criarumatopologiaredundantee,aomesmotempo,livredeloops.Osenlacesclassificados comoredundantessobloqueados(estadoblocking),deformalgica,semquesejanecessrio qualquerintervenofsicanaestruturaderede.Oenlacebloqueadoficaemmododeespera (standby) e ser imediatamente restabelecido (estado forwarding) caso haja alguma interruponolinkprimrio,garantindoaredundnciadarede. Nafiguraabaixopodemosobservarumarederedundanteusandoseoprincpiode Spanning Tree. Note que, em um dos enlaces que interligam os switches, o cabeamento continua conectado, mas o protocolo STP se encarrega de efetuar o bloqueio lgico do caminhoparaevitarquearedeentreemloop.

Figura9:LancomSpanningTree AtopologiadoprotocoloSTP definidaemformade rvore,ondeumswitch definidocomoraizouroot(rootswitch)eorestantedosswitchescomonoroot(nonroot 13

switch),sendoqueoswitchraizdefinequaisenlacesserobloqueadosequaisficaroativos. ParaqueistosejapossveltodososdispositivosdevemsuportaroprotocoloIEEE802.1det loativado. ParaqueumaredeestejaefetivamentelivredeloopsoprotocoloSTPdeveconcluir trsetapas: DefiniodoSwitchraizouroot: Nestaetapa,aoseremligados,osswitches trocamentresiBPDU's(BridgeProtocolDataUnit)comoBridgeIDdoswitch,que consisteemdoissubcamposchamadosBridgePriorityeMACAddressparadefinir qualseroswitchraizdarede[17].TodososswitchesquesuportamoprotocoloSTP vm,porpadro,comaprioridadesetadacomo32768,masestapodeseralterada casooadministradorqueiraforaraeleiodeumdispositivocomoraiz.Casoo nmerodeidentificaodaprioridadesejaigualemtodososdispositivosserento eleito o menor endereo MAC. No incio da negociao todos switches se autodenominamcomosendoraiz,masconformenegociaoocorre,estesdevolvem mensagensaceitandoaeleiodeumdispositivocomBIDmenor.Nafiguraabaixo podemosverificarqueaeleiodoswitch1comorootfoidevidoaoseuendereo MACsermenorquedosoutrosaparelhos.

Figura10:Eleiodoswitchraiz Definio das portas principais: Os switches classificados como noroot devementodefinirsuaportaraiz.Aportadesignadacomoraizdoswitchnoroot aquetiveromenorcustoacumuladodoenlaceparaalcanaroswitchraiz[18].Este processoocorrelogoapsadefiniodoswitchraizerealizadopormeiodetrocas deBPDU's.Oscustospodemsercustomizadosparaforaraeleiodedeterminado caminhooupodeseutilizarosvaloresdefinidosporpadro.Natabelaabaixoso apresentadososcustosdealgunsenlacesconformesuavelocidadedetransmisso: Velocidadedo Link 10Mbps 100Mbps 1Gbps Custodoenlace 100 19 4

10Gbps 2 Tabela1:Custosdosenlaces

14

 Definio das portas designadas: A definio das portas designadas nos switchestambmocorrepeloclculodomenorcustoentreocaminhoraiz(rootpath cost)atoswitchraizapsadefiniodasportasraiz[17].Asportasdoswitchraiz, por terem normalmente os menores custos, tambm so definidas como portas designadas.Casohajaigualdadedecustosnacomparaodealgumsegmento, o desempateocorrepelacomparaodomenorendereoMACdoBPDU.Aportaque obtiver o maior custo da rede tornase uma porta nodesignada (nondesignated port),entrandonoestadoblocking. Nafiguraabaixopodemosvisualizaraeleio dasportasdesignadas.Notequeumaportadoswitch3foibloqueadaporteromaior custoobservado.

Figura11:Definiodasportasdesignadas Desdeoprocessodeinicializaodeumswitchedurantesuaoperaosuasportas podem ser habilitadas, ou no, a trafegar dados de acordo com a topologia da rede identificadapelosdispositivosoupormudanascausadasporfalhasouintervenotcnica. Sendo assim podem ser identificados quatro estados: bloqueado (blocking), escutando (listening),aprendendo(learning)eencaminhando(forwarding).Estesestadossocruciais paraofuncionamentodospanningtreepoisdestaformaloopsnaredepodemserdesativados eativadosquasequeinstantaneamente. Bloqueado(blocking):Aoinicializarumdispositivotodasasportassodefinidas noestadoblockingparaevitarofechamentodesupostosloopsnarede.Nestemodo nopossveltransmitirdadosnemarmazenarinformaesdeendereos.Somentea trocadeBPDU'sentreosaparelhospossvel. Escutando(listening): Nestemodoodispositivoj recebedadosmasnopode retransmitlosadiante.SomenteBPDU'ssorecebidoseenviados.Nesteestgio ondeocorreadefiniodosswitchesraiz,portasraizedesignadasequandoso definidasasportasquepermanecerobloqueadas. Aprendendo(learning):Noestadolearning,odispositivoidentificaegrava,em suatabela,novosendereosMACnarede.Nesteestgioquedesenhadaarvoreda rede.Aindanopossveltrafegardadossendoesteonvelqueprecedeoestadoem queoencaminhamentodeframespermitido. Encaminhando(forwarding):NestaetapaotrfegodeBPDU'seprincipalmente dados liberadoeosdispositivosderedepodemsecomunicarlivremente.Antes pormdedesignaraportacomoaptaaforwardingoprotocoloSTPsecertificade quenohajacaminhosredundantesoupontosdeloopnarede.

15

Comtodoesteprocedimentonecessrio,naturalqueoprocessodeinicializaode umaredequefuncionecomSpanningTreesejarazoavelmentedemorado,durandoentretrinta ecinquentasegundos.Porm,paratornaresteprocessodeinicializaomais gil,oIEEE aperfeioouoprotocoloSTPcriandooProtocoloSpanningTreeRpido(RapidSpanning TreeProtocol)definidopelanormaIEEE802.1w.ORSTPcaracterizaseprincipalmentepelo seu tempo de inicializao, que pode variar de dois a dez segundos. Dispositivos que suportam os protocolos IEEE 802.1d e IEEE 802.1w podem funcionar com os dois em paralelo,isto ,emumswitchpodemhaverlinksativoscomSTPeoutroscomRSTP,mas nuncaosdoisativosnomesmoenlace. 3.7.1 PerVlanSpanningTreeProtocol(PVSTP) AfimdetornaroconceitodeVlansaindamaisflexveldesenvolveuseumaforma deconciliarapossibilidadedeseobterumarederedundantealiadoaopoderdesegmentao deredesvirtuaisadicionandoavantagemdebalanceamentodetrfegopelosenlaces.Esta soluo foi denominada PerVlan Spanning Tree Protocol, sendo este um protocolo proprietriodaCisco. OprotocoloPVSTPatribuiumainstnciaSTPparacadaVlancriadatornandoo gerenciamentoda rvoreSTPindependenteemcadaredevirtual.PortantocadaVlanpode usarenlacesdistintosoqueproporcionaaindaobalanceamentodetrfegodedadospelos linksredundantes. PormeiodesteprotocolotodososenlacessoaproveitadossendoquecadaVlan podepercorrerumcaminhodiferentepelosswitchesparaalcanarseudestino[17],isto , umaportaqueestmarcadacomestadoblockingparaumaVlanpodeestarnoestadoforward paraumasegundaVlaneassimpordiante. AseparaodasrotasdecadaVlancomredundnciapodeserconseguidaatravsda eleiodeprioridadesparaasVlansemcadaenlacetronco[14].Porpadrotodasasportas vmconfiguradascomaprioridade128paratodasasportas,masestaprioridadepodeser alteradadeacordocomasrotasquesedesejaestabelecerparacadaVlan. possvel,por exemplo,estabelecerqueaVlan1eaVlan2tenhamprioridade12e128respectivamenteem umenlaceAeprioridades96e24respectivamentenoenlaceB.Destaforma,ospacotes daVlan1teroprefernciadetrfegonoenlaceAeaVlan2terpreferncianoenlaceB.

Figura12:RedundnciaebalanceamentodetrfegocomPVSTP 16

NafiguraacimapodesevisualizarumexemplodeusodoprotocoloPVSTPpara obterseredundnciaemelhoraproveitamentodaestruturaderede.Notequenenhumenlace estdefinitivamentebloqueado.OsenlacesAeBtemprioridadesdistintasparaasVlans 1e2,sendoque,naocorrnciadefalhaemumdesteslinks,ooutroassumeimediatamente compartilhandoasduasVlans.J oEnlaceCpossuiprioridadeigualparaasduasVlans parasuportarotrfegodeambasaomesmotempo. 3.7.2 MultipleSpanningTreeProtocol(MSTP) UmoutroprotocolodisponvelparaimplementaodeVlanscomSpanningTreeo Multiple SpanningTreeProtocol(MSTP)regulamentadopelaNormaIEEE802.1s.Neste protocoloexisteapossibilidadedesecriaralgumasinstnciasMST(normalmenteat65)que podem suportarumaquantidaderealmentegrandedeVlans[19].Destaformapodemser acumularemumainstnciaotrfegodecemVlansparapercorrerumdeterminadoenlacee agrupar em uma segunda instncia outras cinquenta Vlans para trafegar por um segundo enlaceporondeaprimeirainstnciateriaumaprioridademenoreviceversa. OprotocoloMSTPexecutadosobreoRSTP,tornandoseuusoobrigatrio,eutiliza umsistemademensagensBPDUdiferenciadoemrelaoaooriginalpermitindoquesejam transportadasasinformaesdeinstnciasnecessriasaoprotocolo.Cadainstnciapropaga osBPDU'scominformaessobreasVlanspertencentesaesta[14]. O protocolo MSTP pode oferecer uma maior escalabilidade, se comparado ao PVSTP,quandoseutilizaoconceitodedivisoemregies.Nesteconceitoumaregiopode possuir vrias instncias de Vlans e podem haver diferentes regies em uma rede local interligadas. Para isto necessrio que exista uma instncia mestre chamada Internal SpanningTree(IST),ouinstnciazero,quetransmitesomenteBPDU'seumaoumaisregies MSTporondesotransmitidososMSTBPDU'seondeasinstnciassocriadas. Nafiguraabaixo apresentadoumexemplodeusodeMSTPcomaaplicaodo conceitoderegiesMST.

Figura13:RegiesMSTP

17

4 Anlisecomparativa Existem atualmente diversas tecnologias e opes de implementao de Vlans disponveisnosdispositivosderedemaisavanados.Cadasoluopossuisuascaractersticas e diferentes empregabilidades que podem variar conforme o cenrio da estrutura de rede apresentado.Avaliartodasestassoluespoderiatornarestetrabalhoextremamenteextenso. Parasimplificaretornaroassuntobemdiretooptousepordividirostemasdaanliseem subttulosavaliandoentoassoluesmaisvantajosaslevandoemconsideraoofocoda discusso. Nos itens dispostos a seguir realizarse uma anlise das melhores solues de implementaodeVlanssobopontodevistadasegurana,gerenciamentoequalidadedo servio. 4.1 Segurana UmdosprincipaisbenefciosdautilizaodeVlansparasegmentaoderedes a segurana,vistoqueestaproporcionaumaseparaolgicadotrfegodeumaredevirtual composta por servidores, por exemplo, da rede virtual dos usurios de uma corporao. Porm,ousodealgumassoluescomplementarespodereforaraindamaisaseguranade umaredecompostaporVlans. UmaspectonecessrioemuitosensvelquandosetratadeVlans oroteamentode trfego entre as diferentes redes virtuais. Em qualquer implementao de Vlan fazse necessriointerligarasredescomroteadores,edesejvelquehajagarantiasdequenenhuma delassejaacessadapormembrosdeoutrasVlans,excetoquandonecessrioeautorizado.O usoderoteadorescomoauxliodeferramentasdefiltragemdepacotes(firewall)somuito eficientesnafunodealcanarestenveldesegurana. OmtododeroteamentocomSwitchdecamada3omaisvantajosoemtermosde segurana,aindamaisseestedispuserdefirewallinternoreunindoassim,emumsaparelho, asfunesdecomutao,roteamentoefiltragemdepacotestornandoomuitomaisrpidose comparadoaousoconjuntodeumroteadorcomumswitchcomum(camada2).Noentantoo custodeaquisiodestetipodeswitchainda muitoelevadoenemtodasorganizaestm condiesdeequiparsuasredescomestasoluo. Umaopomaisvivel,pormnotoeficiente, ousodomtododeroteamento deenlace nicocomTrunking,ondeumcomutadordecamada2esuporte Vlanconecta todasasredesvirtuaisaumroteadorpormeiodeumenlaceemmodotronco.Parasimplificar a estrutura e implementar a segurana desejada podese substituir o roteador por um computadorconfiguradopararealizarasfunesderoteamentoefiltragemdepacotes.Este computador precisa ter boa capacidade de processamento e interfaces de rede com velocidadescompatveiscomotrfegodosenlaces,vistoqueotrfegodetodasasVlans passarporestasinterfaces. Noentanto nada impede quesefaa ousoconjunto das duas solues em uma mesmaestruturaderede.Oscomutadoresdecamada3podemserinstaladosnosenlacesque constituemotroncodarede(Core),ondeotrfegodetodasasVlansseconcentraeondese localizamosservidoresqueproveroosacessos.Saindodotroncoedirigindoseaperiferia daestrutura,compostabasicamenteporestaesdetrabalhoeperifricosnoexistemaisa necessidadedeusarequipamentostosofisticadosepodeseusaroroteamentodeenlace 18

nicocomtrunking.Masemtodososcasos,imprescindvelousodeumbomfirewallpara evitarriscosdesegurananacomunicaoentreasVlans. Outra questo importante a se considerar com relao a segurana o tipo de configuraodasVlans.EmumaVlanconfiguradadeformaestticaexisteorisco,pormenor queseja,deumdispositivoserconectadoaumaredevirtualerrada,sejainvoluntariamente, porneglignciaoupropositalmentefazendocomqueestepasseafazerpartedeoutraVlan ondepodeteracessoainformaessigilosasdaorganizao.Nosepodenegarpormque emredespequenas,ondeexistaumbomcontrolevisualdaestrutura,umaVlanesttica vantajosapoisnoexigemuitotempoeplanejamentoparaconfigurareimplantar,masem estruturasmaiores,almdedificultarogerenciamento,existeoriscodemudanasindevidas decabeamento,colocandoemriscoaseguranadaredeetornandoavulnervelaeventuais ataques. Um mtodo mais adequado de configurao de Vlans seria o automtico ou semiautomtico. Tanto no modo automtico, como no semiautomtico, a insero de um dispositivo toda baseada em regras previamente configuradas, sendo que no modo semiautomticopartedestaconfiguraoinicialouposteriorpodeserfeitamanualmente,e ondequerqueoequipamentosejaconectado,estesemprepertenceramesmaVlan,amenos quehajaalgumaalteraonasregrasouconfiguraespeloadministradordarede.Assimno h riscosdeseguranapormudanasinadvertidasdecabeamentooudispositivoscomono mtododeconfiguraomanual.Estesmodos,noentanto,exigemummaiorconhecimento dosadministradoresderedepararealizartodasasconfiguraesnecessriasdemodoano permitiraentradadedispositivosnoconhecidosemumaVlanrestrita. 4.2 Gerenciamentodoservio Diversosfatorespodeminfluenciarnacapacidadeefacilidadedogerenciamentode umaestruturadeVlans,tantoparamelhorquantoparapior. precisoanalisarcomcautelae atenotodasasopesdisponveisantesdaimplementaodoservioparaevitarproblemas como a lentido e indisponibilidade dos servios oferecidos ou da rede como um todo motivadosporcargaexcessivadeaesdegerenciamentosobreoadministradorderedes. UmadasaesquepodemfacilitarogerenciamentodasVlans aescolhadostipos deagrupamentodestas.OsagrupamentosporendereosMACouporportadoswitchso bastantesimples,rpidosdeseremaplicadose,principalmente,gerenciadosquandoaplicados emredespequenaseondeseconheceaquantidadeexatadedispositivosconectadoseos novosqueseroadicionadosaesta. Mas conforme as propores da estrutura aumentam estes tipos de agrupamento podem tornarse inviveis em relao ao gerenciamento devido, dentre outros fatores, ao tamanhoqueastabelasdeatribuiodasVlansnosdispositivosderedeiroadquirirea dificuldade nas aes de alterao de local dos inmeros dispositivos, substituies de interfacesderedeouadio/remoodeequipamentosqueforemsolicitados.Nestescasos tornasemaisvantajosoousodosmtodosdeagrupamentomaisrefinados,comoporIP, ProtocoloouMulticast(estesdois ltimosdependendodafinalidade)mas,principalmente,a combinao de alguns dentre todos os modos apresentados desde que o resultado desta combinao diminua o mximo possvel a interveno do administrador de redes a cada modificaoouadiodosequipamentoseperifricosdispersosnaredemasmantendoo nveldoservioprestado. Os modos de agrupamentos configurados isoladamente podem resolver 19

momentaneamentealgumasnecessidades,mascomotempopodemtornarseinsuficientesna tarefadeatribuiodeVlansanovosequipamentosconectados.Osmelhoresresultadosso alcanados quando sousadas combinaes deagrupamentos. Sua configurao podeser bastante complexa e criteriosa mas, quando bem configurados, possibilitam atender uma grande diversidade de situaes onde os equipamentos se conectam rede sem que, em algumaocasio,sejanecessriaaintervenodoadministradorderedesparavalidarconexes oumodificarregrasdeagrupamentoparapossibilitaroingressodeumnovodispositivo rede. Os modos de configurao das Vlans alm da segurana, como apresentado no tpico anterior, tambm podem simplificar o gerenciamento de uma rede de Vlans. Novamenteosmodosautomticoesemiautomticotornamsemaisapropriadosparausoem redesdeproporesmdiaegrandetambmpordiminuirainteraodoadministradorde redesnomomentoemqueosequipamentossoconectados,removidosoutiveremseuponto deconexoalterado.Omodoestticonodeixadeserumaopo,masseuuso vantajoso apenasemredesmenorespelarapidezefacilidadedeimplantaoegerenciamento. Outroassuntoimportanteasetratar,emrelaoagerenciamentodeVlansagesto dasrotasedotrfegopelaestruturafsicaderede.AssoluesavanadasdeSpanningTree (PVSTPeMSTP)sotimasopesdegerenciamentodetrfegodividindoofluxodedados porenlacesredundantesecommudanaautomticaderotasquandosedetectaainterrupo dealgumcaminho. Em relao a estas duas tecnologias de spanning tree o MSTP pode oferecer vantagens nogerenciamentoderedes compostas poruma quantidadegrande deVlans se comparadoaoPVSTP.Porterapossibilidadededivisoderegiesondepodemseragrupadas umainfinidadedeVlans,OMSTPproporcionaumamelhorpercepovisualdaestruturade Vlansoqueagilizaaexecuodeaesdegerenciamento. O protocolo PVSTP tambm simples de gerenciar apesar de suportar uma quantidade menor de Vlans, sendo mais recomendado para redes com uma quantidade limitadaderedesvirtuais.Porm,porserproprietriodaCisco,seuusoobviamentes ser possvelemumaredequecontenhacomutadoresdestefabricante,aocontrriodoMSTPque umprotocoloabertoepodeestardisponvelemqualquerequipamentoquepossuasuportea Vlan 4.3 Qualidadedoservio AqualidadedoserviodeVlanspodeserconsideradocomosendoopontomais perceptvel aos usurios da rede, visto que, melhorando a qualidade da rede existe uma melhora no tempo de resposta e menor risco de indisponibilidade dos sistemas disponibilizados.AimplantaodeVlans,porsis,j tendeamelhorarotrfegodedados isolandoapropagaodebroadcastsemulticastsnaredevirtualaqualestefoigerado. AvaliandoseestequesitoaimplantaodeVlansutilizandoseas tecnologias de SpanningTreepossibilitamumgrandesaltonavelocidadedarededemodogeral.Umarede comum,estruturadaemformadervore,sofreumafunilamentodetrfegoemsuaraiz,oque restringe a velocidade dos clientes localizados na periferia. Quando se utiliza o STP a estruturafsicapassaateraformadeanel,masoprotocolotratadegarantirquehajaapenas umcaminhoativoparasealcanardeterminadodestinodividindootrfegodasVlanspor enlaces diferentes e ainda oferece a redundncia de rotas, alterando o caminho a ser percorridopordeterminadaVlancasoalgumdeseusenlacesfsicossejainterrompido. 20

DentreastecnologiasSTPestudadastantooPVSTPquantooMSTPpossibilitam quesealcanceestecenrioderedundnciaebalanceamentodotrfegoderede.Avantagem do protocolo MSTP em relao ao PVSTP a melhor performance do hardware no gerenciamentodevriasVlansaomesmotempoporpossibilitaroagrupamentodevrias redesvirtuaisemum nicainstnciaMSTeofatodeserumpadroabertoedisponvelem qualquer equipamento que suporte Vlans, ao passo que o protocolo PVSTP, como j mencionadoanteriormente,proprietriodaempresaCiscoSystems. OroteamentoentreVlanstambmpodeserumaopoafimdemelhoraroservio disponibilizado.EmumaboaestruturafsicaparaimplantaodeVlans necessrioque existam comutadores, roteadores e firewalls para interligar as redes e reter trfego no autorizado. Considerando que cada equipamento seja conectado a outro atravs de cabeamentopadroderede(metlicopartranado)podeseconcluirquehaver umcerto atraso(delay)notrnsitodospacotespelarede.QuantomaiorforaquantidadedeVlans, maioranecessidadedestestiposdeequipamentosparainterliglasemaiorser ataxade atrasodotrfegoderede. Os roteadores de camada trs possibilitam que em um nico aparelho sejam realizadasestastrsetapas(comutao,roteamentoefiltragemdepacotes)comavantagem de que a velocidade de transmisso dos dados equivalente ao barramento interno do equipamento,que inmerasvezesmaiordoqueavelocidadedeumcaboderede,almde que estes equipamentos so construdos especificamente para este fim e seu software otimizadoparaobteromelhordesempenhosobqualquercondio.Apesardeseremcaros,se comparadosaoutrassoluesusandocomutadoresdecamada2,seubenefcio facilmente justificvelpelodesempenhoalcanadoemredescomgrandefluxodetrfego. 5 Concluso Ao final deste artigo podese concluir que, dentre as inmeras tecnologias desenvolvidas para prover solues de segmentao de redes com Vlans, no existe um modeloaserseguidoouummanualdemelhoresprticasparaaobtenodeumaestruturade Vlanseficiente,seguraeprtica.Cadacenriopoderesultarnousodediferentestecnologias quefocamasoluodedeterminadasnecessidades.Opontomaisimportantedeumprojeto deimplantaodeVlans umaboaanlisedastecnologiasdisponveiscapazesdesupriras necessidadesdarededaorganizao. Porm,algumasvantagensalcanadascomaimplantaodeVlansemumaredeso indiscutveis, dentre elas,a melhoria significativa da trafegabilidade de dados na rede de modogeraldevido,principalmente,acontenodepacotesdedifuso,problemacrescente nasmdiasegrandesredescorporativas,oavanonascondiesgeraisdeseguranadarede impedindo acessos no autorizados e delimitando reas que demandam maior ou menor atenoemrelaoaseguranaeareutilizaodeequipamentosexistentesnaestruturaatual, proporcionandoeconomiadecustoseobtenoderesultados.Estascaractersticaspodemser ainda mais aperfeioadas se utilizadas determinadas tecnologias para apurar a prpria segurana,ogerenciamentoeaqualidadedeumaestruturadeVlans. Para dar sequncia na linha de estudos poderiase aprofundar a avaliao da qualidade do servio estudando solues para controle de trfego com Vlans a fim de priorizardeterminadostiposdeserviosessenciaisetambmavaliarasformasderoteamento efiltragemdepacotesparaapuraraseguranaeaconectividadedasredesvirtuais.

21

6 RefernciasBibliogrficas [1]Prado,FernandoFerreirado.VirtualLAN's.Disponvelem: http://www.gta.ufrj.br/grad/98_2/fernando/fernando.html.Acessoem:02ago.2009. [2]Passmore,D.Freeman,J.(1997).TheVirtualLANTechnologyReport.Disponvelem: http://www.3com.com/other/pdfs/solutions/en_US/20037401.pdf.Acessoem:02deago.2009. [3]DellCorp.(2004).VLANBasedNetworkSegmentation.Disponvelem: http://www.dell.com/downloads/global/products/pwcnt/en/app_note_8.pdf.Acessoem:8 ago.2009. [4]Both,JosLuiz.ExcertodaPrnormaIEEE802.1Q.Disponvelem:http://www.pop rs.rnp.br/~berthold/etcom/redes22000/trabalhos/802_1q.htm.Acessoem22jul.2009. [5]Moraes,IgorMonteiro.VLANsRedesLocaisVirtuais.Disponvelem: http://www.gta.ufrj.br/grad/02_2/vlans/.Acessoem22jul.2009. [6]CiscoSystemsInc.ConhecimentosBsicosdeRedes(CCNA1).2008. [7]Coelho,Paulo.RedesLocaisVirtuaisVlans.Disponvelem:http://www.estv.ipv.pt/ PaginasPessoais/pcoelho/rc/Material%20RC/vlans.pdf.Acessoem13jul.2009. [8]Dantas,Mrio.TecnologiadeRedesdeComunicaoeComputadores.SoPaulo: AxcelBooksdoBrasil,2002.328p.ISBN8573231696. [9]Forouzan,BehrouzA.ComunicaodeDadoseRedesdeComputadores.3ed.Porto Alegre:Bookman,2006.840p.ISBN8536306149. [10]Zacker,Craig,PaulDoyle.RedesdeComputadores:Configurao,Manutenoe Expanso.SoPaulo:MakronBooks,2000.1056p.ISBN8534609152. [11]Frinhani,RafaeldeMagalhesDias.ProjetodeReestruturaodoGerenciamentoe OtimizaodaRedeComputacionaldaUniversidadeFederaldeLavras.LavrasMG, 2005.90p. [12]Barros,OdairSoares.SeguranaderedeslocaiscomaimplementaodeVLANS OcasodaUniversidadeJeanPiagetdeCaboVerde.Disponvelem http://bdigital.unipiaget.cv:8080/dspace/bitstream/123456789/69/1/Odair%20Barros %20.pdf.Acessoem18ago.2009. [13]IEEEStandardP802.1Q.IEEEStandardsforLocalandMetropolitanArea Networks:VirtualBridgedLocalAreaNetworks.30deJulhode1998.Disponvelem: http://standards.ieee.org/getieee802/download/802.1Q1998.pdf.Acessoem22jul.2009.

22

[14]Jamhour,Edgard.VlansEthernet.Disponvelem http://eureka.pucpr.br/repositorio/download.php?codLink=2068696.Acessoem13mai.2008. [15]Sousa,Orlando,NunoPereira.VLAN(VirtualLocalAreaNetwork).Disponvelem: http://www.dei.isep.ipp.pt/~npereira/aulas/asist/07/misc/aula8.pdf.Acessoem22jul.2009. [16]Guilherme,Willian.CCNA640802ProtocoloVTP(VirtualTrunkProtocol). Disponvelem:http://www.netipsec.com.br/?p=601.Acessoem18set.2009. [17]Souza,AlessandroGoulart.SpanningTreeProtocol.Disponvelem: http://si.uniminas.br/TFC/monografias/Monografia%20Alessandro.pdf.Acessoem13set. 2009. [18]Zacaron,AlexandroMarcelo.UtilizandoRecursosdeSwitchingSTPeVlan. Disponvelem:http://www2.dc.uel.br/nourau/document/?down=562.Acessoem18set.2009. [19]Jamhour,Edgard.MetroEthernet.Disponvelem http://www.ppgia.pucpr.br/~jamhour/Pessoal/Especializacao/Atual/TARC/MetroEthernet.ppt. Acessoem06Out.2009. [20]CiscoSystemsInc.UnderstandingMultipleSpanningTreeProtocol(802.1s). Disponvelem: http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfc. shtml#mst_region.Acessoem06out.2009.

23