UCDB Universidade Catlica Dom Bosco Curso de Tecnologia em Redes de Computadores

VLANS PROTOCOLOS ISL E VTP

Rafael Aquino Risalte

Professor: Victor Augusto Merli Oliveira Lima

UCDB Campo Grande, MS - 17/03/2010

1. Dados do Projeto 1.1 VLANs Protocolos ISL e VTP

Esse trabalho mostra a implementao de VLANs em uma rede de dados, e o porqu de usarmos VLANs. Para isso h demonstrao de aplicao em um estudo de caso, onde uma empresa com uma grande rede, deseja implementar VLANs na sua rede. Antes de partirmos para a aplicao este, trabalho deixa bem claro, todos os conceitos tericos necessrios para o entendimento de o que so e para que servem as VLANs. Tambm mostrado de forma objetiva as funes e vantagens dos protocolos ISL e VTP.

1.2 Local de Realizao

Universidade Catlica Dom Bosco Av. Tamandar, 6000 Jardim Seminrio CEP: 79117-800 Campo Grande MS - Caixa Postal : 100

1.3 Responsvel pelo Projeto

Rafael Aquino Risalte, aluno do 3 semestre do curso de Tecnologia em Redes de Computadores, da Universidade Catlica Dom Bosco de Campo Grande Ms.

1.4 Professor
Victor Augusto Merli Oliveira Lima

2. Introduo
No s dias de hoje muito comum o uso de VLANs em redes de dados, elas so essenciais e o administrador de rede tem que dominar bem esse assunto, pois de extrema importncia que ele saiba como e quando se deve implementar as tcnicas de VLANs, e tambm como gerenci-las e administr-las, principalmente quando temos uma rede bem grande com muitas VLANs. Para isso necessrio ter conhecimentos de solues tanto de protocolos quanto de equipamentos de rede. Neste trabalho apresentado uma soluo com o uso de VLANs para uma rede bem grande, onde as VLANS vo prover segurana, criao de vrios domnios de broadcast, isolao de trfego para cada rede, sendo assim os problemas de cada rede ficaro isolados na sua prpria rede, no interferindo em host de outras redes, o que nos garante uma facilidade de gerenciamento. Tambm mostrado o funcionamento de protocolos essenciais para o uso, gerenciamento, identificao, e comunicao entre VLANs: ISL, IEEE 802.1q, VTP. Vamos entender e mostrar como esses protocolos interagem em nossa rede, vendo a funo de cada um deles e as vantagem que eles trazem em sua implementao na rede. Vamos ver que eles so de extrema importncia para garantir nossa administrao na rede de forma mais prtica como o caso do VTP, e a identificao que o caso do ISL e o IEEE 802.1q.

3. Objetivo
O principal objetivo deste trabalho deixar bem claro o que so, e para que servem as VLANs, passando todo o entendimento do conceito terico sobre VLANS. Mostrando os benefcios que sua aplicao trazem sobre a rede de dados, principalmente em questes de segurana e diminuio de trfego na rede (os Broadcasts). Temos como objetivo tambm: trazer o conhecimento de VLANs estticas e dinmicas, frame tagging, o que faz o ISL e o IEEE 802.1q e o gerenciamento de VLANs com o protocolo VTP.

4. VLANs 4.1 Conceito de VLANs (LANs Virtuais)

Redes Locais Virtuais so denominadas VLANs, elas so redes logicamente independentes, possuem seu prprio domnio de broadcast, sendo assim, elas otimizam o desempenho da rede, pois o trfego de broadcast de mquinas de uma determinada VLAN no influncia as mquinas pertencentes a outras VLAN. Com VLANs tambm podemos implementar segurana, pois, os usurios de uma determinada VLAN no podem acessar outra determinada VLAN. Em geral VLANs implementam segurana na rede de dados e aumentam o nmero de domnios de broadcast o que nos trs um ganho de desempenho (velocidade). Em uma topologia onde existe apenas switches ethernet nvel 2 ou em um segmento que contenha muitas portas, este conhecido como topologia de rede simples. Nela, possumos apenas um domnio de broadcast. Isso significa que, todos os dispositivos conectados aos switches, recebero os pacotes de broadcast. Isso em uma rede com poucos dispositivos, no problema, mas quando aumentamos a quantidade de dispositivos conectados, passa a ser um grande problema. Para solucionar esse problema, foi criada a tcnica conhecida como VLAN. Ela utilizada na segmentao de redes. O termo VLAN (Virtual LAN). Refere-se a criao de LANs virtuais em um mesmo equipamento ou pilha de equipamentos de rede. Com isso pacotes de broadcast s so recebidos pelos dispositivos pertencentes a uma determinada VLAN. Ex.:

Ex.:

As VLANs podem ser Estticas ou Dinmicas

4.2 VLAN Estticas

Estas so baseadas em portas, ou seja, voc diz que qualquer dispositivo que se conecte a uma determinada porta do swicth pertence a uma determinada VLAN. Por exemplo, em um comutador com dez portas, as portas 1, 2, 3 e 8 pertencem a VLAN 0. J as portas 4, 9 e 10 fazem parte da VLAN 1. As demais pertencem a VLAN 2, como visto na figura do switch abaixo.

Associao de portas a diferentes VLANs

Este mtodo vem sendo o mais utilizado na implementao de VLANs, pois sua configurao rpida e simples. Caso um usurio se mova para um local diferente, fora da ponte/comutador onde estava conectado, o administrador da rede deve reconfigurar a VLAN. Esta a principal desvantagem deste mtodo.

4.3 VLAN Dinmicas

Estas so baseadas em endereos MAC. O administrador da rede, deve manualmente cadastrar os endereos MAC das estaes e associar os mesmos a suas respectivas VLANS. Com isso, quando o usurio conectar seu micro na rede, independente da porta, ele ser alocado para a VLAN correta. Neste caso os membros da rede virtual so identificados pelo endereo MAC (Media Access Control) da estao de trabalho. O comutador reconhece o endereo MAC pertencente a cada VLAN. A associao entre endereos MAC e VLANS exemplificado na figura abaixo.

Associao de endereos MAC a diferentes VLANs

Quando uma estao de trabalho movida, no necessrio configur-la para que esta continue pertencendo a mesma VLAN, j que o endereo MAC faz parte da sua placa de interface de rede. Isto uma vantagem em relao as VLANs baseadas em portas, onde a tabela de membros tem de ser reconfigurada. O grande problema deste mtodo que um membro de uma VLAN deve ser inicialmente especificado, obrigatoriamente. Em redes com milhares de usurios isto no uma tarefa simples.

5. Identificando o Frame
A identificao do frame ou Frame ID atribuda de forma nica a cada frame. Este tipo de implementao tambm chamado de VLAN ID ou ID Color. O VLAN ID permite que o switch possa tomar decises inteligentes atravs de informaes que esto embutidas no frame, em um campo inserido (TAG). Esta caracterstica de adicionar informaes no cabealho do frame conhecido como Frame Tagging. Aps o frame passar e sair do trunk link fica a cargo do switch remover o identificador de VLAN (ID) para que o dispositivo final receba o frame sem ter que entender a identificao de VLAN. necessrio remover esta TAG, pois a estao final na est preparada para receber frames acima do tamanho normal do Ethernet, caso a estao receba este tipo de frame ela dever descart-lo, pois ser considerado um frame gigante.
Campo inserido

Prembulo

DA

AS

TAG

lenght

DATA

FCS

6. Padres de Identificao 6.1 Inter Switch Link (ISL)

Inter-Switch Link um protocolo proprietrio daCisco usados em um enlace tronco. Quando o swicth est configurado para usar este protocolo, ele encapsula os pacotes que saem pela interface trunk com um cabealho caracterstico do protocolo. De forma, qualquer outro switch que seja conectado a essa porta trunk e esteja configurado com o ISL consiga desencapsular o pacote e encaminh-lo para a VLAN correta. O ISL adiciona no Header do pacote um quadro chamado de VLAN ID, que preenchido pelo ID da Vlan o qual o quadro pertence. Devido aos termos de encapsulamento do frame Ethernet original o ISL considerado um protocolo externo, ou seja, o frame eriginal mantem-se intacto. Aps o encapsulamneto o frame ficar com cerca de 1522 bytes, 4 bytes maior que o frame ethernet padro. O encapsulamento ISL retirado do frame, quando o frame for encaminhado para um access link.

Cabealho ISL

VLAN | BPDU

Frame Encapsulado

CRC

6.2 IEEE 802.1q

O padro 802.1q modifica o frame Ethernet padro acrescentando alguns campos conforme mostra a figura abaixo:
Frame Ethernet Padro

Prembulo

DA

AS

Lenght

DATA

CRC

Frame Ethernet com o 802.1q

Prembulo

DA

SA

TCI

VID

Lenght

DATA

CRC

Funo dos campos acrescentados: TCI (Tag Control Info): indicao do tipo de Tag em uso. P (Priority): nvel de prioridade de 0 a 7 . C (Canonical Indicator): indica se o MAC em uso cannico; no caso do Ethernet este valor 0. VID (VLAN ID): indica a que VLAN o frame pertence.

7. VTP (VLAN Trunking Protocol)

Para manter a conectividade das VLANs em toda a estrutura do switch, as VLANs devem ser configuradas em cada switch. O protocolo VTP (Vlan Trunking Protocol) da Cisco garante um mtodo mais fcil para a manuteno de uma configurao de VLAN consistente em toda a rede comutada. Usado para distribuir e sincronizar informaes de identificao das VLANs configuradas em um domnio VTP. As configuraes estabelecidas em um nico servidor VTP so propagadas atravs do enlace tronco (Trunks Links) para todos os switches conectados ao trunk link. Os anncios VTP so transmitidos para todo o domnio de gerenciamento a cada 5 minutos, ou sempre que ocorrer uma alterao nas configuraes de Vlans. Existem 3 modos de operao: Cada um dos modos servindo para atender a uma necessidade especfica da rede.

7.1 Modos de Opero VTP

O modo servidor, o switch que detm as informaes sobre a(s) VLAN(s), tais como nmero de VLANs, nomes e outros parmetros. Essas informaes so armazenadas na NVRAM do switch e inicializadas automaticamente quando ligado, por esse motivo devemos apagar qualquer tipo de informao do equipamento antes de coloc-lo na rede visto que se tiver alguma informao de VLAN, que no faa parte da rede, essas informaes sero repassadas aos outros switches em modo cliente. Somente no modo server podemos criar, editar e excluir VLANs. O modo cliente, o switch que recebe informaes de VLAN existente na rede e armazena em sua RAM. Essas informaes so recebidas de um switch em modo serveridor (VTP server), no entanto, essas informaes so salvas tambm na NVRAM para evitar a perda das mesmas. Nesse modo, diferente do modo servidor, no possvel criar, alterar ou apagar informaes da VLAN apenas repassam as informaes para outros switches. O modo transparente, um switch especial, ele fica no meio termo entre server e client, mas no participa do domnio VTP. Ele pode criar, alterar e apagar as informaes localmente sem afetar a outros switches. Em modo transparante h o encaminhamento de atualizaes de VTP pelos seus links.

8. Estudo de Caso Dada a seguinte situao

Uma empresa com matriz em So Paulo capital, com filiais em todas as capitais dos estados brasileiros desejam implementar VLAN entre todas as suas lojas para aplicaes que requerem segurana, velocidade e escabilidade; cada localidade possui em mdia 560 computadores, e em cada localidade tem aproximadamente 10 hosts que executaro aplicaes que compartilharo o mesmo domnio de broadcast com as demais localidades. Projete, demonstre esta topologia de rede levando em os endereos IPs/Mscaras cada localidade ter o departamento Fin/ADM/COMPRAS/VENDAS com 120 computadores cada em seguimentos de redes compartilhadas, porem em domnios de broadcasts distintos. Dada a topologia criada, faa uma aplicao da utilizao de VLANs Dinmicas/Estticas com a utilizao do protocolo ISL (Inter Switches Links), VTP (VLAN Trunk Protocol) e o modo de operao entre o protocolo VTP/ISL com a topologia criada detalhando o seu funcionamento no projeto de rede criado e como voc chegou a tal concluso.

9. Aplicando VLANs para a situao dada 9.1 Tipo de VLAN

Com base nos conceitos de VLANs estticas e dinmicas optei usar no prejeto VLANs estticas pois so mais fceis de implementar e administrar, visto que nossa rede uma rede grande, imagine ter que adicionar os MACs de todos os hosts da nossa rede, um a um dizendo a que rede pertencem, seria uma tarefa longa e exaustiva, sem mencionar a dificuldade para administrar tudo isso. Existe no projeto uma VLAN com um detalhe muito interessante, a VLAN DE VIDEO CONFERNCIA, pois suas mquinas esto espalhadas em localidades muito distantes (cidades diferentes e longes umas das outras) porm elas fazem parte da mesma rede, compartilham o mesmo domnio de broadcast, mesmo estando em segmentos fsicos (cidades), diferentes. Atribui um switch em cada cidade pertencente a VLAN VIDEO.CONF (192.168.20.0), que poder ser vista na tabela de endereamento e identificao de VLANS no tpico Nomes, IDs e IPs logo a frente.

9.2 Topologia
Minha topologia consiste que o switch de So Paulo (matriz da empresa) funciona como backbone das outras captais (filiais). Ele est ligado aos switches principais das Filiais por meio de Trunks Links (Links que podem enviar/receber trfego proveniente de vrias VLANs) de fibra ptica de 1Gbps, devido ao fato de trafegarmos pelo canal muitas informaes ao mesmo tempo, por isso o link de 1Gbps para dar suporte a demanda de largura de banda, evitando qualquer tipo de congestionamento e atraso na rede . No projeto cada capital possui os departamentos de ADM, FINANAS, COMPRAS e VENDAS, sendo que cada departamento uma VLAN (em um switch), que tamb m esto conectados por trunks links (UTP 1000Mbps) ao switch principal de sua localidade como podemos observar no desenho da topologia. Temos tambm a implementao de um roteador ligado ao switch da matriz, ele responsvel por promover a comunicao entre as VLANs. Um nico roteador capaz de promover a comunicao entre todas as VLANs. Como j disse ele est conectado ao switch da matriz em So Paulo, s que temos um detalhe muito importante, essa conexo em feita por um trunk link de fibra ptica de 1Gbps, tudo isso porque esse roteador recebera muitas informaes (de todas as VLANs), ento esse canal requer uma demanda de banda maior para suportar todo esse trfego .
Topologia da Rede -linhas em vermelho trunk links

VTP Client VTP Client Cuiab Rio de Janeiro

FIN CG

COM CG VEN CG VTP SERVER

ADM CG VTP Client Campo Grande VTP Client

Curitiba VID.CONF So Paulo

VID.CONF ADM SP FIN SP

VEM SP COM SP

9.3 Nomes, IDs e Endereos IPs

Tentei organizar da melhor maneira possvel as VLANs, com seus nomes, IDs e IPs. Cada VLAN (com exceo a VLAN vdeo conferncia) deve ter endereos de rede que suportem 120 hosts cada, sendo assim, eu optei por usar endereos de classe C com mscara padro de 24bits, o que nos proporciona 254 hosts por segmento de rede. Mas no precisvamos de apenas 120 hosts? Sim , mas pensando no futuro crescimento da rede eu optei por deixar em cada VLAN endereos sobrando, disponveis caso seja necessrio adicionar mais hosts a cada VLAN.

Demonstrao em tabela: Cidade So Paulo So Paulo So Paulo So Paulo Campo Grande Campo Grande Campo Grande Campo Grande Cuiab Cuiab Cuiab Cuiab Rio de Janeiro Rio de Janeiro Rio de Janeiro Rio de Janeiro Curitiba Curitiba Curitiba Curitiba VIDEO CONFERNCIA Nome da VLAN ADM SP FIN SP COM SP VEN SP ADM CG FIN CG COM CG VEN CG ADM CU FIN CU COM CU VEN CU ADM RJ FIN RJ COM RJ VEN RJ ADM CR FIN CR COM CR VEN CR VID.CONF ID VLAN 2 VLAN 3 VLAN 4 VLAN 5 VLAN 6 VLAN 7 VLAN 8 VLAN 9 VLAN 10 VLAN 11 VLAN 12 VLAN 13 VLAN 14 VLAN 15 VLAN 16 VLAN 17 VLAN 18 VLAN 19 VLAN 20 VLAN 21 VLAN 22 Rede 192.168.0.0 /24 192.168.1.0 /24 192.168.2.0 /24 192.168.3.0 /24 192.168.4.0 /24 192.168.5.0 /24 192.168.6.0 /24 192.168.7.0 /24 192.168.8.0 /24 192.168.9.0 /24 192.168.10.0 /24 192.168.11.0 /24 192.168.12.0 /24 192.168.13.0 /24 192.168.14.0 /24 192.168.15.0 /24 192.168.16.0 /24 192.168.17.0 /24 192.168.18.0 /24 192.168.19.0 /24 192.168.20.0 /24

10. Configurando Trunk Port

Switch#config t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/12 Switch(config-if)#switchport mode trunk For the 3550, you have the encapsulation command that the 2950 switch does not: Switch(config-if)#switchport trunk encapsulation ? dot1q Interface uses only 802.1q trunking encapsulation when trunking isl Interface uses only ISL trunking encapsulation when trunking negotiate Device will negotiate trunking encapsulation with peer on interface As you can see, we can add either the IEEE 802.1Q (dot1q) encapsulation or the ISL encapsulation to the 3550 switch.

11. Configurando inter-VLAN Routing

Router#config t Router(config)#int f0/0 Router(config-if)#no ip address Router(config-if)#no shutdown Router(config-if)#int f0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address 192.168.0.1 255.255.255.0 Router(config-subif)#int f0/0.3 Router(config-subif)#encapsulation dot1q 3 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#int f0/0.4 Router(config-subif)#encapsulation dot1q 4 Router(config-subif)#ip address 192.168.2.1 255.255.255.0

12. Implementao e Benefcios dos Protocolos VTP e ISL no Projeto de Rede

Como o VTP e o ISL so protocolos proprietrios da Cisco, nossos equipamentos de rede (switches e roteador) so Cisco. Optei por implementar VTP em meu projeto rede pelo fato da rede ser muito grande, temos muitas VLANS e switches. Sem o uso do VTP eu teria que entrar na configurao de cada switch e adicionar todas as VLANS existentes em minha rede, sendo assim, supondo que por exemplo eu tenha umas 150 VLANs e uns 100 switches em minha rede, eu teria que entra em cada switch, um a um, em localidades diferentes e distantes e adicionar essas 150 VLANs em cada switch, isso daria um trabalho enorme e difcil de gerenciar. Com a implementao do VTP eu Crio um domnio VTP, elejo um switch VTP Server e adiciono somente nele as 150 VLANs, atravs dos trunks links juntamente com o ISL, ele repassar a todos switches as configuraes das VLANs (nome, ID, portas onde esto localizados os dispositivos pertencentes a cada VLAN). O que torna o meu trabalho de configurao e gerenciamento de VLANs muito mais fcil e rpido.

13. Resultados e Impactos Esperados

Com a realizao deste trabalho espero deixar este documento como fonte de informao e conhecimentos sobre VLANs, servindo para pesquisas, estudos e como material didtico de apoio.