Laboratrio de Redes

Rui Prior 2012

Introduo s VLAN

Este documento pretende dar uma breve introduo s Virtual LAN (VLAN), um conceito
fundamental nas redes locais da actualidade.
Conceito
Por razes de ordem diversa (organizao da rede, desempenho, privacidade, segurana, etc.)
frequentemente necessrio dividir a rede de uma organizao em diversas ilhas sem ligao
directa entre si (domnios de difuso). Tradicionalmente, essa diviso correspondia a uma separao
fsica numa rede ethernet comutada, cada domnio de difuso corresponde a um ou mais
comutadores ligados entre si, funcionando como uma LAN independente. Dado no existir nenhuma
ligao directa entre as LAN assim formadas (caso contrrio a separao perder-se-a), se houver
necessidade de comunicao entre essas diferentes LAN, elas tm que ser interligadas atravs de um
router.
Apesar de funcionar, este tipo de diviso da rede pode ser muito ineficiente ou inconveniente.
comum a diviso lgica que se quer fazer da rede no se mapear bem na diviso dos espaos fsicos.
Por exemplo, uma empresa instalada num edifcio de vrios pisos que tenha um departamento de
desenvolvimento, outro de marketing e outro de servios administrativos, e que queira separar as
redes desses departamentos pode precisar de ter em cada piso o triplo dos comutadores de que
necessitaria se as redes no estivessem isoladas. Pior, se num piso faltasse uma porta para ligar o
computador do funcionrio de um dado departamento seria necessrio instalar mais um comutador,
mesmo que sobrassem portas livres nos comutadores dos outros departamentos. A aquisio,
renovao, manuteno e administrao de todo o equipamento adicional tem, naturalmente,
custos, mas a diviso pelo que se tornou necessrio encontrar uma outra alternativa.
Para resolver estas questes, a maioria dos comutadores actuais (excepto os de muito pequena
dimenso destinados a uso em SOHO) permite fazer a diviso de uma mesma rede fsica em
diferentes domnios de difuso, designados VLAN (LAN virtuais). Do ponto de vista lgico, diferentes
VLAN funcionam como se fossem redes independentes, com cablagem e equipamentos separados.
Tal como no caso em que a separao era fsica, continua a no haver ligao directa entre mquinas
pertencentes a diferentes VLAN, pelo que a comunicao entre elas tem que ser feita atravs de um
router
1
.

1
Al guns comutadores so capazes de detectar os endereos IP em uso nas suas VLAN e encami nhar pacotes
entre el as, presci ndi ndo assi m de um router (sal vo para comuni cao com o exteri or).

Figura 1 Segmentao da rede com base na localizao fsica (tradicional) ou em critrios lgicos (VLAN)

O mecanismo mais bsico das VLAN consiste na atribuio de cada uma das portas do comutador a
uma dada VLAN, de modo a que haja comunicao directa apenas entre portas pertencentes
mesma VLAN. Tramas recebidas pelo comutador numa porta pertencente a uma VLAN, mesmo que
sejam de broadcast, nunca so retransmitidas para portas pertencentes a VLAN diferentes (ou seja,
cada VLAN um domnio de difuso independente). A atribuio de uma porta (fsica) do comutador
a uma dada VLAN pode ser feita atravs de configurao (VLAN estticas), ou ento de forma
automtica (VLAN dinmicas). No segundo caso, a atribuio de uma porta a uma VLAN pode fazer-
se com base em critrios como o endereo MAC da mquina ligada nessa porta (critrio de camada
2), do seu endereo IP (critrio de camada 3), ou ainda por autenticao atravs do protocolo
802.1x.

Figura 2 Atribuio de portas fsicas a diferentes VLAN
VLAN trunking
Havendo uma ou mais VLAN que se estendem por vrios comutadores surge outra questo: com
cada porta atribuda a uma e uma s VLAN, para manter o seu funcionamento inalterado ( podem
trocar-se tramas entre quaisquer portas de uma mesma VLAN mas no entre portas de VLAN
diferentes) seria necessrio ter vrias ligaes fsicas (i .e., vrios cabos de rede) a interligar cada par
de comutadores, um por VLAN. Quer o consumo excessivo de portas a que conduz, quer a
necessidade de instalar cablagem adicional, tornariam esta soluo indesejvel, pelo que foi
desenvolvida uma alternativa.
VLAN 1
(default)
VLAN 2 VLAN 3

Figura 3 Interligao entre comutadores apenas com uma VLAN por porta
De modo a poder fazer com apenas um cabo a interligao entre comutadores com VLAN, estes
permitem configurar cada porta num de dois modos: acesso ou trunk. Enquanto uma porta de
acesso est atribuda a uma nica VLAN, nas portas de trunking circulam tramas de diferentes VLAN.

Figura 4 Interligao entre comutadores com portas em modo trunk
Para que um comutador, quando recebe uma trama numa porta em modo trunk, possa saber a que
VLAN pertence, as tramas enviadas em ligaes em modo trunk precisam de transportar no
cabealho uma etiqueta (VLAN tag) indicando a VLAN a que pertence. Infelizmente, no existe
nenhum campo no cabealho das tramas ethernet normais onde a VLAN tag possa ser transportada,
pelo que necessrio utilizar nas portas em modo trunk um encapsulamento diferente. O
encapsulamento standard para tramas enviadas por portas em modo trunk est definido na norma
802.1Q. Existem encapsulamentos alternativos, como o Cisco Inter-Switch Link (ISL), mas por ser
proprietrios no so adequados para redes com equipamento de mltiplas marcas.

Figura 5 Encapsulamento 802.11Q vs. ethernet normal
Uma porta em modo trunk pode ter configurada uma VLAN nativa. Nesse caso, uma trama com
encapsulamento ethernet normal recebida nessa porta assume-se pertencente VLAN nativa. Em
alternativa, pode-se configurar a porta de trunking para descartar as tramas recebidas sem etiqueta
VLAN.
Encaminhamento entre diferentes VLAN
A nvel de ligao lgica, as diferentes VLAN comportam-se como redes independentes, no
havendo possibilidade de comunicao entre elas nessa camada. A existir necessidade de
comunicao entre mquinas em diferentes VLAN, ela ter que efectuar-se na camada de rede, ou
seja, atravs de um router. Este pode ligar-se ao(s) comutador(es) atravs de mltiplas portas fsicas
ou atravs de uma nica porta em modo trunk. Alguns routers modulares permitem a instalao de
mdulos de comutao, constituindo um 2-em-1 de router e comutador.
Configurao bsica de VLAN
Cisco 2691 com mdulo EtherSwitch
Nesta seco indicam-se alguns comandos para configurao bsica de VLAN num router Cisco 2691
com um mdulo de comutao EtherSwitch NM-16ESW. Para mais informao, deve consultar os
manuais da Cisco Systems.
Criao de VLANs
1. Estando no modo EXEC privilegiado (no no modo de configurao), entre na configurao das
VLAN com o comando:
vlan database
2. Adicione as VLAN desejadas. Opcionalmente pode atribuir um nome a cada VLAN para facilitar a
administrao. Exemplo de criao da VLAN 5 para a rede do departamento de marketing:
vlan 5 name Marketing
3. Use o comando exit para guardar as alteraes e sair, ou ento o abort para sair sem as
guardar. Note que a base de dados de VLAN fica guardada na flash separada da configurao do
router, num ficheiro chamando vlan.dat.
4. Pode verificar as VLAN existentes usando
show vlan-switch brief
Note que a VLAN 1 (default) j vem pr-configurada, e usada por todas as portas em que no seja
explicitamente configurada uma VLAN diferente.
Configurao das portas do mdulo EtherSwitch do router
Configurao de f1/0 como porta de acesso na VLAN 5:
interface FastEthernet 1/0
switchport mode access
switchport access vlan 5

Configurao de f1/0 como porta de trunking com encapsulamento 802.1Q:
interface FastEthernet 1/0
switchport trunk encapsulation dot1q
switchport mode trunk

Configurao do endereo IP do router em cada uma das VLAN
A configurao do endereo IP do router numa VLAN faz-se da mesma forma que a configurao do
endereo IP de uma qualquer interface:
interface vlan 5
ip address 192.168.1.1 255.255.255.0
no shutdown

Linux
O kernel Linux tambm permite configurar interfaces de rede com VLAN em modo trunk
(encapsulamento 802.1Q). Exemplo de procedimento para configurao da porta eth0 em modo
trunk:
1. Adicionar a(s) VLAN desejada(s) VLAN 5, neste caso. Por cada VLAN criada uma nova
interface lgica cujo nome o da interface me seguido de um ponto e do nmero da VLAN,
e.g., eth0.5
# vconfig add eth0 5
2. Configurar as diferentes interfaces lgicas
# ifconfig eth0.5 192.168.1.2 netmask 255.255.255.0 up
3. O endereo IP da VLAN nativa configura-se na prpria interface me
# ifconfig eth0 192.168.2.2 up
Se no quiser usar a VLAN nativa pode remover o endereo IP que eventualmente lhe esteja
atribudo
# ifconfig eth0 0.0.0.0 up
Pode verificar a configurao de VLAN no ficheiro /proc/net/vlan/config. Pode tambm criar
ficheiros para configurao permanente em /etc/sysconfig/network-scripts/, devendo
acrescentar s interfaces VLAN a linha VLAN=yes.