SegmentaodeRedescomVLAN

LeonardoHaffermann

PsGraduaoemRedeseSeguranadeSistemas
PontifciaUniversidadeCatlicadoParan

Curitiba,Novembrode2009

Resumo

Esteartigofoidesenvolvidocomointuitodeaprofundarosconhecimentosreferentes
aimplementaodeRedesLocaisVirtuais(Vlan),destinadaaobtenodeumasegmentao
lgica(virtual)emumambientefsicoafimdeseobtermelhordesempenhoeseguranaem
uma estrutura de rede corporativa. Atravs do estudo de suas diversas caractersticas e
configuraespodeseobteroconhecimentonecessrioparacompararasdiferentesformas
deimplementaodeVlanse,decertaforma,dominarestatecnologiaquevemsedestacando
nosltimosanosporsuaeconomia,flexibilidadeeversatilidade.

1 Introduo

Nosltimosanosavelocidadeeaquantidadedasinformaesquetrafegampela
grandeRedetmexperimentadoumcrescimentoquenotendemaisaregredir.Omesmo
ocorre,emescalamenor,naredelocaldeumaorganizao,ondeumnmerocrescentede
computadores,perifricos(impressoras,scanners,cmeras,telefoniavoip,etc)eservidores
quefornecemserviosesistemasdiversos compartilhamomesmomeiodecomunicao
gerandoumnveldetrfegonaredeque,senocorretamentegerenciadopodeocasionar
lentidoouatmesmoaindisponibilidadedeumoumaisservios.
A implantao de VLANs (Virtual Local rea Network) tem a inteno de
segmentarumaredelgicaafimdeaumentarocontroledetrfegodarede,diminuiroalcance
dedisseminaodepacotesdedifuso(broadcast)edepragasvirtuais,melhoradoassimo
desempenhoeaseguranadeumadeterminadarede.
Inicialmenteseroapresentadososriscoseproblemasprovenientesdousodeuma
rede no segmentada.EmseguidaserexpostooconceitodeVLAN para,nasequencia,
aprofundarse no estudo das caractersticas, classificao e configurao das VLANs.
Finalmenteserapresentadoumcomparativodas tecnologiasestudadas soboenfoqueda
segurana,gerenciamentoequalidadedoservio.

2 Descriodetalhadadoproblema

Atualmentecadavezmaiscomumousodesoluesvirtuais,disponveisaum
clique,parasubstituiraesque,hpoucotempo,eramefetuadasfisicamentedemandando
deslocamentos etempo disponvel como por exemploem livrarias online onde podemse
adquirir livros, fsicos ou virtuais, em pouco tempo sem a necessidade de sair de sua

1
residncia. Emumaorganizaoestatendnciasegueomesmocaminhoafimdeagilizar
processos,diminuircustoseaumentarlucros.
Esteaumentodesoluese,consequentemente,deinformaestrafegandopelarede
trouxe uma nova preocupao para a equipe de TI (Tecnologia da Informao) que o
congestionamentodoslinks.Ocrescimentodesenfreadodotrfegoderedecriagargalosem
determinados pontos da estrutura, podendo gerar lentido ou at tornar alguns servios
indisponveistemporariamente.Estasituaopodeseragravadapelapropagaodepacotes
dedifuso(broadcast)queemmuitoscasosconsomemfatiaconsiderveldabandadeum
enlacededados.
Outra questo importante a se considerar a segurana. Com o aumento de
informaesconfidenciaiscirculandopelaredecrescetambmointeressedepessoasmal
intencionadasbuscandocapturardadosparafinsdiversospormeiodadisseminaodepragas
virtuais(vrus,worms,malwares,etc)ouatravsdesniffers,capturandopacoteseextraindo
dadosquelhepareaminteressantesparausofuturo.

3 LAN,SegmentaoeVLAN

Umaredelocal(LAN)podeserdefinidacomoumareadecomunicaodedados
interligadadeabrangnciarestritaealtastaxasdetransmisso,pormmaiscomumente
descritacomosendoumdomniodebroadcast,istoporque,umpacotededifusolanadoem
umaredelocaldisseminaseparatodosospontosdeacessoativos.
ASegmentaodeRedessurgiupara,entreoutrosmotivos,limitaradisseminao
debroadcastsemumaredelocaleconsisteeminserirdispositivosnarede(roteadores)que
bloqueiam apassagemdepacotesdebroadcastsquandoatravessamsuas interfaces.Estes
roteadorestmtambmafunodeinterligardiferentesLans.
MaisinformaesarespeitodeRedesLocaiseSegmentaodeRedespodemser
encontradasemConhecimentosBsicosdeRedes[6].
Noentanto,paraseobteromesmonveldesegmentaoeseguranadeumarede
local pode se utilizar uma soluo de baixo custo, se comparado com os preos dos
roteadores, atravs de Vlans (Virtual Local rea Network). Uma Vlan proporciona uma
segmentaolgicadaredeatravsdecomutadores(bridgesouswitches)comestafuno.
Uma atributo importante das Vlans o fato de poder usla onde existe a
necessidadedesepararatopologialgicadesegmentosderededatopologiafsica[3].Pode
seativarduasVlansemalgumasportasdediferentesswitches,fazendocomqueestasse
comportem como duas redes separadas, sendo assim, todos os pacotes provenientes de
dispositivosmembrosdeumaVlansomenteseroencaminhadosparaasportasdosswitches
pertencentesamesmaVlan.UmexemplobsicodeumaVlanapresentadonafiguraabaixo.

Figura1:ExemplodeVlan

AimplementaodoconceitodeVlanstornaogerenciamentodasredeslocaismais
flexveislevandoemconsideraoofatodepermitirquecomputadorespossamfazerpartede

2
umaououtraVlansemquesejanecessrioalteraraorganizaofsicadarede.Poroutro
lado,emsuaconfiguraobsica,computadoresdeumaVlannopodemsecomunicarcom
computadoresdeoutraVlan,damesmaformacomoredeslocaisdiferentesnopodemse
comunicar.Assimtambmcomonasredeslocais,nasVlansdevemserusadosdispositivos
roteadoresparaproporcionarainterconectividadeentreestas.OroteamentoentreVlansser
analisadomaisadiante.NafiguraabaixopodemosverumexemplodeinterligaodeVlans
usandoroteadores.

Figura2:InterconexoentreVlans

3.1 CaractersticasdasVLANs

AprincipalcaractersticaatribudaaousodeRedesLocaisVirtuaisapossibilidade
de seagruparestaespertencentesaumaoumaisLansfsicasparaseformarumnico
domniodedifusoouBroadcast,garantindoacomunicaoentreelasmesmoquefaam
partedesegmentosfsicosdiferentes[9].
Alm desta existem outras caractersticas importantes quando se avalia o uso de
Vlansqueseroabordadasnostpicosaseguir.

3.1.1 Controledepacotesdedifuso(broadcasts)

Em uma rede no segmentada, computadores, impressoras e outros dispositivos

conectados disseminam uma grandequantidadede pacotes de difuso,sejaporfalhas na
conexodoscabos,maufuncionamento deplacasderede,ouatmesmoporprotocolose
aplicaesquegeramestetipodetrfego,podendocausaratrasonotempoderespostae
lentidonaredelocal.NomodelodeVlans,existeumdomniolgicodedifusoporondeos
pacotesdebroadcastoumulticastsocontidosenosepropagamaoutrasredesvirtuais[11].
AssimumaredesegmentadacomVlanscriavriossubdomniosdedifuso, diminuindoo
trfegodemensagensdedifusotantonaredesegmentadacomonarededaorganizaoem
geral.Aseguirpodemosvernafiguracomosecomportaotrfegodebroadcastsemumarede
segmentadacomVlan.

3
 Figura3:DisseminaodebroadcastscomVlan

3.1.2 Gerenciamentodarede

EmumaLancomum,quandonecessriomudarumcomputadordeumedifcio
paraoutro,comumaredeseparada,necessrioexecutarumasriedeprocedimentos,desde
lanamentodenovocabeamento,atconfiguraoderotaseregrasparaqueoequipamento
permaneanamesmaredeligadaanteriormente.ComVlans,bastarealizaraconfigurao
doscomutadoreseroteadoresparaque,emdeterminadasportas,sejapermitidootrfegode
pacotesdaVlanaqualoequipamentopertenciaanteriormente,oqueevitaperdadetempo
comdeslocamentoseinstalaes,proporcionandoumaaltaflexibilidade.
Os equipamentos que suportam o uso de Vlans tambm possuem funes de
monitoramento de trfego e comporta a ativao/desativao de portas permitindo que o
administradorbloqueieportasqueapresentemqualquerproblemaouimpedirquepessoas,
inadvertidamente,conectemequipamentosemdeterminadaredevirtual.

3.1.3 Performancedarede

AimplementaodeVlanparasegmentarumaredemelhoraaperformance.Como
relatado anteriormente, os broadcasts e multicasts so confinados a Vlan onde trafegam
evitandocongestionamentos.Outracaractersticaofatodediminuironmerodeestaes
quecompartilhamomesmocanallgicodiminuindootempodeacesso[5].

3.1.4 Segmentaolgicadarede

Aimplantaoderedesvirtuaispodeseraplicadadeacordocomgruposdetrabalhos
ousetoresmesmoqueestesgruposestejamemlocalizaesfsicasdistintas,garantindoassim
asegmentaolgicadarede.Emdeterminadaorganizaoosetorfinanceiropodepertencer
aumaVlandiferentedorestantedaorganizaoafimdeprotegerinformaessigilosas.Em
outrasituaoumsetorquegeramuitotrfegoderedepodefazerpartedeoutraVlanafimde
melhorarodesempenhodarededemodogeral.

4
3.1.5 Segurana

A segurana uma das caractersticas que mais levada em conta quando se

implementaVlans,permitindoquedispositivoslocalizadosemdiferentessegmentosfsicose
emumamesmaVlanpossamsecomunicarsemquedispositivosfisicamentevizinhostenham
acesso [11].Os pacotes transmitidos sonormalmenteentregues somenteao endereo de
destinodificultandoainterceptaodosmesmos.QuandosetratadetrfegoentreVlans,os
pacotes so submetidos a um roteador, que possui diversas funcionalidades de filtragem,
seguranaeprioridade,antesdechegaremaseusupostodestino,criandoassimdomniosde
seguranaparaacessoarecursosdarede.

3.1.6 ReduodeTempoeCusto

Ousoderoteadoresdedicadospararealizarainterconexoderedeslocais pode
tornaroscustosdesegmentaoderedesproibitivos.Ousodecomutadorescombinadocom
Vlanspodetornaraimplementaomaisatrativaseconsideradaaquestomonetria.
Masumcustoaindamaior amdioelongoprazopodesereferenciaraotempo
despendido para reconfiguraes fsicas e migraes de dispositivos entre locais fsicos,
grupos ou redes locais diferentes. Usandose Vlans as migraes e reconfiguraes so
realizadasemnveldesoftware,atravsdaconsoledegerenciamentodosswitches.

3.2 ClassificaodasVLANs

AsRedesLocaisVirtuaispodemserclassificadasdeacordocomseuagrupamento,
isto,aformacomoseroreunidososdispositivosquefaropartedasmesmasVlans.Estes
agrupamentospodemserdefinidosporintermdiodasportasdocomutador,pelosendereos
fsicosdasinterfacesderede,endereoIPdosclientes,endereosIPmulticast,protocolose
tambm por uma combinao de alguns destes. Nas subsees a seguir os tipos de
agrupamentosseroapresentadoscommaisdetalhes.

3.2.1 Agrupamentoporportas

Este tipo de agrupamento leva em conta apenas as portas do switch, no

considerandoosdispositivos,utilizadorousistemaconectadosoutraponta.Nestemodelo
cadaportadoswitchassociadaaumaoumaisVlans.Podesedefinir,porexemplo,queas
portas2,3,4,8e12deumswitchde16portassejaassociadasVLAN1enquantoasportas
1,5,6,7e15pertencemVLAN2easportas9,10,11,13,14e16faampartedaVLAN3.
Casosejanecessriaalgumaalteraooumovimentaodedispositivosdevesereconfigurar
asportasafimdeverificarseanovaportafazpartedaVlandesejada.Pelafacilidadede
implementao e configurao um dos mtodos de agrupamento mais usado, sendo
suportadoportodososfabricantesdeequipamentosquesuportamVlans[7].

3.2.2 AgrupamentoporEndereoFsico(MAC)

5
 Outra forma de agrupamento de Vlans se faz atravs do endereo fsico das
interfacesderededosdispositivos(endereoMAC).Nestemtodo,oadministradorderedes
associaumendereoMACdeumdispositivoaumadeterminadaVlannoswitch.Assimos
dispositivos podem ser movidos para qualquer localizao, dentro da organizao, que
continuaroafazerpartedamesmaredevirtual,semqualquerreconfiguraoposterior[2].
Talvezumdosmaioresinconvenientesdestamodalidadedeagrupamentoofatode
que, antes de se colocar em operao, devemse cadastrar todos os endereos MAC dos
dispositivosqueseroconectadosnoswitcheassocilosasuasrespectivasVlans,oque,
dependendodotamanhodarede,podedispenderbastantetempodetrabalho.Outralimitao
destasoluorefereseaimpossibilidadedeassociarmaisdeumaVlanparacadaendereo
MAC.

3.2.3 AgrupamentoporEndereoIP

Nestamodalidade,osdispositivospodemseragrupadosatravsdeseusendereosou
subredesIP.DestaformapodeseatribuirumaVlanadispositivoscomIPespecfico[7].Por
exemplo,osdispositivoscomIP172.16.0.10,172.16.0.11e172.16.0.12pertencemVLAN2.
Porm,devesetomarcuidadoespecialcomapolticadedistribuiodeendereos
IPnarede.Tantoaespecificaomanualdosendereosnoscomputadores,quantoafixao
dosendereosdeacordocomooendereoMACnosservidoresDHCPacarretamumacarga
extradetrabalhoparaadministraodosendereosquepodemseesgotareimpossibilitara
conexodenovosdispositivos.

3.2.4 AgrupamentoporEndereoIPMulticast

Quando um dispositivo ingressa em um grupo Multicast, atravs de uma

confirmaodeumanotificaopreviamenterecebida,estepassaafazerpartedeumgrupo
capazdereceberpacotesatravsdemulticast.OspacotesIPmulticastsoenviadosaum
endereoquerepresentaestegrupoequepodeserdefinidodinamicamente.
Enquantoestedispositivofizerpartedestegrupomulticast,fartambmpartede
determinada Vlan atravs do agrupamento por endereos IP multicast. Esta caracterstica
temporriaagregaumagrandecapacidadedeflexibilizaoaestetipodeagrupamento.Estas
Vlanstambmpodemtransporolimitedaredeinterna,estabelecendoconexesWanpor
seremcapazesdepassarempelosroteadores[2].

3.2.5 AgrupamentoporProtocolos

Emredesondesosuportadosprotocolosdiferentes(IP,IPX,NetBIOS,AppleTalk)
este mtodo pode ser usado para agrupar cada protocolo em uma Vlan diferente. Os
comutadores verificam cada pacote para identificar a qual rede virtual o mesmo est
associadopormeiodotipodeprotocolousado.Apesardesebasearemendereamentode3
nvelestescomutadoresnorealizamfunesderoteamento,sendorestritamenteusadopara
identificaoeagrupamentodasVlans.
Um dos benefcios do uso deste tipo de Vlan a flexibilidade na localizao e
mudana de estaes sem necessidade de reconfigurao. Por outro lado existe perda de

6
performance dos comutadores que suportam este agrupamento pela necessidade de
verificaodosendereosnaterceiracamadaaoinvsdaprimeira(endereoMAC).

3.2.6 CombinaodeAgrupamentos

Peloapresentadonositensanteriorespodesenotarquecadatipodeagrupamento
possui suas vantagens e desvantagens. Pensando em aumentar a autonomia dos
administradoresemorganizarsuasredesdaformaquemelhorseadapteassuasnecessidades,
atualmente muitos fabricantes tm oferecido equipamentos capazes de mesclar os
agrupamentospermitindoumnvelaindamaiordeflexibilizao ecriandoVlanshbridas
compelomenosdoistiposdeagrupamentos.

3.3 ConfiguraodasVLANs

AsVlanspodemserconfiguradasdetrsformasdiferentesafimdepossibilitarque
osdispositivosseconectemaelas.Soelas:Configuraomanual(ouesttica),automtica
(oudinmica)esemiautomtica(ousemiesttica).Maisdetalhessobrecadaumadelassero
apresentadosaseguir.

3.3.1 ConfiguraoManual

NumprocedimentodeconfiguraomanualdeVlanasconfiguraesiniciaisetodas
as alteraes posteriores de configurao so de responsabilidade do administrador. Esta
modalidade proporciona um algo grau de controle e administrao. Mas dependendo do
tamanho deredeimplantada,estegraudeadministraopodetornarseimpraticvel por
dependerdainterfernciadeumoperador,sendoqueumadasprincipaisvantagensdousode
Vlansjustamentenonecessitardereconfiguraesconstantes.

3.3.2 ConfiguraoAutomtica

NummtododeconfiguraoautomticadeVlanosdispositivossoconectados
e/ou desconectados automaticamentedas redes virtuais pormeiodecritrios oupolticas
previamente configuradas pelo administrador como por exemplo grupos de trabalho ou
identificaododispositivoouusurioconectado.
Estetipodeconfiguraobemsuportadoemqualquertamanhoderede,mas
altamenterecomendadopararedesdegrandeporteporfacilitaraadministraoesermais
flexvel.

3.3.3 ConfiguraoSemiautomtica

A modalidade deconfiguraosemiautomticaabrangeparticularidades das duas

configuraescitadasanteriormente.UmaVlanajustadadeformasemiautomticapermite
queasconfiguraesiniciaissejamdefinidasmanualmenteeasfuturasreconfiguraese
migraesdeestaesedispositivossorealizadosdinamicamenteouviceversa.

7
3.4 Identificaodequadros(frames)

Em um processo de comunicao, quando o trfego de rede atravessa os

comutadores,estes devem sercapazesdeidentificaraquaisVlansospacotesfazemparte.
Esta identificao pode ser feita atravs do reconhecimento dos quadros que pode ser
realizadapelosmtodosimplcitoeexplcito:
Mtodoimplcito:oumarcaoimplcita(implicittagging)caracterizaosquadros
quenosorotulados.OscomutadoresidentificamaVlanaqueestequadropertence
atravsdeinformaescontidasemseuscabealhoscomoporexemplo,aportapor
ondeoquadrochegououcruzandooendereoMACcomatabeladeassociaodas
Vlans,paraassimencaminharospacotesparaodestinocorreto[5].Nestemtodoos
dispositivos daredenonecessariamente precisamsaber queexisteVlans pois o
quadropermaneceinalterado;
Mtodo explcito: ou marcao explcita (explicit tagging) ocorre quando um
dispositivoderedemarca(tagg)oquadrocomumidentificadordeVlanacusandoa
qualredevirtualestequadropertence.Nestemtodoosdispositivosprecisamsaber
daexistnciadasVlans,poissoinseridasinformaesreferentesaestaidentificao
no cabealho do quadro, alterando seu tamanho, e caso um dispositivo que no
suporte Vlan receba o quadro,este serdescartado [11]. Os dispositivos na rede
devemtambmpossuirumabasededados,igualparatodos,cominformaesde
identificao de cada Vlan e onde encontrar estas informaes nos quadros. Os
dispositivos adicionam, ou no, a tagg de Vlan dependendo se o dispositivo de
destinopossuisuporte,ouno,aoprotocolodeVlan(IEEE802.1Q).

3.4.1 Classificaodeframes

A construodequadros relacionados Vlans sodefinidos pelas normas IEEE

802.3aceIEEE802.1QepodemserclassificadoscomoUntaggedframes;Prioritytagged
frameseTaggedframes:
Untaggedframes:soframesethernetcomuns,semqualquermarcaoadicional;
Priority Tagged frames: so frames que possuem a informao de classe de
prioridade(IEEE802.1p)pormsemnenhumainformaosobreidentificaoda
Vlan.Ataggdeprioridadepossui3bitsdetamanhoepermiteoitovalorespossveis,
podendovariardezeroasete;
Taggedframes:soframesquepossuemaidentificaodaVlanaquepertence
nocampoVID(VlanIndentifier)deoitobits.

Osframes Untagged e Priority Tagged realizamaidentificaodas Vlansaque

pertencempormeiodaassociaodeportas,endereosMAC,protocolosentreoutros.Jos
frames Tagged no necessitam de tal associao pois, como explicado anteriormente, j
possuemaidentificaodaVlaninclusanocabealho.
Nafiguraabaixopodesevisualizarumframeethernetcomum,conformedefinio
danormaIEEE802.3ac,ealocalizaoondeinseridaaidentificaodeVlan(Tagg).

8
 Figura4:QuadroEtherneteTaggVlan

AinserodastaggsVlancaracterizamsepelaadiodedoiscamposdedoisbytes,
posicionadosapsocampodeendereoMACdeorigem,comoprimeirodenominadoTagg
ProtocolIdentifier(TPID)queidentificaumframecommarcao(normalmentecomovalor
0x8100)eosegundocampochamadoTaggControllInformation(TCI)quesubdivididoem
trscamposidentificadoscomoUserPriority(3bitsdetamanho)quedefineaprioridadedo
frame,ocampoCFI(CanonicalFormIndicator1bit)quefoiprojetadoparausoemredes
Token Ring e o campo VID (Vlan Identifier 12 bits) que o campo reservado para
identificaodeVlans[7].
Se o valor do campo VID for nulo (0x000) significa que o campo no possui
informaodeidentificaoeoTCIpossuiapenasinformaodeprioridade.Seovalorfor
iguala1(0x001)significaqueoquadroumVlanTaggedframe.OvalordeVIDsetado
comoFFF(0xFFF)reservadoenopodeserusadoparaidentificaoeconfiguraode
Vlans.
OquadropadroEthernet,apsainclusodataggVlansofreumacrscimoemseu
tamanho mximo, passando de 1518 para 1522 bytes e precisa ter o FCS (Frame Check
Sequence) recalculado para no ser identificado como pacote corrompido por outros
dispositivosderede,eestesdevemtambmpossuirsuporteparaidentificaodequadros
Vlan,docontrrioospacotesserodescartados[8].

3.5 VLANTrunking

OconceitodeVlanTrunkingdefinidopelanormaIEEE802.1adecaracterizase
por sercapazdetransportartrfegodemaisdeumaVlannomesmocircuito.Conforme
Barros[12]emumaredecomutadaumtroncoumlinkpontoapontoquesuportavrias
Vlans.AidentificaodasVlansemumenlaceconfiguradonomodoTrunk(tronco)feita
atravsdosmtodosdemarcaodequadros(Vlantagging).
Neste modelo de funcionamento todos os dispositivos interconectados devem ter
suporteaidentificaodemembrosedosformatosdequadrosdeVlans(Vlanaware)[12].
DispositivosderedequenosuportemoreconhecimentodeVlansnopropagarotrfego
deste tipo descartando os quadros, interrompendo e/ou impedindo a comunicao dos
dispositivosinterligadosporesteaparelho.
Asportasdosdispositivosderedepodemserconfiguradas,almdomodoTronco,
nomodoAccess(acesso)que,aocontrriodotrunking,restringeoenlaceatrafegarpacotes
de uma nica Vlan pormeio deconfigurao prvia [14].Portas configuradas em modo
Acesso tambm no reconhecem quadros com marcao IEEE 802.1Q e descartam todo
contedodestetipoquealchegar.
AcomunicaoentredoisdispositivoscomsuporteVlantambmsefetivamente
ocorrequandoasportasqueosconectamestiveremconfiguradasdemaneiraadequada.Aose

9
conectardoisswitchesquefuncionamcomvriasVlansporexemploambasasportasdevem
estarconfiguradascomoTrunkouaconexonoserestabelecida.Japortadeumswitch
queseconectaaumaestaofinal(computadorpessoal)recomendasequesejaconfigurada
comoAcessoparaqueocomputadorseconecteredesemanecessidadedeconfiguraes
especficas.
NafiguraabaixopodemosvisualizarofuncionamentodeumaredecomVlansque
utilizam o conceito de Trunking para interligar os switches que possuem computadores
membrosdediferentesredesvirtuais.Osenlacesquepossuemcomputadoresligadosemuma
desuasextremidadessoconfiguradosnomodoAcesso.

Figura5:DisposiodosenlacesTrunkingeAccess

EmswitchesdafabricanteCiscoSystemsoadministradorderedespodetambm
fazerusodoprotocoloVTP(VlanTrunkingProtocol)afimdesimplificaraconfiguraodas
Vlans em uma rede com diversos switches. O protocolo VTP faz a propagao das
configuraesrealizadasemumswitchparaosdemaisquesuportemomesmoprotocolo,em
mdia,acada5minutos[15].NocasodeserealizaraadiodeumanovaVlanemumarede
comdezswitches,oadministradorderedesdeveconfigurar,umaum,osaparelhosqueiro
aceitarestetrfegoeporquaisportasestetrfegopassar.ComousodoprotocoloVTPo
administradorderedesnecessitaconfigurarumnicoswitcheasconfiguraesoualteraes
seropropagadasaosoutrosswitchesdarede.Paraqueoprotocolofuncionenecessrio
configurartodososdispositivosparaoperaremcomomembrosdeumdomnioVTP.
OsdispositivosquetmsuporteaousodoprotocoloVTPpodemtrabalharemtrs
modosdeconfigurao:
VTPServer: quandooswitchestnomodo VTPServer,asconfiguraesde
trunking(nmeroenomesdasVlans)soarmazenadasnamemrianovoltildo
aparelho.Porpadrotodososswitchesvmconfiguradosdefbricaparaoperarno
modoVTPServer.Qualqueralteraofeitanasconfiguraesserpropagadapara
todoodomnioVTP;
VTP Client: os switches configurados como VTP Client somente recebem e
aplicam as alteraes realizadas no VTP Server. As configuraes tambm so
armazenadasnamemrianovoltilmasnopossvelefetuaralteraesatravs
dosaparelhosconfiguradosnestemodo.Normalmenteosdispositivosclientesso
conectadosdiretamenteaosservidoresatravsdeportastrunk.
VTPTransparent:nomodoVTPTransparentoswitchnoparticipadodomnio
VTP,norecebendoasconfiguraesdo VTPServer,mascapazdeencaminhar
atualizaesVTP.Emumdispositivoquefuncionanomodotransparentepossvel

10
 efetuarconfiguraeslocalmenteseminterferirnaconfiguraodeoutrosswitches,
sejamestesmembrosdeumdomnioVTPouno.

QuandoasconfiguraesdoVTPServersoalteradas,umnovonmerodereviso
criado e, aps completado o prazo de cinco minutos, anunciado a todos os membros do
domnio VTP. Os clientes ento solicitam, recebem e aplicam a nova configurao
automaticamente,semintervenodoadministrador[16].

3.6 RoteamentoentreVlans

Como j foi apresentado anteriormente, as Vlans so comumente destinadas a

segmentaoderedesparaasmaisvariadasaplicaesepordiversosmotivos.Porm,em
muitoscasosestasVlanstmanecessidadedesecomunicar,eistospossvelquandoso
usadosdispositivoscomfunesderoteamento.
Existem atualmente trs formas de roteamento entre Vlans: atravs de mltiplos
enlaces, atravs de Enlace nico com Trunking e por dispositivo de comutao com
processadorderotasinterno(switchdecamada3).Nossubtpicosaseguirostrsmodelos
seroapresentadoscommaisdetalhes.

3.6.1 Roteamentoatravsdemltiplosenlaces

NestemtododeroteamentoumenlacedecadaVlandeveestarconectadosportas
do roteador. Este modelo muito utilizado em roteadores que no possuem suporte a
tratamento de frames no padro IEEE 802.1Q e onde os links so obrigatoriamente
configuradosnomodoenlace.
Estasoluobemsuportadaemredesdepequenoportemastornaseinvivelpara
estruturasmaiorespoisdemandariaroteadoresdegrandecapacidade,tantonaquantidadede
portasquantonacapacidadedeprocessamento,parainterligartodasasVlans.
Nafiguraabaixoapresentadoumexemplodeusodeumroteadorcomvriasportas
parainterconectarcadaumadasVlansdeumadeterminadaestruturafsica.

Figura6:Roteamentopormltiplosenlaces

3.6.2 RoteamentoatravsdeenlacenicocomTrunking

Esteconceito,comoooprprionomejdiz,consisteemutilizaratecnologiade

11
trunkingparaconcentrartodas,ouamaiorquantidadepossvel,deVlansemumamesma
conexo fsica do switch ao roteador [11]. Para que isto seja possvel o roteador precisa
necessariamentepossuirsuporteVlans.
Nestetipodeconfiguraoaportadoswitchedoroteadorquesecomunicamso
configuradas no modo trunking. No roteador so criadas interfaces virtuais com as
configuraesderededecadaVlan.QuandoexisteacomunicaoentredispositivosdeVlans
diferentes,osframesatravessamesteenlaceatoroteadorquerealizaoencaminhamento
desteeenviadevoltapelomesmocaminho,agorapertencendoaVlandodispositivode
destino.
NafiguraabaixoapresentadoumexemploderoteamentoentreVlansutilizandoum
nicocaminhoemmodoTrunkingentreoswitcheoroteador.

Figura7:RoteamentoporenlacenicocomTrunking

Estasoluoamaiseconmica,prticaerpidadeserimplementadaemumarede
comVlanspoisnoexigecompradenovosequipamentosepodeserimplementadasema
necessidadedealteraraestruturafsicaderede.

3.6.3 Roteamento por comutador com processador de rotas interno ( switch de

camada3)

Estemtododeroteamentocaraterizasepelousodecomutadorescompropriedades
de manipulao de dados da terceira camada OSI (Transporte), mais conhecidos como
switchesdecamadatrs(oudeterceiracamada).Estecomutadorpossuiagrandevantagem
desomartodasasfunesdecomutaoeroteamentoemumnicoaparelhoganhandoseem
espaofsicoevelocidadedetransmissodosdados,vistoqueestesatravessamumnico
aparelhoeavelocidadedetransmissointernaentreosmdulosdecomutaoeroteamento
muitomaiorsecomparadacomavelocidadedeumenlaceempartranado.
Estesswitchesdeterceiracamadatmacapacidadedecriaodeinterfacesderede
virtuais,chamadasSVI's(SwitchVirtualInterface)quesoassociadasacadaVlandarede
[14].EstasSVI'sencaminhamosframesdasVlansparaoroteadorinternoqueseencarregade
realizarainterconexoentreasdiferentesVlans.
Nafiguraaseguirmostradoumcenrioondeseutilizaumcomutadordecamada
trs para implementar o roteamento entre as Vlans de uma determinada rede fsica
segmentadaporVlans.

12
 Figura8:Roteamentoporswitchdeterceiracamada

Estemodeloderoteamentoextremamenteeficiente,sendoamelhorentreastrs
soluesapresentadas.Poroutrolado,oscustosdeaquisiodeequipamentosdecomutao
decamadatrsaindasoumpoucoelevados,tornandoovivelapenasemestruturasgrandes
ondeousoderoteamentoporenlacenicocomtrunkingdeixardeservantajoso.

3.7 SpanningTree

Atualmente,paragarantiradisponibilidadedeacessonasredeslocais,tmseoptado
por investir em caminhos redundantes de acesso. Esta redundncia pode ser alcanada
interligandoseosswitchesdaredeinternaemformadeanel,ondeoltimoswitchseconecta
aoprimeiro.Porm,estasoluopodeliteralmenteparararede,vistoqueexistiriamaisdeum
caminhoparasealcanaromesmodestino,oqueocasionarialoopsatacompletaexausto
doenlace.
Paraevitarosproblemasocasionadospelaredundnciadeacessosfoidesenvolvidoo
protocoloSTP(SpanningTreeProtocol)definidopelanormaIEEE802.1dquegaranteque
hajasomenteumcaminhovlidoparacadadestino.Souza[17]dizqueoobjetivodoSTP
criarumatopologiaredundantee,aomesmotempo,livredeloops.Osenlacesclassificados
comoredundantessobloqueados(estadoblocking),deformalgica,semquesejanecessrio
qualquerintervenofsicanaestruturaderede.Oenlacebloqueadoficaemmododeespera
(standby) e ser imediatamente restabelecido (estado forwarding) caso haja alguma
interruponolinkprimrio,garantindoaredundnciadarede.
Nafiguraabaixopodemosobservarumarederedundanteusandoseoprincpiode
Spanning Tree. Note que, em um dos enlaces que interligam os switches, o cabeamento
continua conectado, mas o protocolo STP se encarrega de efetuar o bloqueio lgico do
caminhoparaevitarquearedeentreemloop.

Figura9:LancomSpanningTree

AtopologiadoprotocoloSTPdefinidaemformadervore,ondeumswitch
definidocomoraizouroot(rootswitch)eorestantedosswitchescomonoroot(nonroot

13
switch),sendoqueoswitchraizdefinequaisenlacesserobloqueadosequaisficaroativos.
ParaqueistosejapossveltodososdispositivosdevemsuportaroprotocoloIEEE802.1det
loativado.
ParaqueumaredeestejaefetivamentelivredeloopsoprotocoloSTPdeveconcluir
trsetapas:
DefiniodoSwitchraizouroot: Nestaetapa,aoseremligados,osswitches
trocamentresiBPDU's(BridgeProtocolDataUnit)comoBridgeIDdoswitch,que
consisteemdoissubcamposchamadosBridgePriorityeMACAddressparadefinir
qualseroswitchraizdarede[17].TodososswitchesquesuportamoprotocoloSTP
vm,porpadro,comaprioridadesetadacomo32768,masestapodeseralterada
casooadministradorqueiraforaraeleiodeumdispositivocomoraiz.Casoo
nmerodeidentificaodaprioridadesejaigualemtodososdispositivosserento
eleito o menor endereo MAC. No incio da negociao todos switches se
autodenominamcomosendoraiz,masconformenegociaoocorre,estesdevolvem
mensagensaceitandoaeleiodeumdispositivocomBIDmenor.Nafiguraabaixo
podemosverificarqueaeleiodoswitch1comorootfoidevidoaoseuendereo
MACsermenorquedosoutrosaparelhos.

Figura10:Eleiodoswitchraiz

Definio das portas principais: Os switches classificados como noroot

devementodefinirsuaportaraiz.Aportadesignadacomoraizdoswitchnoroot
aquetiveromenorcustoacumuladodoenlaceparaalcanaroswitchraiz[18].Este
processoocorrelogoapsadefiniodoswitchraizerealizadopormeiodetrocas
deBPDU's.Oscustospodemsercustomizadosparaforaraeleiodedeterminado
caminhooupodeseutilizarosvaloresdefinidosporpadro.Natabelaabaixoso
apresentadososcustosdealgunsenlacesconformesuavelocidadedetransmisso:

Velocidadedo Custodoenlace
Link
10Mbps 100
100Mbps 19
1Gbps 4
10Gbps 2
Tabela1:Custosdosenlaces

14
 Definio das portas designadas: A definio das portas designadas nos
switchestambmocorrepeloclculodomenorcustoentreocaminhoraiz(rootpath
cost)atoswitchraizapsadefiniodasportasraiz[17].Asportasdoswitchraiz,
por terem normalmente os menores custos, tambm so definidas como portas
designadas.Casohajaigualdadedecustosnacomparaodealgumsegmento, o
desempateocorrepelacomparaodomenorendereoMACdoBPDU.Aportaque
obtiver o maior custo da rede tornase uma porta nodesignada (nondesignated
port),entrandonoestadoblocking. Nafiguraabaixopodemosvisualizaraeleio
dasportasdesignadas.Notequeumaportadoswitch3foibloqueadaporteromaior
custoobservado.

Figura11:Definiodasportasdesignadas

Desdeoprocessodeinicializaodeumswitchedurantesuaoperaosuasportas
podem ser habilitadas, ou no, a trafegar dados de acordo com a topologia da rede
identificadapelosdispositivosoupormudanascausadasporfalhasouintervenotcnica.
Sendo assim podem ser identificados quatro estados: bloqueado (blocking), escutando
(listening),aprendendo(learning)eencaminhando(forwarding).Estesestadossocruciais
paraofuncionamentodospanningtreepoisdestaformaloopsnaredepodemserdesativados
eativadosquasequeinstantaneamente.
Bloqueado(blocking):Aoinicializarumdispositivotodasasportassodefinidas
noestadoblockingparaevitarofechamentodesupostosloopsnarede.Nestemodo
nopossveltransmitirdadosnemarmazenarinformaesdeendereos.Somentea
trocadeBPDU'sentreosaparelhospossvel.
Escutando(listening): Nestemodoodispositivojrecebedadosmasnopode
retransmitlosadiante.SomenteBPDU'ssorecebidoseenviados.Nesteestgio
ondeocorreadefiniodosswitchesraiz,portasraizedesignadasequandoso
definidasasportasquepermanecerobloqueadas.
Aprendendo(learning):Noestadolearning,odispositivoidentificaegrava,em
suatabela,novosendereosMACnarede.Nesteestgioquedesenhadaarvoreda
rede.Aindanopossveltrafegardadossendoesteonvelqueprecedeoestadoem
queoencaminhamentodeframespermitido.
Encaminhando(forwarding):NestaetapaotrfegodeBPDU'seprincipalmente
dadosliberadoeosdispositivosderedepodemsecomunicarlivremente.Antes
pormdedesignaraportacomoaptaaforwardingoprotocoloSTPsecertificade
quenohajacaminhosredundantesoupontosdeloopnarede.

15
 Comtodoesteprocedimentonecessrio,naturalqueoprocessodeinicializaode
umaredequefuncionecomSpanningTreesejarazoavelmentedemorado,durandoentretrinta
ecinquentasegundos.Porm,paratornaresteprocessodeinicializaomaisgil,oIEEE
aperfeioouoprotocoloSTPcriandooProtocoloSpanningTreeRpido(RapidSpanning
TreeProtocol)definidopelanormaIEEE802.1w.ORSTPcaracterizaseprincipalmentepelo
seu tempo de inicializao, que pode variar de dois a dez segundos. Dispositivos que
suportam os protocolos IEEE 802.1d e IEEE 802.1w podem funcionar com os dois em
paralelo,isto,emumswitchpodemhaverlinksativoscomSTPeoutroscomRSTP,mas
nuncaosdoisativosnomesmoenlace.

3.7.1 PerVlanSpanningTreeProtocol(PVSTP)

AfimdetornaroconceitodeVlansaindamaisflexveldesenvolveuseumaforma
deconciliarapossibilidadedeseobterumarederedundantealiadoaopoderdesegmentao
deredesvirtuaisadicionandoavantagemdebalanceamentodetrfegopelosenlaces.Esta
soluo foi denominada PerVlan Spanning Tree Protocol, sendo este um protocolo
proprietriodaCisco.
OprotocoloPVSTPatribuiumainstnciaSTPparacadaVlancriadatornandoo
gerenciamentodarvoreSTPindependenteemcadaredevirtual.PortantocadaVlanpode
usarenlacesdistintosoqueproporcionaaindaobalanceamentodetrfegodedadospelos
linksredundantes.
PormeiodesteprotocolotodososenlacessoaproveitadossendoquecadaVlan
podepercorrerumcaminhodiferentepelosswitchesparaalcanarseudestino[17],isto,
umaportaqueestmarcadacomestadoblockingparaumaVlanpodeestarnoestadoforward
paraumasegundaVlaneassimpordiante.
AseparaodasrotasdecadaVlancomredundnciapodeserconseguidaatravsda
eleiodeprioridadesparaasVlansemcadaenlacetronco[14].Porpadrotodasasportas
vmconfiguradascomaprioridade128paratodasasportas,masestaprioridadepodeser
alteradadeacordocomasrotasquesedesejaestabelecerparacadaVlan.possvel,por
exemplo,estabelecerqueaVlan1eaVlan2tenhamprioridade12e128respectivamenteem
umenlaceAeprioridades96e24respectivamentenoenlaceB.Destaforma,ospacotes
daVlan1teroprefernciadetrfegonoenlaceAeaVlan2terpreferncianoenlaceB.

Figura12:RedundnciaebalanceamentodetrfegocomPVSTP

16
 NafiguraacimapodesevisualizarumexemplodeusodoprotocoloPVSTPpara
obterseredundnciaemelhoraproveitamentodaestruturaderede.Notequenenhumenlace
estdefinitivamentebloqueado.OsenlacesAeBtemprioridadesdistintasparaasVlans
1e2,sendoque,naocorrnciadefalhaemumdesteslinks,ooutroassumeimediatamente
compartilhandoasduasVlans.JoEnlaceCpossuiprioridadeigualparaasduasVlans
parasuportarotrfegodeambasaomesmotempo.

3.7.2 MultipleSpanningTreeProtocol(MSTP)

UmoutroprotocolodisponvelparaimplementaodeVlanscomSpanningTreeo
Multiple SpanningTreeProtocol(MSTP)regulamentadopelaNormaIEEE802.1s.Neste
protocoloexisteapossibilidadedesecriaralgumasinstnciasMST(normalmenteat65)que
podem suportarumaquantidaderealmentegrandedeVlans[19].Destaformapodemser
acumularemumainstnciaotrfegodecemVlansparapercorrerumdeterminadoenlacee
agrupar em uma segunda instncia outras cinquenta Vlans para trafegar por um segundo
enlaceporondeaprimeirainstnciateriaumaprioridademenoreviceversa.
OprotocoloMSTPexecutadosobreoRSTP,tornandoseuusoobrigatrio,eutiliza
umsistemademensagensBPDUdiferenciadoemrelaoaooriginalpermitindoquesejam
transportadasasinformaesdeinstnciasnecessriasaoprotocolo.Cadainstnciapropaga
osBPDU'scominformaessobreasVlanspertencentesaesta[14].
O protocolo MSTP pode oferecer uma maior escalabilidade, se comparado ao
PVSTP,quandoseutilizaoconceitodedivisoemregies.Nesteconceitoumaregiopode
possuir vrias instncias de Vlans e podem haver diferentes regies em uma rede local
interligadas. Para isto necessrio que exista uma instncia mestre chamada Internal
SpanningTree(IST),ouinstnciazero,quetransmitesomenteBPDU'seumaoumaisregies
MSTporondesotransmitidososMSTBPDU'seondeasinstnciassocriadas.
NafiguraabaixoapresentadoumexemplodeusodeMSTPcomaaplicaodo
conceitoderegiesMST.

Figura13:RegiesMSTP

17
4 Anlisecomparativa

Existem atualmente diversas tecnologias e opes de implementao de Vlans

disponveisnosdispositivosderedemaisavanados.Cadasoluopossuisuascaractersticas
e diferentes empregabilidades que podem variar conforme o cenrio da estrutura de rede
apresentado.Avaliartodasestassoluespoderiatornarestetrabalhoextremamenteextenso.
Parasimplificaretornaroassuntobemdiretooptousepordividirostemasdaanliseem
subttulosavaliandoentoassoluesmaisvantajosaslevandoemconsideraoofocoda
discusso.
Nos itens dispostos a seguir realizarse uma anlise das melhores solues de
implementaodeVlanssobopontodevistadasegurana,gerenciamentoequalidadedo
servio.

4.1 Segurana

UmdosprincipaisbenefciosdautilizaodeVlansparasegmentaoderedesa
segurana,vistoqueestaproporcionaumaseparaolgicadotrfegodeumaredevirtual
composta por servidores, por exemplo, da rede virtual dos usurios de uma corporao.
Porm,ousodealgumassoluescomplementarespodereforaraindamaisaseguranade
umaredecompostaporVlans.
UmaspectonecessrioemuitosensvelquandosetratadeVlansoroteamentode
trfego entre as diferentes redes virtuais. Em qualquer implementao de Vlan fazse
necessriointerligarasredescomroteadores,edesejvelquehajagarantiasdequenenhuma
delassejaacessadapormembrosdeoutrasVlans,excetoquandonecessrioeautorizado.O
usoderoteadorescomoauxliodeferramentasdefiltragemdepacotes(firewall)somuito
eficientesnafunodealcanarestenveldesegurana.
OmtododeroteamentocomSwitchdecamada3omaisvantajosoemtermosde
segurana,aindamaisseestedispuserdefirewallinternoreunindoassim,emumsaparelho,
asfunesdecomutao,roteamentoefiltragemdepacotestornandoomuitomaisrpidose
comparadoaousoconjuntodeumroteadorcomumswitchcomum(camada2).Noentantoo
custodeaquisiodestetipodeswitchaindamuitoelevadoenemtodasorganizaestm
condiesdeequiparsuasredescomestasoluo.
Umaopomaisvivel,pormnotoeficiente,ousodomtododeroteamento
deenlacenicocomTrunking,ondeumcomutadordecamada2esuporteVlanconecta
todasasredesvirtuaisaumroteadorpormeiodeumenlaceemmodotronco.Parasimplificar
a estrutura e implementar a segurana desejada podese substituir o roteador por um
computadorconfiguradopararealizarasfunesderoteamentoefiltragemdepacotes.Este
computador precisa ter boa capacidade de processamento e interfaces de rede com
velocidadescompatveiscomotrfegodosenlaces,vistoqueotrfegodetodasasVlans
passarporestasinterfaces.
Noentanto nada impede quesefaa ousoconjunto das duas solues em uma
mesmaestruturaderede.Oscomutadoresdecamada3podemserinstaladosnosenlacesque
constituemotroncodarede(Core),ondeotrfegodetodasasVlansseconcentraeondese
localizamosservidoresqueproveroosacessos.Saindodotroncoedirigindoseaperiferia
daestrutura,compostabasicamenteporestaesdetrabalhoeperifricosnoexistemaisa
necessidadedeusarequipamentostosofisticadosepodeseusaroroteamentodeenlace

18
nicocomtrunking.Masemtodososcasos,imprescindvelousodeumbomfirewallpara
evitarriscosdesegurananacomunicaoentreasVlans.
Outra questo importante a se considerar com relao a segurana o tipo de
configuraodasVlans.EmumaVlanconfiguradadeformaestticaexisteorisco,pormenor
queseja,deumdispositivoserconectadoaumaredevirtualerrada,sejainvoluntariamente,
porneglignciaoupropositalmentefazendocomqueestepasseafazerpartedeoutraVlan
ondepodeteracessoainformaessigilosasdaorganizao.Nosepodenegarpormque
emredespequenas,ondeexistaumbomcontrolevisualdaestrutura,umaVlanesttica
vantajosapoisnoexigemuitotempoeplanejamentoparaconfigurareimplantar,masem
estruturasmaiores,almdedificultarogerenciamento,existeoriscodemudanasindevidas
decabeamento,colocandoemriscoaseguranadaredeetornandoavulnervelaeventuais
ataques.
Um mtodo mais adequado de configurao de Vlans seria o automtico ou
semiautomtico. Tanto no modo automtico, como no semiautomtico, a insero de um
dispositivo toda baseada em regras previamente configuradas, sendo que no modo
semiautomticopartedestaconfiguraoinicialouposteriorpodeserfeitamanualmente,e
ondequerqueoequipamentosejaconectado,estesemprepertenceramesmaVlan,amenos
quehajaalgumaalteraonasregrasouconfiguraespeloadministradordarede.Assimno
hriscosdeseguranapormudanasinadvertidasdecabeamentooudispositivoscomono
mtododeconfiguraomanual.Estesmodos,noentanto,exigemummaiorconhecimento
dosadministradoresderedepararealizartodasasconfiguraesnecessriasdemodoano
permitiraentradadedispositivosnoconhecidosemumaVlanrestrita.

4.2 Gerenciamentodoservio

Diversosfatorespodeminfluenciarnacapacidadeefacilidadedogerenciamentode
umaestruturadeVlans,tantoparamelhorquantoparapior.precisoanalisarcomcautelae
atenotodasasopesdisponveisantesdaimplementaodoservioparaevitarproblemas
como a lentido e indisponibilidade dos servios oferecidos ou da rede como um todo
motivadosporcargaexcessivadeaesdegerenciamentosobreoadministradorderedes.
UmadasaesquepodemfacilitarogerenciamentodasVlansaescolhadostipos
deagrupamentodestas.OsagrupamentosporendereosMACouporportadoswitchso
bastantesimples,rpidosdeseremaplicadose,principalmente,gerenciadosquandoaplicados
emredespequenaseondeseconheceaquantidadeexatadedispositivosconectadoseos
novosqueseroadicionadosaesta.
Mas conforme as propores da estrutura aumentam estes tipos de agrupamento
podem tornarse inviveis em relao ao gerenciamento devido, dentre outros fatores, ao
tamanhoqueastabelasdeatribuiodasVlansnosdispositivosderedeiroadquirirea
dificuldade nas aes de alterao de local dos inmeros dispositivos, substituies de
interfacesderedeouadio/remoodeequipamentosqueforemsolicitados.Nestescasos
tornasemaisvantajosoousodosmtodosdeagrupamentomaisrefinados,comoporIP,
ProtocoloouMulticast(estesdoisltimosdependendodafinalidade)mas,principalmente,a
combinao de alguns dentre todos os modos apresentados desde que o resultado desta
combinao diminua o mximo possvel a interveno do administrador de redes a cada
modificaoouadiodosequipamentoseperifricosdispersosnaredemasmantendoo
nveldoservioprestado.
Os modos de agrupamentos configurados isoladamente podem resolver

19
momentaneamentealgumasnecessidades,mascomotempopodemtornarseinsuficientesna
tarefadeatribuiodeVlansanovosequipamentosconectados.Osmelhoresresultadosso
alcanados quando sousadas combinaes deagrupamentos. Sua configurao podeser
bastante complexa e criteriosa mas, quando bem configurados, possibilitam atender uma
grande diversidade de situaes onde os equipamentos se conectam rede sem que, em
algumaocasio,sejanecessriaaintervenodoadministradorderedesparavalidarconexes
oumodificarregrasdeagrupamentoparapossibilitaroingressodeumnovodispositivo
rede.
Os modos de configurao das Vlans alm da segurana, como apresentado no
tpico anterior, tambm podem simplificar o gerenciamento de uma rede de Vlans.
Novamenteosmodosautomticoesemiautomticotornamsemaisapropriadosparausoem
redesdeproporesmdiaegrandetambmpordiminuirainteraodoadministradorde
redesnomomentoemqueosequipamentossoconectados,removidosoutiveremseuponto
deconexoalterado.Omodoestticonodeixadeserumaopo,masseuusovantajoso
apenasemredesmenorespelarapidezefacilidadedeimplantaoegerenciamento.
Outroassuntoimportanteasetratar,emrelaoagerenciamentodeVlansagesto
dasrotasedotrfegopelaestruturafsicaderede.AssoluesavanadasdeSpanningTree
(PVSTPeMSTP)sotimasopesdegerenciamentodetrfegodividindoofluxodedados
porenlacesredundantesecommudanaautomticaderotasquandosedetectaainterrupo
dealgumcaminho.
Em relao a estas duas tecnologias de spanning tree o MSTP pode oferecer
vantagens nogerenciamentoderedes compostas poruma quantidadegrande deVlans se
comparadoaoPVSTP.Porterapossibilidadededivisoderegiesondepodemseragrupadas
umainfinidadedeVlans,OMSTPproporcionaumamelhorpercepovisualdaestruturade
Vlansoqueagilizaaexecuodeaesdegerenciamento.
O protocolo PVSTP tambm simples de gerenciar apesar de suportar uma
quantidade menor de Vlans, sendo mais recomendado para redes com uma quantidade
limitadaderedesvirtuais.Porm,porserproprietriodaCisco,seuusoobviamentesser
possvelemumaredequecontenhacomutadoresdestefabricante,aocontrriodoMSTPque
umprotocoloabertoepodeestardisponvelemqualquerequipamentoquepossuasuportea
Vlan

4.3 Qualidadedoservio

AqualidadedoserviodeVlanspodeserconsideradocomosendoopontomais
perceptvel aos usurios da rede, visto que, melhorando a qualidade da rede existe uma
melhora no tempo de resposta e menor risco de indisponibilidade dos sistemas
disponibilizados.AimplantaodeVlans,porsis,jtendeamelhorarotrfegodedados
isolandoapropagaodebroadcastsemulticastsnaredevirtualaqualestefoigerado.
AvaliandoseestequesitoaimplantaodeVlansutilizandoseas tecnologias de
SpanningTreepossibilitamumgrandesaltonavelocidadedarededemodogeral.Umarede
comum,estruturadaemformadervore,sofreumafunilamentodetrfegoemsuaraiz,oque
restringe a velocidade dos clientes localizados na periferia. Quando se utiliza o STP a
estruturafsicapassaateraformadeanel,masoprotocolotratadegarantirquehajaapenas
umcaminhoativoparasealcanardeterminadodestinodividindootrfegodasVlanspor
enlaces diferentes e ainda oferece a redundncia de rotas, alterando o caminho a ser
percorridopordeterminadaVlancasoalgumdeseusenlacesfsicossejainterrompido.

20
 DentreastecnologiasSTPestudadastantooPVSTPquantooMSTPpossibilitam
quesealcanceestecenrioderedundnciaebalanceamentodotrfegoderede.Avantagem
do protocolo MSTP em relao ao PVSTP a melhor performance do hardware no
gerenciamentodevriasVlansaomesmotempoporpossibilitaroagrupamentodevrias
redesvirtuaisemumnicainstnciaMSTeofatodeserumpadroabertoedisponvelem
qualquer equipamento que suporte Vlans, ao passo que o protocolo PVSTP, como j
mencionadoanteriormente,proprietriodaempresaCiscoSystems.
OroteamentoentreVlanstambmpodeserumaopoafimdemelhoraroservio
disponibilizado.EmumaboaestruturafsicaparaimplantaodeVlansnecessrioque
existam comutadores, roteadores e firewalls para interligar as redes e reter trfego no
autorizado. Considerando que cada equipamento seja conectado a outro atravs de
cabeamentopadroderede(metlicopartranado)podeseconcluirquehaverumcerto
atraso(delay)notrnsitodospacotespelarede.QuantomaiorforaquantidadedeVlans,
maioranecessidadedestestiposdeequipamentosparainterliglasemaiorserataxade
atrasodotrfegoderede.
Os roteadores de camada trs possibilitam que em um nico aparelho sejam
realizadasestastrsetapas(comutao,roteamentoefiltragemdepacotes)comavantagem
de que a velocidade de transmisso dos dados equivalente ao barramento interno do
equipamento,queinmerasvezesmaiordoqueavelocidadedeumcaboderede,almde
que estes equipamentos so construdos especificamente para este fim e seu software
otimizadoparaobteromelhordesempenhosobqualquercondio.Apesardeseremcaros,se
comparadosaoutrassoluesusandocomutadoresdecamada2,seubenefciofacilmente
justificvelpelodesempenhoalcanadoemredescomgrandefluxodetrfego.

5 Concluso

Ao final deste artigo podese concluir que, dentre as inmeras tecnologias

desenvolvidas para prover solues de segmentao de redes com Vlans, no existe um
modeloaserseguidoouummanualdemelhoresprticasparaaobtenodeumaestruturade
Vlanseficiente,seguraeprtica.Cadacenriopoderesultarnousodediferentestecnologias
quefocamasoluodedeterminadasnecessidades.Opontomaisimportantedeumprojeto
deimplantaodeVlansumaboaanlisedastecnologiasdisponveiscapazesdesupriras
necessidadesdarededaorganizao.
Porm,algumasvantagensalcanadascomaimplantaodeVlansemumaredeso
indiscutveis, dentre elas,a melhoria significativa da trafegabilidade de dados na rede de
modogeraldevido,principalmente,acontenodepacotesdedifuso,problemacrescente
nasmdiasegrandesredescorporativas,oavanonascondiesgeraisdeseguranadarede
impedindo acessos no autorizados e delimitando reas que demandam maior ou menor
atenoemrelaoaseguranaeareutilizaodeequipamentosexistentesnaestruturaatual,
proporcionandoeconomiadecustoseobtenoderesultados.Estascaractersticaspodemser
ainda mais aperfeioadas se utilizadas determinadas tecnologias para apurar a prpria
segurana,ogerenciamentoeaqualidadedeumaestruturadeVlans.
Para dar sequncia na linha de estudos poderiase aprofundar a avaliao da
qualidade do servio estudando solues para controle de trfego com Vlans a fim de
priorizardeterminadostiposdeserviosessenciaisetambmavaliarasformasderoteamento
efiltragemdepacotesparaapuraraseguranaeaconectividadedasredesvirtuais.

21
6 RefernciasBibliogrficas

[1]Prado,FernandoFerreirado.VirtualLAN's.Disponvelem:
http://www.gta.ufrj.br/grad/98_2/fernando/fernando.html.Acessoem:02ago.2009.

[2]Passmore,D.Freeman,J.(1997).TheVirtualLANTechnologyReport.Disponvelem:
http://www.3com.com/other/pdfs/solutions/en_US/20037401.pdf.Acessoem:02deago.2009.

[3]DellCorp.(2004).VLANBasedNetworkSegmentation.Disponvelem:
http://www.dell.com/downloads/global/products/pwcnt/en/app_note_8.pdf.Acessoem:8
ago.2009.

[4]Both,JosLuiz.ExcertodaPrnormaIEEE802.1Q.Disponvelem:http://www.pop
rs.rnp.br/~berthold/etcom/redes22000/trabalhos/802_1q.htm.Acessoem22jul.2009.

[5]Moraes,IgorMonteiro.VLANsRedesLocaisVirtuais.Disponvelem:
http://www.gta.ufrj.br/grad/02_2/vlans/.Acessoem22jul.2009.

[6]CiscoSystemsInc.ConhecimentosBsicosdeRedes(CCNA1).2008.

[7]Coelho,Paulo.RedesLocaisVirtuaisVlans.Disponvelem:http://www.estv.ipv.pt/
PaginasPessoais/pcoelho/rc/Material%20RC/vlans.pdf.Acessoem13jul.2009.

[8]Dantas,Mrio.TecnologiadeRedesdeComunicaoeComputadores.SoPaulo:
AxcelBooksdoBrasil,2002.328p.ISBN8573231696.

[9]Forouzan,BehrouzA.ComunicaodeDadoseRedesdeComputadores.3ed.Porto
Alegre:Bookman,2006.840p.ISBN8536306149.

[10]Zacker,Craig,PaulDoyle.RedesdeComputadores:Configurao,Manutenoe
Expanso.SoPaulo:MakronBooks,2000.1056p.ISBN8534609152.

[11]Frinhani,RafaeldeMagalhesDias.ProjetodeReestruturaodoGerenciamentoe
OtimizaodaRedeComputacionaldaUniversidadeFederaldeLavras.LavrasMG,
2005.90p.

[12]Barros,OdairSoares.SeguranaderedeslocaiscomaimplementaodeVLANS
OcasodaUniversidadeJeanPiagetdeCaboVerde.Disponvelem
http://bdigital.unipiaget.cv:8080/dspace/bitstream/123456789/69/1/Odair%20Barros
%20.pdf.Acessoem18ago.2009.

[13]IEEEStandardP802.1Q.IEEEStandardsforLocalandMetropolitanArea
Networks:VirtualBridgedLocalAreaNetworks.30deJulhode1998.Disponvelem:
http://standards.ieee.org/getieee802/download/802.1Q1998.pdf.Acessoem22jul.2009.

22
[14]Jamhour,Edgard.VlansEthernet.Disponvelem
http://eureka.pucpr.br/repositorio/download.php?codLink=2068696.Acessoem13mai.2008.

[15]Sousa,Orlando,NunoPereira.VLAN(VirtualLocalAreaNetwork).Disponvelem:
http://www.dei.isep.ipp.pt/~npereira/aulas/asist/07/misc/aula8.pdf.Acessoem22jul.2009.

[16]Guilherme,Willian.CCNA640802ProtocoloVTP(VirtualTrunkProtocol).
Disponvelem:http://www.netipsec.com.br/?p=601.Acessoem18set.2009.

[17]Souza,AlessandroGoulart.SpanningTreeProtocol.Disponvelem:
http://si.uniminas.br/TFC/monografias/Monografia%20Alessandro.pdf.Acessoem13set.
2009.

[18]Zacaron,AlexandroMarcelo.UtilizandoRecursosdeSwitchingSTPeVlan.
Disponvelem:http://www2.dc.uel.br/nourau/document/?down=562.Acessoem18set.2009.

[19]Jamhour,Edgard.MetroEthernet.Disponvelem
http://www.ppgia.pucpr.br/~jamhour/Pessoal/Especializacao/Atual/TARC/MetroEthernet.ppt.
Acessoem06Out.2009.

[20]CiscoSystemsInc.UnderstandingMultipleSpanningTreeProtocol(802.1s).
Disponvelem:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfc.
shtml#mst_region.Acessoem06out.2009.

23