Switching e VLANs

Virtual LANs (VLANs)
– Em uma rede comutada, a rede é plana, ou seja, todos os
pacotes broadcast transmitidos são "enxergados" por todos
os dispositivos conectados à rede, mesmo que um
dispositivo não seja o destinatário de tais pacotes.
Switching e VLANs

Virtual LANs (VLANs)
– Quanto maior o número de usuários e dispositivos, maior o
volume de broadcasts e pacotes que cada dispositivo tem
de processar transitando na rede.
– Outro problema inerente às redes comutadas é a
segurança, uma vez que todos os usuários "enxergam"
todos os dispositivos.
– Com a criação de VLANs, você pode resolver uma boa
parte dos problemas associados à comutação na camada
2.
Switching e VLANs

Virtual LANs (VLANs)
– Uma vez que o processo de comutação na camada 2
segrega domínios de colisão, criando segmentos
individuais para cada dispositivo conectado ao switch, as
restrições relacionadas à distância impostas pelo padrão
Ethernet são reduzidas, significando que redes
geograficamente maiores podem ser construídas.
Switching e VLANs

Eis algumas das razões para se criar LANs Virtuais
(VLANs):
– Redução do tamanho e aumento do número de domínios de
broadcast;
– Agrupamento lógico de usuários e de recursos conectados em
portas administrativamente definidas no switch;
– VLANs podem ser organizadas por localidade, função,
departamento etc., independentemente da localização física dos
recursos;
– Melhor gerenciabilidade e aumento de segurança da rede local
(LAN);
– Flexibilidade e escalabilidade.
 Switching e VLANs Switching e VLANs

Redução do Tamanho dos Domínios de Broadcast

O que é uma VLAN
– Uma Rede local Virtual (VLAN) é um agrupamento lógico de – Os roteadores, por definição, mantêm as mensagens de
estações, serviços e dispositivos de rede, independente da broadcast dentro da rede que os originou.
localização física.
– Um exemplo seria agrupar
– Switches, por outro lado, propagam mensagens de broadcast
logicamente usuários de um
para todos os seus segmentos.
departamento que estão em
segmentos físicos diferentes.
– A configuração ou reconfigu- – Por esse motivo, chamamos uma rede comutada de "plana",
ração de VLANs é realizada porque se trata de um grande domínio de broadcast.
através de software.
– Um bom administrador de redes deve certificar-se de que a rede
esteja devidamente segmentada para evitar que problemas em
um determinado segmento se propaguem para toda a rede.

Switching e VLANs Switching e VLANs

Redução do Tamanho dos Domínios de Broadcast
Redução do Tamanho dos Domínios de Broadcast

– A maneira mais eficaz de se conseguir isso é através da – Em uma VLAN, todos os dispositivos são membros do mesmo
combinação entre comutação e roteamento (switching e routing). domínio de broadcast.

– Uma vez que o custo dos switches vem caindo, é uma tendência – As mensagens de broadcast, por default, são barradas de todas
real que empresas substituam redes baseadas em hubs por as portas em um switch que não sejam membros da mesma
redes baseadas em switches. VLAN.

– Com isto já temos uma redução natural do tamanho dos – Routers devem ser usados em conjunto com switches para que
dominios de colisão. Se o switch também possuir o recurso de se estabeleça a comunicação entre VLANs, o que impede que
VLAN, também podemos ter a redução do tamanho do dominio mensagens de broadcast sejam propagadas por toda a rede.
de broadcast.
 Switching e VLANs Switching e VLANs

Melhor Gerenciabilidade e Aumento de Segurança da

Redução do Tamanho dos Domínios de Broadcast Rede Local (LAN)
– Um dos grandes problemas com redes planas é que o nível mais alto
de segurança é implementado através dos routers.
– Vamos considerar um projeto de rede necessita de três
domínios de broadcast separados:
– A segurança é gerenciada e mantida pelo router, porém qualquer um
que se conecte localmente à rede tem acesso aos recursos disponíveis
naquela VLAN específica.

– Outro problema é que qualquer um pode conectar um analisador de

rede em um hub e, assim, ter acesso a todo tráfego daquele segmento
de rede.

– Ainda outro problema é que usuários podem se associar a um

Na figura 1 não é usada VLAN, por isso Na figura 2 três VLANs são criadas determinado grupo de trabalho simplesmente conectando suas
são necessarios 3 switches para obter utilizando-se 1 switch e obtendo-se 3 estações ou laptops a um hub existente, ocasionando um certo "caos"
3 domínios de broadcasts. domínios de broadcasts. na rede.

Switching e VLANs Switching e VLANs

Melhor Gerenciabilidade e Aumento de Segurança da
Rede Local (LAN)
– Através da criação de VLANs, os administradores adquirem o controle
sobre cada porta e cada usuário.
– O administrador controla cada porta e quais recursos serão alocados a
ela.

Melhor Gerenciabilidade e Aumento de Segurança da
Rede Local (LAN)
– Switches apenas analisam frames para filtragem, não chegam a
analisar qualquer informação de camada de Rede.
– Isso pode ocasionar a propagação de broadcasts pelo switch.

– Os switches podem ser configurados para informar uma estação
gerenciadora da rede sobre qualquer tentativa de acesso a recursos
não-autorizados.
– Se a comunicação inter-VLANs é necessária, restrições em um
roteador podem ser implementadas.
– Ao se criar VLANs, entretanto, você está criando domínios de
broadcast, ou seja, está segmentando sua rede local.
– Uma mensagem de broadcast enviada por um dispositivo membro de
uma VLAN "x" não será propagada para portas do switch associadas a
uma VLAN "y".

– Restrições também podem ser impostas a endereços de Hardware

(MAC), protocolos e a aplicações.
 Switching e VLANs Switching e VLANs

Melhor Gerenciabilidade e Aumento de Segurança da
Melhor Gerenciabilidade e Aumento de Segurança da
Rede Local (LAN) Rede Local (LAN)
– Ao associar portas em um switch ou grupo de switches conectados
entre si (switch fabric) a determinadas VLANs, você tem a flexibilidade
de adicionar apenas os usuários desejados ao domínio de broadcast
criado, independentemente de sua localização física.

– Isso pode evitar fenômenos onerosos para a rede, como as

"tempestades de broadcast".

– Quando uma VLAN torna-se muito volumosa, mais VLANs podem ser
criadas para evitar que mensagens de broadcast consumam uma
largura de banda excessiva.

– Quanto menor o número de usuários em uma VLAN, menor o domínio

de broadcast criado.

Switching Switching
e VLANs e VLANs

Melhor Gerenciabilidade e Aumento
Melhor Gerenciabilidade e Aumento
de Segurança da Rede Local (LAN) de Segurança da Rede Local (LAN)

– Observe que na figura, cada rede é conectada ao roteador,
possuindo sua própria identificação lógica de rede (como um
endereço IP, por exemplo).
– Um dispositivo conectado à VLAN A, por exemplo, deve possuir
o mesmo endereço de rede de onde a VLAN A se encontra para
que seja possível a sua comunicação com toda a rede.
– A figura ilustra como os switches simplesmente ignoram
qualquer barreira física.
– Switches possibilitam uma flexibilidade e escalabilidade maior
que roteadores.
– Através da utilização de switches você pode agrupar usuários
por grupos de interesse, que são conhecidos como VLANs
organizacionais.
– Mesmo com todos esses recursos, switches não podem
substituir roteadores.
 Switching
e VLANs

Melhor Gerenciabilidade e Aumento
de Segurança da Rede Local (LAN)
– Na figura, repare que temos quatro VLANs.
– Os dispositivos membros de determinada VLAN podem se
comunicar com outros da mesma VLAN sem problemas.
– Para se comunicarem com dispositivos de outra VLAN, porém, o
uso de um roteador é necessário.
– Quando configurados em uma VLAN, os dispositivos entendem
que, de fato, fazem parte de um "backbone colapsado".
– Resumindo, a comunicação inter-VLANs, da mesma forma que
uma comunicação entre diferentes LANs, deve ser feita por
intermédio de um roteador ou outro dispositivo de camada 3.
Switching
e VLANs

Tipos de Associações VLAN
– Associação Estática

O modo mais comum e seguro de se criar uma VLAN é
estaticamente.

A porta do switch designada para manter a associação com uma
determinada VLAN fará isso até que um administrador mude a sua
designação.

Esse método de criação de VLANs é fácil de implementar e
monitorar, funcionando muito bem em ambientes onde o
movimento de usuários dentro de uma determinada rede é
controlado.
Switching
e VLANs

Tipos de Associações VLAN
– VLANs são, tipicamente, criadas por um administrador de redes,
que designa determinadas portas de um switch para uma
determinada VLAN. Essas são chamadas VLANs estáticas.
– Caso o administrador inclua todos os endereços de hardware
dos dispositivos da rede em um banco de dados específico, os
switches podem ser configurados para designar VLANs
dinamicamente.
Switching
e VLANs

Associação Dinâmica
– Associação Dinâmica

VLANs dinâmicas determinam a designação de uma VLAN para um
dispositivo automaticamente.

Através do uso de softwares específicos de gerenciamento, é
possível o mapeamento de endereços de hardware (MAC),
protocolos e até mesmo aplicações ou logins de usuários para
VLANs específicas.

Por exemplo, suponha que os endereços de Hardware dos laptops
de uma rede tenham sido incluídos em uma aplicação que
centraliza o gerenciamento de VLANs.
 Switching
e VLANs

Associação Dinâmica
– Associação Dinâmica

Se um host é então conectado à porta de um switch que não tenha
uma VLAN associada, o software gerenciador procurará pêlos
endereços de hardware armazenados e, então, associará e
configurará a porta do switch para a VLAN correta (mapeamento
MAC x VLAN).

Se um usuário muda de lugar, o switch poderá associar
automaticamente a VLAN correta para ele, onde quer que esteja.

Embora este método simplifique muito a vida do administrador uma
vez que o banco de dados MAC x VLAN esteja formado, um
esforço considerável é exigido inicialmente, na criação do mesmo.
Switching
e VLANs

Identificação de VLANs
– Existem dois diferentes tipos de link em um ambiente comutado:

Links de acesso (access links)

Links de Transporte (trunk links)
Switching
e VLANs

Identificação de VLANs
– VLANs podem se espalhar por uma "malha" de switches inter-
conectados.
– Os switches desse emaranhado devem ser capazes de
identificar os frames e as respectivas VLANs às quais estes
pertencem.
– Para isso foi criado o recurso frame tagging (ao pé da letra,
"etiquetamento de frames" - utilizaremos o termo "identificação
de frames", no entanto).
– Utilizando o recurso de identificação de frames, os switches
podem direcionar os frames para as portas apropriadas.
Switching
e VLANs

Identificação de VLANs
– Links de acesso (access links):

Links que são apenas parte de uma VLAN e são tidos como a
VLAN nativa da porta.

Qualquer dispositivo conectado a uma porta ou link de acesso não
sabe a qual VLAN pertence.

Ele apenas assumirá que é parte de um domínio de broadcast, sem
entender a real topologia da rede.

Os switches removem qualquer informação referente às VLANs dos
frames antes de enviá-los a um link de acesso.

Dispositivos conectados a links de acesso não podem se
comunicar com dispositivos fora de sua própria VLAN, a não ser
que um roteador faça o roteamento dos pacotes;
 Switching
e VLANs

Identificação de VLANs
– Links de Transporte (trunk links)

Também denominados uplinks, podem carregar
informações sobre múltiplas VLANs, sendo usados para
conectar switches a outros switches, routers ou mesmo
a servidores

Links de Transporte são suportados em Fast ou Gigabit
Ethernet somente. (é importante lembrar-se desta característica: link
de transporte não são suportados em I0BaseT Ethernet)
– Desde que sua interface suporte o protocolo ISL ou 802.1Q
Switching
e VLANs

Identificação de VLANs
– Links de Transporte (trunk links)

Links de Transporte ainda possuem uma VLAN nativa (default -
VLAN1), que é utilizada para gerenciamento e em caso de falhas.

O processo de "entroncamento" de links permite que você torne
uma única interface (ou porta) de um switch ou servidor parte de
múltiplas VLANs simultaneamente.

O benefício disso é que um servidor, por exemplo, pode ser
membro de duas ou mais VLANs de forma concomitante, o que
evita que usuários de VLANs diferentes tenham de atravessar um
router para poder ter acesso aos recursos desse servidor.
Switching
e VLANs

Identificação de VLANs
– Links de Transporte (trunk links)
– Para identificar a VLAN à qual um determinado
frame Ethernet pertence, os switches podem
suportar duas diferentes técnicas:
– ISL (Inter-Switch Link Protocol) (proprietário CISCO e portanto
somente visto em equipamentos CISCO)
– IEEE 802.1Q. (não-proprietário utilizado por todos os
fabricantes, inclusive a CISCO – atualmente é o padrão nos
equipamentos CISCO)

Links de Transporte são utilizados para transportar
VLANs entre dispositivos e podem ser configurados
para transportar todas as VLANs ou somente algumas.
Switching
e VLANs

Identificação de VLANs
– Links de Transporte (trunk links)

O "entroncamento" de portas é bastante comum na conexão entre
switches (uplinks), já que os links de transporte podem transportar
informações sobre algumas ou todas as VLANs existentes através
de apenas um link físico.

Caso os links entre switches (uplinks) não sejam entroncados,
apenas informações sobre a VLAN 1 (chamada VLAN default)
serão transportadas através do link.

Ao se criar uma porta transporte (trunk port), informações sobre
todas as VLANs são transportadas através dela, por default.

VLANs indesejadas devem ser manualmente excluídas do link para
que suas informações não sejam propagadas através dele.
 Switching
e VLANs

Identificação de VLANs
– Frame Tagging

Um switch conectado a uma rede de grande porte necessita fazer
um acompanhamento dos usuários e frames que atravessam o
aglomerado de switches e VLANs.

Uma "malha" de switches é um grupo de switches que
compartilham as mesmas informações de VLAN.

O processo de identificação de frames (frame tagging) associa, de
forma única, uma identificação a cada frame.

Essa identificação é conhecida como VLAN ID ou VLAN color.
Switching
e VLANs

Identificação de VLANs
– Frame Tagging

A única mudança é a adição de um par de campos de 2 bytes. O
primeiro é o campo ID de protocolo de VLAN, que sempre tem o
valor 0x8100. Tendo em vista que esse número é maior que 1500,
todas as placas Ethernet o interpretam como um tipo, e não como
um comprimento. O que uma placa antiga faz com um quadro
desse tipo é discutível, pois tais quadros não devem ser enviados a
placas antigas.
Switching
e VLANs

Identificação de VLANs
– Frame Tagging

A tecnologia de frame tagging foi criada para ser
utilizada quando um frame Ethernet atravessasse um
link de transporte (trunked link).
Switching


e VLANs
Identificação de VLANs
– Frame Tagging
– O segundo campo de 2 bytes contém três subcampos:

O principal é o Identificador de VLAN, que ocupa os 12 bits de baixa
ordem. É isso que interessa — a que VLAN o quadro pertence.

O campo de 3 bits Prioridade não tem nenhuma relação com VLANs
mas, como a mudança no cabeçalho Ethernet é um evento que
acontece uma vez em cada década, demora três anos e envolve uma
centena de pessoas, por que não incluir alguns outros benefícios?
– Esse campo torna possível distinguir o tráfego de tempo real permanente do
tráfego de tempo real provisório e do tráfego não relacionado ao tempo, a fim
de fornecer melhor qualidade de serviço em redes Ethernet.
– Ele é necessário para voz sobre a Ethernet (embora o IP tivesse um campo
semelhante durante um quarto de um século sem que ninguém jamais o tenha
usado).
 Switching Switching
e VLANs e VLANs

Identificação de VLANs
Identificação de VLANs

– Frame Tagging – Frame Tagging

A identificação (tag) da VLAN é removida do frame
antes que ele deixe o link de transporte, tornando o
processo totalmente transparente.

Caso o frame alcance um switch que possua outro link
de transporte, ele será encaminhado através da porta
onde esse link se encontra.

Cada switch que o frame atravessa deve identificar o ID
(tag) da VLAN a que ele pertence e, então, determinar o
que fazer com ele baseado na tabela de filtragem (filter
table).

Uma vez que o frame alcance uma porta para um link
de acesso, o switch remove a identificação da VLAN.

O dispositivo final receberá os frames sem ter de
entender à qual VLAN eles pertencem, garantindo a
transparência do processo.

Switching Switching
e VLANs e VLANs

Identificação de VLANs
Identificação de VLANs

– Roteamento entre VLANs – Roteamento entre VLANs

Um router com uma interface para cada VLAN pode ser usado ou,

Dispositivos dentro de uma VLAN encontram-se dentro
simplesmente, um router que suporte ISL ou IEEE 802.1Q em sua
do mesmo domínio de broadcast e podem se comunicar interface.
sem problemas.

No caso de apenas algumas VLANs (duas ou três), um roteador

VLANs segmentam a rede, criando diferentes domínios com duas ou três interfaces l0BaseT já é o suficiente.
de broadcast.

Entretanto, no caso de mais VLANs do que interfaces disponíveis, o

Para que dispositivos em diferentes VLANs roteamento ISL em uma interface FastEthernet ou GigaEthernet
comuniquem-se entre si, é necessário o uso de um pode ser usado
roteador.