Vlan

Switching e VLANs Switching e VLANs

Virtual LANs (VLANs) Virtual LANs (VLANs)
– Em uma rede comutada, a rede é plana, ou seja, todos os – Uma vez que o processo de comutação na camada 2
pacotes broadcast transmitidos são "enxergados" por todos segrega domínios de colisão, criando segmentos
os dispositivos conectados à rede, mesmo que um individuais para cada dispositivo conectado ao switch, as
dispositivo não seja o destinatário de tais pacotes. restrições relacionadas à distância impostas pelo padrão
Ethernet são reduzidas, significando que redes
geograficamente maiores podem ser construídas.


Virtual LANs (VLANs) Eis algumas das razões para se criar LANs Virtuais
(VLANs):
– Quanto maior o número de usuários e dispositivos, maior o
volume de broadcasts e pacotes que cada dispositivo tem – Redução do tamanho e aumento do número de domínios de
de processar transitando na rede. broadcast;
– Agrupamento lógico de usuários e de recursos conectados em
portas administrativamente definidas no switch;
– Outro problema inerente às redes comutadas é a
segurança, uma vez que todos os usuários "enxergam" – VLANs podem ser organizadas por localidade, função,
departamento etc., independentemente da localização física dos
todos os dispositivos.
recursos;
– Melhor gerenciabilidade e aumento de segurança da rede local
– Com a criação de VLANs, você pode resolver uma boa (LAN);
parte dos problemas associados à comutação na camada – Flexibilidade e escalabilidade.
2.

Redução do Tamanho dos Domínios de Broadcast
O que é uma VLAN
– Uma Rede local Virtual (VLAN) é um agrupamento lógico de – Os roteadores, por definição, mantêm as mensagens de
estações, serviços e dispositivos de rede, independente da broadcast dentro da rede que os originou.
localização física.
– Um exemplo seria agrupar
– Switches, por outro lado, propagam mensagens de broadcast
logicamente usuários de um
para todos os seus segmentos.
departamento que estão em
segmentos físicos diferentes.
– A configuração ou reconfigu- – Por esse motivo, chamamos uma rede comutada de "plana",
ração de VLANs é realizada porque se trata de um grande domínio de broadcast.
através de software.
– Um bom administrador de redes deve certificar-se de que a rede
esteja devidamente segmentada para evitar que problemas em
um determinado segmento se propaguem para toda a rede.


Redução do Tamanho dos Domínios de Broadcast Redução do Tamanho dos Domínios de Broadcast

– A maneira mais eficaz de se conseguir isso é através da – Em uma VLAN, todos os dispositivos são membros do mesmo
combinação entre comutação e roteamento (switching e routing). domínio de broadcast.

– Uma vez que o custo dos switches vem caindo, é uma tendência – As mensagens de broadcast, por default, são barradas de todas
real que empresas substituam redes baseadas em hubs por as portas em um switch que não sejam membros da mesma
redes baseadas em switches. VLAN.

– Com isto já temos uma redução natural do tamanho dos – Routers devem ser usados em conjunto com switches para que
dominios de colisão. Se o switch também possuir o recurso de se estabeleça a comunicação entre VLANs, o que impede que
VLAN, também podemos ter a redução do tamanho do dominio mensagens de broadcast sejam propagadas por toda a rede.
de broadcast.

Melhor Gerenciabilidade e Aumento de Segurança da
Redução do Tamanho dos Domínios de Broadcast Rede Local (LAN)
– Um dos grandes problemas com redes planas é que o nível mais alto
de segurança é implementado através dos routers.
– Vamos considerar um projeto de rede necessita de três
domínios de broadcast separados:
– A segurança é gerenciada e mantida pelo router, porém qualquer um
que se conecte localmente à rede tem acesso aos recursos disponíveis
naquela VLAN específica.

– Outro problema é que qualquer um pode conectar um analisador de
rede em um hub e, assim, ter acesso a todo tráfego daquele segmento
de rede.

– Ainda outro problema é que usuários podem se associar a um
Na figura 1 não é usada VLAN, por isso Na figura 2 três VLANs são criadas determinado grupo de trabalho simplesmente conectando suas
são necessarios 3 switches para obter utilizando-se 1 switch e obtendo-se 3 estações ou laptops a um hub existente, ocasionando um certo "caos"
3 domínios de broadcasts. domínios de broadcasts. na rede.

Melhor Gerenciabilidade e Aumento de Segurança da Melhor Gerenciabilidade e Aumento de Segurança da
Rede Local (LAN) Rede Local (LAN)
– Através da criação de VLANs, os administradores adquirem o controle
sobre cada porta e cada usuário. – Switches apenas analisam frames para filtragem, não chegam a
analisar qualquer informação de camada de Rede.
– O administrador controla cada porta e quais recursos serão alocados a
ela. – Isso pode ocasionar a propagação de broadcasts pelo switch.

– Os switches podem ser configurados para informar uma estação – Ao se criar VLANs, entretanto, você está criando domínios de
gerenciadora da rede sobre qualquer tentativa de acesso a recursos broadcast, ou seja, está segmentando sua rede local.
não-autorizados.
– Uma mensagem de broadcast enviada por um dispositivo membro de
– Se a comunicação inter-VLANs é necessária, restrições em um uma VLAN "x" não será propagada para portas do switch associadas a
roteador podem ser implementadas. uma VLAN "y".

– Restrições também podem ser impostas a endereços de Hardware
(MAC), protocolos e a aplicações.

Melhor Gerenciabilidade e Aumento de Segurança da Melhor Gerenciabilidade e Aumento de Segurança da
Rede Local (LAN) Rede Local (LAN)
– Ao associar portas em um switch ou grupo de switches conectados
entre si (switch fabric) a determinadas VLANs, você tem a flexibilidade
de adicionar apenas os usuários desejados ao domínio de broadcast
criado, independentemente de sua localização física.

– Isso pode evitar fenômenos onerosos para a rede, como as
"tempestades de broadcast".

– Quando uma VLAN torna-se muito volumosa, mais VLANs podem ser
criadas para evitar que mensagens de broadcast consumam uma
largura de banda excessiva.

– Quanto menor o número de usuários em uma VLAN, menor o domínio
de broadcast criado.

Switching Switching
e VLANs e VLANs
Melhor Gerenciabilidade e Aumento Melhor Gerenciabilidade e Aumento
de Segurança da Rede Local (LAN) de Segurança da Rede Local (LAN)

– Observe que na figura, cada rede é conectada ao roteador, – Switches possibilitam uma flexibilidade e escalabilidade maior
possuindo sua própria identificação lógica de rede (como um que roteadores.
endereço IP, por exemplo).
– Através da utilização de switches você pode agrupar usuários
– Um dispositivo conectado à VLAN A, por exemplo, deve possuir por grupos de interesse, que são conhecidos como VLANs
o mesmo endereço de rede de onde a VLAN A se encontra para organizacionais.
que seja possível a sua comunicação com toda a rede.
– Mesmo com todos esses recursos, switches não podem
– A figura ilustra como os switches simplesmente ignoram substituir roteadores.
qualquer barreira física.

Switching Switching
e VLANs e VLANs
Melhor Gerenciabilidade e Aumento Tipos de Associações VLAN
de Segurança da Rede Local (LAN)
– VLANs são, tipicamente, criadas por um administrador de redes,
– Na figura, repare que temos quatro VLANs. que designa determinadas portas de um switch para uma
– Os dispositivos membros de determinada VLAN podem se determinada VLAN. Essas são chamadas VLANs estáticas.
comunicar com outros da mesma VLAN sem problemas.
– Para se comunicarem com dispositivos de outra VLAN, porém, o – Caso o administrador inclua todos os endereços de hardware
uso de um roteador é necessário. dos dispositivos da rede em um banco de dados específico, os
– Quando configurados em uma VLAN, os dispositivos entendem switches podem ser configurados para designar VLANs
que, de fato, fazem parte de um "backbone colapsado". dinamicamente.
– Resumindo, a comunicação inter-VLANs, da mesma forma que
uma comunicação entre diferentes LANs, deve ser feita por
intermédio de um roteador ou outro dispositivo de camada 3.

Switching Switching
e VLANs e VLANs
Tipos de Associações VLAN Associação Dinâmica

– Associação Estática – Associação Dinâmica
O modo mais comum e seguro de se criar uma VLAN é VLANs dinâmicas determinam a designação de uma VLAN para um
estaticamente. dispositivo automaticamente.

A porta do switch designada para manter a associação com uma Através do uso de softwares específicos de gerenciamento, é
determinada VLAN fará isso até que um administrador mude a sua possível o mapeamento de endereços de hardware (MAC),
designação. protocolos e até mesmo aplicações ou logins de usuários para
VLANs específicas.
Esse método de criação de VLANs é fácil de implementar e
monitorar, funcionando muito bem em ambientes onde o Por exemplo, suponha que os endereços de Hardware dos laptops
movimento de usuários dentro de uma determinada rede é de uma rede tenham sido incluídos em uma aplicação que
controlado. centraliza o gerenciamento de VLANs.

Switching Switching
e VLANs e VLANs
Identificação de VLANs
Associação Dinâmica
– VLANs podem se espalhar por uma "malha" de switches inter-
– Associação Dinâmica conectados.
Se um host é então conectado à porta de um switch que não tenha
uma VLAN associada, o software gerenciador procurará pêlos
endereços de hardware armazenados e, então, associará e
– Os switches desse emaranhado devem ser capazes de
configurará a porta do switch para a VLAN correta (mapeamento identificar os frames e as respectivas VLANs às quais estes
MAC x VLAN). pertencem.

Se um usuário muda de lugar, o switch poderá associar – Para isso foi criado o recurso frame tagging (ao pé da letra,
automaticamente a VLAN correta para ele, onde quer que esteja. "etiquetamento de frames" - utilizaremos o termo "identificação
de frames", no entanto).
Embora este método simplifique muito a vida do administrador uma
vez que o banco de dados MAC x VLAN esteja formado, um
– Utilizando o recurso de identificação de frames, os switches
esforço considerável é exigido inicialmente, na criação do mesmo.
podem direcionar os frames para as portas apropriadas.

Switching Switching
e VLANs e VLANs
Identificação de VLANs Identificação de VLANs

– Existem dois diferentes tipos de link em um ambiente comutado: – Links de acesso (access links):

Links de acesso (access links) Links que são apenas parte de uma VLAN e são tidos como a
VLAN nativa da porta.
Links de Transporte (trunk links) Qualquer dispositivo conectado a uma porta ou link de acesso não
sabe a qual VLAN pertence.
Ele apenas assumirá que é parte de um domínio de broadcast, sem
entender a real topologia da rede.
Os switches removem qualquer informação referente às VLANs dos
frames antes de enviá-los a um link de acesso.
Dispositivos conectados a links de acesso não podem se
comunicar com dispositivos fora de sua própria VLAN, a não ser
que um roteador faça o roteamento dos pacotes;

Switching Switching
e VLANs e VLANs

– Links de Transporte (trunk links) – Links de Transporte (trunk links)
– Para identificar a VLAN à qual um determinado
frame Ethernet pertence, os switches podem
Também denominados uplinks, podem carregar
suportar duas diferentes técnicas:
informações sobre múltiplas VLANs, sendo usados para
– ISL (Inter-Switch Link Protocol) (proprietário CISCO e portanto
conectar switches a outros switches, routers ou mesmo somente visto em equipamentos CISCO)
a servidores – IEEE 802.1Q. (não-proprietário utilizado por todos os
fabricantes, inclusive a CISCO – atualmente é o padrão nos
equipamentos CISCO)
Links de Transporte são suportados em Fast ou Gigabit
Ethernet somente. (é importante lembrar-se desta característica: link
de transporte não são suportados em I0BaseT Ethernet)
Links de Transporte são utilizados para transportar
VLANs entre dispositivos e podem ser configurados
– Desde que sua interface suporte o protocolo ISL ou 802.1Q
para transportar todas as VLANs ou somente algumas.

Switching Switching
e VLANs e VLANs

– Links de Transporte (trunk links) – Links de Transporte (trunk links)
O "entroncamento" de portas é bastante comum na conexão entre
Links de Transporte ainda possuem uma VLAN nativa (default -
switches (uplinks), já que os links de transporte podem transportar
VLAN1), que é utilizada para gerenciamento e em caso de falhas. informações sobre algumas ou todas as VLANs existentes através
de apenas um link físico.
O processo de "entroncamento" de links permite que você torne
uma única interface (ou porta) de um switch ou servidor parte de Caso os links entre switches (uplinks) não sejam entroncados,
múltiplas VLANs simultaneamente. apenas informações sobre a VLAN 1 (chamada VLAN default)
serão transportadas através do link.
O benefício disso é que um servidor, por exemplo, pode ser
membro de duas ou mais VLANs de forma concomitante, o que Ao se criar uma porta transporte (trunk port), informações sobre
todas as VLANs são transportadas através dela, por default.
evita que usuários de VLANs diferentes tenham de atravessar um
router para poder ter acesso aos recursos desse servidor.
VLANs indesejadas devem ser manualmente excluídas do link para
que suas informações não sejam propagadas através dele.

Switching Switching
e VLANs e VLANs

– Frame Tagging – Frame Tagging
Um switch conectado a uma rede de grande porte necessita fazer
um acompanhamento dos usuários e frames que atravessam o
aglomerado de switches e VLANs.

Uma "malha" de switches é um grupo de switches que
compartilham as mesmas informações de VLAN.

O processo de identificação de frames (frame tagging) associa, de
forma única, uma identificação a cada frame.

Essa identificação é conhecida como VLAN ID ou VLAN color. A tecnologia de frame tagging foi criada para ser
utilizada quando um frame Ethernet atravessasse um
link de transporte (trunked link).

Switching Switching
e VLANs Identificação de VLANs
e VLANs
Identificação de VLANs
– Frame Tagging
– Frame Tagging

– O segundo campo de 2 bytes contém três subcampos:

O principal é o Identificador de VLAN, que ocupa os 12 bits de baixa
ordem. É isso que interessa — a que VLAN o quadro pertence.

O campo de 3 bits Prioridade não tem nenhuma relação com VLANs
mas, como a mudança no cabeçalho Ethernet é um evento que
A única mudança é a adição de um par de campos de 2 bytes. O acontece uma vez em cada década, demora três anos e envolve uma
primeiro é o campo ID de protocolo de VLAN, que sempre tem o centena de pessoas, por que não incluir alguns outros benefícios?
valor 0x8100. Tendo em vista que esse número é maior que 1500, – Esse campo torna possível distinguir o tráfego de tempo real permanente do
tráfego de tempo real provisório e do tráfego não relacionado ao tempo, a fim
todas as placas Ethernet o interpretam como um tipo, e não como de fornecer melhor qualidade de serviço em redes Ethernet.
um comprimento. O que uma placa antiga faz com um quadro – Ele é necessário para voz sobre a Ethernet (embora o IP tivesse um campo
desse tipo é discutível, pois tais quadros não devem ser enviados a semelhante durante um quarto de um século sem que ninguém jamais o tenha
placas antigas. usado).

Switching Switching
e VLANs e VLANs

– Frame Tagging – Frame Tagging
A identificação (tag) da VLAN é removida do frame
antes que ele deixe o link de transporte, tornando o Caso o frame alcance um switch que possua outro link
de transporte, ele será encaminhado através da porta
processo totalmente transparente.
onde esse link se encontra.

Cada switch que o frame atravessa deve identificar o ID Uma vez que o frame alcance uma porta para um link
(tag) da VLAN a que ele pertence e, então, determinar o de acesso, o switch remove a identificação da VLAN.
que fazer com ele baseado na tabela de filtragem (filter
table). O dispositivo final receberá os frames sem ter de
entender à qual VLAN eles pertencem, garantindo a
transparência do processo.

Switching Switching
e VLANs e VLANs

– Roteamento entre VLANs – Roteamento entre VLANs

Um router com uma interface para cada VLAN pode ser usado ou,
Dispositivos dentro de uma VLAN encontram-se dentro
simplesmente, um router que suporte ISL ou IEEE 802.1Q em sua
do mesmo domínio de broadcast e podem se comunicar interface.
sem problemas.
No caso de apenas algumas VLANs (duas ou três), um roteador
VLANs segmentam a rede, criando diferentes domínios com duas ou três interfaces l0BaseT já é o suficiente.
de broadcast.
Entretanto, no caso de mais VLANs do que interfaces disponíveis, o
Para que dispositivos em diferentes VLANs roteamento ISL em uma interface FastEthernet ou GigaEthernet
comuniquem-se entre si, é necessário o uso de um pode ser usado
roteador.

Vlan

Mais conteúdo relacionado

Mais procurados

Destaque

Semelhante a Vlan

Mais de fernandao777

Vlan