redes virtuais

Propaganda
Faculdades Santa Cruz
CURSO DE TECNOLOGIA EM REDES
PROFESSOR JULIO MARTINS
REDES VIRTUAIS
1.
REDES VIRTUAIS - DEFINIÇÃO:
No passado, as Redes Locais (LAN’s) eram definidas como uma rede de computadores
localizados em um a mesma área, Hoje, Uma LAN pode ser definida como um único domínio
de broadcast. A comunicação entre as redes é realizada por roteadores (e switches de camada 3).
Por definição, um roteador (router) é o dispositivo de conexão de redes que interliga diversas
Redes, WAN e LAN. O roteador, a princípio, deixará passar todo o tráfego destinado à uma
rede por ele conhecida, porém não permite a passagem de broadcasts e multicasts de uma rede
para outra.
Um switch tradicional opera na camada 2 do modelo OSI. É um dispositivo de conexão entre
diferentes sub-redes de uma LAN, ou seja, diferentes domínios de colisão. A segmentação
realizada pelo switch é por domínios de colisão. Isto significa que não propaga colisões entre os
segmentos a ele conectados.
Os switches, além disto, constroem tabelas de endereços MAC, de forma a permitir interpretar
os endereços de destino nos quadros, e repassá-los à porta correspondente. Endereços de destino
broadcast e multicast, entretanto, por se destinarem a todos ou a um grupo de usuários de uma
LAN, têm que obrigatoriamente ser repassados a todas as portas do switch.
SEGMENTO LAN
BRIDGE
ou
SWITCH
SEGMENTO LAN
ROUTER
ou
SWITCH
LAYER 3
DOMÍNIOS
DE COLISÃO
SEGMENTO LAN
BRIDGE
ou
SWITCH
SEGMENTO LAN
DOMÍNIOS DE BROADCAST
Figura 1 – Domínios de Colisão e de Broadcast
Quanto maior o tamanho da rede, segmentada apenas por switches, maior será o tráfego de
broadcasts (normalmente utilizados em informações de controle de servidores ou de estações
que se anunciam), e multicasts (mais utilizados em aplicações específicas, como a
videoconferência). Eventualmente este tráfego de broadcasts poderá ser tão intenso, competindo
1
com pacotes de dados pela banda passante, que poderá afetar a performance da rede. Além
disto, por questões de segurança, poderá ser desejável que se contenha a expansão de quadros
broadcast/multicast pelo ambiente da rede.
As VLAN’s permitem que os administradores de rede segmentem logicamente uma LAN em
diferentes domínios de Broadcast. Por se tratar de uma segmentação lógica, e não física,
diferentemente dos roteadores, que fazem uma segmentação física, as estações não precisam
estar fisicamente no mesmo local, nem mesmo conectadas ao mesmo switch. Usuários de
diferentes andares de um prédio, ou mesmo de diferentes prédios, podem agora pertencer a uma
mesma LAN.
Os roteadores serão necessários apenas para permitir a comunicação entre duas VLAN’s.
DOMÍNIOS
DE COLISÃO
(1 OU + PORTAS)
VLAN A
BRIDGE
ou
SWITCH
VLAN B
ROUTER
ou
SWITCH
LAYER 3
VLAN B
BRIDGE
ou
SWITCH
VLAN A
DOMÍNIOS
DE COLISÃO
DOMÍNIOS DE BROADCAST
Figura 2 – Implementação de Redes Virtuais (VLAN’s)
2.
APLICAÇÕES DAS REDES VIRTUAIS:
Redes virtuais são um meio altamente flexível de segmentação de redes corporativas,
permitindo que estações não pertencentes ao mesmo switch sejam agrupados em uma rede
única, bem como definir mais de uma rede em um único equipamento.
São particularmente úteis, entre outras, nas seguintes situações abaixo:

Resolução de problemas de gargalo, devido á capacidade de isolar o tráfego
broadcast/multicast intenso;

flexibilizar a configuração da rede, tornada necessária devido a reestruturações dentro da
empresa, mudanças de layout, agrupando usuários e meios que se comunicam mais
freqüentemente, independente da posição espacial em que se encontram.

Implementação de medidas de segurança, uma vez que os grupos de trabalho podem ser
isolados, só podendo ser conectados através de algum dispositivo que roteie tráfego
2
(roteadores, Layer 3 switches). Desta forma podem ser aplicados filtros de camada 3 e
outras medidas de segurança baseadas em roteadores;

Otimizar o acesso aos servidores, Priorizando o acesso corporativo aos servidores
corporativos, configurando-os em todas as VLAN’s, e o acesso departamental aos
servidores departamentais, configurando-os nas mesmas VLAN’s dos seus usuários;

Simplificar o gerenciamento da rede, permitindo toda a configuração da rede através de uma
estação de gerenciamento, sem a necessidade de se alterar cabeamento e hardware.
3.
CLASSIFICAÇÃO DAS VLAN’s QUANTO AO MÉTODO DE ATRIBUIÇÃO:
Em geral, podemos distinguir pelo menos 5 modelos básicos de determinação e controle de
pacotes em uma VLAN:
3.1.
VLAN’s baseadas em portas (camada 1):
Este é o modo mais antigo de atribuição de VLAN’s. Nesta implementação, o administrador
associa cada porta do switch a uma VLAN. Por exemplo, as portas 1 a 3, e 11 podem ser
ligadas a uma VLAN correspondente ao departamento de Vendas, as portas 4 a 6, e 12 à
correspondente ao departamento de Engenharia, e as portas 7 a 10 à do departamento
Administrativo. O switch determina a identidade da VLAN de cada pacote, identificando a
porta na qual ele chega.
VLAN A
1
2
3
4
VLAN B
VLAN C
5 6 7 8 9 10
11 12
SERVIDOR
ENGENHARIA
SERVIDOR
VENDAS
SERVIDOR
ADMINISTRATIVO
DEPTO.
VENDAS
DEPTO.
ENGENHARIA
DEPTO.
ADMINISTRATIVO
Figura 3 – Configuração de VLAN’s por portas
Quando o usuário for deslocado para uma porta diferente do switch, o administrador deverá
simplesmente associar a nova porta à VLAN original do usuário. A mudança da rede será,
então, transparente ao usuário e o administrador não precisa alterar as ligações do
cabeamento.
Diferentemente dos outros métodos de atribuição, porém, há necessidade de que o
administrador de rede reconfigure manualmente as portas para manter a VLAN original do
usuário, sendo esta a principal desvantagem deste método.
Se utilizarmos este método, devemos ter em mente que, se um hub for conectado a uma
porta do switch, todos os usuários conectados a este hub irão obrigatoriamente fazer parte
de uma mesma VLAN, ou seja, não podemos configurar mais de uma VLAN em um mesmo
segmento físico.
3
3.2.
VLAN’s baseadas em endereços MAC (camada 2):
A identidade de um pacote neste caso é determinada pelo seu endereço MAC de origem ou
de destino. Cada switch contém uma tabela de endereços MAC e suas identidades
correspondentes.
Neste tipo de configuração, não há necessidade do switch ser reconfigurado toda vez que a
estação do usuário for conectada a uma porta diferente. Também posso configurar
endereços MAC distintos que venham através de uma única porta, em diferentes VLAN’s.
Neste caso, as estações cujos MAC compartilham a mesma porta do switch, se estiverem
conectadas a um hub ou a um switch que não permita configuração de VLAN’s, não se
beneficiarão das vantagens de se configurar VLAN’s, como contenção de broadcasts, e
implementação de segurança.
A grande desvantagem deste método é a complexidade na tarefa de associar entidades
VLAN a cada endereço MAC encontrado, tornando-se muito onerosa no caso de grandes
redes que chegam a Ter milhares de usuários. Em algumas poucas implementações esta
dificuldade é minimizada utilizando-se métodos de aprendizagem dinâmica, em que as
VLAN’s baseadas em endereços MAC são criadas a partir de uma informação do estado
atual da rede, como as estações conectadas a cada porta do switch.
Também não é permitido associar por este método um endereço MAC a várias VLAN’s ao
mesmo tempo.
Esta implementação é útil quando, nas mudanças de departamentos, os usuários costumam
levar suas estações de trabalho. Se as estações permanecem nas salas originais e os usuários
recebem novos equipamentos, será necessário reconfigurar as novas estações nas VLAN’s
correspondentes.
3.3.
VLAN’s baseadas em protocolos (camada 3):
Por este método, a identidade VLAN de um pacote é baseada em protocolos de rede,
roteáveis ou não (IP, IPX, AppleTalk...) ou endereços de camada 3. Embora estas VLAN’s
sejam baseadas em informações da camada 3, isto não constitui uma função de
“roteamento” e não deve ser confundido com roteamento de camada de rede.
Este tipo de configuração é mais flexível e fornece um agrupamento de usuários mais
lógico, permitindo adotar uma estratégia de VLAN baseada em aplicação. Além disto,
possibilita aos usuários moverem-se fisicamente sem ter que configurar manualmente cada
endereço de rede de suas estações.
Uma rede IP ou uma rede IPX podem receber, cada uma, uma VLAN correspondente,
Adicionalmente, VLAN’s baseadas em protocolos possibilitam ao administrador associar
protocolos não roteáveis, como Netbeui e DECNET,
Como desvantagem da implementação de VLAN’s baseadas em protocolos, é que o seu
desempenho tende a ser inferior ao das outras metodologias, pois a verificação dos
endereços de camada 3 em pacotes é mais lenta que a verificação de endereços MAC, por
exemplo.
3.4.
VLAN’s baseadas em IP multicast:
4
Este método pode ser considerado um caso especial do método de configuração de VLAN’s
baseadas em protocolos.
Quando um pacote IP é enviado por multicast, ele é enviado a um endereço que é
representante (proxy) para um grupo explicitamente definido de endereços IP que são
dinamicamente estabelecidos. As estações se juntam a um grupo IP multicast em particular
respondendo afirmativamente a uma notificação de broadcast, sinalizando a existência do
grupo.
Cada estação que se junta a um grupo de multicast IP pode ser vista como membro de uma
mesma LAN virtual, enquanto membros do grupo de multicast, o que significa que as
VLAN’s definidas por este método são dinâmicas, muito flexíveis e sensíveis a aplicações.
As VLAN’s definidas através de grupos de multicast IP são capazes de estender as
conexões através de roteadores e WAN’s.
3.5.
VLAN’s baseadas em informações de camada 4:
Por este método os grupos são formados de acordo com os protocolos ou serviços utilizados
(como por exemplo, o FTP, WWW, etc). A configuração nestes casos é sempre dinâmica,
podendo uma porta do switch fazer parte de mais de uma VLAN ao mesmo tempo,
dependendo das aplicações que a estação correspondente está executando.
Os switches que permitem a definição de VLAN’s por esta técnica são geralmente bem
mais caros, e, tendem a ser bem mais lentos, devendo compensar a latência gerada pela
necessidade de tratar os pacotes com base em informações superiores à camada 3 com
técnicas de co/mutação mais eficientes.
3.6.
Combinando VLAN’s atribuídas por diferentes métodos:
Como visto, todos os métodos possuem vantagens e limitações. Diversos fabricantes,
objetivando alcançar o máximo grau de flexibilização, combinam dois ou mais métodos em
seus produtos, permitindo aos administradores de rede configurar VLAN’s da forma mais
adequada para o ambiente particular das suas redes.
4.
CLASSIFICAÇÃO
IDENTIFICAÇÃO:
DAS
VLAN’s
QUANTO
AO
MÉTODO
DE
Os usuários são agrupados em uma VLAN por uma das seguintes técnicas: Implícito
(Filtragem de Pacotes e Explícito (Identificação de Pacotes). O método de Identificação
utilizado será o responsável pelo agrupamento dos usuários segundo uma destas técnicas:
4.1.
Método Implícito: (Filtragem de Pacotes)
No Método Implícito, os switches que suportam uma mesma VLAN devem possuir uma
tabela de endereços MAC dos seus membros. A estes endereços são relacionadas as
VLAN’s que eles pertencem. Em todo pacote é lido o endereço MAC. As VLAN’s foram
5
definidas anteriormente de acordo com a técnica escolhida (porta, protocolo, IP multicast ou
endereço MAC), e correlacionadas aos endereços MAC das tabelas.
Por exemplo, se foram configuradas as VLAN’s A e B no switch 1, e as VLAN’s A, B e C
no switch 2, o switch 1 terá uma tabela listando todos os endereços MAC conhecidos que
pertencem às VLAN’s A e B, e o switch 2 terá na tabela todos os endereços MAC
conhecidos das VLAN’s A, B e C.
A cada elemento novo adicionado à rede será atribuída a sua VLAN correspondente, com
base na técnica escolhida (porta, protocolo, IP multicast ou endereço MAC). O switch que
detectar e incluir o elemento na sua tabela de endereços MAC irá repassar sincronizar sua
tabela de endereços MAC com todos os outros switches que reconhecerem a VLAN do
elemento incluído na tabela.
Este método traz como desvantagens a necessidade de um processamento adicional do
switch antes de repassar cada pacote, e um nível extra de administração em cada switch
(para a sincronização das tabelas dos switches). Este processamento adicional e o tráfego de
controle de sincronização gerados podem gerar latência e afetar o desempenho da rede.
Observação: como visto, não somente VLAN’s por endereços MAC terão seus membros
identificados pelo método implícito, sendo possível configurar VLAN’s por portas,
protocolo e IP multicast para utilizarem este método.
4.2.
Método Explícito: (Identificação de Pacotes)
No Método Explícito, o tamanho do pacote é alterado, com o acréscimo de uma etiqueta
(“tag”), para identificar a identidade VLAN, com base na técnica escolhida (porta,
protocolo, IP multicast ou endereço MAC). Este método está sendo padronizado pelo IEEE
como a norma IEEE 802.1Q.
Por ser um padrão, basta configurar o switch para suporte a “Tag de VLAN’s – IEEE
802.1Q”, que ele será capaz de identificar a VLAN ao qual o pacote pertence, não sendo
necessário tráfego adicional de controle entre switches. Também, teoricamente, poderemos
ter em uma mesma rede equipamentos de fabricantes diferentes que suportem IEEE 802.1Q.
Ao ser entregue à estação de destino, o switch a ela conectado irá remover a identificação da
VLAN.
Quando um pacote entra em um switch, a determinação de sua identidade pode ser baseada
por sua porta, endereço MAC, protocolo ou IP multicast. Quando um pacote sai do switch, a
determinação de sua identidade VLAN pode ser implícita (utilizando tabelas de endereço
MAC) ou explícita (utilizando uma etiqueta que lhe foi atribuída pelo primeiro switch).
5.
CLASSIFICAÇÃO
CONFIGURAÇÃO:
5.1.
DAS
VLAN’s
QUANTO
AO
MÉTODO
DE
Configuração Estática:
A configuração inicial (setup) e os deslocamentos e mudanças subsequentes são controlados
pelo administrador da rede. Este método é típico dos switches mais baratos, e útil para redes
pequenas, porém para redes maiores pode-se tornar impraticável.
6
A configuração estática é indicada para redes cujas mudanças e deslocamentos são
controlados e bem administrados. É essencial que exista um software de gerência
adequadamente robusto, proporcional ao tamanho da rede, para configurar as portas.
5.2.
Configuração Semi Estática:
São métodos mistos, onde a configuração inicial é automatizada e as mudanças
subsequentes são realizadas manualmente, ou vice-versa.
5.3.
Configuração Dinâmica:
As estações associam-se dinamicamente às VLAN’s, dependendo da aplicação, user id ou
outro critério ou política pré definida pelo administrador da rede. Este tipo de configuração
é suportado por software de gerência de rede com inteligência suficiente para tal.
Pode ser aplicado em redes de qualquer tamanho, sendo particularmente adequado às
grandes redes.
CLASSIFICAÇÃO DOS TIPOS DE FRAMES RELACIONADOS ÁS VLAN’s:
6.
Existem três tipos de frames relacionados às Virtual LAN’s:, quais sejam:



Untagged Frames;
Priority Tagged Frames;
VLAN-Tagged Frames
Um Untagged Frame, como o nome já diz, não possui a etiqueta identificadora de VLAN. É o
frame Ethernet comum.
Um Priority Tagged Frame possui a etiqueta, porém o campo destinado à definição de VLAN
não é preenchido (é um quadro com o “tag” com informação da classe de prioridade – IEEE
802.1p, porém sem as informações de VLAN – IEEE 802.1Q).
A associação de VLAN’s aos quadros Untagged e Priority Tagged é realizada com base em
parâmetros associados com a porta de recepção, ou ainda, baseados nos dados contidos neles
(endereços MAC, protocolo de identificação, etc).
Um VLAN-Tagged Frame carrega a informação explícita da VLAN a que pertence, na etiqueta
agregada ao cabeçalho do pacote. Caso o valor seja nulo. A identificação do quadro como sendo
de uma VLAN particular é feita, então, com base nas informações contidas no cabeçalho do
pacote.
6.1.
Colocação dos cabeçalhos em frames de VLAN’s:

Os cabeçalhos (tag-headers), em VLAN’s, são colocados imediatamente após o campo de
endereço MAC de origem do frame a ser transmitido.

Se os métodos de acesso ao meio diferem do destinatário e do remetente, colocar cabeçalho
no frame pode envolver a tradução ou o encapsulamento do resto do frame.

Deve ser realizada a recomputação do Frame Check Sequence (FCS).
7
O Tag-Header, ou Tag Control Info (TCI), é composto de quatro partes: O Tag Protocol
Identifier TPID), também chamado de “Tagged Frame-Type Interpretation”, Priority, CFI
(Canonical Format Indicator) e o VLAN Identifier. Seu tamanho total é de 4 bytes nas redes
Ethernet, e de 10 bytes nas redes baseadas em token-passing (Token-Ring e FDDI).

Tagged Frame Type Interpretation: é um campo de 2 bytes, que no caso de redes
Ethernet, para indicar que é um quadro do tipo Tagged, seu valor será de 81-00 h

Priority: este campo é utilizado para a definição de classes de serviço (CoS - IEEE
802.1p), sendo composto de 3 bits, e interpretado como um número binário, possibilitando
8 combinações. Podem ser definidos até 7 níveis de prioridade, pois uma das combinações
é reservada.

CFI – Canonical Format Indicator: possui somente 1 bit, setado para “0”, indicando que
toda a informação sobre o endereçamento MAC está no formato canônico.

VLAN Identifier: possui tamanho de 12 bits e identifica a VLAN a qual o frame pertence.
A VLAN é codificada como um número binário. Alguns bits deste campo possuem
significados específicos e os demais são utilizados na codificação das VLAN’s.
2 bytes
3 bits
8100h
Tagget Frame Type
Interpretation
1 bit
12 bits
0
Priority
CFI
802.1Q VLAN
Identification Number
Figura 4 – formato do Tag Header (TCI)
Se o valor da VLAN ID for “0” (nulo), indica que o TCI possui apenas informação de
prioridade. (Priority Tagged Frames).
O valor da VLAN ID igual “1”, informa que a um pacote que está entrando em um switch e que
deverá receber a configuração da VLAN pelo dispositivo, por se tratar de um VLAN-Tagged
Frame.
O valor da VLAN ID = FFF é reservado, não podendo ser utilizado para a configuração de
VLAN’s.
8
Download