Faculdades Santa Cruz CURSO DE TECNOLOGIA EM REDES PROFESSOR JULIO MARTINS REDES VIRTUAIS 1. REDES VIRTUAIS - DEFINIÇÃO: No passado, as Redes Locais (LAN’s) eram definidas como uma rede de computadores localizados em um a mesma área, Hoje, Uma LAN pode ser definida como um único domínio de broadcast. A comunicação entre as redes é realizada por roteadores (e switches de camada 3). Por definição, um roteador (router) é o dispositivo de conexão de redes que interliga diversas Redes, WAN e LAN. O roteador, a princípio, deixará passar todo o tráfego destinado à uma rede por ele conhecida, porém não permite a passagem de broadcasts e multicasts de uma rede para outra. Um switch tradicional opera na camada 2 do modelo OSI. É um dispositivo de conexão entre diferentes sub-redes de uma LAN, ou seja, diferentes domínios de colisão. A segmentação realizada pelo switch é por domínios de colisão. Isto significa que não propaga colisões entre os segmentos a ele conectados. Os switches, além disto, constroem tabelas de endereços MAC, de forma a permitir interpretar os endereços de destino nos quadros, e repassá-los à porta correspondente. Endereços de destino broadcast e multicast, entretanto, por se destinarem a todos ou a um grupo de usuários de uma LAN, têm que obrigatoriamente ser repassados a todas as portas do switch. SEGMENTO LAN BRIDGE ou SWITCH SEGMENTO LAN ROUTER ou SWITCH LAYER 3 DOMÍNIOS DE COLISÃO SEGMENTO LAN BRIDGE ou SWITCH SEGMENTO LAN DOMÍNIOS DE BROADCAST Figura 1 – Domínios de Colisão e de Broadcast Quanto maior o tamanho da rede, segmentada apenas por switches, maior será o tráfego de broadcasts (normalmente utilizados em informações de controle de servidores ou de estações que se anunciam), e multicasts (mais utilizados em aplicações específicas, como a videoconferência). Eventualmente este tráfego de broadcasts poderá ser tão intenso, competindo 1 com pacotes de dados pela banda passante, que poderá afetar a performance da rede. Além disto, por questões de segurança, poderá ser desejável que se contenha a expansão de quadros broadcast/multicast pelo ambiente da rede. As VLAN’s permitem que os administradores de rede segmentem logicamente uma LAN em diferentes domínios de Broadcast. Por se tratar de uma segmentação lógica, e não física, diferentemente dos roteadores, que fazem uma segmentação física, as estações não precisam estar fisicamente no mesmo local, nem mesmo conectadas ao mesmo switch. Usuários de diferentes andares de um prédio, ou mesmo de diferentes prédios, podem agora pertencer a uma mesma LAN. Os roteadores serão necessários apenas para permitir a comunicação entre duas VLAN’s. DOMÍNIOS DE COLISÃO (1 OU + PORTAS) VLAN A BRIDGE ou SWITCH VLAN B ROUTER ou SWITCH LAYER 3 VLAN B BRIDGE ou SWITCH VLAN A DOMÍNIOS DE COLISÃO DOMÍNIOS DE BROADCAST Figura 2 – Implementação de Redes Virtuais (VLAN’s) 2. APLICAÇÕES DAS REDES VIRTUAIS: Redes virtuais são um meio altamente flexível de segmentação de redes corporativas, permitindo que estações não pertencentes ao mesmo switch sejam agrupados em uma rede única, bem como definir mais de uma rede em um único equipamento. São particularmente úteis, entre outras, nas seguintes situações abaixo: Resolução de problemas de gargalo, devido á capacidade de isolar o tráfego broadcast/multicast intenso; flexibilizar a configuração da rede, tornada necessária devido a reestruturações dentro da empresa, mudanças de layout, agrupando usuários e meios que se comunicam mais freqüentemente, independente da posição espacial em que se encontram. Implementação de medidas de segurança, uma vez que os grupos de trabalho podem ser isolados, só podendo ser conectados através de algum dispositivo que roteie tráfego 2 (roteadores, Layer 3 switches). Desta forma podem ser aplicados filtros de camada 3 e outras medidas de segurança baseadas em roteadores; Otimizar o acesso aos servidores, Priorizando o acesso corporativo aos servidores corporativos, configurando-os em todas as VLAN’s, e o acesso departamental aos servidores departamentais, configurando-os nas mesmas VLAN’s dos seus usuários; Simplificar o gerenciamento da rede, permitindo toda a configuração da rede através de uma estação de gerenciamento, sem a necessidade de se alterar cabeamento e hardware. 3. CLASSIFICAÇÃO DAS VLAN’s QUANTO AO MÉTODO DE ATRIBUIÇÃO: Em geral, podemos distinguir pelo menos 5 modelos básicos de determinação e controle de pacotes em uma VLAN: 3.1. VLAN’s baseadas em portas (camada 1): Este é o modo mais antigo de atribuição de VLAN’s. Nesta implementação, o administrador associa cada porta do switch a uma VLAN. Por exemplo, as portas 1 a 3, e 11 podem ser ligadas a uma VLAN correspondente ao departamento de Vendas, as portas 4 a 6, e 12 à correspondente ao departamento de Engenharia, e as portas 7 a 10 à do departamento Administrativo. O switch determina a identidade da VLAN de cada pacote, identificando a porta na qual ele chega. VLAN A 1 2 3 4 VLAN B VLAN C 5 6 7 8 9 10 11 12 SERVIDOR ENGENHARIA SERVIDOR VENDAS SERVIDOR ADMINISTRATIVO DEPTO. VENDAS DEPTO. ENGENHARIA DEPTO. ADMINISTRATIVO Figura 3 – Configuração de VLAN’s por portas Quando o usuário for deslocado para uma porta diferente do switch, o administrador deverá simplesmente associar a nova porta à VLAN original do usuário. A mudança da rede será, então, transparente ao usuário e o administrador não precisa alterar as ligações do cabeamento. Diferentemente dos outros métodos de atribuição, porém, há necessidade de que o administrador de rede reconfigure manualmente as portas para manter a VLAN original do usuário, sendo esta a principal desvantagem deste método. Se utilizarmos este método, devemos ter em mente que, se um hub for conectado a uma porta do switch, todos os usuários conectados a este hub irão obrigatoriamente fazer parte de uma mesma VLAN, ou seja, não podemos configurar mais de uma VLAN em um mesmo segmento físico. 3 3.2. VLAN’s baseadas em endereços MAC (camada 2): A identidade de um pacote neste caso é determinada pelo seu endereço MAC de origem ou de destino. Cada switch contém uma tabela de endereços MAC e suas identidades correspondentes. Neste tipo de configuração, não há necessidade do switch ser reconfigurado toda vez que a estação do usuário for conectada a uma porta diferente. Também posso configurar endereços MAC distintos que venham através de uma única porta, em diferentes VLAN’s. Neste caso, as estações cujos MAC compartilham a mesma porta do switch, se estiverem conectadas a um hub ou a um switch que não permita configuração de VLAN’s, não se beneficiarão das vantagens de se configurar VLAN’s, como contenção de broadcasts, e implementação de segurança. A grande desvantagem deste método é a complexidade na tarefa de associar entidades VLAN a cada endereço MAC encontrado, tornando-se muito onerosa no caso de grandes redes que chegam a Ter milhares de usuários. Em algumas poucas implementações esta dificuldade é minimizada utilizando-se métodos de aprendizagem dinâmica, em que as VLAN’s baseadas em endereços MAC são criadas a partir de uma informação do estado atual da rede, como as estações conectadas a cada porta do switch. Também não é permitido associar por este método um endereço MAC a várias VLAN’s ao mesmo tempo. Esta implementação é útil quando, nas mudanças de departamentos, os usuários costumam levar suas estações de trabalho. Se as estações permanecem nas salas originais e os usuários recebem novos equipamentos, será necessário reconfigurar as novas estações nas VLAN’s correspondentes. 3.3. VLAN’s baseadas em protocolos (camada 3): Por este método, a identidade VLAN de um pacote é baseada em protocolos de rede, roteáveis ou não (IP, IPX, AppleTalk...) ou endereços de camada 3. Embora estas VLAN’s sejam baseadas em informações da camada 3, isto não constitui uma função de “roteamento” e não deve ser confundido com roteamento de camada de rede. Este tipo de configuração é mais flexível e fornece um agrupamento de usuários mais lógico, permitindo adotar uma estratégia de VLAN baseada em aplicação. Além disto, possibilita aos usuários moverem-se fisicamente sem ter que configurar manualmente cada endereço de rede de suas estações. Uma rede IP ou uma rede IPX podem receber, cada uma, uma VLAN correspondente, Adicionalmente, VLAN’s baseadas em protocolos possibilitam ao administrador associar protocolos não roteáveis, como Netbeui e DECNET, Como desvantagem da implementação de VLAN’s baseadas em protocolos, é que o seu desempenho tende a ser inferior ao das outras metodologias, pois a verificação dos endereços de camada 3 em pacotes é mais lenta que a verificação de endereços MAC, por exemplo. 3.4. VLAN’s baseadas em IP multicast: 4 Este método pode ser considerado um caso especial do método de configuração de VLAN’s baseadas em protocolos. Quando um pacote IP é enviado por multicast, ele é enviado a um endereço que é representante (proxy) para um grupo explicitamente definido de endereços IP que são dinamicamente estabelecidos. As estações se juntam a um grupo IP multicast em particular respondendo afirmativamente a uma notificação de broadcast, sinalizando a existência do grupo. Cada estação que se junta a um grupo de multicast IP pode ser vista como membro de uma mesma LAN virtual, enquanto membros do grupo de multicast, o que significa que as VLAN’s definidas por este método são dinâmicas, muito flexíveis e sensíveis a aplicações. As VLAN’s definidas através de grupos de multicast IP são capazes de estender as conexões através de roteadores e WAN’s. 3.5. VLAN’s baseadas em informações de camada 4: Por este método os grupos são formados de acordo com os protocolos ou serviços utilizados (como por exemplo, o FTP, WWW, etc). A configuração nestes casos é sempre dinâmica, podendo uma porta do switch fazer parte de mais de uma VLAN ao mesmo tempo, dependendo das aplicações que a estação correspondente está executando. Os switches que permitem a definição de VLAN’s por esta técnica são geralmente bem mais caros, e, tendem a ser bem mais lentos, devendo compensar a latência gerada pela necessidade de tratar os pacotes com base em informações superiores à camada 3 com técnicas de co/mutação mais eficientes. 3.6. Combinando VLAN’s atribuídas por diferentes métodos: Como visto, todos os métodos possuem vantagens e limitações. Diversos fabricantes, objetivando alcançar o máximo grau de flexibilização, combinam dois ou mais métodos em seus produtos, permitindo aos administradores de rede configurar VLAN’s da forma mais adequada para o ambiente particular das suas redes. 4. CLASSIFICAÇÃO IDENTIFICAÇÃO: DAS VLAN’s QUANTO AO MÉTODO DE Os usuários são agrupados em uma VLAN por uma das seguintes técnicas: Implícito (Filtragem de Pacotes e Explícito (Identificação de Pacotes). O método de Identificação utilizado será o responsável pelo agrupamento dos usuários segundo uma destas técnicas: 4.1. Método Implícito: (Filtragem de Pacotes) No Método Implícito, os switches que suportam uma mesma VLAN devem possuir uma tabela de endereços MAC dos seus membros. A estes endereços são relacionadas as VLAN’s que eles pertencem. Em todo pacote é lido o endereço MAC. As VLAN’s foram 5 definidas anteriormente de acordo com a técnica escolhida (porta, protocolo, IP multicast ou endereço MAC), e correlacionadas aos endereços MAC das tabelas. Por exemplo, se foram configuradas as VLAN’s A e B no switch 1, e as VLAN’s A, B e C no switch 2, o switch 1 terá uma tabela listando todos os endereços MAC conhecidos que pertencem às VLAN’s A e B, e o switch 2 terá na tabela todos os endereços MAC conhecidos das VLAN’s A, B e C. A cada elemento novo adicionado à rede será atribuída a sua VLAN correspondente, com base na técnica escolhida (porta, protocolo, IP multicast ou endereço MAC). O switch que detectar e incluir o elemento na sua tabela de endereços MAC irá repassar sincronizar sua tabela de endereços MAC com todos os outros switches que reconhecerem a VLAN do elemento incluído na tabela. Este método traz como desvantagens a necessidade de um processamento adicional do switch antes de repassar cada pacote, e um nível extra de administração em cada switch (para a sincronização das tabelas dos switches). Este processamento adicional e o tráfego de controle de sincronização gerados podem gerar latência e afetar o desempenho da rede. Observação: como visto, não somente VLAN’s por endereços MAC terão seus membros identificados pelo método implícito, sendo possível configurar VLAN’s por portas, protocolo e IP multicast para utilizarem este método. 4.2. Método Explícito: (Identificação de Pacotes) No Método Explícito, o tamanho do pacote é alterado, com o acréscimo de uma etiqueta (“tag”), para identificar a identidade VLAN, com base na técnica escolhida (porta, protocolo, IP multicast ou endereço MAC). Este método está sendo padronizado pelo IEEE como a norma IEEE 802.1Q. Por ser um padrão, basta configurar o switch para suporte a “Tag de VLAN’s – IEEE 802.1Q”, que ele será capaz de identificar a VLAN ao qual o pacote pertence, não sendo necessário tráfego adicional de controle entre switches. Também, teoricamente, poderemos ter em uma mesma rede equipamentos de fabricantes diferentes que suportem IEEE 802.1Q. Ao ser entregue à estação de destino, o switch a ela conectado irá remover a identificação da VLAN. Quando um pacote entra em um switch, a determinação de sua identidade pode ser baseada por sua porta, endereço MAC, protocolo ou IP multicast. Quando um pacote sai do switch, a determinação de sua identidade VLAN pode ser implícita (utilizando tabelas de endereço MAC) ou explícita (utilizando uma etiqueta que lhe foi atribuída pelo primeiro switch). 5. CLASSIFICAÇÃO CONFIGURAÇÃO: 5.1. DAS VLAN’s QUANTO AO MÉTODO DE Configuração Estática: A configuração inicial (setup) e os deslocamentos e mudanças subsequentes são controlados pelo administrador da rede. Este método é típico dos switches mais baratos, e útil para redes pequenas, porém para redes maiores pode-se tornar impraticável. 6 A configuração estática é indicada para redes cujas mudanças e deslocamentos são controlados e bem administrados. É essencial que exista um software de gerência adequadamente robusto, proporcional ao tamanho da rede, para configurar as portas. 5.2. Configuração Semi Estática: São métodos mistos, onde a configuração inicial é automatizada e as mudanças subsequentes são realizadas manualmente, ou vice-versa. 5.3. Configuração Dinâmica: As estações associam-se dinamicamente às VLAN’s, dependendo da aplicação, user id ou outro critério ou política pré definida pelo administrador da rede. Este tipo de configuração é suportado por software de gerência de rede com inteligência suficiente para tal. Pode ser aplicado em redes de qualquer tamanho, sendo particularmente adequado às grandes redes. CLASSIFICAÇÃO DOS TIPOS DE FRAMES RELACIONADOS ÁS VLAN’s: 6. Existem três tipos de frames relacionados às Virtual LAN’s:, quais sejam: Untagged Frames; Priority Tagged Frames; VLAN-Tagged Frames Um Untagged Frame, como o nome já diz, não possui a etiqueta identificadora de VLAN. É o frame Ethernet comum. Um Priority Tagged Frame possui a etiqueta, porém o campo destinado à definição de VLAN não é preenchido (é um quadro com o “tag” com informação da classe de prioridade – IEEE 802.1p, porém sem as informações de VLAN – IEEE 802.1Q). A associação de VLAN’s aos quadros Untagged e Priority Tagged é realizada com base em parâmetros associados com a porta de recepção, ou ainda, baseados nos dados contidos neles (endereços MAC, protocolo de identificação, etc). Um VLAN-Tagged Frame carrega a informação explícita da VLAN a que pertence, na etiqueta agregada ao cabeçalho do pacote. Caso o valor seja nulo. A identificação do quadro como sendo de uma VLAN particular é feita, então, com base nas informações contidas no cabeçalho do pacote. 6.1. Colocação dos cabeçalhos em frames de VLAN’s: Os cabeçalhos (tag-headers), em VLAN’s, são colocados imediatamente após o campo de endereço MAC de origem do frame a ser transmitido. Se os métodos de acesso ao meio diferem do destinatário e do remetente, colocar cabeçalho no frame pode envolver a tradução ou o encapsulamento do resto do frame. Deve ser realizada a recomputação do Frame Check Sequence (FCS). 7 O Tag-Header, ou Tag Control Info (TCI), é composto de quatro partes: O Tag Protocol Identifier TPID), também chamado de “Tagged Frame-Type Interpretation”, Priority, CFI (Canonical Format Indicator) e o VLAN Identifier. Seu tamanho total é de 4 bytes nas redes Ethernet, e de 10 bytes nas redes baseadas em token-passing (Token-Ring e FDDI). Tagged Frame Type Interpretation: é um campo de 2 bytes, que no caso de redes Ethernet, para indicar que é um quadro do tipo Tagged, seu valor será de 81-00 h Priority: este campo é utilizado para a definição de classes de serviço (CoS - IEEE 802.1p), sendo composto de 3 bits, e interpretado como um número binário, possibilitando 8 combinações. Podem ser definidos até 7 níveis de prioridade, pois uma das combinações é reservada. CFI – Canonical Format Indicator: possui somente 1 bit, setado para “0”, indicando que toda a informação sobre o endereçamento MAC está no formato canônico. VLAN Identifier: possui tamanho de 12 bits e identifica a VLAN a qual o frame pertence. A VLAN é codificada como um número binário. Alguns bits deste campo possuem significados específicos e os demais são utilizados na codificação das VLAN’s. 2 bytes 3 bits 8100h Tagget Frame Type Interpretation 1 bit 12 bits 0 Priority CFI 802.1Q VLAN Identification Number Figura 4 – formato do Tag Header (TCI) Se o valor da VLAN ID for “0” (nulo), indica que o TCI possui apenas informação de prioridade. (Priority Tagged Frames). O valor da VLAN ID igual “1”, informa que a um pacote que está entrando em um switch e que deverá receber a configuração da VLAN pelo dispositivo, por se tratar de um VLAN-Tagged Frame. O valor da VLAN ID = FFF é reservado, não podendo ser utilizado para a configuração de VLAN’s. 8