Vlan
Upcoming SlideShare
Loading in...5
×
 

Vlan

on

  • 2,739 views

 

Statistics

Views

Total Views
2,739
Views on SlideShare
2,739
Embed Views
0

Actions

Likes
1
Downloads
135
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Vlan Vlan Presentation Transcript

  • Switching e VLANs Switching e VLANsVirtual LANs (VLANs) Virtual LANs (VLANs)– Em uma rede comutada, a rede é plana, ou seja, todos os – Uma vez que o processo de comutação na camada 2 pacotes broadcast transmitidos são "enxergados" por todos segrega domínios de colisão, criando segmentos os dispositivos conectados à rede, mesmo que um individuais para cada dispositivo conectado ao switch, as dispositivo não seja o destinatário de tais pacotes. restrições relacionadas à distância impostas pelo padrão Ethernet são reduzidas, significando que redes geograficamente maiores podem ser construídas. Switching e VLANs Switching e VLANsVirtual LANs (VLANs) Eis algumas das razões para se criar LANs Virtuais (VLANs):– Quanto maior o número de usuários e dispositivos, maior o volume de broadcasts e pacotes que cada dispositivo tem – Redução do tamanho e aumento do número de domínios de de processar transitando na rede. broadcast; – Agrupamento lógico de usuários e de recursos conectados em portas administrativamente definidas no switch;– Outro problema inerente às redes comutadas é a segurança, uma vez que todos os usuários "enxergam" – VLANs podem ser organizadas por localidade, função, departamento etc., independentemente da localização física dos todos os dispositivos. recursos; – Melhor gerenciabilidade e aumento de segurança da rede local– Com a criação de VLANs, você pode resolver uma boa (LAN); parte dos problemas associados à comutação na camada – Flexibilidade e escalabilidade. 2.
  • Switching e VLANs Switching e VLANs Redução do Tamanho dos Domínios de BroadcastO que é uma VLAN– Uma Rede local Virtual (VLAN) é um agrupamento lógico de – Os roteadores, por definição, mantêm as mensagens de estações, serviços e dispositivos de rede, independente da broadcast dentro da rede que os originou. localização física.– Um exemplo seria agrupar – Switches, por outro lado, propagam mensagens de broadcast logicamente usuários de um para todos os seus segmentos. departamento que estão em segmentos físicos diferentes.– A configuração ou reconfigu- – Por esse motivo, chamamos uma rede comutada de "plana", ração de VLANs é realizada porque se trata de um grande domínio de broadcast. através de software. – Um bom administrador de redes deve certificar-se de que a rede esteja devidamente segmentada para evitar que problemas em um determinado segmento se propaguem para toda a rede. Switching e VLANs Switching e VLANsRedução do Tamanho dos Domínios de Broadcast Redução do Tamanho dos Domínios de Broadcast– A maneira mais eficaz de se conseguir isso é através da – Em uma VLAN, todos os dispositivos são membros do mesmo combinação entre comutação e roteamento (switching e routing). domínio de broadcast.– Uma vez que o custo dos switches vem caindo, é uma tendência – As mensagens de broadcast, por default, são barradas de todas real que empresas substituam redes baseadas em hubs por as portas em um switch que não sejam membros da mesma redes baseadas em switches. VLAN.– Com isto já temos uma redução natural do tamanho dos – Routers devem ser usados em conjunto com switches para que dominios de colisão. Se o switch também possuir o recurso de se estabeleça a comunicação entre VLANs, o que impede que VLAN, também podemos ter a redução do tamanho do dominio mensagens de broadcast sejam propagadas por toda a rede. de broadcast.
  • Switching e VLANs Switching e VLANs Melhor Gerenciabilidade e Aumento de Segurança daRedução do Tamanho dos Domínios de Broadcast Rede Local (LAN) – Um dos grandes problemas com redes planas é que o nível mais alto de segurança é implementado através dos routers. – Vamos considerar um projeto de rede necessita de três domínios de broadcast separados: – A segurança é gerenciada e mantida pelo router, porém qualquer um que se conecte localmente à rede tem acesso aos recursos disponíveis naquela VLAN específica. – Outro problema é que qualquer um pode conectar um analisador de rede em um hub e, assim, ter acesso a todo tráfego daquele segmento de rede. – Ainda outro problema é que usuários podem se associar a umNa figura 1 não é usada VLAN, por isso Na figura 2 três VLANs são criadas determinado grupo de trabalho simplesmente conectando suassão necessarios 3 switches para obter utilizando-se 1 switch e obtendo-se 3 estações ou laptops a um hub existente, ocasionando um certo "caos" 3 domínios de broadcasts. domínios de broadcasts. na rede. Switching e VLANs Switching e VLANsMelhor Gerenciabilidade e Aumento de Segurança da Melhor Gerenciabilidade e Aumento de Segurança daRede Local (LAN) Rede Local (LAN) – Através da criação de VLANs, os administradores adquirem o controle sobre cada porta e cada usuário. – Switches apenas analisam frames para filtragem, não chegam a analisar qualquer informação de camada de Rede. – O administrador controla cada porta e quais recursos serão alocados a ela. – Isso pode ocasionar a propagação de broadcasts pelo switch. – Os switches podem ser configurados para informar uma estação – Ao se criar VLANs, entretanto, você está criando domínios de gerenciadora da rede sobre qualquer tentativa de acesso a recursos broadcast, ou seja, está segmentando sua rede local. não-autorizados. – Uma mensagem de broadcast enviada por um dispositivo membro de – Se a comunicação inter-VLANs é necessária, restrições em um uma VLAN "x" não será propagada para portas do switch associadas a roteador podem ser implementadas. uma VLAN "y". – Restrições também podem ser impostas a endereços de Hardware (MAC), protocolos e a aplicações.
  • Switching e VLANs Switching e VLANsMelhor Gerenciabilidade e Aumento de Segurança da Melhor Gerenciabilidade e Aumento de Segurança daRede Local (LAN) Rede Local (LAN)– Ao associar portas em um switch ou grupo de switches conectados entre si (switch fabric) a determinadas VLANs, você tem a flexibilidade de adicionar apenas os usuários desejados ao domínio de broadcast criado, independentemente de sua localização física.– Isso pode evitar fenômenos onerosos para a rede, como as "tempestades de broadcast".– Quando uma VLAN torna-se muito volumosa, mais VLANs podem ser criadas para evitar que mensagens de broadcast consumam uma largura de banda excessiva.– Quanto menor o número de usuários em uma VLAN, menor o domínio de broadcast criado. Switching Switching e VLANs e VLANsMelhor Gerenciabilidade e Aumento Melhor Gerenciabilidade e Aumentode Segurança da Rede Local (LAN) de Segurança da Rede Local (LAN)– Observe que na figura, cada rede é conectada ao roteador, – Switches possibilitam uma flexibilidade e escalabilidade maior possuindo sua própria identificação lógica de rede (como um que roteadores. endereço IP, por exemplo). – Através da utilização de switches você pode agrupar usuários– Um dispositivo conectado à VLAN A, por exemplo, deve possuir por grupos de interesse, que são conhecidos como VLANs o mesmo endereço de rede de onde a VLAN A se encontra para organizacionais. que seja possível a sua comunicação com toda a rede. – Mesmo com todos esses recursos, switches não podem– A figura ilustra como os switches simplesmente ignoram substituir roteadores. qualquer barreira física.
  • Switching Switching e VLANs e VLANsMelhor Gerenciabilidade e Aumento Tipos de Associações VLANde Segurança da Rede Local (LAN) – VLANs são, tipicamente, criadas por um administrador de redes,– Na figura, repare que temos quatro VLANs. que designa determinadas portas de um switch para uma– Os dispositivos membros de determinada VLAN podem se determinada VLAN. Essas são chamadas VLANs estáticas. comunicar com outros da mesma VLAN sem problemas.– Para se comunicarem com dispositivos de outra VLAN, porém, o – Caso o administrador inclua todos os endereços de hardware uso de um roteador é necessário. dos dispositivos da rede em um banco de dados específico, os– Quando configurados em uma VLAN, os dispositivos entendem switches podem ser configurados para designar VLANs que, de fato, fazem parte de um "backbone colapsado". dinamicamente.– Resumindo, a comunicação inter-VLANs, da mesma forma que uma comunicação entre diferentes LANs, deve ser feita por intermédio de um roteador ou outro dispositivo de camada 3. Switching Switching e VLANs e VLANsTipos de Associações VLAN Associação Dinâmica– Associação Estática – Associação Dinâmica O modo mais comum e seguro de se criar uma VLAN é VLANs dinâmicas determinam a designação de uma VLAN para um estaticamente. dispositivo automaticamente. A porta do switch designada para manter a associação com uma Através do uso de softwares específicos de gerenciamento, é determinada VLAN fará isso até que um administrador mude a sua possível o mapeamento de endereços de hardware (MAC), designação. protocolos e até mesmo aplicações ou logins de usuários para VLANs específicas. Esse método de criação de VLANs é fácil de implementar e monitorar, funcionando muito bem em ambientes onde o Por exemplo, suponha que os endereços de Hardware dos laptops movimento de usuários dentro de uma determinada rede é de uma rede tenham sido incluídos em uma aplicação que controlado. centraliza o gerenciamento de VLANs.
  • Switching Switching e VLANs e VLANs Identificação de VLANsAssociação Dinâmica – VLANs podem se espalhar por uma "malha" de switches inter-– Associação Dinâmica conectados. Se um host é então conectado à porta de um switch que não tenha uma VLAN associada, o software gerenciador procurará pêlos endereços de hardware armazenados e, então, associará e – Os switches desse emaranhado devem ser capazes de configurará a porta do switch para a VLAN correta (mapeamento identificar os frames e as respectivas VLANs às quais estes MAC x VLAN). pertencem. Se um usuário muda de lugar, o switch poderá associar – Para isso foi criado o recurso frame tagging (ao pé da letra, automaticamente a VLAN correta para ele, onde quer que esteja. "etiquetamento de frames" - utilizaremos o termo "identificação de frames", no entanto). Embora este método simplifique muito a vida do administrador uma vez que o banco de dados MAC x VLAN esteja formado, um – Utilizando o recurso de identificação de frames, os switches esforço considerável é exigido inicialmente, na criação do mesmo. podem direcionar os frames para as portas apropriadas. Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Existem dois diferentes tipos de link em um ambiente comutado: – Links de acesso (access links): Links de acesso (access links) Links que são apenas parte de uma VLAN e são tidos como a VLAN nativa da porta. Links de Transporte (trunk links) Qualquer dispositivo conectado a uma porta ou link de acesso não sabe a qual VLAN pertence. Ele apenas assumirá que é parte de um domínio de broadcast, sem entender a real topologia da rede. Os switches removem qualquer informação referente às VLANs dos frames antes de enviá-los a um link de acesso. Dispositivos conectados a links de acesso não podem se comunicar com dispositivos fora de sua própria VLAN, a não ser que um roteador faça o roteamento dos pacotes;
  • Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Links de Transporte (trunk links) – Links de Transporte (trunk links) – Para identificar a VLAN à qual um determinado frame Ethernet pertence, os switches podem Também denominados uplinks, podem carregar suportar duas diferentes técnicas: informações sobre múltiplas VLANs, sendo usados para – ISL (Inter-Switch Link Protocol) (proprietário CISCO e portanto conectar switches a outros switches, routers ou mesmo somente visto em equipamentos CISCO) a servidores – IEEE 802.1Q. (não-proprietário utilizado por todos os fabricantes, inclusive a CISCO – atualmente é o padrão nos equipamentos CISCO) Links de Transporte são suportados em Fast ou Gigabit Ethernet somente. (é importante lembrar-se desta característica: link de transporte não são suportados em I0BaseT Ethernet) Links de Transporte são utilizados para transportar VLANs entre dispositivos e podem ser configurados – Desde que sua interface suporte o protocolo ISL ou 802.1Q para transportar todas as VLANs ou somente algumas. Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Links de Transporte (trunk links) – Links de Transporte (trunk links) O "entroncamento" de portas é bastante comum na conexão entre Links de Transporte ainda possuem uma VLAN nativa (default - switches (uplinks), já que os links de transporte podem transportar VLAN1), que é utilizada para gerenciamento e em caso de falhas. informações sobre algumas ou todas as VLANs existentes através de apenas um link físico. O processo de "entroncamento" de links permite que você torne uma única interface (ou porta) de um switch ou servidor parte de Caso os links entre switches (uplinks) não sejam entroncados, múltiplas VLANs simultaneamente. apenas informações sobre a VLAN 1 (chamada VLAN default) serão transportadas através do link. O benefício disso é que um servidor, por exemplo, pode ser membro de duas ou mais VLANs de forma concomitante, o que Ao se criar uma porta transporte (trunk port), informações sobre todas as VLANs são transportadas através dela, por default. evita que usuários de VLANs diferentes tenham de atravessar um router para poder ter acesso aos recursos desse servidor. VLANs indesejadas devem ser manualmente excluídas do link para que suas informações não sejam propagadas através dele.
  • Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Frame Tagging – Frame Tagging Um switch conectado a uma rede de grande porte necessita fazer um acompanhamento dos usuários e frames que atravessam o aglomerado de switches e VLANs. Uma "malha" de switches é um grupo de switches que compartilham as mesmas informações de VLAN. O processo de identificação de frames (frame tagging) associa, de forma única, uma identificação a cada frame. Essa identificação é conhecida como VLAN ID ou VLAN color. A tecnologia de frame tagging foi criada para ser utilizada quando um frame Ethernet atravessasse um link de transporte (trunked link). Switching Switching e VLANs Identificação de VLANs e VLANsIdentificação de VLANs – Frame Tagging– Frame Tagging – O segundo campo de 2 bytes contém três subcampos: O principal é o Identificador de VLAN, que ocupa os 12 bits de baixa ordem. É isso que interessa — a que VLAN o quadro pertence. O campo de 3 bits Prioridade não tem nenhuma relação com VLANs mas, como a mudança no cabeçalho Ethernet é um evento que A única mudança é a adição de um par de campos de 2 bytes. O acontece uma vez em cada década, demora três anos e envolve uma primeiro é o campo ID de protocolo de VLAN, que sempre tem o centena de pessoas, por que não incluir alguns outros benefícios? valor 0x8100. Tendo em vista que esse número é maior que 1500, – Esse campo torna possível distinguir o tráfego de tempo real permanente do tráfego de tempo real provisório e do tráfego não relacionado ao tempo, a fim todas as placas Ethernet o interpretam como um tipo, e não como de fornecer melhor qualidade de serviço em redes Ethernet. um comprimento. O que uma placa antiga faz com um quadro – Ele é necessário para voz sobre a Ethernet (embora o IP tivesse um campo desse tipo é discutível, pois tais quadros não devem ser enviados a semelhante durante um quarto de um século sem que ninguém jamais o tenha placas antigas. usado).
  • Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Frame Tagging – Frame Tagging A identificação (tag) da VLAN é removida do frame antes que ele deixe o link de transporte, tornando o Caso o frame alcance um switch que possua outro link de transporte, ele será encaminhado através da porta processo totalmente transparente. onde esse link se encontra. Cada switch que o frame atravessa deve identificar o ID Uma vez que o frame alcance uma porta para um link (tag) da VLAN a que ele pertence e, então, determinar o de acesso, o switch remove a identificação da VLAN. que fazer com ele baseado na tabela de filtragem (filter table). O dispositivo final receberá os frames sem ter de entender à qual VLAN eles pertencem, garantindo a transparência do processo. Switching Switching e VLANs e VLANsIdentificação de VLANs Identificação de VLANs– Roteamento entre VLANs – Roteamento entre VLANs Um router com uma interface para cada VLAN pode ser usado ou, Dispositivos dentro de uma VLAN encontram-se dentro simplesmente, um router que suporte ISL ou IEEE 802.1Q em sua do mesmo domínio de broadcast e podem se comunicar interface. sem problemas. No caso de apenas algumas VLANs (duas ou três), um roteador VLANs segmentam a rede, criando diferentes domínios com duas ou três interfaces l0BaseT já é o suficiente. de broadcast. Entretanto, no caso de mais VLANs do que interfaces disponíveis, o Para que dispositivos em diferentes VLANs roteamento ISL em uma interface FastEthernet ou GigaEthernet comuniquem-se entre si, é necessário o uso de um pode ser usado roteador.