Scribd Logo
Carica

Benvenuto in Scribd!

  • Entendendo As VLAN

    Caricato da

    MarceloFontana
    74 visualizzazioni9 pagine
    O documento explica a evolução das redes Ethernet, desde as primeiras redes com cabos coaxiais até as VLANs modernas. Inicialmente as redes eram um único domínio de colisão, mas bridges e switches passaram a isolar domínios de colisão. VLANs permitem separar redes lógicas mesmo em um único switch físico, melhorando o desempenho e segurança. Configurando portas de acesso e transporte corretamente, VLANs funcionam de forma transparente para os dispositivos de rede.

    Descrizione originale:

    Historia da Vlan

    Titolo originale

    Entendendo as VLAN

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    O documento explica a evolução das redes Ethernet, desde as primeiras redes com cabos coaxiais até as VLANs modernas. Inicialmente as redes eram um único domínio de colisão, mas bridges e switches passaram a isolar domínios de colisão. VLANs permitem separar redes lógicas mesmo em um único switch físico, melhorando o desempenho e segurança. Configurando portas de acesso e transporte corretamente, VLANs funcionam de forma transparente para os dispositivos de rede.

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    74 visualizzazioni9 pagine

    Entendendo As VLAN

    Caricato da

    MarceloFontana
    O documento explica a evolução das redes Ethernet, desde as primeiras redes com cabos coaxiais até as VLANs modernas. Inicialmente as redes eram um único domínio de colisão, mas bridges e switches passaram a isolar domínios de colisão. VLANs permitem separar redes lógicas mesmo em um único switch físico, melhorando o desempenho e segurança. Configurando portas de acesso e transporte corretamente, VLANs funcionam de forma transparente para os dispositivos de rede.

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 9

    Entendendo as VLAN's

    A histria
    Antigamente as redes Ethernet eram a base de cabos coaxiais, um emendado no outro de
    mquina a mquina at o final do segmento onde se colocavam terminadores de sinal. O
    conjunto era chamado dedomnio de coliso j que os frames tinham de disputar o tempo de
    transmisso (em um nico cabo) com todos os outros, o que causava muitas colises e
    naturalmente a rede trabalhava em half-duplex.

    O truque usado pelas placas era o mecanismo do CSMA/CD para evitar as colises. Com a
    chegada dos cabos de par tranado e os HUB's o problema no foi resolvido j que o HUB se
    limita a repetir todos os sinais em toas a portas, ento na lgica a rede trabalhava do mesmo
    jeito. Usando cabos coaxiais ou hub's com cabos de par tranado toda a rede ainda era vista
    como um nico domnio de colises (onde os pacotes disputam o tempo de uso do meio de
    propagao - camada 1) e um nico domnio de broadcast(onde os hosts podem trocar
    mensagens de broadcast endereadas a FF:FF:FF:FF:FF:FF - camada 2).
    Chegaram ento as bridges, que eram dispositivos que tinham um conector coaxial e mais
    alguns conectores RJ45 trabalhando como um HUB. Mas o segredo das bridges que elas
    trabalhavam nacamada 2, isolando os domnios de coliso.

    Bridge Ethernet. Imagem disponvel em hardware.com.br

    As bridges trabalhavam de forma um pouco mais inteligente. Ao invs de replicar as mensagens


    de um segmento de rede ao outro (coaxial e par tranado) elas montavam uma tabela
    relacionando os endereos MAC de cada segmento e s transmitindo o que era necessrio para
    cada lado economizando colises e congestionamento. Da o conceito de "Ponte" ethernet.

    Um bom artigo para entender a evoluo pode ser visto AQUI

    Em seguida temos os switchs. O swich trabalha de forma ainda melhor. Monta uma tabela
    relacionando os endereos MAC de cada porta e s encaminha os frames de acordo com o
    endereo do destinatrio. Com a chegada dos switchs o termo domnio de coliso caiu em
    desuso, j que cada porta do aparelho representa um nico domnio de coliso e tendo apenas
    um host "pendurado" ela no existem colises. O mesmo se aplica ao algortimo CSMA/CD e
    as comunicaes em Half-duplex, que s continuaram existindo em redes wireless, segmentos
    cascateados atravs de hubs ou em outros casos.
    Hoje o padro de uma rede cabeada ter um switch centralizando as comunicaes e toda a
    rede trabalha em Full-duplex. Cada host tem o sue prprio domnio de coliso, e toda a rede
    um nico domnio de broadcast.
    Virtual LAN's
    Isto nos leva a outra questo. Com redes muito maiores e switchs gerenciveis, podemos
    configur-los para separar os domnios de broadcast. Entra o conceito de "Virtual LAN's".
    A ideia separar segmentos de rede em 2 ou mais domnios de broadcast, mesmo que todas as
    mquinas estejam conectadas no mesmo switch, estaro "presas" em uma rede virtual onde s
    podem se comunicar diretamente com mquinas do mesmo domnio de broadcast.
    Basicamente o administrador da rede tem de configurar o switch para que determinadas portas
    sejam entendidas como membros de VLAN's diferentes, e o trfego de uma no se aplica a
    outra.
    Imagine um Switch de 8 portas representando apenas uma VLAN (sem nenhuma configurao):

    Mensagens destinadas endereos de broadcast atingem todas as mquinas, j que s existe


    um domnio de broadcast. Em seguida 2 portas so configuradas como membros da VLAN 2:

    Agora mquinas conectadas s portas 1 e 6 no tm comunicao com as outras. Note que esta
    configurao feita apenas no switch e totalmente transparente para os hosts conectados.
    Mesmo se voc espetar outros switchs em portas relacionadas a VLAN's, tudo funciona
    normalmente. Imagine que agora ele trabalha como 2 switchs diferentes. Voc pode continuar o
    processo e selecionar portas do switch para que trabalhem em VLAN's diferentes e ter vrios
    domnios de broadcast na mesma rede fsica. Naturalmente o administrador vai
    implementar faixas de endereos IP diferentes para cada VLAN, deixando as coisas mais
    claras. Portas pertencentes a uma VLAN so chamadas portas de acesso (ouuntagged
    members), onde os dispositivos finais so conectados e trabalham sem saber de nada.

    Algum poderia perguntar qual a diferena desta configurao (que atua na camada 2) para uma
    rede onde simplesmente os hosts so configurados em faixas de endereo IP distintas (fazendo
    VLAN's em camada 3) e no se comunicariam da mesma forma. Desta maneira ainda seria
    possvel um engraadinhoalterar o seu endereo IP e obter acesso a outras mquinas de subredes diferentes, sem falar que quanto maior o domnio de broadcast, maior o nmero de
    mquinas que um atacante pode explorar comARP spoofing por exemplo. O separao da rede
    por VLAN's ainda melhora o trfego j que diminui osbroadcast storms, que apesar de
    necessrios podem gerar problemas diversos que seriam propagados por toda a rede.
    Em seguida temos as portas de transporte, chamadas "Trunk port", que podem carregar trfego
    de VLANs diferentes. A ideia que tendo vrios switchs gerenciveis na rede, todos eles vo
    ter portas membros de VLAN's comuns. O trabalho das portas trunk cascatear o trfego, mas
    desta vez marcando os frames provenientes de cada VLAN com uma tag indicando o nmero da
    VLAN (por isso a maioria usa o termo "tagged port"). A marcao feita respeitando o
    protocolo 802.1q, que compatvel com qualquer fabricante.
    Se um frame de uma determinada VLAN, de acordo com o MAC, no pertence a nenhuma das
    portas daquele switch ele encaminhado para a porta trunk encapsulado com o nmero
    correspondente da VLAN. Ao chegar no outro switch a porta tambm deve estar configurada
    como trunk, ento ele far a verificao da VLAN correspondente e escolher a porta onde est o
    dono da mensagem segundo a VLAN indicada, ou mesmo encaminhar para uma outra porta
    trunk. Assim podemos ter um cenrio com vrios switchs trabalhando com vrias VLAN's como
    se houvesse um conjunto de switchs para cada VLAN.

    Roteamento
    Agora que temos vrias sub-redes isoladas pela lgica do switch, como fazer para que essas
    sub-redes de comuniquem? Todos sabem que redes de faixas IP diferentes s se comunicam
    por roteamento. Ento mesmo que eu tenha um nico domnio de broadcast com vrias faixas
    de endereamento, preciso um roteador para encaminhar os pacotes de uma rede a outra. A
    soluo mais bvia seria ter um roteador com tantas placas de rede quanto VLAN's existentes na
    rede, cada uma com um endereo da faixa correspondente. A pesar de funcionar seria uma
    grande desperdcio de cabos, placas de rede e trabalho adicional.
    A soluo mais comum usar um roteador com uma nica porta configurada em modo
    trunk (VLAN tagged), chamada de "Routing on a stick". A partir disso o roteador receber os
    pacotes e poder identificar a VLAN de origem j que os frames vo vir marcados com o ID da
    VLAN. Nele sero criadas interfaces virtuais sobre a interface fsica e cada uma receber um IP
    na faixa usada pela VLAN. Os frames sero desmarcados e despejados na interface
    correspondente a cada uma. Isso pode ser feito em roteadores mais robustos ou mesmo no
    Linux. O esquema fica da seguinte maneira:

    Para simplificar mais ainda o esquema, entra em cena os switchs layer 3. Alm de todas as
    funcionalidades de gerenciamento de um switch layer 2, eles so capazes de criar interfaces
    virtuais dentro de cada VLAN com endereos IP, usurpando a funo do roteador.
    Desta maneira temos vrias sub-redes onde o roteador pode dar tratamento diferenciado e
    regras especficas para cada faixa de endereamento. Os broadcast storms so diminudos e
    poderamos ter uma rede totalmente isolada por exemplo. Switchs gerenciveis ainda so
    caros, mas com pelo menos um atuando como backbone da rede possvel tornar a rede mais
    segura.

    CONFIGURANDO PORTAS VLAN ACCESS NO MIKROTIK ROUTEROS

    Para quem no sabe o RouterOS o sistema operacional da Mikrotik que d vida s poderosas
    RouterBoards, e baseado em Linux. Assim como o pinguim ele extremamente completo e
    flexvel, porm muito compacto e otimizado. Pode tambm ser usado em qualquer PC. Se voc
    gosta da rea de redes, recomendo fortemente comprar uma RouterBoard para brincar.
    Existe muita documentao explicando como criar VLANs no Mikrotik, no entanto a grande
    maioria explica como criar interfaces VLAN, mas no diferencia portas de acesso de portas de
    transporte (trunk). Uma interface VLAN (vlan interface) atrelada uma interface fsica est mais
    prximo de uma porta de transporte que uma uma VLAN como um todo.
    Um porta de acesso uma porta membro de uma VLAN (domnio de broadcast) onde os
    pacotes nosaem com a marcao 802.1q, j os pacotes em portas de transporte recebem a
    marcao na sada, que o caso das VLAN interfaces no RouterOS.
    Falando em domnios de broadcast, no RouterOS voc deve criar bridges, onde cada porta de
    acesso da VLAN ser inserida. As interfaces VLAN (Vlan interface) sero criadas sobre as portas
    de transporte, de onde os pacotes vo sair com a marcao (802.1q) da VLAN de origem, em
    seguida as interfaces VLAN so inseridas na bridge da sua VLAN.
    Se quer saber um pouco mais sobre VLANs acesse este artigo AQUI.
    Neste exemplo estou usando um RB2011 UAS 2Hnd IN, onde eu tenho 10 portas e pretendo
    criar 2 Vlans. A VLAN 10 com as portas ether7 e ether8, e a VLAN 20 com as portas ether9 e
    ether10.
    A porta ether6 ser a porta de transporte.
    Primeiro criamos as 2 bridges, uma para cada VLAN (br-vlan10 e br-vlan20):

    Em seguida adicione as portas ether7 e ether8 br-vlan10 e as portas ether9 e ether10 brvlan20.

    Desta maneira j temos 2 VLANS de verdade, Basta agora criar as interfaces VLAN na porta de
    transporte e depois inseri-las na suas respectiva bridge.
    Criando 2 interfaces VLAN na porta ehter6:

    Coloque cada interface vlan dentro da sua bridge. A coisa fica mais ou menos assim:

    Veja que as VLANS so definidas pelas portas dentro de uma bridge, e os pacotes egressos das
    vlan interfaces sero marcados com o TAG da VLAN e sairo pela ether6, que a porta de
    transporte, onde voc provavelmente ter um switch plugado.
    Quem vem do mundo Cisco e cia, pode ficar confuso j que no IOS voc define qual porta
    membro de qual VLAN na configurao da prpria porta. A configurao muito mais simples,
    mas lembre-se que o RouterOS basicamente o Linux, e que a RouterBoard no exatamente
    um switch, o que lhe d muito mais flexibilidade.
    Problema
    Nesta Routerboard que uso as portas 6 a 10 vem com uma configurao ainda mais estranha. Ao
    inserir as portas nas bridges das VLANs voc por se deparar com o seguinte erro:

    Acontece que as portas ether7 em diante


    vem configuradas como Slave da porta
    ether6, que na prtica o mesmo que
    dizer que a porta ether6 e todas as suas
    escravas so um switch (uma bridge).
    Voc deve primeiramente remover a configurao Master Port dessas portas, para que fiquem
    livres, usando a opo none:

    A explicao para isso pode deixar as coisas ainda


    mais confusas, e fica para outro post. Na
    documentao da Mikrotik, esta configurao usa
    recursos diretos da CPU do switch
    ASIC (application specific integrated circuit) e
    oferece um desempenho maior na camada2,
    poupando processamento da CPU principal.
    O RouterOS um sistema completo e poderoso, mas
    se voc no pisa firme nos conceitos de redes e
    camada 2 pode tropear bastante at entender a
    coisa.

    Potrebbero piacerti anche