VLANS

Os Prs e Contras das VLANs

por mlrodrig em 24-10-2009 s 13:36 (11380 Visualizaes)

O conceito de VLAN praticamente to antigo quanto os switchs e normalmente um recurso que todos os switchs gerenciveis possuem (desconheo um nico modelo de switch gerencivel que no suporte VLAN). No entanto o muitos usam VLAN sem conhecer os seus detalhes, isso faz com que as vezes esse recurso seja utilizado sem necessidade (causando problemas) ou deixe de ser usado quando seria importante (onde resolveria problemas). Quando se deve usar VLANs, quais so seus benefcios e quais so as dificuldades que o uso das VLANs acarreta? Vamos responder essas perguntas, mas antes vamos rever o conceito de VLAN

O Que VLAN
[pic=right]http://under-linux.org/wiki/images/5/57/Vlan_tutoria.jpg[/pic] Existem vrias definies tcnicas para VLAN, mas a meu ver nenhuma delas ajuda a entender realmente o seu funcionamento. Prefiro a definio prtica: VLAN quando voc divide um switch em partes que no se conversam diretamente. Exemplo: tenho um switch com 24 portas Ethernet. Configuro as portas 1, 2, 5, 6 e 20 na VLAN 12 (as VLANs so identificadas por nmeros, de 0 a 4096) e as portas 2, 4 e 23 na VLAN 15. Nenhum equipamento da VLAN 12 envia pacotes diretamente (vamos falar sobre o envio indireto, atravs de roteador, mais na frente) para a VLAN 15. A coisa to forte, que posso ter um equipamento com IP 192.168.0.5 na porta 2 e outro com o mesmo IP na porta 23 e no haver conflito de endereos na rede (teremos problema de roteamento se isso for feito, mas ai outra histria). Assim VLAN isola grupos de computadores. Simples assim, VLAN isso. O poder da VLAN est nas consequncias dessa separao (e as dificuldades tambm esto nesse fator).

Tipos de VLANs
Existem vrias maneiras de se criar VLANs (ou seja, existem vrios tipos de VLAN). Vou citar apenas os tipos principais (se algum quiser contribuir com mais exemplos de tipos de VLAN, por favor ajude colocando nos comentrios abaixo). VLAN por Porta Este o tipo mais comum. O administrador indica qual a VLAN de cada porta e pronto. Quando se espeta um equipamento naquela porta, ele est preso naquela VLAN. Se mudar de porta, pode mudar de VLAN. VLAN por MAC Address O administrador configura no switch qual a VLAN de cada MAC Address. Assim cada equipamento da rede pertencer a uma VLAN, independentemente da porta do switch aonde ele esteja. Esse mtodo d bastante trabalho ao administrador, principalmente em redes grandes e com vrios switchs. Normalmente adotado em redes menores. VLAN por Autenticao 802.1x

A pouco tempo atrs escrevi um artigo sobre o 802.1x (http://under-linux.org/b1082-o-quee...para-que-serve), que um mtodo de autenticao de rede. Ao ser autenticado, o servidor de autenticao pode, entre outras coisas, informar a VLAN do usurio. Assim, quando se usa 802.1x temos vrios nveis de segurana: a segurana de que apenas usurios autorizados entrem na rede e a segurana de que os usurios autorizados vo acessar apenas sua VLAN.

Vantagens do Uso das VLAN

Por ser algo simples, a VLAN tem apenas uma funo: impedir que equipamentos de VLAN diferentes se falem diretamente. Ento vamos responder pergunta: que tipo de problemas a VLAN resolve? Existem vrios momentos em que o administrador de uma rede v necessidade de separar a rede em pedaos. Reduo do Broadcast Em primeiro lugar vem a diviso da rede em partes para diminuir broadcast. Quando um equipamento envia um broadcast para a rede (por exemplo ARP, RARP ou requisio DHCP) esse pacote chega a todos os outros equipamentos daquela VLAN. Em redes pequenas o broadcast no problema, mas em redes maiores isso pode ser desperdcio de banda importante. Ao separar a rede em pedaos, o administrador limita a alcance de cada broadcast e controla o problema. Segurana Dentro da Rede e Isolao de Usurios A segunda aplicao das VLANs garantir segurana. Nesse caso podemos ter vrias situaes onde esse benefcio til. Pode ser dentro de um provedor, que quer evitar que um cliente cause problemas em outros, quer seja por receio de existir um hacker entre os clientes, quer seja por receio de que um cliente com vrus contamine outros. Neste caso a separao em VLANs impede que usurios se enxerguem e causem problemas entre si. Ainda dentro da questo de segurana, as VLANs podem ser utilizadas em projetos de cidades digitais, aonde a prefeitura contrata uma rede wireless e dentro dela coloca vrios servios: acesso Internet para a populao, acesso Internet para as escolas, comunicao entre os postos de sade, etc. Cada um desses servios realizado em uma VLAN diferente. Para finalizar os comentrios sobre segurana, dentro de uma empresa, o administrador pode usar VLANs para separar os departamentos (diretoria, vendas, marketing, call-center, etc.) de forma que um problema em uma rede no afete as demais. Esse problema pode ser um funcionrio-hacker ou um funcionrio-problema (do tipo que tenta "fuar" nas configuraes e causa conflito de endereo IP na rede).

Dificuldades do Uso das VLAN

Para ser bem sincero no sabia que nome dar a este captulo. Na verdade a VLAN no causa "dificuldades" nem trz problemas, o uso de VLAN tem apenas algumas consequncias que o administrador precisa estar atento, mas no so na verdade problemas. Roteamento A primeira questo no uso das VLANs : como interconectar as redes que foram separadas pelas VLANs? Neste caso necessrio um roteador (ou um switch com capacidade de roteamento, os chamados switchs L3). A questo que sempre que colocamos um equipamento L3 no caminho, temos um atraso maior. verdade que hoje em dia os switchs L3

so muito rpidos e o atraso que eles trazem pequeno, mas existe. Assim o administrador de uma rede com VLAN necessita de um equipamento (pode ser um switch L3, um Linux, etc.) para atuar na camada de roteamento e interconectar. Neste caso tambm se aplica o uso de um firewall que alm de rotear vai permitir a criao das regras de segurana que iro reforar o que j foi dito acima sobre segurana. Organizao Em uma rede sem VLAN, muito comum este tipo de dialogo: Administrador: - Z, me d um endereo IP livre. Z: - Perai... Neste momento o Z abre uma janela de console, digita "ping 192.168.0.140", espera um pouco. Z: - Usa o final 140 que t livre Em uma rede com VLAN isso fica mais complicado. necessrio uma organizao por parte do administrador que muitas vezes no existia quando no havia VLAN. Agora so VLANs diferentes, cada porta do switch pertence a uma VLAN, com default gateways diferentes. Para ser bem sincero eu estava na dvida se este item era mesmo uma desvantagem da VLAN. Organizao sempre importante e como a VLAN obriga o administrador a ser organizado, me parece mais um benefcio que um problema. Mas como tudo que "d mais trabalho" tido como desvantagem, deixei aqui mesmo.

Aplicaes Diversas VLAN

Eu tenho certeza que na comunidade Under-Linux tem bastante gente que usa VLAN para resolver problemas diferentes ou em situaes interessantes (as vezes raras). Assim, se voc que est lendo este meu artigo tiver alguma aplicao criativa de VLAN que voc tenha participado ou use, por favor compartilhe com a gente, conte sua histria em um comentrio abaixo.

Gta.ufrj.br
Neste ltimos anos, estamos presenciando uma revoluo nas formas de comunicao entre pessoas. a chamada Revoluo da Informao, cuja ocorrncia se deu, principalmente, em virtude do desenvolvimento dos computadores pessoais (PC - Personal Computers) e das redes de computadores. O papel das redes fundamental. Atualmente, a Internet (rede mundial de computadores) a principal forma de difuso da informao, possuindo centenas de milhes de usurios em todo o mundo. Neste contexto tambm esto inseridas as Redes Locais (LANs - Local Area Networks), presentes em maior nmero nas empresas e universidades. Classicamente, define-se redes locais como um sistema de comunicao de dados confinado a uma rea geogrfica limitada, possuindo altas taxas de transmisso, de acordo com a tecnologia utilizada. Entretanto, alternativamente, diz-se que uma LAN "um nico domnio broadcast"[3]. Ou seja, o conjunto de todos os dispositivos que iro receber quadros de broadcast originrios

Introduo

de qualquer dispositivo pertencente a este mesmo conjunto. Os domnios de broadcast so tipicamente delimitados por roteadores, j que estes no encaminham quadros deste tipo. As VLANs so uma soluo alternativa ao uso de roteadores para conter o trfego broadcast, j que estas segmentam as redes locais em diferentes domnios desta natureza, como veremos adiante. Elas aumentam tanto o desempenho, conservando a largura de banda, quanto a segurana de uma rede local, limitando o trfego a domnios especficos. Iniciaremos o trabalho definindo o que uma VLAN, mostrando onde e porque estas devem ser utilizadas. Em seguida analisaremos as formas de implementao de uma rede local virtual, detalhando cada um dos casos. Passaremos ento a tratar do processamento, classificao, marcao e encaminhameto dos quadros, para em seguida comentarmos sobre as formas de conexo de dispositivos. Por fim, apresentaremos um exemplo prtico de uma rede local virtual implementada no Grupo de Teleinformtica e Automao (GTA), da Universidade Federal do Rio de Janeiro (UFRJ), assim como as perguntas relativas a apresentao deste trabalho.

Definio, motivao e benefcios

Definio
Existem inmeras definies para uma rede local virtual, como pode ser observado na bibliografia. Varadarajan[3] as define como "estruturas capazes de segmentar, logicamente, uma rede local em diferentes domnios de broadcast". J Molinari[7] diz que "uma rede virtual um grupo de estaes e servidores que se comunica independentemente de sua localizao fsica ou topologia, como se fosse um nico domnio broadcast, ou uma rede lgica." De acordo com as definies anteriores, a implantao de VLANs possibilta a partio de uma rede local em diferentes segmentos lgicos (criao de novos domnios broadcast), permitindo que usurios fisicamente distantes (por exemplo, um em cada andar de um edifcio) estejam conectados a mesma rede.

Motivao

Imagine uma empresa, cujo crescimento acelerado impossibilitou um projeto ordenado de expanso, que possua uma dezena de departamentos conectados a uma rede local interna. Ao contrrio do que se pensa, os funcionrios de cada departamento esto espalhados pelos andares da sede. Como organizar um domnio para cada setor da empresa? Uma soluo possvel seria a segmentao da rede interna em redes virtuais, uma para cada departamento. Outro exemplo a formao de grupos temporrios de trabalho. Hoje em dia comum o desenvolvimeto de projetos envolvendo diversos setores de uma empresa, como marketing, vendas, contabilidade e pesquisa. Durante o perodo do projeto, a comunicao entre seus membros tende a ser alta. Para conter o trafgo broadcast, pode-se implementar uma VLAN para este grupo de trabalho. Os exemplos anteriores mostram que as VLAN proporcionam uma alta flexibilidade a uma rede local. Isto ideal para ambientes corporativos, onde a todo momento ocorrem mudanas de empregados, reestruturaes internas, aumento do nmero de usurios, entre outras situaes.

Benefcios

Os benefcios proporcionados pela implantao de redes virtuais so inmeros, dentre os quais podemos citar: Controle do trfego broadcast

As VLANs apresentam um desempenho superior as tradicionais redes locais, principalmente devido ao controle do trfego broadcast. Tempestades de quadros broadcast (broadcast storms) podem ser causadas por mal funcionamento de placas de interface de rede, conexes de cabos mal feitas e aplicaes ou protocolos que geram este tipo de trafgo, entre outros[2]. Em redes onde o trfego broadcast responsvel por grande parte do trafgo total, as VLANs reduzem o nmero de pacotes para endereos desnecessrios, aumentando a capacidade de toda a rede. De um outro ponto de vista, em uma rede local segmentada, os domnios de broadcast so menores. Isto porque cada segmento possui um menor nmero de dispositivos conectados, comparado ao existente na rede sem segmetao. Com isso, trafegam menos quadros broadcast tanto em cada segmento, quanto em toda rede. Segmentao lgica da rede

Como visto anteriormente, redes virtuais podem ser criadas com base na organizao setorial de uma empresa. Cada VLAN pode ser associada a um departamento ou grupo de trabalho, mesmo que seus membros estejam fisicamente distantes. Isto proporciona uma segmentao lgica da rede . Reduo de custos e facilidade de gerenciamento

Grande parte do custo de uma rede se deve ao fato da incluso e da movimentao de usurios da mesma (mais detalhes em [3]). Cada vez que um usurio se movimenta necessrio um novo cabeamento, um novo endereamento para estao de trabalho e uma nova configurao de repetidores e roteadores. Em uma VLAN, a adio e movimentao de usurios pode ser feita remotamente pelo administrador da rede (da sua prpria estao), sem a necessidade de modificaes fsicas, proporcionando uma alta flexibilidade. Independncia da topologia fsica

VLANs proporcionam independncia da topologia fsica da rede, permitindo que grupos de trabalho, fisicamente diversos, possam ser conectados logicamente a um nico domnio broadcast. Maior segurana

As redes locais virtuais limitam o trfego a domnios especficos proporcionando mais segurana a estes. O trfego em uma VLAN no pode ser "escutado" por membros de outra rede virtual, j que estas no se comunicam sem que haja um dispositivo de rede desempenhando a funo de roteador entre elas. Desta forma, o acesso a servidores que no estejam na mesma VLAN restrito, criando assim "domnios de segurana no acesso a recursos"[9].

Tipos de VLANs
Quanto a forma de identificao dos seus membros, as redes locais virtuais podem ser classificadas em: VLANs baseadas em: Portas: camada 1

Os membros de uma VLAN podem ser definidos de acordo com as portas da ponte/comutador utilizado. Por exemplo, em um comutador com dez portas, as portas 1, 2, 3 e 8 pertencem a VLAN 0. J as portas 4, 9 e 10 fazem parte da VLAN 1. As demais pertencem a VLAN 2, como visto na figura 1

Figura 1 - Associao de portas a diferentes VLANs

No caso do comutador do GTA possvel criar at 64 VLANs (mais detalhes em "um exemplo prtico ...") . Este mtodo vem sendo o mais utilizado na implementao de VLANs, pois sua configurao rpida e simples. Caso um usurio se mova para um local diferente, fora da ponte/comutador onde estava conectado, o administrador da rede deve reconfigurar a VLAN. Esta a principal desvantagem deste mtodo. Alm disso, deve se ressaltar que ao conectar um repetidor, um hub ou outro comutador a uma porta pertencente a uma VLAN, todos as estaes conectadas e este dispositivo se tornaram mebros desta VLAN. Endereo MAC (Media Access Control): camada 2

Neste caso os membros da rede virtual so identificados pelo endereo MAC (Media Access Control) da estao de trabalho. O comutador reconhece o endereo MAC pertencente a cada VLAN. A associao entre endereos MAC e VLANS exemplificado na figura 2

Figura 2 - Associao de endereos MAC a diferentes VLANs

Quando uma estao de trabalho movida, no necessrio reconfigur-la para que esta continue pertencendo a mesma VLAN, j que o endereo MAC faz parte da sua placa de interface de rede. Isto uma vantagem em relao as VLANs baseadas em portas, onde a

tabela de membros tem de ser reconfigurada. O grande problema deste mtodo que um membro de uma VLAN deve ser inicialmente especificado, obrigatoriamente. Em redes com milhares de usurios isto no uma tarefa simples. Protocolo: camada 2

Os membros de uma VLAN camada 2 tambm podem ser identificados de acordo com o campo "tipo de protocolo" encontrado no cabealho da camada 2, como visto na figura 3

Figura 3 - Associao de protocolos a diferentes VLANs

Endereo IP (Internet Protocol): camada 3

Neste mtodo os mebros pertencentes a uma VLAN so determinados pelo cabealho da camada 3. O endereo IP pode ser usado nesta classificao.

Figura 4 - Associao de endereo IP a diferentes VLANs

Embora um membro seja identificado por uma informao da camada 3, este processo no realizado pelo roteador e tambm no h nenhuma relao com o roteamento nesta rede. Neste mtodo, o endereo IP usado somente como um mapeamento para determinar os usurios de uma VLAN. Em VLANs camada 3, os usurios podem mover suas estaes de trabalho sem reconfigurar os seus endereos de rede. O nico problema que geralmente o tempo para o encaminhamento de pacotes usando informaes da camada 3 maior do que utilizando o endereo MAC. Camadas superiores

Tambm possvel definir os membros de uma VLAN de acordo com aplicaes ou servios, ou uma combinao destes. Por exemplo, aplicaes FTP (File Transfer Protocol) podem ser executadas em uma VLAN e aplicaes telnet em outra. Obs.: O padro IEEE 802.1Q define somente VLANs das camadas 1 e 2. As demais so solues proprietrias[3].

Tratamento de quadros
Quando um dispositivo de rede (ponte, comutador), com suporte ao padro IEEE 802.1Q, recebe quadros vindos de uma estao de trabalho, ele os rotula, marca. Este rtulo (tag), chamado de identificador VLAN (VID), indica a rede virtual de onde vem o quadro. Este processo chamado de marcao explcita (explicit tagging). Tambm possvel determinar a qual VLAN o quadro recebido pertence utilizando a marcao implcita (implicit tagging). Neste procedimento o quadro no rotulado, mas VLAN de origem do quadro identificada por outro tipo de informao, como por exemplo a porta onde o quadro chegou (mais detalhes em "um exemplo prtico..."). A marcao pode ser baseada na porta de onde veio o quadro, no campo do endereo MAC (Media Access Control) da fonte, no endereo de rede de origem ou algum outro campo ou combinao destes. As VLANs podem ser classificadas de acordo com o mtodo utilizado. Para ser capaz de rotular um quadro, utilizando qualquer um dos mtodos citados anteriormente, o dispositivo de rede deve manter atualizado uma base de dados contendo um mapeamento entre VLANs e de onde e qual o campo utilizado na marcao. Este banco de informaes chamado filtering database e deve ser o mesmo em todos os equipamentos. O comutador, ou ponte, determina para onde deve ir o quadro como numa LAN. Uma vez indicado o destino do quadro, tambm necessrio determinar se o identificador VLAN deve ser adicionado ao quadro e enviado. Caso o destino do quadro seja um dispositvo com suporte a VLANs (VLAN-aware) o identificador VID adicionado. Entretanto, se o destinatrio no suporta o padro IEEE 802.1Q (VLAN-unaware), o dispositvo envia o quadro sem VID. Para entender como funciona uma rede local virtual necessrio conhecer os seus tipos, as formas de conexo entre seus dispositvos, a base da dados utilizada para enviar corretamente os quadros a VLAN de destino (filtering database) e o processo de marcao, utilizado para identificar a VLAN originria do quadro. De forma simplificada o funcionamento ilustrado na figura 5.

Figura 5 - O encaminhamento de pacotes para o padro IEEE 802.1Q

As decises sobre o encaminhamento dos quadros so baseadas nas trs regras seguintes, considerando uma implementao baseada em portas (mais detalhes em "Classificao"): Regras de Entrada (Ingress Rules), utilizadas para determinar a quais VLANs pertencem os quadros recebidos. Regras de Encaminhamento entre Portas, decidem se o quadro deve ser filtrado ou encaminhado. Regras de Sada (Egress Rules), determinam se o quadro deve ser enviado com ou sem rtulo.

As sees adiante apresentaro detalhadamente os processos de encaminhamento e marcao de quadros.

Classificao de quadros
As redes locais virtuais lidam com trs tipos bsicos de quadros: Quadros sem rtulo (Untagged frames)

Quadros com rtulo de prioridade (Priority-tagged frames) Quadros com rtulo VLAN (VLAN-tagged frames)

Um quadro sem rtulo ou com rtulo de prioridade no carrega nenhuma identificao de qual VLAN veio. Tais quadros so classificados como vindos de uma VLAN particular baseado em parmetros associados a porta receptora (ver "um exemplo prtico ..."), ou, em solues proprietrias, baseado no contedo do quadro (endereo MAC, identidficador de protocolo da camada 3, etc.). importante observar que para o propsito de indentifio de uma VLAN, os quadros com rtulo de prioridade so tratados igualmente aos sem rtulo. A prioridade tratada por outro padro, o IEEE 802.1p, assunto de um outro trabalho desta mesma disciplina. Um quadro com rtulo VLAN carrega um identificao explcita da sua VLAN de origem (VID), ou seja, ele possui em seu cabealho um rtulo contendo um campo VID no-nulo. Tal quadro classificado como originrio de uma VLAN particular baseado no valor deste identificador. A presena de um VID no-nulo no cabealho do quadro significa que algum outro dispositivo, ou o gerador do quadro ou uma ponte (ou comutador) com suporte a VLAN, mapeou este quadro em uma VLAN e inseriu o identificador apropriado. Para uma dada VLAN, todos os quadros transmitidos devem ser rotulados obrigatoriamente da mesma forma neste segmento. Eles tem de ser ou todos sem rtulo, ou todos com rtulo VLAN, possuindo o mesmo VID. Em outras palavras, um dispositivo pode transmitir quadros sem rtulo para algumas VLANs e quadros rotulados (VID) para outras em um dado enlace, mas no pode transmitir os dois formatos para mesma VLAN.

Marcao de quadros (tagging)

necessrio que os quadros, ao serem enviados atravs da rede, possuam um meio de indicar a qual VLAN pertencem, de modo que a ponte encaminhe-os somente para as portas que tambm pertencem a esta rede virtual. Do contrrio, os quadros so encaminhados para todas as portas. Isto o que normalmente ocorre. Esta informao adicionada ao quadro na forma de um rtulo ou marcao (tag) em seu cabealho. Este rtulo permite especificar informaes sobre a prioridade de um usurio, assim como indica o formato do endereo MAC (Media Access Control). Como visto anteriormente, quadros que possuem rtulo so enviados atravs de enlaces hbridos e "troncos". Existem dois formatos de rtulos: Rtulo para o cabealho do quadro Ethernet (Ethernet Frame Tag Header)

O rtulo para o quadro Ethernet consiste em uma identificao do protocolo (TPID - Tag Protocol Identifier) e uma informao de controlo (TCI - Tag Control Information), figura 6.

Figura 6 - Cabealho Ethernet com rtulo

Rtulo para o cabealho Token Ring e FDDI (Fiber Distributed Data Interface)

O rtulo para o cabealho token ring e para o FDDI consiste de um campo TPID SNAPcodificado (SNAP-enconded TPID) e do campo TCI.

Figura 7- Cabealho Token Ring e FDDI com rtulo

O rtulo de identificao de protocolo indica que um rtulo de cabealho (tag header) vem a seguir. J o TCI, figura 8, contm as informaes sobre a prioridade do usurio, o formato cannico de indicao (CFI - Canonical Format Indicator), e o identificador VLAN (VID).

Figura 8 - Rtulo de informao de controle - TCI

O campo de prioridade possui 3 bits. Ele carrega informaes de prioridade para serem codificadas no quadro. Existem oito nveis de prioridade. O nvel zero o de menor prioridade e o sete de maior prioridade. Maiores informaes sobre prioridade podem ser obtidas no suplemento IEEE 802.1p, tema de outro trabalho desta disciplina. O bit CFI usado para indicar que todos os endereos MAC presentes no campo de dados MAC (MAC data field) esto na forma cannica. Este campo interpretado de forma diferente de acordo com a tecnologia utilizada (Ethernet, token ring, FDDI). O campo VID utilizado para identificar, de forma nica, a qual VLAN pertence o quadro. Podem existir um mximo de 4095 VLANs (212 -1). O nmero zero usado para indicar que no h um identificador VLAN, mas a informao sobre a prioridade est presente. Isto permite que a prioridade seja codificada em redes locais sem prioridade. A insero do rtulo no cabealho do quadro aumenta em quatro octetos o seu tamanho, no caso do Ethernet, e dez, no caso do token ring. Toda a informao contida no quadro original retida. Considerando como exemplo o quadro Ethernet, citado anteriormente, temos a seguinte situao, ilustrada na figura 9.

Figura 9 - Adicionando o rtulo 802.1Q ao cabealho Ethernet

O campo EtherType e o identificador VLAN so inseridos depois do endereo MAC da fonte, mas antes do campo EtherType/Tamanho ou Controle Lgico de Enlace (Logical Link Control). Como os quadros so agora mais longos, o CRC (Cyclic Redundancy Check) tem de ser recalculado.

Tipos de Conexo
Dispositivos em uma rede local virtual podem ser conectados de trs maneiras diferentes, levando-se em considerao se estem suportam ou no o padro IEEE 802.1Q (VLAN-aware ou VLAN-unaware). So elas: Enlace tronco (Trunk Link)

Todos os dispositivos conectados a um enlace deste tipo, incluindo estaes de trabalho, devem, obrigatoriamente, ter suporte VLANs, isto , serem dipositivos VLAN-aware. Todos os quadros em um trunk link tem de possuir um rtulo VLAN (mais detalhes em "classificao de quadros"). Enlace de Acesso (Access Link)

Um enlace de acesso conecta um dispositivo sem suporte a VLAN a uma porta de uma ponte/comutador VLAN-aware. Todos os quadros neste tipo de enlace, obrigatoriamente, no devem possuir rtulo (mais detalhes em "classificao de quadros"). O dispositivo sem suporte pode ser um ou vrios segmentos de uma rede local convencional contendo outros dispositivos tambm sem suporte ao IEEE 802.1Q. Enlace Hbrido (Hybrid Link)

Este uma combinao dos dois enlaces anteriores. Em um enlace hbrido so conectados tanto dispositvos com suporte a VLANs, quanto os sem. Num enlace desta natureza pode haver quadros com (tagged frames) e sem rtulo (untagged frame), mas todos os quadros para uma VLAN especfica tem de ser com rtulo VLAN ou sem rtulo. Vale lembrar que para situaes de identificao os quadros com rtulo de prioridade so

tratados como "sem rtulo". Uma rede pode possuir uma combinao dos trs tipos de enlace anteriormente referidos.

Base de Dados de Filtragem (Filtering Database)

As informaes dos membros de uma VLAN so armazenadas em uma base de dados de filtragem (Filtering Database) que consiste de dois tipos de entrada: estticas e dinmicas. Entradas Estticas Uma entrada esttica adicionada, modificada ou removida apenas por gerenciamento, ou seja, no so tratadas automaticamente. Existem dois tipos de entradas estticas: Entrada Estticas de Filtragem, que especificam para cada porta, se quadros devem ser enviados para um dado endereo MAC especfico ou grupo de endereos e, em uma VLAN especfica, devem ser encaminhados ou descartados, ou deve seguir a entrada dinmica. Entrada Estticas de Registro,que especificam se quadros a serem enviados para uma determinada VLAN sero rotulados ou no e quais portas so registradas para esta VLAN.

Entradas Dinmicas As entradas dinmicas so aprendidas pelo dispositivo de rede e no podem ser criadas ou atualizadas por gerenciamento. O processo de aprendizagem (treinamento) observa a porta de onde o quadro, com um dado endereo fonte e um identificador VLAN (VID), foi recebido e atualiza a base de dados de filtragem (filtering database). A entrada s atualizada se todas as seguintes condies forem satisfeitas: Esta porta permite aprendizado O endereo fonte (source address) uma estao de trabalho vlida e no um endereo de grupo (group address) H espao disponvel na base de dados

As entradas so removidas da base de dados de acordo com o processo de "sada por envelhecimento" (ageing out process). Neste processo, depois de um certo tempo especificado por gerenciamento, as entradas permitem a reconfigurao automtica da base de dados de filtragem, em caso de mudana na topologia da rede. Existem trs tipos de entradas dinmicas:

Entradas Dinmicas de Filtragem, que especificam se quadros devem ser enviados para um endereo MAC especfico e se devem ser encaminhados ou descartados em uma certa VLAN. Entradas de Registro de Grupo, que indicam, para cada porta, se quadros devem ser enviados para um endereo MAC de grupo e se devem ser encaminhados ou descartados em uma certa VLAN. Estas entradas so adicionadas e removidas mediante a utilizao do Protocolo de Registro de Grupo Multidestinatrio (GMRP Group Multicast Registration Protocol). Isto permite que quadros multidestinatrios (multicast) possam ser enviados em uma nica VLAN sem afetar as demais. Entradas Dinmicas de Registro, que especificam quais portas so registradas para uma VLAN especfica. Estas entradas so adicionadas e removidas utilizando o Protocolo de Registro GARP VLAN (GVRP - GARP VLAN Registration Protocol), em que a sigla GARP significa Protocolo de Registro de Atributos Genricos (Generic Attribute Registration Protocol).

O protocolo GVRP tambm utilizado na comunicao entre pontes com suporte ao padro IEEE 802.1Q. Para que as redes locais virtuais encaminhem os pacotes para o destino correto, todas as pontes pertencentes a esta devem conter a mesma informao em suas respectivas base de dados. O protocolo GVRP permite que estaes e pontes com suporte ao IEEE 802.1Q editem e revoguem membros de uma VLAN. As pontes tambm so responsveis por registrar e propagar os membros de uma VLAN para todas as portas que participam da atual topologia desta. A topologia de uma rede determinada quando as pontes so ligadas ou quando uma modificao no estado na topologia corrente percebido. A atual topologia da rede determinada utilizando uma algoritmo "varredura" de rvore (spanning tree algorithm), o qual impede a formao de laos na rede destaivando as portas necessrias. Uma vez obtida a atual topologia da rede, a qual contm diferentes VLANs, as pontes determinam a topologia corrente de cada rede virtual. Isto pode resultar em uma topologia diferente para cada VLAN ou uma comum para diversas destas. Em cada caso, a topologia da VLAN ser um sub-conjunto da atual topologia da rede.

Um exemplo prtico: o ambiente de testes do GTA

Introduo e objetivos
A figura 10 nos mostra o ambiente de testes desenvolvido no Grupo de Teleinformtica e Automao. cujo principal objetivo realizar experimentos com vdeo a mltiplas taxas e com qualidade de servio (QoS - Quality of Service).

Figura 10 - O ambiente de testes do GTA

Inicialmente sero disponibilizados os servios de transmisso de vdeo armazenado e "estao de TV" (ao vivo). Como pode ser visto, foram implementadas quatro VLANs. O intuito desta configurao limitar a rea de testes, segmentando a rede para que no haja prejuzo das atividades normais do grupo, e facilitar a medio e a identificao do trfego que circula pelos segmentos.

Infra-estrutura
O ambiente de destes composto por um servidor de vdeo (Pentium III Xeon - Dual Processor), um gerador de trfego, cujo papel simular ambientes congestionados, dois roteadores, um de borda e outro de ncleo, responsveis pela implementao dos mecanismos de Qos (Qualidade de Servio), um receptor de trfego, onde sero realizadas as medies, e os clientes de vdeo, que so mquinas usadas no dia-a-dia pelos alunos do laboratrio. Todas as estaes esto ligadas a um comutador camada 2 (switch layer 2) modelo Summit24e2 da Extreme Networks. Ele possui ao todo 26 portas, sendo 24 portas Ethernet 10/100 e 2 portas Gigabit Ethernet. Tmbem possui suporte ao padro IEEE 802.1Q. As caractersticas do switch sero mais aprofundadas adiante. O servidor de vdeo ainda dispoe de duas cmeras de vdeo e uma placa de captura. Todas as estaes utilizam o sistema operacional Linux RedHat (verses superiores a 7.1). As ferramntas utilizadas para transmisso e recepo de vdeo so gratuitas.

Implementao de VLANs IEEE 802.1Q para Linux

As verses mais novas do kernel (a partir da 2.4) j vm com suporte a VLANs IEEE 802.1Q. Para isto necessrio habilitar algumas opes e recompilar o kernel. Use, por exemplo, o comando make xconfig para selecionar as opes do kernel. As opes relacionadas ao IEEE 802.1Q so encontrados dentro do menu "opes de rede" (Networking options). Caso a opco no esteja em destaque, confirme se a opo "Experimental Drivers" foi selecionada em um dos primeiros menus do xconfig. Depois que o kernel for compilado, instalado e estiver funcionando pode-se utilizar o programa vconfig, disponvel em http://www.candelatech.com/~greear/vlan.html, para criar e destruir dispositivos VLAN. Mais detalhes e exemplos podem ser encontrados na pgina citada anteriormente.

Caractersticas do comutador Summit24e2

O comutador implementa tanto VLANs 802.1Q quanto uma implementao prpria baseada em portas (verso simplificada do IEEE 802.1Q). No nosso caso estamos interessado apenas na primeira situao, j que na segunda, uma porta s pode pertencer a uma nica VLAN. Internamente, o comutador possui um rtulo de identificao para cada porta, chamado de PVID (Port VLAN ID) como visto anteriormente. Ele utilizado no encaminhamento de quadros tanto em VLANs 802.1Q baseadas emportas, quanto em endereos MAC. Caso o comutador no possui nenhuma VLAN definida, todas possuem PVID=1, valor padro. Um quadro recebido em uma dada porta associado ao PVID desta e, ento, encaminhado para a porta correspondente ao seu endereo de destino, encontrado na tabela de encaminhamento do

switch. Caso o PVID da porta onde o quadro foi recebido seja diferente do identificador da porta na qual ele est transmitindo, este quadro descartado pelo comutador. Internamente ao switch, diferente identificadores de porta significam diferentes VLANs, por isso a identificao de redes virtuais baseada em PVIDs no podem criar VLANs que se extendam para fora de uma dado comutador. Quadros sem rtulo so associados ao identificador da porta onde foram recebidos. As decises de encaminhamento so baseadas neste PVID desde que as VLANs se relacionem. O encaminhamento de quadros com rtulo feito de acordo com o VID (VLAN ID) contido em seus cabealhos. Quadros deste tipo tambm so associados a PVIDs, mas estes identificadores no so utilizados nas decises e encaminhamento, como o VID. Comutadores com suporte ao IEEE 802.1Q, tem de possuir uma tabela relacionando os PVIDs, internos ao switch, com os VIDs na rede. O comutador ir comparar o identificador VLAN de um quadro a ser transmitido com o VID da porta que ir realizar a transmisso. Caso os dois sejam diferentes, o quadro ser descartado. Devido a existncia o identificador de porta (PVID), possvel a coexistncia de dispositivos com e sem suporte a VLANs 802.1Q numa mesma rede. Uma porta de um comutador pode ter apenas um PVID, mas pode ter quantos VIDs forem possveis armazenar em uma tabela de VLANs, localizada na mmoria do switch.

Configurando VLANs utilizando o comutador Summit24e2

O acesso ao menu de configurao do comutador feito remotamente. Para acessar os menus de configurao de VLANs basta selecionar a opo "VLANs" na tela principal, em em seguida "Edit VLANs".

Figura 11 - O menu de edio de VLANs

Para criar uma nova VLAN ou modificar uma existente necessrio determinar os campos ao, nome, tipo (1Q ou port-based), VID (identificador) e o grupo de membros pertencentes no menu da figura. 11. O identificador 1 (VID=1) reservado pelo comutador o padro para uso interno. O comutador j vem da fbrica com todas a portas designadas como membros da "VLAN default". Conforme novas VLANs so configuradas seus respectivos membros so removidos da VLAN padro. Os membros de uma VLAN podem ser determinados individualmente para cada porta, cujo status pode ser U (untagged), T (tagged) ou - (not member). Quando o estado de uma porta U, significa que ela um membro esttico da VLAN sem rtulo. Ou seja, quando um quadro sem rtulo transmitido pela porta, seu cabealho permanece inalterado. Quando um quadro com rtulo sai da porta, o seu rtulo retirado e o quadro passa a ser "sem rtulo". O estado T, especifica a porta como um membro com rtulo da VLAN. Quando um quadro sem rtulo transmitido pela porta, o seu cabealho modificado. Inclui-se um rtulo de 32 bits associado ao PVID (identificador VLAN de porta). Quando um quadro com rtulo deixa a porta, o cabealho do pacote no modificado. J o estado - indica que a porta ainda no faz parte da VLAN, mas pode se tornar um mebro dinamicamente. Vale lembrar que dispositivos sem suporte ao padro IEEE 802.1Q devem estar conectados a portas U, enquanto os que suportam em portas T.