UFRGS - Universidade Federal do Rio Grande do Sul
ETCOM - Escola Técnica de Comércio
Curso: Redes de Computadores
Disciplina: Redes II
Excerto da Pré-norma IEEE 802.1Q
ALUNO ...............: José Luiz Both
ANO/SEMESTRE: 2000/2
CONCEITO DE VLANs
(Pré Norma IEEE 802.1Q VLANs)
1. REDES LOCAIS VIRTUAIS
Este capítulo introduz os conceitos de VLANs e discute o conceito central da pré-norma IEEE 802.1Q VLANs.
1.1. DEFINIÇÃO DE VLAN
VLAN = Virtual Local Área Network
Uma VLAN é um grupo de ativos que funcionam como um segmento simples de LAN (Um domínio de ‘broadcast’). Os ativos que formam esta VLAN, em particular, podem estar largamente separados. A criação de VLANs buscam usuários localizados em áreas separadas, ou conectados em portas separadas, para que façam parte de um grupo simples de VLAN. Usuários que participam de um grupo assim, poderão mandar e receber ‘broadcast’ e ‘multicast’ como se estivessem verdadeiramente conectados em uma sub-rede simples.
O tráfego isolado de broadcast e multicast, de VLAN contida em 'switches', recebido de grupos VLAN, mantém broadcasts de estações em uma VLAN separada para aquela VLAN.
Quando estações são assinaladas para uma VLAN, a performance daquela conexão não é mudada. Estações conectadas em portas de ‘switches’ não sacrificam sua performance do link dedicado do ‘switch’ para participar da VLAN. Como uma VLAN não é uma ligação física, mas um grupamento de membros, os 'switches' de rede determinam o grupamento VLAN associando uma VLAN com uma porta particular.
Um exemplo simples de uma VLAN baseada emporta: Dois prédios, um da área de Vendas (Loja de departamentos) e outro prédio com a área de Finanças, da mesma empresa. Cada um dos prédios possui sua rede interna. As estações de cada prédio estão conectadas a um ‘SmartSwitch’. Os dois ‘SmartSwitches’ são conectados um ao outro por um link de alta velocidade.
Neste exemplo, as estações dos departamentos de Vendas e de Finanças estão localizados em duas VLANs separadas. Em um conceito Ethernet, uma rede completa é um "domínio de ‘broadcast’". Já os 'SmartSwitches' que seguem a IEEE 802.1d com espacificação de ponte enviarão dados para ambas estações. Uma transmissão 'broadcast' ou 'multicast' de uma estação do departamento de Vendas no prédio Um será propagada por todas as portas no 'SmartSwitch' A, através do link de alta velocidade para o 'SmartSwitch' B, e será propagada para todas as portas do 'SmartSwitch' B. Os 'SmartSwitches' tratam esta porta como sendo equivalente a qualquer outra porta, e não sabem a qual grupamento departamental esta estação pertence.
Em um equipamento de VLAN baseado em porta, cada 'SmartSwitch' entende em quais portas tem membros de grupos separados. Neste equipamento, uma transmissão de 'broadcast' ou 'multicast' de uma estação do departamento de Vendas no edifício Um alcançará o 'SmartSwitch' A, será enviada para as portas connectadas a outros membros da VLAN do departamento de Vendas, através do link de alta velocidade ao 'SmartSwitch' B, e será enviada para quaisquer outras portas e estações no 'SmartSwitch' B que tenham membros da VLAN do departamento de Vendas.
1.2. TIPOS DE VLANS
Existem diferentes estratégias para a criação de VLANs, cada uma com suas próprias formas de definição de um grupo de estações em uma VLAN particular.
1.2.1. VLANs baseadas em porta
Um "'switch' VLAN baseado em porta" determina o grupamento a que pertence um ‘data frame’ examinando a configuração da porta que recebe a transmissão ou lendo o cabeçalho marcado do ‘data fame’. Um campo de quatro bytes no cabeçalho é usado para identificar a VLAN. Esta indentificação indica a que VLAN o ‘data frame’ pertence. Se o ‘data frame’ tem um cabeçalho marcado, o 'switch' verifica a configuração de VLAN da porta que recebeu o 'data frame'. Se o 'switch' foi configurado para suportar VLAN baseada em porta, ele assinala a identificação de VLAN da porta para o novo ‘frame’.
1.2.2. Securefast VLANs
A estratégia ‘SECUREFAST VLAN’ do sistema Cabletron usa uma abordagem diferente para criação de VLANs. Em um ambiente 'SECUREFAST VLAN' , os 'switches' na rede reconhecem as chamadas de roteamento do nível de rede e as traduz. Baseados nesta tradução, os 'switches' configuram uma conexão juntamente com os ‘devices’ na rede.
1.2.3. Outras estratégias VLAN
VLANs também poderiam ser criadas por uma variedade de esquemas de endereçamento, incluindo o reconhecimento de grupos de endereços MAC ou tipos de tráfego. Um dos mais conhecidos esquemas como VLAN é o uso de sub-redes IP para dividir redes em pequenas sub-redes. Alguns outros tipos de VLANs oferecem vantagens e desventagens de performance que podem ser completamente diferente da oferecida com a estratégia de ‘VLAN baseada em porta’.
1.3. BENEFÍCIOS E RESTRIÇÕES
O primeiro benefício da tecnologia 'VLAN baseada em porta' é a localização de onde provém o tráfego. Esta função pode oferecer melhora em segurança e performance para estações destinadas para a VLAN.
Enquanto a localização de tráfego pode para VLANs pode melhorar a segurança e a performance, isto impõe restrições aos ‘devices’ de rede que participam na VLAN. Se um 'switch' está operando em "secure mode", um grupo de usuários pertencentes a uma VLAN simples pode comunicar-se com algum outro livremente, mas não pode comunicar-se com usuários em outras VLANs sem os serviços de roteamento do nível de rede para fazer a conexão entre as VLANs. No modo "aberto", estas restrições não se aplicam.
A fim de configurar uma VLAN, todos os ‘devices’ do 'switch' da rede que designados para a VLAN têm de suportar a especificação da pré-norma IEEE 802.1Q para 'VLANs baseadas em porta'. Antes de implementar uma estratégia de VLAN, assegure-se que os 'switches' suportam a especificação IEEE 802.1Q.
1.4. TERMOS VLAN
VLAN ID .............................. Um único número (entre 1 e 4095) que identifica uma VLAN em particular.
VLAN Name ........................ Um nome alfanumérico de 32 caracteres associado com uma VLAN ID. O VLAN Name é usado para facilitar a identificação e a memorização das VLANs definidas.
Tag Header (VLAN Tag) .... Um campo contendo um "frame" que identifica a VLAN que foi classificada dentro deste "frame". O ‘Tag Header’ é colocado dentro do ‘frame’ diretamente após campo de endereço MAC de origem. Doze bits do 'Tag Header' são o VLAN ID. Os bits restantes são outras informações de controle.
Tagged Frame .................... Um 'data frame' que contém um 'Tag Header'.
O 'Tag Header' pode ser adicionado a um 'data frame' por uma VLAN contida em 'switch' para qualquer ‘frame’ recebido de uma porta que é membro de uma VLAN.
Untagged Frame .................. Um ‘frame’ que não contém um 'Tag Header'.
Port VLAN ID (PVID) ........... Uma identificação que inclui uma "identificação de porta" em particular no 'switch' (porta 6, módulo 2) e que é grupamento VLAN da porta.
Default VLAN ....................... A VLAN para a qual todas as portas são designadas durante a inicialização. A VLAN ‘default’ tem VLAN ID = 1.
Forwarding List ................... Uma lista de portas em um device particular que é escolhida para transmitir ‘frames’ por uma VLAN selecionada. A ‘Forwarding List’ identifica que portas estão associadas a apenas uma VLAN para o propósito da transmissão do ‘frame’.
Egress List .......................... Um lista, por porta, de todas as VLANs escolhidas que podem transmitir ‘frames’ para fora por uma porta específica e o formato do ‘frame’ de transmissões para esta porta. O ‘Egress List’ especifica quais VLANs estão associadas com apenas uma porta para a transmissão de ‘frames’.
Filtering Database ............... Uma estrutura de banco de dados dentro do 'switch' que contém a relação das associações entre endereços MAC, escolhas das VLAN, e números das interfaces (portas). O ‘Filtering Database’ é encaminhado para quando uma VLAN contida no 'switch' produz uma decisão de envio em um ‘frame’.
1Q Trunk ............................. Uma conexão dentro de 'switches' 802.1Q, que passa somente tráfego com 'Tag Header' inserido no ‘frame’.
1d Trunk .............................. Uma conexão com um 'switch' que passa somente tráfego sem 'Tag Header'.
2. OPERAÇÃO VLAN
Este capítulo descreve a operação de um 'Switch VLAN' e discute as operações que um 'Switch VLAN' faz em resposta aos tráfegos de rede: normal e originado de VLAN
2.1. DESCRIÇÃO
A operação de uma 'VLAN baseada em porta' é ligeiramente diferente da operação de um sistema tradicional de rede a 'switch'. Estas diferenças são devidas a importância de conter o caminho de cada agrupamento de transmissão VLAN, como eles passam de 'switch' para 'switch' ou de porta para porta dentro de um 'switch'.
2.2. COMPONENTES VLAN
Antes de descrever a operação de uma 'VLAN baseada em porta', é importante entender os elementos básicos que são combinados para se fazer uma VLAN 802.1Q.
Stations ...... Qualquer unidade final que pertence a uma rede. Na maioria dos casos, Estações são os computadores através dos quais os usuários conectam-se à rede.
Switches ..... A fim de configurar um grupo de estações dentro de uma VLAN, as estações têm de estar conectadas a uma VLAN informada nos 'switches'. Este é o trabalho do 'switch' para classificar ‘frames’ recebidos dentro de agrupamentos VLAN e retransmitir ‘frames’, para o agrupamento VLAN correto, com ou sem um 'Tag Header'.
2.3. PROCESSO DE CONFIGURAÇÃO
Uma VLAN requer uma série de passos de configuração a fim de começar a oparar. O ‘Sistema Cabletron de VLAN informada em 'SmartSwitches' não é o modo ‘default’ para VLAN, e a operação da VLAN tem de ser configurada e ativada através de gerenciamento por ‘software’.
2.3.1. Definindo uma VLAN
Uma VLAN tem de existir e ter uma única identidade antes que qualquer porta ou regras possam ser designadas para ela. O Administrador defines uma VLAN através da designação de um único número de identificação (o VLAN ID) e um nome opcional. O VLAN ID é o número que irá identificar os 'data frames' originados dela, e pretendidos para, as portas que pertencerão a esta nova VLAN.
2.3.2. Designando Portas para uma VLAN
Agora que a VLAN foi criada, portas individuais são dadas aos sgrupamentos na VLAN. Isto é completado através do gerenciamento por sftware pela associação a um VLAN ID com uma porta na VLAN informada no 'switch'. Esta combinação de identificação de porta do 'switch' e o VLAN ID nos trará o PVID (Port VLAN ID).Ao mesmo tempo, o Administrador configura qualquer porta ‘trunk’ necessária para considerá-las membros de cada VLAN. A configuração de portas ‘trunk’ é muito importante em configurações de VLANs ‘multiswitch’ onde grupamentos VLAN contém usuários através de diversos 'switches'.
2.3.3. Customizando a Lista de Envio da VLAN
Uma vez as portas que participarão da VLAN tenham sido associadas com um VLAN ID, a ‘VLAN Forwarding List’ pode ser customizada. A informação na 'Forwarding List' informa à VLAN no 'switch' quais portas são utilizáveis para enviar tráfego para qual VLAN em particular.
2.3.4. Customizando a ‘Egress List’ da Porta
Quando a ‘VLAN Forwarding List' está completamente configurada, a 'Egress List' de cada porta pode ser customizada se necessário. As entradas na 'Egress List' permite o tráfego classificado dentro de VLANs específicas seremm transmitidos para fora da porta.
2.3.5. Configurando o Modo Operacional
Uma vez que as VLANs estão em seus lugares, a operação do 'switch' está dependendo do método de operação especificado pelo Administrador. Todos os 'switches' 'VLAN baseada em porta' podem ser configurados para um de dois modos de operação: ‘Open’ e ‘Secure’. O modo de configuração do 'switch' determina como o 'switch' manuseia os ‘frames’ que recebe.
2.4. OPERAÇÃO DO SWITCH VLAN
Os 'switches' VLAN da pré-norma 802.1Q atuam na classificação dos ‘frames’ dentro das VLANs. Algumas vezes, a classificação VLAN é baseada em "marcadores" nos cabeçalhos dos 'data frames'. Estes marcadores VLAN são adicionados aos 'data frames' pelo 'switch' como os ‘frames’ são transmitidos para fora em certas interfaces, e são posteriormente usados para tomar decisões de envio pelo 'switch' e outras VLANs nos 'switches'. Na ausência de um VLAN 'Tag Header', a classificação de um ‘frame’ dentro de uma VLAN em particular depende da configuração da porta do 'switch' que recebe o ‘frame’.
2.4.1. Recebendo Frames de Portas VLAN
Quando um 'switch' é colocado em modo operacional 802.1Q, todos os ‘frames’ recebidos pelo 'switch' têm de pertencer a uma VLAN.
Untagged Frames ... O 'switch' recebe um ‘frame’ da Interface 1, por exemplo, e examina o ‘frame’. O 'switch' nota que este ‘frame’ não tem o marcador da VLAN corrente. O 'switch' reconhece que a Interface 1 é um menbro da VLAN ‘A’, e classifica o ‘frame’ como tal. Desta forma, todos os ‘frames’ não marcados que entram em um 'switch' VLAN são assumidos como pertencente a um agrupamento em uma VLAN. O 'switch' irá agora tomar uma decisão de envio do ‘frame’ baseado no seu modo de operação.
NOTA: Se um VLAN ID não foi designado para uma porta pelo Administrador, o 'switch' classificará os ‘frames’ recebidos desta porta como pertencente ao "Default VLAN" (VLAN ID = 1).
Tagged Frames ...... O 'switch' recebe um ‘frame’ da Interface 4, por exemplo, e examina o ‘frame’. O 'switch' nota que este ‘frame’ tem o marcador da VLAN C. Este ‘frame’ talvez tenha já estado através de um 'Switch VLAN', ou foi originado de uma estação capaz de especificar um grupamento VLAN. Se um 'switch' recebe um 'frame' contendo um marcador, o 'switch' irá classificar o 'frame' levando em consideração a este marcador ao invés do PVID para esta porta. O 'switch' irá agora tomar uma decisão de envio do ‘frame’ baseado no seu modo de operação.
2.4.2. Decisões de Envio
O tipo de 'frame' em consideração e o modo operacional de um 'Switch VLAN' determinam com enviará os 'frames' VLAN.
2.4.2.1. Broadcasts, Multicasts, e Unicasts desconhecidos
Se um 'frame' com um 'broadcast', 'multicast', ou outro endereço desconhecido é recebido por um 'Switch VLAN', o 'switch' verifica a classificação VLAN do 'frame'.
2.4.2.2. Unicasts Conhecidos
Quando um 'Switch VLAN' recebe um 'frame' com um endereço MAC conhecido com endereço de destino, a ação tomada pelo 'switch' para determinar para onde o 'frame' será transmitido depende do modo operacional do 'switch'.
Open Mode ........... Um 'switch' operando no modo ‘Open’ examina um 'frame' VLAN ‘unicast’ conhecido e produz a decisão de envio baseada no endereço MAC de destino do 'frame'. Esta decisão somente será tomada se o 'switch' puder identificar uma única interface de saída para o endereça MAC de destino do 'frame'. Se assim uma interface é identificada, o 'switch' irá então comparar o marcador VLAN do 'frame' com as qualificações VLAN na 'Egress List' daquela interface.
Em modo ‘Open’ a decisão de envio é baseada somente no endereço MAC de destino do 'frame'. Por exemplo, se este 'frame' é um ‘Unicast’ sem marcador recebido da interface 3. O 'frame' é classificado para VLAN B. O 'switch' produzirá a decisão de envio comparando o endereço MAC de destino para o ‘Filtering Database’. O 'switch' reconhece o endereço MAC de destino do 'frame' como estando localizado fora da Interface 1. Tendo feito sua decisão de envio, o 'switch' agora examina a 'Egress List' da Interface 1 para determinar se ela transmitiu o 'frame'. Se a Interface 1 for somente um membro da VLAN A, o 'frame' terá de ser descartado. Porque o 'Egress List' para Interface 1 não contém uma qualificação para VLAN B, o 'frame' é descartado.
Secure Mode ........ Se o 'switch' está operando no modo ‘Secure’, ele produzirá suas decisões de envio baseadas em critério diferente. Enquanto o modo ‘Open’ baseia a decisão de envio em somente um item no ‘Filtering Database’ (o endereço MAC), o modo ‘Secure’ faz sua decisão baseado na combinação de endereço MAC e comparação de VLAN. Por exemplo, se o 'switch' recebe um 'frame' não marcado da Interface 1, e o 'frame' é um ‘Unicast’ dirigido a um endereço MAC que a ‘Source Address Table’ do 'switch' reconhece com estando localizado fora da Interface 3. Imediatamente após a recepção, esta 'frame' não marcado é classificado em um VLAN, VLAN A.
A decisão de envio para o 'frame' é feita examinando o ‘Filtering Database’ por uma comparação do endereço MAC de destino e agrupamento na VLAN A. O 'switch' examina o ‘Filtering Database’ e não encontra a correta combinação de endereço MAC e VLAN. Assim o 'frame' será enviado para todas as portas no 'Forwarding List' para VLAN A.
FIM