1. Objetivo do Trabalho

 

Este trabalho tem como objetivo a discussão da norma IEEE – 802.1q, na qual são definidos uma arquitetura para as Virtual Lans, os serviços prestados por essas e os protocolos e algoritmos envolvidos na construção destes serviços.

 

 

2. Introdução

O objeto deste trabalho são as Virtual Local Area Networks, ou as VLAN’s, como são conhecidas.

Elas são uma tecnologia nova que surgiu a partir da necessidade cada vez maior de uma flexibilidade nas redes atuais, causada por mudanças de empregados, reestruturações dentro das empresas, aumento do número de usuários numa rede, novos softwares que requerem plataformas mais poderosas de trabalho e etc. Com elas, os responsáveis por mudanças nas redes podem se adaptar mais rapidamente e eficazmente agregando um poder maior às redes já existentes.

Oferecendo meios altamente flexíveis de segmentação de redes empresariais, as VLAN’s solucionam os problemas de gargalo que ocorrem quando roteadores tradicionais não conseguem atender às demandas de redes rápidas e ramificadas.

Uma VLAN é um grupo de PC’s, servidores e outros recursos de rede que se comportam como se estivessem conectados a um único segmento de rede, mesmo não estando. Um exemplo possível aqui seria um departamento de uma empresa que esteja completamente espalhado pelo prédio da mesma. Mesmo não estando conectados a uma única rede, eles podem trocar informações e recursos como se estivessem. Cabe ressaltar que os recursos de outros departamentos podem estar invisíveis a este departamento ou não, ficando a cargo do administrador tal decisão.

Tal exemplo pode ser visualizado na figura abaixo, onde temos três andares e três departamentos espalhados por estes. Em uma única rede podemos fazer segmentações, de forma que existam três redes virtuais, uma para cada departamento.

Observamos ainda que, por ser uma rede virtual baseada em softwares, fica muito mais fácil para o administrador reorganizar a rede, reorganizando os nós sem haver a necessidade de se alterar o hardware.

Podemos ter ainda como outra vantagem das VLAN’s a capacidade de segmentar a rede de uma maneira mais eficaz. Ao contrário dos switches tradicionais, ela restringe a disseminação de transmissão, bem como o tráfego nó a nó, diminuindo, em muito, a quantidade de informação irrelevante que circula pela rede.

Uma vez que todos os pacotes de dados que trafegam entre VLAN’s distintas devem passar por roteadores, medidas de segurança baseadas nestes podem ser implementadas, restringindo o acesso a estas redes virtuais e aumentando a sua segurança.

Assim, de uma forma resumida, temos como vantagens das VLAN´s:

• Segmentação flexível das redes: usuários e meios que se comunicam mais freqüentemente com cada um podem ser agrupados numa mesma VLAN, independente da posição espacial que se encontram. O tráfego de cada grupo estará quase que inteiramente contido nesta VLAN particular, reduzindo o tráfego de dados irrelevantes e aumentando a capacidade de toda a rede.
• Gerenciamento simples: a adição de nós, bem como a movimentação de arquivos ou outras mudanças podem ser implementadas facilmente a partir do computador do administrador, não havendo a necessidade de se alterar fios.
• Performance Superior: VLAN´s liberam a banda já que limitam o tráfego de nó a nó e de transmissão.
• Melhor uso dos recursos do servidor: com um emulador de VLAN adaptado, um servidor pode ser membro de múltiplas VLAN´s. Isto reduz a necessidade de se rotear o tráfego do e para o servidor.
• Aumento da segurança das redes: VLAN´s criam periferias virtuais que só podem ser cruzadas através de um roteador. Assim, medidas de segurança baseadas em roteadores podem ser utilizadas para limitar o acesso a estas redes.

1. Uma Discussão Semi-Técnica

 

Em geral, existem três modelos básicos para determinação e controle de pacotes numa VLAN. São os seguintes:

 

1. VLAN´s baseadas em portas:

 

Nesta implementação, o administrador associa cada porta de um switch a uma VLAN. Por exemplo, as portas 1 a 3 podem ser ligadas a VLAN do departamento de vendas, as portas 4 a 6 ao departamento de engenharia e as portas 7-9 ao departamento administrativo. O switch determina a identidade da VLAN de cada pacote, notando a porta na qual ele chega.

Quando o usuário for deslocado para uma porta diferente do switch, o administrador pode simplesmente associar a nova porta à VLAN antiga do usuário. A mudança da rede é, então, transparente ao usuário e o administrador não precisa mexer nas ligações dos fios.

No entanto, este método tem uma falha significante. Se um repetidor estiver conectado a uma porta do switch, todos os usuários conectados a este repetidor devem fazer parte da mesma VLAN.

A figura abaixo mostra como é feito este modelo.

 

 

 

 

 

2. VLAN´s baseadas em endereços MAC:

 

A identidade de um pacote neste caso é determinada pelo seu endereço MAC de origem ou de destino. Cada switch mantém uma tabela de endereços MAC e suas identidades correspondentes.

Uma grande vantagem deste método é a não necessidade de um switch ser configurado cada vez que um usuário se move para uma porta diferente.

No entanto, associar identidades a cada endereço MAC é uma tarefa demorada que consome bastante tempo e um único endereço MAC não pode ser um membro de várias VLAN´s ao mesmo tempo. Isso pode ser uma grande limitação, no momento de se dividir informações entre servidores de VLAN´s diferentes.

 

3. VLAN´s baseadas em protocolo:

 

Com este método, a identidade VLAN de um pacote é baseada em protocolos (IP, IPX, Netbios,...) e endereços da camada 3. Este é o método mais flexível e fornece o agrupamento de usuários mais lógico.

Uma rede IP ou uma rede IPX podem receber, cada uma, uma VLAN correspondente. Adicionalmente, identidade baseada em protocolos possibilitam ao administrador associar protocolos não roteáveis, como Netbios e DECNET, a VLAN’s maiores que protocolos IP ou IPX. Isto maximiza o ganho de eficiência que é possível com VLAN´s.

 

 

Outra distinção importante entre as implementações de VLAN é o método usado para indicar pacotes que trafegam entre switches. Dois métodos existem – implícito e explícito, os quais são explicados abaixo:

 

Implícito:

A identidade VLAN é indicada pelo endereço MAC. Neste caso, todos os switches que suportam uma mesma VLAN devem possuir uma tabela de endereços MAC dos membros.

 

Explícito:

Uma etiqueta é adicionada ao pacote para indicar sua identidade VLAN. Esta é o método utilizado por esta norma em questão.

 

Resumindo, quando um pacote entra num switch, a determinação de sua identidade pode ser baseada em porta, baseada em endereços MAC ou baseada em protocolo. Quando o pacote viaja para outros switches, a determinação da identidade VLAN pode ser implícita (usando endereços MAC) ou explícita (usando uma etiqueta que lhe foi dada pelo primeiro switch).

VLAN´s baseadas em portas e em protocolos utilizam o método explícito, enquanto VLAN´s baseadas em endereços MAC são implícitas.

Como a norma IEEE 802.1q, em questão, utiliza o método explícito, este se tornará o método empregado daqui em diante.

 

 

 

 

2. Arquitetura de uma VLAN

A arquitetura de uma VLAN é baseada num modelo de três camadas, como mostrado na figura abaixo:

As três camadas são:

• Configuração;
• Distribuição da Informação de configuração e;
• Retransmissão.

que são discutidas a seguir.

1. Camada Configuração:

 

Esta camada é onde se definem os meios pelos quais a configuração da VLAN é especificada em primeiro lugar. Isto pode ser alcançado via mecanismos de gerenciamento local ou remoto, via mecanismos de servidores, via protocolos de distribuição ou outros meios.

Nela, são definidos ainda os parâmetros de configuração de uma VLAN.

 

2. Camada Distribuição da Informação de Configuração:

 

Este é o processo que permite a informação ser distribuída em ordem para as pontes serem capazes de determinar para qual VLAN um frame deve ser classificado.

 

3. Camada Retransmissão:

Esta camada se preocupa com:

1. Classificação de cada frame como pertencente a uma e somente uma VLAN. Ingress rules;
2. Decisões relacionadas com o destino dos frames recebidos (para onde eles devem ser enviados). Forwarding rules;
3. Mapeamento dos frames para se transmitir através das portas corretas e num formato apropriado (VLAN tagged ou untagged). Egress rules;
4. Os procedimentos utilizados para adicionar, modificar e remover cabeçalhos, quando transmitindo entre segmentos de LAN’s, de acordo com os detalhes do formato do frame da VLAN;

A arquitetura de VLAN’s se baseia ainda no modelo Filtering Database, que reconhece que:

1. para algumas configurações, é necessário permitir que informações aprendidas em uma VLAN sejam compartilhadas por outras VLAN’s. Isto se chama Shared VLAN Learnig (SVL);
2. para outras configurações, é necessário garantir que a informação fique restrita a uma única VLAN. Isto se chama Independent VLAN Learning (IVL);
3. existem ainda configurações onde é irrelevante o fato de uma informação ser de conhecimento de uma ou de várias VLAN’s.

1. Classificação de VLAN’s

Existem três tipos de frames relacionados às Virtual LAN’s. São eles:

• Untagged frames;
• Priority-Tagged frames;
• VLAN-Tagged frames.

Um untagged frame ou um priority-tagged frame não carregam qualquer identificação da VLAN a que pertencem. Tais frames são ditos pertencentes a uma VLAN particular baseados nos parâmetros associados com a porta de recepção ou ainda, baseados nos dados contidos neles (ex.: endereço MAC, protocolo de identificação, etc.).

Já um VLAN-tagged frame carrega uma identificação explícita da VLAN a que pertence. Ou seja, carrega um cabeçalho que contém uma identificação de VLAN não nula. Tal frame é identificado como sendo de uma VLAn particular, então, pelo conteúdo do cabeçalho.

• Os cabeçalhos (tag-headers), em VLAN’s, são colocados imediatamente após os campos de endereços MAC de destino e de origem do frame a ser transmitido.
• Se os métodos de acesso ao meio diferem do destinatário e do remetente, colocar cabeçalho no frame pode envolver a tradução ou o encapsulamento do resto do frame.
• Deve ser realizada a recomputação do Frame Check Sequence (FCS).

Na retirada dos cabeçalhos, deve ser mantida a parte do frame que contém as informações de origem e destino.

Sendo métodos diferentes de acesso, deve ser feita a conversão e então a recomputação do FCS.

1. Estrutura de um cabeçalho (tag header) em VLAN’s

O cabeçalho é constituído de duas partes: Tag Protocol Identifier (TPID), Tag Control Information (TCI) e, dependendo do tipo de método de acesso, possui alguns outros itens.

Existem três tipos de cabeçalho, dependendo do tipo de codificação usada no TPID e no tipo de MAC utilizado. Suas representações seguem abaixo:

O modelo de codificação Ethernet é utilizado quando o frame será transmitido utilizando métodos de controle de acesso do 802.3/Ethernet.

Já os outros dois (cofificações SNAP) são utilizados para métodos de controle de acesso de token rings e FDDI.

A estrutura do TPID pode tomar duas formas, dependendo do formato de codificação utilizado (Ethernet ou SNAP). O TPID carrega um Ethernet type value que identifica o frame como sendo do tipo tagged. Isto é visto na figura a seguir:

Na codificação Ethernet (ETPID), o tamanho do campo é equivalente a 2 octetos, como mostrado abaixo:

Já na codificação SNAP (STPID), o tamanho aumenta para oito octetos, como segue:

• os octetos 1 a 3 carregam o cabeçalho SNAP regular, consistindo do número hexadecimal AA-AA-03;
• os octetos 4 a 6 carregam o SNAP PID, consistindo no valor hexadecimal 00-00-00;
• os octetos 7 e 8 são iguais aos octetos do ETPID.

O campo do TCI possui dois octetos e possui os seguintes subcampos:

• prioridade;
• CFI (Canonical Format Indicator);
• VID (VLAN Identifier).

O campo que define a prioridade do usuário possui três bits e é interpretado como um número binário. Desta forma, podemos ter até 8 níveis de prioridade.

O campo CFI é um único bit, que funciona como um flag. Quando está resetado (bit 0), indica que toda a informação sobre endereçamento MAC está no formato canônico. Quando está em set (bit 1), tem vários significados, dependendo do tipo de cabeçalho que está sendo utilizado.

Como este trabalho se limita a dar uma visão geral da norma, não incluiremos esta discussão.

O campo VID possui 12 bits e identifica a VLAN a que o frame pertence, já que cada VLAN possui seu código característico. O VID é codificado como um número binário, onde alguns bits possuem significados específicos e os demais são utilizados para a codificação das VLAN’s.

Abaixo segue a tabela com os valores dos bits do VID com significado específico:

1. Princípios de Operação

 

1. Operação das pontes:

 

Uma VLAN, por ser uma rede virtual que pode conter vários "braços" de LAN’s distintas, possui a necessidade de utilizar pontes MAC entre estes braços, como é mostrado na figura a seguir.



 

Podemos dizer, então, que a função destas pontes é retransmitir os frames que chegam de uma LAN para outra, fazendo uma seleção da ordem de envio, criando uma fila baseada em critérios de ordem de chegada e prioridade de envio.

As pontes são responsáveis ainda por uma filtragem dos frames, evitando que frames endereçados a uma LAN sejam enviados a outra, podendo assim, sobrecarregar a banda desta.

 

 

 

 

2. Arquitetura das pontes:

Vemos a seguir o modelo de uma ponte com duas portas e em seguida a sua arquitetura:

Uma ponte, então, é construída a partir de:

1. pelo menos duas portas, responsáveis pela transmissão e recepção de frames;
2. uma entidade de retransmissão MAC, que conecta as portas e realiza a filtragem e retransmissão dos frames, e
3. entidades de camadas superiores, responsáveis pela topologia da rede.

1. Processo de Retransmissão:

O processo de recebimento e retransmissão de frames constitui uma das principais atividades de uma VLAN, junto ao recebimento e transmissão de frames. Este processo pode ser definido da seguinte forma:

1. Ocorre a recepção de um frame por uma ponte (frame reception);

 

2. As informações do estado das portas (port state information)definem se estas participarão ou não do processo de retransmissão. Uma porta pode estar desativada através de gerenciamento ou pode tornar-se inativa durante o processo. Caso ela não seja considerada inativa, diz-se que ela está num forwarding state, ou seja, ela poderá ser utilizada para a retransmissão;

 

3. As ingress rules definem o destino dos frames recebidos. Dependendo do valor de seus VID, os frames podem ser descartados ou enviados ao próximo estágio (no caso o forwarding process);

 

4. O forwarding process é responsável pela transmissão dos frames recebidos por uma porta para outra. Para isso, esta etapa da retransmissão se divide nas seguintes sub-etapas:

• Reforça a restrição da topologia: uma porta é selecionada como sendo uma candidata a transmissão do frame recebido se: a porta que recebeu o frame estava num forwarding state e a porta candidata a transmissão também estava neste estado e não era a mesma utilizada na recepção.

• Filtragem dos frames: a filtragem é feita tomando por base o endereço MAC de destino carregado no frame recebido, o VID associado a este frame, a informação contida no Filtering Database para este endereço e este VID, e o comportamento tradicional de filtragem para a porta potencial de transmissão.

• Colocação dos frames em fila: este estágio deve fornecer espaço (buffer) para a criação de uma fila para o envio dos frames recebidos. Esta fila é criada baseada nos critérios de prioridade estabelecidos nos frames. Um frame, após enviado, mesmo tendo falhado, não pode voltar a ocupar o mesmo lugar na fila. Da mesma forma, existe um tempo para os frames permanecerem no buffer. Estourado este tempo, os frames são descartados. São descartados ainda os frames que estão esperando para serem transmitidos por uma porta que, durante o processo, tornou-se inativa.

• Seleção dos frames para transmissão: para cada porta, frames são selecionados para a transmissão tomando por base as classes de tráfego que a porta suporta. Para um dado valor de classe de tráfego, os frames contidos nela são transmitidos seguindo a fila criada anteriormente, somente se as classes de tráfego superiores estiverem vazias.

• Manutenção da prioridade: a prioridade dada ao frame deve ser mantida na sua transmissão.

• Recálculo do FCS: havendo a necessidade de um novo cálculo do Frame Check Sequence, ele deve ser realizado agora. Isto ocorre se: o algoritmo de checagem do FCS difere entre os meios de transmissão e recepção ou a retransmissão do frame envolve uma mudança nos dados deste.

1. As egress rules descartam os frames cujas portas de transmissão não estão disponíveis ou transmitem aqueles que estão corretos.

 

2. A transmissão dos frames (frame transmission) é realizada pela porta selecionada para tal, definida anteriormente no forwarding process.

 

3. Há ainda o processo chamado de Filtering Database que, após receber informações do forwarding process, define quais serão as portas em potencial para a transmissão dos frames recebidos.

1. Observação

Apesar das vantagens oferecidas pelas Virtual Local Area Networks, estas provavelmente não terão mais seu lugar garantido no futuro, uma vez que o roteamento está se tornando mais rápido e novas tecnologias com grande largura de banda surgem, como Fast Ethernet e Gigabit Ethernet.

1. Quais são as três camadas da arquitetura de uma VLAN?

Configuração, Distribuição da Informação da Configuração e Retransmissão.

 

2. Cite três vantagens das VLAN’s:

São vantagens as seguintes: segmentação mais flexível, maior segurança, gerenciamento simples, maior performance, utilização melhor dos recursos do servidor.

 

3. Quantos e quais são os tipos de VLAN?

São três tipos: baseada em endereços MAC, baseada em protocolo e baseada em portas.

 

4. Como é indicada a prioridade nos frames?

Através de 3 bits que podem agregar 8 níveis de prioridade (000 a 111) contidos no cabeçalho do frame.

 

5. Por que diz-se que as VLAN’s possuem um gerenciamento mais simples que as demais redes?