UNIVERSIDADE ESTCIO DE S

CURSO DE REDES DE COMPUTADORES

PROFESSOR MARCELO BERRDO

REVISO 10/09/2000

NOTAS DE AULA REDES VIRTUAIS

1.

REDES VIRTUAIS - DEFINIO:

N o passado, as R edes L ocais (L A N s) eram definidas com o u m a rede de com putadores

localizados em um a mesma rea, Hoje, Uma LAN pode ser definida como um nico domnio
de broadcast. A comunicao entre as redes realizada por roteadores (e switches de camada 3).
Por definio, um roteador (router) o dispositivo de conexo de redes que interliga diversas
Redes, WAN e LAN. O roteador, a princpio, deixar passar todo o trfego destinado uma
rede por ele conhecida, porm no permite a passagem de broadcasts e multicasts de uma rede
para outra.
Um switch tradicional opera na camada 2 do modelo OSI. um dispositivo de conexo entre
diferentes sub-redes de uma LAN, ou seja, diferentes domnios de coliso. A segmentao
realizada pelo switch por domnios de coliso. Isto significa que no propaga colises entre os
segmentos a ele conectados.
Os switches, alm disto, constroem tabelas de endereos MAC, de forma a permitir interpretar
os endereos de destino nos quadros, e repass-los porta correspondente. Endereos de destino
broadcast e multicast, entretanto, por se destinarem a todos ou a um grupo de usurios de uma
LAN, tm que obrigatoriamente ser repassados a todas as portas do switch.

SEGMENTO LAN

BRIDGE
ou
SWITCH
SEGMENTO LAN

ROUTER
ou
SWITCH
LAYER 3

DOMNIOS
DE COLISO
SEGMENTO LAN

BRIDGE
ou
SWITCH
SEGMENTO LAN

DOMNIOS DE BROADCAST

Figura 1 Domnios de Coliso e de Broadcast

Quanto maior o tamanho da rede, segmentada apenas por switches, maior ser o trfego de
broadcasts (normalmente utilizados em informaes de controle de servidores ou de estaes
que se anunciam), e multicasts (mais utilizados em aplicaes especficas, como a
videoconferncia). Eventualmente este trfego de broadcasts poder ser to intenso, competindo
1

com pacotes de dados pela banda passante, que poder afetar a performance da rede. Alm
disto, por questes de segurana, poder ser desejvel que se contenha a expanso de quadros
broadcast/multicast pelo ambiente da rede.
A s V L A N s p erm item qu e os adm inistradores de rede segmentem logicamente uma LAN em
diferentes domnios de Broadcast. Por se tratar de uma segmentao lgica, e no fsica,
diferentemente dos roteadores, que fazem uma segmentao fsica, as estaes no precisam
estar fisicamente no mesmo local, nem mesmo conectadas ao mesmo switch. Usurios de
diferentes andares de um prdio, ou mesmo de diferentes prdios, podem agora pertencer a uma
mesma LAN.
O s roteadores sero necessrios apenas para perm itir a com u nicao entre duas V L A N s.
DOMNIOS
DE COLISO
(1 OU + PORTAS)
VLAN A

BRIDGE
ou
SWITCH
VLAN B

ROUTER
ou
SWITCH
LAYER 3

VLAN B

BRIDGE
ou
SWITCH

VLAN A

DOMNIOS
DE COLISO

DOMNIOS DE BROADCAST

Figura 2 Im plem entao de R edes V irtuais (V L A N s)

2.

APLICAES DAS REDES VIRTUAIS:

Redes virtuais so um meio altamente flexvel de segmentao de redes corporativas,

permitindo que estaes no pertencentes ao mesmo switch sejam agrupados em uma rede
nica, bem como definir mais de uma rede em um nico equipamento.
So particularmente teis, entre outras, nas seguintes situaes abaixo:

Resoluo de problemas de gargalo, devido capacidade de isolar o trfego

broadcast/multicast intenso;

flexibilizar a configurao da rede, tornada necessria devido a reestruturaes dentro da

empresa, mudanas de layout, agrupando usurios e meios que se comunicam mais
freqentemente, independente da posio espacial em que se encontram.

Implementao de medidas de segurana, uma vez que os grupos de trabalho podem ser
isolados, s podendo ser conectados atravs de algum dispositivo que roteie trfego

(roteadores, Layer 3 switches). Desta forma podem ser aplicados filtros de camada 3 e
outras medidas de segurana baseadas em roteadores;

Otimizar o acesso aos servidores, Priorizando o acesso corporativo aos servidores

corporativos, configurando-os em todas as V L A N s, e o acesso departam ental aos
servidores departamentais, configurando-os nas m esm as V L A N s dos seus u surios;

Simplificar o gerenciamento da rede, permitindo toda a configurao da rede atravs de uma

estao de gerenciamento, sem a necessidade de se alterar cabeamento e hardware.

3.

C L A S S IF IC A O D A S V L A N s Q U A N T O A O M T O D O D E A T R IB U I O :

Em geral, podemos distinguir pelo menos 5 modelos bsicos de determinao e controle de

pacotes em uma VLAN:
3.1.

V L A N s b asead as em p ortas (cam ad a 1):

E ste o m odo m ais antigo de atribuio de V L A N s. N esta im p lem entao, o adm inistrador
associa cada porta do switch a uma VLAN. Por exemplo, as portas 1 a 3, e 11 podem ser
ligadas a uma VLAN correspondente ao departamento de Vendas, as portas 4 a 6, e 12
correspondente ao departamento de Engenharia, e as portas 7 a 10 do departamento
Administrativo. O switch determina a identidade da VLAN de cada pacote, identificando a
porta na qual ele chega.
VLAN A

3 4

VLAN B
VLAN C
5 6 7 8 9 10 11 12
SERVIDOR
ENGENHARIA
SERVIDOR
VENDAS
SERVIDOR
ADMINISTRATIVO

DEPTO.
VENDAS

DEPTO.
ENGENHARIA

DEPTO.
ADMINISTRATIVO

Figura 3 C onfigurao de V L A N s por portas

Quando o usurio for deslocado para uma porta diferente do switch, o administrador dever
simplesmente associar a nova porta VLAN original do usurio. A mudana da rede ser,
ento, transparente ao usurio e o administrador no precisa alterar as ligaes do
cabeamento.
Diferentemente dos outros mtodos de atribuio, porm, h necessidade de que o
administrador de rede reconfigure manualmente as portas para manter a VLAN original do
usurio, sendo esta a principal desvantagem deste mtodo.
Se utilizarmos este mtodo, devemos ter em mente que, se um hub for conectado a uma
porta do switch, todos os usurios conectados a este hub iro obrigatoriamente fazer parte
de uma mesma VLAN, ou seja, no podemos configurar mais de uma VLAN em um mesmo
segmento fsico.

3.2.

V L A N s b asead as em en d ereos M A C (cam ad a 2):

A identidade de um pacote neste caso determinada pelo seu endereo MAC de origem ou
de destino. Cada switch contm uma tabela de endereos MAC e suas identidades
correspondentes.
Neste tipo de configurao, no h necessidade do switch ser reconfigurado toda vez que a
estao do usurio for conectada a uma porta diferente. Tambm posso configurar
endereos M A C distintos qu e venham atravs de u m a nica porta, em diferentes V L A N s.
Neste caso, as estaes cujos MAC compartilham a mesma porta do switch, se estiverem
conectadas a um hub ou a um switch que no permita configurao de V L A N s, no se
beneficiaro das vantagens de se configurar V L A N s, com o conteno de broadcasts, e
implementao de segurana.
A grande desvantagem deste mtodo a complexidade na tarefa de associar entidades
VLAN a cada endereo MAC encontrado, tornando-se muito onerosa no caso de grandes
redes que chegam a Ter milhares de usurios. Em algumas poucas implementaes esta
dificuldade minimizada utilizando-se mtodos de aprendizagem dinmica, em que as
V L A N s baseadas em endereos M A C so criadas a partir de uma informao do estado
atual da rede, como as estaes conectadas a cada porta do switch.
T am b m no perm itido associar por este m todo u m endereo M A C a vrias V L A N s ao
mesmo tempo.
Esta implementao til quando, nas mudanas de departamentos, os usurios costumam
levar suas estaes de trabalho. Se as estaes permanecem nas salas originais e os usurios
receb em novos equ ipam entos, ser necessrio reconfigurar as novas estaes nas V L A N s
correspondentes.
3.3.

V L A N s b asead as em p rotocolos (camada 3):

Por este mtodo, a identidade VLAN de um pacote baseada em protocolos de rede,

roteveis ou no (IP , IP X , A ppleT alk...) ou endereos de cam ada 3. E m bora estas V L A N s
sejam baseadas em informaes da camada 3, isto no constitui uma funo de
roteam ento e no deve ser confu ndido com roteam en to de cam ada de rede.
Este tipo de configurao mais flexvel e fornece um agrupamento de usurios mais
lgico, permitindo adotar uma estratgia de VLAN baseada em aplicao. Alm disto,
possibilita aos usurios moverem-se fisicamente sem ter que configurar manualmente cada
endereo de rede de suas estaes.
Uma rede IP ou uma rede IPX podem receber, cada uma, uma VLAN correspondente,
A dicionalm ente, V L A N s baseadas em protocolos p ossibilitam ao adm in istrador associar
protocolos no roteveis, como Netbeui e DECNET,
C om o desvantagem da im p lem entao de V L A N s baseadas em protocolos, qu e o seu
desempenho tende a ser inferior ao das outras metodologias, pois a verificao dos
endereos de camada 3 em pacotes mais lenta que a verificao de endereos MAC, por
exemplo.
3.4.

V L A N s b asead as em IP m u lticast:

E ste m todo p ode ser considerado u m caso esp ecial do m todo de configurao de V L A N s
baseadas em protocolos.
Quando um pacote IP enviado por multicast, ele enviado a um endereo que
representante (proxy) para um grupo explicitamente definido de endereos IP que so
dinamicamente estabelecidos. As estaes se juntam a um grupo IP multicast em particular
respondendo afirmativamente a uma notificao de broadcast, sinalizando a existncia do
grupo.
Cada estao que se junta a um grupo de multicast IP pode ser vista como membro de uma
mesma LAN virtual, enquanto membros do grupo de multicast, o que significa que as
V L A N s definidas por este m tod o so dinmicas, muito flexveis e sensveis a aplicaes.
A s V L A N s definidas atravs de grupos de m ulticast IP so capazes de estender as
conex es atravs de roteadores e W A N s.
3.5.

V L A N s b asead as em in form aes d e cam ad a 4:

Por este mtodo os grupos so formados de acordo com os protocolos ou servios utilizados
(como por exemplo, o FTP, WWW, etc). A configurao nestes casos sempre dinmica,
podendo uma porta do switch fazer parte de mais de uma VLAN ao mesmo tempo,
dependendo das aplicaes que a estao correspondente est executando.
O s sw itches qu e p erm item a definio de V L A N s por esta tcnica so geralm ente b em
mais caros, e, tendem a ser bem mais lentos, devendo compensar a latncia gerada pela
necessidade de tratar os pacotes com base em informaes superiores camada 3 com
tcnicas de co/mutao mais eficientes.

3.6.

C om b in an d o V L A N s atrib ud as p or d iferen tes m tod os:

Como visto, todos os mtodos possuem vantagens e limitaes. Diversos fabricantes,

objetivando alcanar o mximo grau de flexibilizao, combinam dois ou mais mtodos em
seus produtos, perm itindo aos adm inistradores de rede configurar V L A N s da form a m ais
adequada para o ambiente particular das suas redes.

4.

C L A S S IF IC A O
IDENTIFICAO:

DAS

V L A N s

Q UANTO

AO

M TO DO

DE

Os usurios so agrupados em uma VLAN por uma das seguintes tcnicas: Implcito
(Filtragem de Pacotes e Explcito (Identificao de Pacotes). O mtodo de Identificao
utilizado ser o responsvel pelo agrupamento dos usurios segundo uma destas tcnicas:
4.1.

Mtodo Implcito: (Filtragem de Pacotes)

No Mtodo Implcito, os switches que suportam uma mesma VLAN devem possuir uma
tabela de endereos MAC dos seus membros. A estes endereos so relacionadas as
V L A N s qu e eles p ertencem . E m todo pacote lido o endereo M A C . A s V L A N s foram

definidas anteriormente de acordo com a tcnica escolhida (porta, protocolo, IP multicast ou

endereo MAC), e correlacionadas aos endereos MAC das tabelas.
P or ex em p lo, se foram configuradas as V L A N s A e B no sw itch 1, e as V L A N s A, B e C
no switch 2, o switch 1 ter uma tabela listando todos os endereos MAC conhecidos que
pertencem s V L A N s A e B , e o sw itch 2 ter na tabela todos os endereos M A C
conhecidos das V L A N s A , B e C .
A cada elemento novo adicionado rede ser atribuda a sua VLAN correspondente, com
base na tcnica escolhida (porta, protocolo, IP multicast ou endereo MAC). O switch que
detectar e incluir o elemento na sua tabela de endereos MAC ir repassar sincronizar sua
tabela de endereos MAC com todos os outros switches que reconhecerem a VLAN do
elemento includo na tabela.
Este mtodo traz como desvantagens a necessidade de um processamento adicional do
switch antes de repassar cada pacote, e um nvel extra de administrao em cada switch
(para a sincronizao das tabelas dos switches). Este processamento adicional e o trfego de
controle de sincronizao gerados podem gerar latncia e afetar o desempenho da rede.
O bservao: com o visto, no som ente V L A N s p or endereos M A C tero seus m em bros
identificados p elo m todo im plcito, sendo p ossvel configurar V L A N s por p ortas,
protocolo e IP multicast para utilizarem este mtodo.

4.2.

Mtodo Explcito: (Identificao de Pacotes)

No Mtodo Explcito, o tamanho do pacote alterado, com o acrscimo de uma etiqueta

(tag), para identificar a identidade V L A N , com base na tcnica escolhida (porta,
protocolo, IP multicast ou endereo MAC). Este mtodo est sendo padronizado pelo IEEE
como a norma IEEE 802.1Q.
Por ser um padro, basta configurar o switch para suporte a T ag de V L A N s IEEE
802.1Q , que ele ser capaz de identificar a VLAN ao qual o pacote pertence, no sendo
necessrio trfego adicional de controle entre switches. Tambm, teoricamente, poderemos
ter em uma mesma rede equipamentos de fabricantes diferentes que suportem IEEE 802.1Q.
Ao ser entregue estao de destino, o switch a ela conectado ir remover a identificao da
VLAN.
Quando um pacote entra em um switch, a determinao de sua identidade pode ser baseada
por sua porta, endereo MAC, protocolo ou IP multicast. Quando um pacote sai do switch, a
determinao de sua identidade VLAN pode ser implcita (utilizando tabelas de endereo
MAC) ou explcita (utilizando uma etiqueta que lhe foi atribuda pelo primeiro switch).
5.

CLASSIFICAO
CONFIGURAO:
5.1.

DAS

V L A N s

Q UANTO

AO

M TO DO

DE

Configurao Esttica:

A configurao inicial (setup) e os deslocamentos e mudanas subsequentes so controlados

pelo administrador da rede. Este mtodo tpico dos switches mais baratos, e til para redes
pequenas, porm para redes maiores pode-se tornar impraticvel.

A configurao esttica indicada para redes cujas mudanas e deslocamentos so

controlados e bem administrados. essencial que exista um software de gerncia
adequadamente robusto, proporcional ao tamanho da rede, para configurar as portas.
5.2.

Configurao Semi Esttica:

So mtodos mistos, onde a configurao inicial automatizada e as mudanas

subsequentes so realizadas manualmente, ou vice-versa.
5.3.

Configurao Dinmica:

As estaes associam-se dinam icam ente s V L A N s, dep endendo da aplicao, user id ou

outro critrio ou poltica pr definida pelo administrador da rede. Este tipo de configurao
suportado por software de gerncia de rede com inteligncia suficiente para tal.
Pode ser aplicado em redes de qualquer tamanho, sendo particularmente adequado s
grandes redes.
6.

C L A S S IF IC A O D O S T IP O S D E F R A M E S R E L A C IO N A D O S S V L A N s:

E xistem trs tip os de fram es relacionados s V irtual L A N s:, quais sejam :

Untagged Frames;
Priority Tagged Frames;
VLAN-Tagged Frames

Um Untagged Frame, como o nome j diz, no possui a etiqueta identificadora de VLAN. o

frame Ethernet comum.
Um Priority Tagged Frame possui a etiqueta, porm o campo destinado definio de VLAN
no preenchido ( um quadro com o tag com inform ao da classe de prioridade IEEE
802.1p, porm sem as informaes de VLAN IEEE 802.1Q).
A associao de V L A N s aos quadros Untagged e Priority Tagged realizada com base em
parmetros associados com a porta de recepo, ou ainda, baseados nos dados contidos neles
(endereos MAC, protocolo de identificao, etc).
Um VLAN-Tagged Frame carrega a informao explcita da VLAN a que pertence, na etiqueta
agregada ao cabealho do pacote. Caso o valor seja nulo. A identificao do quadro como sendo
de uma VLAN particular feita, ento, com base nas informaes contidas no cabealho do
pacote.
6.1.

C olocao d os cab ealh os em fram es d e V L A N s:

Os cabealhos (tag-headers), em V L A N s, so colocados im ediatam ente aps o cam p o d e

endereo MAC de origem do frame a ser transmitido.

Se os mtodos de acesso ao meio diferem do destinatrio e do remetente, colocar cabealho

no frame pode envolver a traduo ou o encapsulamento do resto do frame.

Deve ser realizada a recomputao do Frame Check Sequence (FCS).

O Tag-Header, ou Tag Control Info (TCI), composto de quatro partes: O Tag Protocol
Identifier T P ID ), tam b m cham ado de T agged F ram e-T yp e Interpretation, P riority, C F I
(Canonical Format Indicator) e o VLAN Identifier. Seu tamanho total de 4 bytes nas redes
Ethernet, e de 10 bytes nas redes baseadas em token-passing (Token-Ring e FDDI).

Tagged Frame Type Interpretation: um campo de 2 bytes, que no caso de redes

Ethernet, para indicar que um quadro do tipo Tagged, seu valor ser de 81-00 h

Priority: este campo utilizado para a definio de classes de servio (CoS - IEEE
802.1p), sendo composto de 3 bits, e interpretado como um nmero binrio, possibilitando
8 combinaes. Podem ser definidos at 7 nveis de prioridade, pois uma das combinaes
reservada.

CFI Canonical Format Indicator: p ossui som ente 1 bit, setado para 0, indicando qu e
toda a informao sobre o endereamento MAC est no formato cannico.

VLAN Identifier: possui tamanho de 12 bits e identifica a VLAN a qual o frame pertence.
A VLAN codificada como um nmero binrio. Alguns bits deste campo possuem
significados esp ecficos e os dem ais so utilizados na codificao das V L A N s.

2 bytes

3 bits

8100h
Tagget Frame Type
Interpretation

1 bit

12 bits

0
Priority

CFI

802.1Q VLAN
Identification Number

Figura 4 formato do Tag Header (TCI)

S e o valor da V L A N ID for 0 (nulo), in dica que o TCI possui apenas informao de
prioridade. (Priority Tagged Frames).
O valor da V L A N ID igual 1, inform a qu e a u m pacote qu e est entrando em u m sw itch e qu e
dever receber a configurao da VLAN pelo dispositivo, por se tratar de um VLAN-Tagged
Frame.
O valor da VLAN ID = FFF reservado, no podendo ser utilizado para a configurao de
V L A N s.