Press "Enter" to skip to content

VLAN – Melhores práticas e configuração switch Cisco

0

Uma rede totalmente construída sobre dispositivos de camada 2 é uma rede chamada rede plana. Este tipo de redes é composto por um único domínio de difusão, ou seja, os broadcasts inundam toda a rede, aumentando o número de broadcast diminuindo o desempenho da rede. Entretanto as redes comutadas permitem eliminar as limitações impostas pelas redes planas, dividindo essas redes em varias redes virtuais (VLAN).

VLAN – Para que serve? Quais são as vantagens?

As VLAN (Virtual LAN) fornecem segurança, segmentação, flexibilidade, permitem agrupar usuários com o mesmo domínio de broadcast independente de sua localização física na rede. Usando a tecnologia VLAN podemos agrupar logicamente portas do switch e os usuários conectados a elas em grupos de trabalho de interesse comum.

Utilizando a eletrônica e os meios existentes é possível associar usuários logicamente com total independência de sua localização física inclusive através de uma WAN.

A tecnologia de VLAN está pensada para a camada de acesso onde os hosts são agregados a uma ou outra VLAN de forma estática ou de forma dinâmica.

Uma VLAN por definição é um domínio de difusão criado de forma lógica.

A comunicação entre as VLANs distintas é fornecida por meio de roteadores. Este roteador poderá ser externo ou interno ao switch. Caso seja integrado um dispositivo de roteamento junto ao switch, o mesmo é chamado de switchL2/L3 ( camada 2 e 3 ). Caso não exista dispositivo de roteamento interno, o mesmo é chamado de switch L2 ou simplesmente, switch.

CONFIGURAÇÃO DE VLANS – SWITCH CISCO

Por padrão as portas de um switch estão associadas à VLAN 1 de tipo Ethernet e a MTU (Unidade Máxima de Transmissão) se limita a 1500 bytes. Entretanto é possível utilizar VLAN com outra numeração, em concreto desde 1 até 1005, onde desde o 1002 até o 1005 estão reservadas para funções de Token Ring e FDDI a VLAN 1 também está reservada como VLAN padrão ou administração.

A maioria dos switches Cisco são capazes de suportar a versão 3 de VTP (VLAN Trunking Protocol), no qual implica que podem utilizar as VLANs do range 1 até 4094, dessa forma se estabelece a compatibilidade com o padrão IEEE 802.1Q. Para poder utilizar o range estendido é imprescindível que o comando vtp mode transparent esteja aplicado na configuração global.

O processo de criação de uma VLAN se inicia criando para logo nomeá-la.

Switch(config)# vlan vlan-num
Switch(config-vlan)# name vlan-name

Caso não seja configurado um nome para a VLAN a Cisco utiliza um nome composto pela palavra VLAN seguida do número de VLAN, para facilitar a administração é recomendável definir um nome na configuração.

Para eliminar uma VLAN do switch utilizamos o comando:

Switch(config)# no vlan vlan-num

Ou desde a memória flash eliminamos o arquivo vlan.dat.

Uma vez criada a VLAN é necessário atribuir as portas necessárias seguindo os seguinte processo:

Switch(config)# Interface type mod/num
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan vlan-num

O comando switchport quando não leva argumentos o que faz é indicar ao switch que se trata de uma porta de camada 2, nos switches multicamada da Cisco, por padrão todas as portas são de camada 3.

Com o comando switchport mode access indicamos que se trata de uma porta de acesso onde se conectarão hosts e não outros switches. E com o comando switchport access vlan indicamos qual VLAN está associada a essa interface.

Os dispositivos que conectam em uma porta de acesso não conhecem o número da VLAN, o tráfego é etiquetado com a VLAN quando chega na porta do switch correspondente.

Uma vez configurada as portas e atribuídas cada uma das VLANs podemos comprovar a configuração com o comando show vlan como podemos ver a continuação:

Switch#sh vlan
VLAN Name                 Status    Ports
---- -------------------- --------- ---------------
1    default              active    Fa0/2, Fa0/3
                                    Fa0/14, Fa0/15
                                    Gi0/1, Gi0/2
8    Empresa-RD-WIFI      active    Fa0/7
15   Financeiro           active    Fa0/16
1002 fddi-default         act/unsup
1003 token-ring-default   act/unsup
1004 fddinet-default      act/unsup
1005 trnet-default        act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo
---- ----- ---------- ----- ------ ------ --------
1    enet  100001     1500  -      -      -       
8    enet  100008     1500  -      -      -       
15   enet  100015     1500  -      -      -       
1002 fddi  101002     1500  -      -      -      
1003 tr    101003     1500  -      -      -       
1004 fdnet 101004     1500  -      -      -       
1005 trnet 101005     1500  -      -      -      

Primary Secondary Type              Ports

 

VLANS – MELHORES PRÁTICAS E COMANDOS

A Cisco recomenda uma VLAN por cada sub-rede IP, entretanto é possível utilizar vários ranges em uma mesma VLAN.

Outro fator importante é não permitir que as VLANs se propaguem além da camada de distribuição, ou seja, que não estejam presentes no CORE sempre que seja possível de tal maneira que o tráfego de broadcast permaneça o mais longe do mesmo, mas isso não é sempre viável, por isso temos outros dois modelos a seguir:

  • End-to-End VLANs: este tipo de VLAN está disponível em toda a rede e proporciona uma flexibilidade absoluta. Utilizando end-to-end vlan é possível conectar um dispositivo a essa VLAN desde qualquer ponto da rede, por tanto a VLAN tem que estar disponível em qualquer switch de acesso na rede. Em uma rede de grande porte não é uma boa prática esse tipo de VLAN, já que seu tráfego termina atravessando o bloco CORE ao conectar diversos módulos de comutação.
  • Local VLANs: em redes onde o modelo 20/80 seja mais utilizado, ou seja, 20% do tráfego fica no segmento e 80% sobe ao CORE, esse tipo de implementação necessita equipamentos de camada 3 que sejam capazes de rotear o tráfego entre diferentes VLANs.

PORTAS TRUNK – SWITCH CISCO

 Os troncais ou trunk são links capazes de transportar tráfego de mais de uma VLAN e normalmente utilizados entre switches para transportarem entre eles a VLAN de acesso dos diferentes switches separando de forma lógica o tráfego de cada VLAN, mas utilizando um único enlace físico.

Em muitos casos é necessário agrupar usuários da mesma VLAN que se encontram em diferentes localizações;  para essa comunicação os switches utilizam os enlaces troncais. Na medida em que as quadros saem do switch são etiquetadas  para indicar a qual VLAN correspondem, esta etiqueta é retirada uma vez que entra no switch destino para ser enviada a porta de VLAN correspondente.

Cisco permite utilizar trunk em portas Fast Ethernet, Gigabit Ethernet e agregações Fast Etherchannel e Gigabit Etherchannel.

Em um trunk é imprescindível diferenciar o tráfego de cada uma das VLANs, de tal maneira que é atribuído um identificador a cada quadro entrante chamado VLAN-ID.

Para poder identificar o tráfego em um enlace troncal existem duas possibilidades de etiquetado.

  • ISL (Inter-Switch Link Protocol)
  • IEEE 802.1Q

vlan melhores práticas

PROTOCLO ISL

 ISL (Inter Switch Link) é um protocolo proprietário da Cisco que está caindo em desuso. Ele adiciona o quadro de cada VLAN 30 bytes, 26 bytes de cabeçalho e 4 bytes de fila. Em realidade ISL encapsula o quadro origem, somando o etiquetado do quadro mais o etiquetado do próprio ISL. Poderíamos considerar que é um dobro encapsulamento.

Mesmo ISL sendo um protocolo proprietário CISCO não todos os switches CISCO suportam, por isso não é recomendável não utiliza-lo.

PROTOCOLO 802.1Q

O protocolo IEEE 802.1Q é o padrão e compatível com outros fabricantes.

Esse protocolo introduz o conceito de VLAN nativa, abrangendo todo o tráfego que entra no trunk sem ser etiquetado. O funcionamento do IEEE 802.1Q é baseado em um etiquetado simples, já que não é adicionado cabeçalho nem fila nova. Em IEEE 802.1Q simplesmente é adicionado um campo de 4 bytes o quadro, justo depois do campo endereço de origem.

Os dois primeiros bytes do campo do IEEE 802.1Q são o TPID (Tag Protocol Identifier) e sempre terá um valor de 0x8100, indicando que se trata de um quadro 802.1Q. Os outros dois bytes são denominados TCI (Tag Control Information).

O campo de prioridade possui 3 bits,  ele carrega informações de prioridade para serem codificadas no quadro. Existem oito níveis de prioridade. O nível zero é o de menor prioridade e o sete de maior prioridade.

O bit CFI é usado para indicar que todos os endereços MAC presentes no campo de dados MAC (MAC data field) estão na forma canônica. Este campo é interpretado de forma diferente de acordo com a tecnologia utilizada (Ethernet, token ring, FDDI).

O campo VID é utilizado para identificar, de forma única, a qual VLAN pertence o quadro. Podem existir um máximo de  4095 VLANs (212 -1). O número zero é usado para indicar que não há um identificador VLAN, mas a informação sobre a prioridade está presente. Isto permite que a prioridade seja codificada em redes locais sem prioridade.

A inserção do rótulo no cabeçalho do quadro aumenta em quatro octetos o seu tamanho, no caso do Ethernet, e dez, no caso do token ring. Toda a informação contida no quadro original é retida.

O  campo EtherType e o identificador VLAN são inseridos depois do endereço MAC da fonte, mas antes do campo EtherType/Tamanho ou Controle Lógico de Enlace (Logical Link Control). Como os quadros são agora mais longos, o CRC (Cyclic Redundancy Check) tem de ser recalculado.

PROTOCOLO DTP

DTP (Dynamic Trunking Protocol) é um protocolo proprietário Cisco utilizado entre switches diretamente conectados e que negocia de maneira automática a criação de enlaces trunks entre eles assim como o tipo de encapsulação (ISL ou 802.1Q).

DTP não funciona entre switches com diferente domínio VTP, ou seja, esse recurso só pode ser utilizado entre switches sem domínio VTP definido (NULL) ou com o mesmo domínio.

CONFIGURAÇÃO DE PORTA TRUNK

Por padrão as portas de camada 2 dos switches são portas de acesso, para que essas funcione como portas trunks temos que configurara-las com a seguinte sintaxe:

Switch(config)#interface type mod/port
Switch(config-if)#switchport
Switch(config-if)#switchport trunk encapsulation (isl | dot1q | negotiate)
Switch(config-if)#switchport trunk native vlan vlan-id
Switch(config-if)#switchport trunk allowed vlan [vlan-list | all | {add | remove | except} vlan-list]
Switch(config-if)#switchport mode [trunk | dynamic {desirable | auto}]

Na configuração das portas trunks existem três possibilidades de encapsulamento:

  • ISL: o trunk formará utilizando ISL
  • Dot1q: o trunk formará utilizando IEEE 802.1Q
  • Negotiate: o trunk formará utilizando o protocolo DTP da Cisco.

O comando switchport trunk native vlan só é utilizado com o encapsulamento dot1q e indica qual VLAN será a VLAN de administração ou nativa, portanto não levará nenhuma etiqueta.

O comando switchport trunk allowed vlan é utilizado para adicionar ou deletar VLAN do trunk.

Para ver o estado de uma interface trunk é utilizado o comando show type mod/por trunk, conforme mostramos no exemplo a seguir:

Switch#sh int Gi4/45 trunk
Port        Mode         Encapsulation  Status        Native vlan
Gi4/45      on           802.1q         trunking      1
Port        Vlans allowed on trunk
Gi4/45      306,312,351-352
Port        Vlans allowed and active in management domain
Gi4/45      306,312,351-352

 

A continuação temos o exemplo de configuração de dois switches conectados por um trunk através de suas interfaces Gigabitethernet0/1/1.

Mesmo existindo varias VLANs configuradas só transportarão pelo trunk as VLANs 100 até a 105. A VLAN 100 é a nativa, portanto estamos utilizando encapsulação 802.1q.

Switch(config)# interface gigabitethernet0/1/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 100
Switch(config-if)# switchport trunk allowed vlan 100-105
Switch(config-if)# switchport dynamic desirable

COMANDOS SHOW - DIAGNÓSTICO EM VLANS

Uma VLAN pode ser somente um segmento de uma rede ou pode atravessar vários switches, portanto se não existe comunicação end-to-end, e supondo que o endereçamento IP é correto, é necessário verificar as configurações das VLANs, as portas e as conexões trunks.

Os comandos show que servem para essa finalidade são:

  • show vlan-id vlan-id
  • show interface type mod/num switchport
  • show interface type mod/num trunk
Switch#sh vlan id 8
VLAN Name                   Status    Ports
---- ---------------------- --------- ------------------
8    Empresa-RD-WIFI        active    Fa0/7, Fa0/24


Switch#sh int trunk
Port   Mode             Encapsulation  Status        Native vlan
Fa0/24 on               802.1q         trunking      1
Port   Vlans allowed on trunk
Fa0/24 1-4094
Port   Vlans allowed and active in management domain
Fa0/24 1,8,15
Port   Vlans in spanning tree forwarding state and not pruned
Fa0/24 1,8,15

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

%d blogueiros gostam disto: