Configurac¸˜ao de VLANS em ambientes CISCO
Vanderlei Lemke Kruger, Andr´e Moraes1Faculdade de Tecnologia Senac Pelotas (FATEC - Senac) Rua Gonc¸alves Chaves, 602 Centro
Curso Superior de Tecnologia em Redes de Computadores
Abstract. This article aims to document the use and implementation of the use of VLANs in Cisco environments. It demonstrated a practical scenario involving the use of technical implementation of VLANs to control broadcast network. Resumo. Este artigo visa documentar o uso e a implementac¸˜ao do uso de Vlans em ambientes CISCO. ´E demostrado um cen´ario pr´atico envolvendo o uso de t´ecnicas de implementac¸˜ao de vlans para o controle de broadcast na rede.
1. Introduc¸˜ao
Para compreender melhor o uso de VLAns ´e necess´ario entender um pouco como ´e a es-trutura LAN (Local Area Network) que ´e constituido por um ´unico dom´ınio de broadcast, hubs, switches e pontes interligados no mesmo meio f´ısico ou interligados entre n´os. Os n´os finais podem se comunicarem sem o uso de roteadores.A comunicac¸˜ao entre as lans ´e feita atrav´es de um roteador.
Como as LANs (Local Area Network) se espandem rapidamente precisamos de um roteador para tornar poss´ıvel a conex˜ao entre os dispositivos, com isso s˜ao necess´arios um numero maior de roteadores para separar o n´umero de broadcast e dominios de colic¸˜ao, assim fornecendo conectividade entre as LANs.
Os switches usando VLANs criam a mesma divis˜ao da rede em dominios de broadcast separados, O principal objetivo de implementac¸˜ao de uso de VLANs, ´e a diminuic¸˜ao do n´umero de broadcast em uma rede local. Assim com o uso de switches ´e uma soluc¸˜ao de baixo custo.
Existem v´arios beneficios em relac¸˜ao a implementac¸˜ao de VLANs: • Reduc¸˜ao do tamanho e o aumento do n´umero de broadcast ;
• Agrupamento l´ogico de usu´arios e de recursos conectados em portas administrati-vamente definidas no switch;
• Aumento das opc¸˜oes de seguranc¸a; • Flexibilidade e escalabilidade.
2. Conceitos
Todos o dispositivos de uma VLAN (Virtual Local Area Network) s˜ao membros do mesmo dominio de broadcast, se uma estac¸˜ao transmitir um broadcast todos os dispositi-vos membros da VLAN receber˜ao o broadcast. Uma VLAN ´e uma subrede ou segmento l´ogico formado por determinados membros. Dispositivos podem estar em qualquer ponto do bloco de switch, para isso ´e necess´ario um roteador para fazer a comunicac¸˜ao entre as VLANs.[Fillipetti 2008]
2.1. Associac¸˜oes a VLANs
A atribuic¸˜ao de uma VLAN pode ser feita atr´aves de portas. Denominadas VLANs est´aticas ou adicionadas atraves do enderec¸o mac.Denominadas VLANS Dinˆamicas.
H´a dois M´etodos de atribuic¸˜ao de VLANs: • VLANs Dinˆamicas
S˜ao criadas atrav´es do uso de software. Com um Servidor de Pol´ıticas de Gest˜ao VMPS (VLAN Management Policy Server), um administrador pode atribuir portas do switch para VLANs dinamicamente com base em informac¸˜oes como o enderec¸o MAC de origem do dispositivo conectado `a porta ou o nome de usu´ario usado para autenticar-se no dispositivo.
• VLANs Est´aticas
Atribuic¸˜oes a VLANs est´atica s˜ao criadas atrav´es da atribuic¸˜ao de portas para uma VLAN. Quando um dispositivo entra na rede, o dispositivo automaticamente assume a VLAN a porta. Se o usu´ario alterar portas e precisar de acesso `a mesma VLAN, o administrador de rede deve manualmente fazer uma atribuic¸˜ao de porta a VLAN para a nova conex˜ao.
2.2. Tipos de Enlaces
H´a dois tipos de enlases em um ambiente com switches:[Karen 2003] enlase de tronco e enlase de acesso.
• Enlace de acesso.
Um enlase de acesso participa de apenas uma ´unica VLAN, qualquer dispositivo conec-tado a uma porta n˜ao sabe a qual VLAN pertence, ele apenas assumira que faz parte de um dom´ınio de broadcast, sem entender qual ´e sua real topologia da rede, dispositivos conectados a links de acesso n˜ao podem se comunicar com outras vlans a n˜ao ser que um roteador fac¸a o roteamento de pacotes.
• Enlace de tronco.
Uma VLAN de tronco pode carregar v´arias VLANS, costuma-se utilizar os enla-ses de tronco para conectar switches a outros switches ou switches a roteadores. A cisco suporta tanto portas Fast Ethernet ou Gigabit Ethernet.
O processo de entroncamento de links permite que vocˆe torne uma ´unica porta de um switch parte de multiplas vlans simultaneamente.
Caso os links entre switches n˜ao sejam entroncados, por padr˜ao seram transpor-tados apenas pela VLAN 1 (chamada de VLAN default), Ao se criar uma porta de trans-porte, informac¸˜oes de todas as vlans s˜ao transportadas atr´aves dela.
2.3. Operac¸˜ao VTP (VLAN Trunking Protocol):
Um dominio VTP (VLAN Trunking Protocol)´e formado por um ou mais dispositivos interconectados que compartilham o mesmo nome de dominio VTP. Para permitir que o protocolo VTP gerencie as VLANs existentes na rede, ´e necess´ario a criac¸˜ao de um servidor VTP.
Entre as principais vantagens da implementac¸˜ao do sistema VTP s˜ao: • Reduc¸˜ao do tamanho e o aumento do n´umero de broadcast;
• Permite que administradores deletem, adicionem e renomeiem VLANs ,sendo es-tas alterac¸˜oes automaticamente propagadas para todos os switches;
• prevˆe configurac¸˜ao de vlan consistente entre todos os switches pertencentes do mesmo dom´ınio;
• Permite a adic¸˜ao plung-and-play de VLANs. Modos de operac¸ao VTP
Vocˆe pode configurar um switch da fam´ılia catalyst para operar em qualquer um dos sequintes modo de VTP:
• Server(servidor)
No modo VTP server, vocˆe pode criar, alterar e excluir VLANs. Os servidores VTP anunciam a sua configurac¸˜ao para os outros switches no mesmo dom´ınio VTP, tendo como base os an´uncios recebidos atrav´es de enlases tronco.
• Client(cliente)
Os clientes VTP comportam-se da mesma que os servidores VTP, mas n˜ao pode criar, alterar ou excluir VLANs em um cliente VTP. Os clientes VTP recebem os an´uncios que foram configurados do servidor VTP.
2.4. Roteamento entre VLANs:
Um roteador torna-se necess´ario quando uma estac¸˜ao de trabalho precisa se comunicar com outras VLANs.
H´a dois tipos de comunicac¸˜ao entre vlans : • O protocolo ISL (inter-switch Link):
Protocolo propriet´ario da cisco ´e usado para inter-conectar dois dispositivos com capaci-dade de VLAN Fast Ethernet e Gigabit Ethernet, somente.
Entre as vantagens do ISL est˜ao a baixa lˆatencia e a velocidade limitada ao meio f´ısico em uso. Lembre-se que o ISL ´e um m´etodo externo de identificac¸˜ao, ou seja, o frame original n˜ao ´e alterado, sendo apenas encapsulado por um cabec¸alho ISL cujo comprimento ´e 26 bytes.
Deve se ressaltar que switch mais novos da cisco n˜ao suportam mais o protovolo ISL, suportando somente o IEEE 802.1q.
• O protocolo IEEE 802.1Q
Criado pelo IEEE (Instituto de Engenheiros El´etricos e Eletrˆonicos) para ser o metodo padr˜ao, esse metodo insere um campo especifico dentro do Frame para identificac¸˜ao de cada VLAN.
´
E o protocolo Padr˜ao hoje utilizado pelos switches da cisco, O formato de indentificac¸˜ao de quadros IEEE 802.1Q fornece um met´odo padr˜ao para identificar qua-dros que pertencem a determinadas VLAN. A tabela 1 explica os comandos necess´arios para a configurac¸˜ao das VLANs.
Tabela 1. Comandos do switch de acesso
Comandos Descric¸˜ao
enable Entra em modo previlegiado.
interface Seleciona a interface a ser configurada. vtp domain[nome] define o nome de dom´ınio VTP.
vlan [numero] cria uma vlan.
name Associa um nome a vlan criada.
switch mode trunk Adiciona modo trunk a interface sele-cionada.
show vlan Mostra a VLANs que estiverem
confi-guradas no switch.
vtp password Define uma senha para o dominio VTP. vlan database Entra em modo de configurac¸˜ao VTP. switchport mode trunk configura a porta para modo trunk. encapsulation dot1q Define o protocolo de roteamento. interface fastethernet
0/0.1
Define uma subinterface.
show trunk exibe informac¸˜oes sobre portas portas-tronco.
switch mode acess Entra em modo para adicionar vlans a porta.
switch acess Vlan Define a qual vlan deve ser adicionadas as portas.
3. Desenvolvimento:
Todos o dispositivos de uma vlan s˜ao membros do mesmo dominio de broadcast, se uma estac¸˜ao transmitir um broadcast todos os dispositivos membros da Vlan receber˜ao o broadcast. Uma VLAN ´e uma subrede ou segmento l´ogico formado por determinados membros. Dispositivos podem estar em qualquer ponto do bloco de switch, para isso ´e necess´ario de um roteador para fazer a comunicac¸˜ao entre as VLANs.
3.1. Rede Atual:
A figura 1 ilustra uma rede com v´arios problemas, entre os principais problemas s˜ao destacados:
• Existe apenas um dom´ınio de broadcast; • A seguranc¸a da rede ´e baixa;
• Com o aumento do numero de host o tr´afego ira pior, por haver um unico dominio de broadcast;
• O aumento de falhas na rede pode ser maior.
O cen´ario atual, contem 4 switches, com o numero de hosts ´e grande e por possuir v´arios setores, para que os dados e arquivos entre os setores n˜ao fiquem a disposic¸˜ao de qualquer pessoa, uma soluc¸˜ao dada para a empresa, fazer a implementac¸˜ao de VLANs.
Assim a seguranc¸a dos dados ´e maior e sendo assim mais f´acil a manutenc¸˜ao em casos de falha na rede e somente os usu´ario pertencentes a determinada VLAN teram acesso a ela.
3.2. Plano de Enderec¸amento(VLSM)
Para implementar o uso de VLAN, deve-se criar 6 redes menores, para ser poss´ıvel, ´e necess´ario fazer o uso de VLSM dividindo a rede em sub-redes, assim o desperd´ıcio de ips ser´a menor, que vocˆe usar uma rede /24 inteira para cada VLAN criada.
Como o enderec¸amento existente na rede atual 10.10.30.0/24, sera utilizado o mesmo enderec¸amento e dividir a rede em v´arias subredes para a implementac¸˜ao de VLANs, de acordo com o numero de hosts existentes em cada setor da empresa.
• Setor veiculos possui 15 hosts;
• Setor da administrac¸˜ao possui 8 hosts; • Setor Juridico possui 7 hosts;
• Setor do Almoxarifado possui 5 hosts; • Setor da Eletromˆecanica possui 3 hosts; • Setor da Recepc¸˜ao possui 2 hosts.
3.3. Rede Atual com a implementac¸˜ao de VLANs
Com a utilizac¸˜ao do programa Cisco Patcker Tracer, como mostra a figura 3 , foram utilizados quatro switches Modelo 2950 que j´a existia na rede atual como foi mostrada na figura 1 , foi adicionada um roteador Modelo 2621 xm.
Deve ser configurado um switch no modo servidor, onde pode ser criada, reno-meada e excluida as VLANs,onde as VLANs criadas no servidor seram enviados para os 3 switches que seram configuradas em modo cliente e deve ser adicionado um roteador cisco 2621 xm para adicionar mais seguranc¸a e para fazer comunicac¸˜ao entre as VLANs.
Devem ser criadas 6 VLANS, no switch no modo servidor: • VLAN 10 faz parte do setor veiculos;
• VLAN 20 faz parte do setor da administrac¸˜ao; • VLAN 30 faz parte do setor Juridico;
• VLAN 40 faz parte do setor do Almoxarifado; • VLAN 50 faz parte do setor da Eetromˆecanica; • VLAN 60 faz parte da recepc¸˜ao.
3.3.1. Configurac¸˜ao
A figura 4 mostra a Configurac¸˜ao do switch em modo servidor,vlan database em modo de configurac¸˜ao de vlan, vtp server coloca o switch em modo servidor e vtp domain cria um nome ao dominio :
Figura 4. VTP
O comando vlan cria uma vlan e o comando name adiciona um nome a vlan criada, como mostra a figura 5.
Figura 5. Name VLAN • switch modo Cliente
O comando vtp client 6 coloca o switch em modo cliente. Assim o switch recebe os an´uncios que foram configurados no switch em modo servidor.
Figura 6. VTP
Os comandos 7 switch mode access, switchport access vlan, adiciona portas as VLANS criadas.
Figura 7. Adiciona Portas
Para que as VLANs se comuniquem, figura 8 demostra h´a configurac¸˜ao dos swit-ches em modo tronco, por onde todas as VLANs possam trafegar, caso contr´ario, n˜ao sairam da VLAN a que foi atribuida.
Figura 8. Modo Trunk (Tronco)
O comando show vlan 9 verifica as VLANs criadas e as portas adicionadas a cada vlan.
Figura 9. Verifica configurac¸ ˜ao
3.3.2. Configurac¸˜ao Roteador
Para ter acesso as demais VLANs, servic¸os e acesso a internet foi configurado o rotea-mento, usando o protocolo IEEE 802.1Q, como mostra a figura 10 , o roteador utilizado ´e um CISCO 2621 xm, onde foram configuradas as Interfaces loopback, onde o primeiro ip v´alido e o Gateway de cada VLAN.
Figura 10. Roteamento
Figura 11. Configurac¸ ˜ao Router
Sem o uso do modo trunk (tronco) e roteamento as VLANs n˜ao se comuni-cam.Como mostra a figura 12 foi feito uma conex˜ao do host do setor de veiculos com o ip 10.30.10.4 para o setor do almoxarifado com o ip 10.30.10.49 a conex˜ao foi mal sucessida.
Figura 12. Teste de conex ˜ao
Quando h´a roteamento, a comunicac¸˜ao entre as vlans ´e feita com sucesso, as vlans podem se cominicar, mas o brodcast n˜ao ´e propagado para as outras VLANs.
A figura 13 demostra uma conex˜ao do host do setor de veiculos com o ip 10.30.10.4 para o setor do almoxarifado com o ip 10.30.10.49 a conex˜ao foi bem su-cessida.
Figura 13. Teste de conex ˜ao
4. Conclus˜ao:
Este artigo descre o uso e a implentac¸˜ao do uso de Vlans em ambientes CISCO. E demos-trado um cen´ario pr´atico envolvendo o uso de t´ecnicas de implementac¸˜ao de vlans para o controle de broadcast na rede.
Em virtude de ter feito os testes no Cisco Packet Tracer, os modelos de switches serem mais antigos a s´erie 2900, que os comandos s˜ao diferentes em relac¸˜ao aos novos modelos, tive dificuldades de configurac¸˜ao ,mas assim com uma ampla pesquisa e leitura os comandos para fazer as configurac¸˜oes.
Feito a configurac¸˜ao dos switches,os testes sem uso de um roteador para fazer a comunicac¸˜ao entre as vlans, as vlans n˜ao se enxergam entre si, assim dimuindo o numero de broadcast, com o uso de um roteador ´e poss´ıvel fazer a comunicac¸˜ao entre as vlans e terem acesso externa.
Referˆencias
Fillipetti, M. A. (2008). Cisco ccna 4.1: Guia completo de estudo. Visual Books.
Karen, W. (2003). Construindo redes cisco: Usando comutac¸˜ao multicamadas. Pearson Education.
