Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROJETOS DE REDES III – INFRAESTRUTURA DE REDES LOCAIS AULA 6 Prof. Luis José Rohling 2 CONVERSA INICIAL Conforme vimos anteriormente, um projeto de rede Camada 2 deve incluir switches e caminhos redundantes para garantir uma alta disponibilidade da rede. Como essas redundâncias poderão causar loops de Camada 2, que degradarão o desempenho da rede, utilizamos o spanning tree protocol (STP), projetado para eliminar os possíveis loops da Camada 2, mas manter as conexões redundantes. Uma das causas da degradação do desempenho da rede é o tráfego de broadcast que, em caso de loops de Camada 2, poderão tornar a rede totalmente indisponível. No entanto, mesmo adotando o STP para eliminar os loops, ainda teremos o tráfego de broadcast, transmitido por todas as conexões da rede, ocupando-a por inteiro. Assim, para minimizar essa ocupação da rede, uma técnica empregada nas redes comutadas é a segmentação da rede, com a configuração das redes LAN virtuais (VLANs). Esse recurso divide a rede, limitando o chamado domínio de broadcast, formado por todas as portas e conexões por onde o tráfego de broadcast é transmitido na rede local. Com essa divisão, o broadcast gerado por um host, associado a um determinado segmento de rede, é transmitido apenas pelas portas que pertencem ao mesmo segmento de rede. Além de utilizar o protocolo STP e a segmentação da rede com a configuração das VLANs, para aumentar o desempenho da rede, outro recurso empregado nos projetos de redes comutadas é o controle de acesso à rede, aumentando a segurança e garantindo que apenas os hosts autorizados tenham acesso aos recursos da rede, otimizando seu uso. Para controlar o acesso à rede, podemos empregar os sistemas baseados no modelo AAA, que visam garantir a autenticação, autorização e auditoria, além dos protocolos que permitem a configuração dinâmica dos equipamentos de rede, como o protocolo 802.1x. Assim, para completarmos o estudo do projeto de redes comutadas, nesta aula estudaremos a operação e configuração das VLANs, bem como o modelo AAA e o protocolo 802.1x. TEMA 1 – AS VLANS Com as VLANs, podemos segmentar as redes com base em fatores como o departamento da empresa, a função dos colaboradores ou equipes de trabalho, 3 independentemente do local físico onde o usuário esteja conectado (tanto a rede quanto o dispositivo terminal utilizado). Assim, cada VLAN é considerada uma rede lógica separada, e seus dispositivos atuam como se estivessem em sua própria rede independente, mesmo que compartilhem uma infraestrutura comum com outras VLANs. E, quando configuramos a rede comutada, qualquer porta do switch poderá ser configurada para pertencer a qualquer uma das VLANs. Figura 1 – Rede segmentada com VLANs Fonte: Rohling, 2020. Quanto ao tráfego ethernet, com a criação das VLANs, os pacotes de unicast, broadcast e multicast são encaminhados e inundados apenas para dispositivos finais na VLAN à qual os pacotes pertencem, ou seja, na VLAN em que os pacotes foram recebidos. Dessa forma, os pacotes destinados aos dispositivos que não pertencem às VLANs em que foram recebidos deverão ser encaminhados para o dispositivo que fará o roteamento entre VLANs, um dispositivo de Camada 3, pois é apenas nessa camada que poderá haver comunicação entre as VLANs. VLAN 1 VLAN 2 4 1.1 Configuração de Camada 3 Podemos configurar várias sub-redes IP numa rede comutada, mesmo sem o uso de várias VLANs. Entretanto, os dispositivos estarão no mesmo domínio de broadcast de Camada 2. Isso significa que todas as transmissões de broadcast de Camada 2 – como as solicitações ARP – serão recebidas por todos os dispositivos na rede comutada, mesmo pelos terminais que não pertençam à mesma sub-rede, pois os quadros serão enviados com o endereço de broadcast de Camada 2. Figura 2 – Envio de broadcast numa rede sem VLANs Fonte: Rohling, 2020. Então, uma VLAN é um domínio de broadcast que pode abranger vários segmentos de LAN físicos, e assim as VLANs melhoram o desempenho da rede, separando os grandes domínios de broadcast em domínios menores. Se um dispositivo numa VLAN envia um quadro ethernet de broadcast, todos os dispositivos na VLAN o recebem, mas os dispositivos que pertencem a outras VLANs, não. Além disso, com a configuração das VLANs, podemos implementar o controle de acesso e as políticas de segurança, de acordo com o grupo de cada usuário. Para garantir o correto funcionamento das VLANs, cada porta de switch deverá se associar a apenas uma VLAN, exceto as portas conectadas a outros switches ou a um telefone IP. SW1 SW3 SW2 PC-A PC-B PC-C PC-D Sub-rede 1 Sub-rede 2 5 Quanto à configuração de Camada 3, cada VLAN numa rede comutada corresponderá a uma rede IP e, assim, o projeto das VLANs deve considerar iniciar um esquema de endereçamento de rede hierárquico, de forma a contemplar toda a rede. Portanto, os endereços pertencentes a uma VLAN, que representa um conjunto de usuários com funções semelhantes, serão distribuídos pela rede comutada, para todos os dispositivos pertencentes às suas respectivas VLANs. Figura 3 – Configuração de endereçamento com VLANs Fonte: Rohling, 2020. 1.2 Tipos de VLAN As VLANs são utilizadas por diversos motivos nas redes comutadas, e algumas podem ser definidas de acordo com a classe de tráfego, e outras de acordo com sua função específica. Assim, numa rede típica, teremos a VLAN padrão, também chamada de VLAN default, as VLANs de dados, a VLAN nativa, a VLAN de gerenciamento e a VLAN de voz. A VLAN padrão num switch Cisco é a VLAN 1, e assim todas as portas do switch se associam à VLAN 1, a menos que sejam configuradas para pertencer a outra VLAN. Além disso, também por padrão, todo o tráfego de controle da SW1 SW3 SW2 Administração VLAN 10 192.168.10.10 Financeiro VLAN 20 192.168.20.10 Administração VLAN 10 192.168.10.11 Financeiro VLAN 20 192.168.20.11 1º andar 2º andar 6 Camada 2 se associará à VLAN 1. Portanto, em redes com switches Cisco, devemos considerar os seguintes aspectos sobre a VLAN 1: • Todas as portas do switch estão atribuídas à VLAN 1 por padrão; • A VLAN nativa é a VLAN 1 por padrão; • A VLAN de gerenciamento é a VLAN 1 por padrão; • A VLAN 1 não pode ser renomeada nem excluída. No exemplo a seguir, temos a resposta do comando show vlan brief, com o qual observamos que todas as portas estão atribuídas à VLAN 1, que é a VLAN padrão. Nenhuma VLAN nativa foi atribuída explicitamente, e nenhuma outra está ativa. Portanto, a rede está operando de forma que a VLAN nativa é a mesma que a de gerenciamento, o que representa um risco à segurança. Figura 4 – Configuração-padrão de VLAN Fonte: Rohling, 2020. As VLANs de dados são configuradas para separar o tráfego gerado pelos usuários, e são chamadas de VLANs de usuário porque separam a rede em grupos de usuários ou dispositivos. Assim, a rede terá uma quantidade de VLANs de dados de acordo com a estrutura organizacional da empresa. Devemos observar ainda que o tráfego de gerenciamento da rede e o tráfego de voz não devem ser permitidos nas VLANs de dados. O tráfego de usuário de uma VLAN deve ser marcado com seu ID de VLAN quando ele for enviado a outro switch. As portas de tronco são usadas entre switches para suportar a transmissão de tráfego marcado. Especificamente, uma porta de tronco 802.1Q insere uma marca de 4 bytes no cabeçalho do quadro ethernet para identificar a VLAN à qual o quadro pertence. Switch# show vlan brief VLAN Name Status Ports — — — — 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 1002 fddi-default act/unsup1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 7 Outro tipo de VLAN é a LAN nativa, utilizada quando um switch precisa enviar o tráfego que não pertence a nenhuma das VLANs, que é o tráfego não marcado, por um link de tronco. Esse tráfego não marcado pode ser gerado por um switch ou vir de dispositivos legados, como os hubs. Dessa forma, a porta de tronco, utilizando o Padrão 802.1Q, coloca o tráfego não marcado na VLAN nativa, e a VLAN nativa, num switch Cisco, é VLAN 1, ou seja, a VLAN nativa é a mesma que a VLAN padrão. Portanto, visando a segurança da rede, recomendamos configurar a VLAN nativa como uma VLAN não utilizada, distinta da VLAN 1 e de outras VLANs. O ideal é definir uma VLAN fixa para servir como VLAN nativa a todas as portas de tronco, em todos os switches de uma rede comutada. Outro tipo de VLAN com função específica é a VLAN de gerenciamento, também chamada de management VLAN, com dados configurados especificamente para o tráfego de gerenciamento de rede. Nessa VLAN, teremos o tráfego dos protocolos de gerenciamento, como SSH, Telnet, HTTPS, HHTP e SNMP. Por padrão, nos switches Cisco, a VLAN 1 é configurada como a VLAN de gerenciamento, devendo-se também definir e configurar uma VLAN específica para essa finalidade, por questões de segurança da rede. A VLAN de voz é uma VLAN separada, necessária para garantir os mecanismos de qualidade de serviço (quality of service – QoS), para dar suporte à aplicação de voz sobre IP (voice over IP – VoIP), que apresenta as seguintes necessidades: • Largura de banda garantida para assegurar a qualidade de voz; • Prioridade de broadcast sobre outros tipos de tráfego de rede; • Capacidade de ser roteada em áreas congestionadas da rede; • Atraso menor do que 150 ms. Para atender a esses requisitos, toda a rede deve ser projetada para suportar VoIP. Na Figura 5, a VLAN 100 foi projetada para transportar tráfego de voz, o computador do usuário está conectado ao telefone IP Cisco, e o telefone, ao switch. Na configuração da porta do switch, o tráfego gerado pelo PC será colocado na VLAN 10, que é a VLAN de dados desse usuário. 8 Figura 5 – Configuração da VLAN de voz Fonte: Rohling, 2020. TEMA 2 – AS PORTAS-TRONCO Além de configurar as VLANs, também é necessário configurar os troncos de VLAN, que permitem a todo o tráfego das VLANs se propagar pelos switches, por toda a rede comutada, permitindo também que dispositivos conectados a switches diferentes, mas na mesma VLAN, se comuniquem sem que o tráfego tenha que passar por um roteador. Um tronco é um link ponto a ponto entre dois dispositivos de rede que transportam o tráfego de mais de uma VLAN. Assim, os troncos de VLAN estendem as VLANs por toda a rede comutada, e os switches Cisco suportam o padrão IEEE 802.1Q para operar os troncos em interfaces do tipo fast ethernet, gigabit ethernet e ethernet de 10 gigabit. Assim, um tronco de VLAN não pertence a uma VLAN específica, mas opera como canal de comunicação para as várias VLANs, entre switches e roteadores. Um tronco também pode ser usado entre um dispositivo de rede e um servidor, até mesmo com outro dispositivo terminal de usuário, desde que esteja equipado com uma NIC compatível com o padrão 802.1Q. Por padrão, num switch Cisco Catalyst, todas as VLANs são suportadas numa porta de tronco. VLAN 10 – Administração VLAN 100 - VoIP Administração VLAN 10 192.168.10.10 9 Figura 6 – As portas-tronco em VLANs Fonte: Rohling, 2020. 2.1 O encaminhamento de broadcast Quando um switch recebe um quadro de broadcast numa de suas portas, ele encaminha o quadro para todas as outras portas, exceto aquela em que o quadro foi recebido. Assim, numa rede sem VLAN, um quadro de broadcast é transmitido por toda a rede e entregue em todas as portas de todos os switches, pelo domínio de broadcast. Com a configuração das VLANs numa rede comutada, o tráfego de broadcast enviado por um dispositivo – conectado em determinada VLAN – será encaminhado pelas conexões de tronco, porém será entregue apenas nas portas associadas à mesma VLAN da origem do quadro. No exemplo a seguir, quando o PC 1 envia um quadro de broadcast para o SW 2, como ele está associado à VLAN 10, o SW 2 encaminhará o quadro para o SW 1, pois é uma porta-tronco, mas não enviará o quadro para o PC 2, pois a porta em que ele está conectado se encontra na VLAN 20. O SW 1 encaminhará o broadcast para o SW 3 pela porta de tronco, que enviará o quadro apenas para o PC 3, na mesma VLAN de origem do quadro, e o SW 3 não encaminhará o quadro para o PC 4, pois a porta em que ele está conectado se encontra na VLAN 20. VLAN 10 VLAN 20 P o rt a s -t ro n c o 10 Figura 7 – Envio de broadcast numa rede com VLANs Fonte: Rohling, 2020. 2.2 Identificação de VLAN Na configuração-padrão dos quadros ethernet, o cabeçalho de quadro não contém as informações sobre a VLAN à qual o quadro pertence. Dessa forma, quando os quadros ethernet se encaminham a uma interface de tronco, as informações sobre as VLANs – às quais os quadros pertencem – deverão ser adicionadas aos quadros. Esse processo de inclusão da informação de VLAN é chamado de marcação, sendo feito com a configuração do cabeçalho IEEE 802.1Q, especificado pelo padrão IEEE 802.1Q. O cabeçalho 802.1Q contém então uma informação de 4 bytes, que é a tag de VLAN, inserida no cabeçalho do quadro ethernet original, especificando a VLAN à qual o quadro pertence. Quando o switch recebe um quadro numa porta configurada no modo de acesso, e uma VLAN está atribuída a essa porta, o switch insere uma tag de VLAN no cabeçalho do quadro, recalcula o frame check sequence (FCS), que é o campo de verificação de quadro, e envia o quadro para a porta de tronco com a tag adicional. SW1 SW3 SW2 Administração VLAN 10 192.168.10.10 Financeiro VLAN 20 192.168.20.10 Administração VLAN 10 192.168.10.11 Financeiro VLAN 20 192.168.20.11 1º andar 2º andar PC1 PC2 PC3 PC4 VLAN10 VLAN20 11 Figura 8 – Campos do quadro 802.1Q Fonte: Rohling, 2020. Conforme a Figura 8, o quadro gerado será acrescido do campo de informações de controle, que é a tag VLAN, e que consiste num campo tipo, um campo de prioridade, um campo identificador de formato canônico e o campo de identificação de VLAN: • Type: valor de 2 bytes que contém o valor referente à tag de ID do protocolo (TPID). Para ethernet, ele é definido como 0x8100 hexadecimal; • Prioridade do usuário: valor de 3 bits que permite implementar o QoS na rede comutada, identificando o nível de serviço do quadro; • Identificador de formato canônico (CFI): identificador de 1 bit que permite aos quadros token ring serem transportados por links ethernet; • ID de VLAN (VID): número de identificação de VLAN de 12 bits que suporta até 4.096 identificadores (IDs) de VLAN. Depois que o switch insere os campos de informação da tag de controle, ele recalcula os valores de FCS e insere o novo FCS no quadro. 2.3 A VLAN nativa Entre os tipos de VLAN existentes, o padrão IEEE 802.1Q especifica a chamada VLAN nativa, que existirá em todos os tipos de tronco – por padrão, a VLAN 1. Assim, quando um quadro não marcado chega numa porta de tronco, ele é atribuído à VLAN nativa. Um tipo de tráfego existente numa rede são os quadros de gerenciamento, que são enviados entre os switches, sendo um 12 exemplo de tráfego que ficará na VLAN nativa, pois normalmente esse tráfego não é marcado. Então, se o link entre dois switches for do tipo tronco, o switch enviará todo o tráfego não marcado à VLAN nativa. Alguns dispositivos que suportam as conexões de tronco também adicionam uma tag da VLAN ao tráfego da VLAN nativa, porém, o tráfego de controle enviado na VLANnativa não deve ser marcado. Se uma porta de tronco 802.1Q recebe um quadro marcado com o ID da VLAN igual ao da VLAN nativa, ele descarta o quadro. Consequentemente, ao configurar uma porta de switch num switch da Cisco, devemos configurar os dispositivos para que não enviem quadros da VLAN nativa que estejam marcados. Os dispositivos de outros fornecedores, que suportam quadros marcados na VLAN nativa, incluem telefones IP, servidores, roteadores e switches não Cisco. Quando uma porta de tronco de switch Cisco recebe quadros não marcados (incomuns numa rede bem projetada), ela encaminha esses quadros à VLAN nativa. Se não houver dispositivos associados à VLAN nativa (o que não é incomum) e não houver outras portas de tronco (o que também não é incomum), o quadro será descartado. A VLAN nativa padrão é a VLAN 1 e, assim, ao configurar uma porta de tronco 802.1Q, um ID de VLAN de porta (PVID) padrão é atribuído, que será o valor do ID da VLAN nativa. Todo o tráfego não marcado, que entra ou sai da porta 802.1Q, é encaminhado com base no valor PVID. Por exemplo, se a VLAN 99 estiver configurada como a VLAN nativa, o PVID será 99, e todo o tráfego não marcado será encaminhado para a VLAN 99. Se a VLAN nativa não tiver sido reconfigurada, o valor PVID será definido como VLAN 1. 2.4 A VLAN de voz Numa rede com aplicação de VoIP, é necessário utilizar uma VLAN de voz separada para oferecer o suporte adequado a VoIP, pois isso permitirá que as políticas de QoS e de segurança sejam aplicadas ao tráfego de voz. Um telefone IP da Cisco se conecta diretamente a uma porta do switch, e um host IP poderá então ser conectado ao telefone IP para obter conectividade de rede também. A porta de acesso conectada ao telefone IP da Cisco pode ser configurada para usar duas VLANs separadas, sendo uma VLAN para tráfego de voz, e a outra, uma VLAN de dados, para suportar o tráfego do host. O link entre o switch e o telefone IP simula um link de tronco, permitindo transportar o 13 tráfego da VLAN de voz e tráfego da VLAN de dados. O telefone IP da Cisco contém um switch 10/100 de três portas integrado, e as portas deverão se conectar de maneira adequada, fornecendo as conexões dedicadas aos dispositivos a seguir. Assim, a Porta 1 conecta-se ao switch ou outro dispositivo VoIP, e a Porta 2 é uma interface 10/100 interna que transporta o tráfego de telefone IP; por fim, a Porta 3, que seria a porta de acesso, se conecta a um PC ou outro dispositivo. Figura 9 – Conexões do telefone IP Fonte: Rohling, 2020. A porta de acesso ao switch envia os pacotes CDP, instruindo o telefone IP conectado a enviar tráfego de voz de uma das três maneiras possíveis, e o método utilizado varia de acordo com o tipo de tráfego, que poderá ser: • O tráfego da VLAN de voz, que deve ser marcado com o valor de prioridade (de Camada 2) de acordo com a classe de serviço (CoS) definida; • O tráfego da VLAN de acesso também poderá ser marcado com um valor de prioridade de CoS de Camada 2; • O tráfego da VLAN de acesso não será marcado, não inserindo nenhum valor de prioridade de CoS de Camada 2. A porta do switch deverá ser configurada adequadamente, para que o telefone IP receba as informações sobre a VAN de voz, para fazer a marcação correta dos pacotes de voz. Na Figura 10, temos um exemplo de configuração da Porta 12 do switch, configurada para a VLAN 100 como VLAN de voz, e a SWITCH P1 P3 P2 SW PC 14 VLAN 10 como VLAN da administração (admin), mantendo a VLAN nativa como a VLAN1. Figura 10 – Configuração da interface do switch para as VLANs Fonte: Rohling, 2020. TEMA 3 – A CRIAÇÃO DE VLAN Para criar VLANs, como a maioria dos outros aspectos da rede, é necessário conhecer e inserir os comandos adequados, de acordo com o sistema operacional do switch. Os diferentes modelos de switches Cisco Catalyst suportam diferentes quantidades de VLANs. Essa quantidade é grande o suficiente para acomodar as necessidades da maioria das organizações. Por exemplo, os switches Catalyst 2960 e 3650 suportam mais de 4 mil VLANs. As VLANs dentro do intervalo normal de VLANs nesses switches são numeradas de 1 a 1.005, e as VLANs de alcance estendido são numeradas de 1.006 a 4.094. A Figura 11 ilustra as VLANs disponíveis num switch Catalyst 2960 que está executando o sistema operacional Cisco IOS versão 15.x. S1# show interfaces fa0/12 switchport Name: Fa0/12 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 10 (admin) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: 100 (voice) F0/12 15 Figura 11 – VLAN default num switch Cisco Fonte: Rohling, 2020. Assim, as VLANs se dividem num intervalo normal e num intervalo estendido. As principais características das VLANs de intervalo normal são as seguintes: • São usadas em todas as redes de pequenas e médias empresas; • São identificadas por uma ID de VLAN entre 1 e 1.005; • Os IDs 1.002 a 1.005 são reservados para tecnologias de rede legada, ou seja, token ring e fiber distributed data interface (FDDI); • Os IDs 1 e 1.002 a 1.005 são criados automaticamente, e não podem ser removidos; • As configurações são armazenadas na memória flash do switch, num arquivo de banco de dados de VLANs chamado vlan.dat; • Quando configurado, o VLAN trunking protocol (VTP) sincroniza o banco de dados de VLANs entre os switches. A seguir, as principais características das VLANs de intervalo estendido: • São utilizadas por provedores de serviços para atender vários clientes e por empresas de grande porte que necessitam de IDs de VLAN de alcance estendido por causa da grande quantidade de sub-redes utilizadas; • São identificadas por um ID de VLAN entre 1.006 e 4.094; • As configurações são salvas no arquivo de configuração, executado na memória RAM; Switch# show vlan brief VLAN Name Status Ports ---- ----------------- ------- -------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup 16 • Menor compatibilidade de recursos de VLAN do que as VLANs de intervalo normal; • Requer a configuração do modo transparente de VTP para suportar VLANs de alcance estendido. A quantidade máxima de VLANs é 4.096, sendo também o limite do número de VLANs disponíveis nos switches Catalyst, pois temos 12 bits no campo ID da VLAN, do cabeçalho IEEE 802.1Q, o que permite até 4.096 identificadores diferentes. 3.1 A criação de VLANs Durante a configuração de VLANs em switches Cisco, durante a configuração de VLANs de intervalo normal, os parâmetros configurados são armazenados na memória flash no switch, num arquivo chamado vlan.dat. A memória flash é persistente e não requer o comando copy running-config startup- config. No entanto, como outros parâmetros são configurados num switch Cisco enquanto VLANs são criadas, é boa prática salvar as mudanças da configuração, feitas no modo de execução (running-config) para o arquivo de configuração de inicialização (startup-config). Assim, a sequência de configuração deverá incluir a etapa necessária para adicionar uma VLAN a um switch e dar um nome à VLAN criada, sendo a atribuição de um nome a cada VLAN uma prática recomendada na configuração dos switches. Na Figura 12, temos o exemplo da sequência de comandos para configurar a VLAN da administração, que terá o VLANID igual a 10. Figura 12 – Criação de VLAN Fonte: Rohling, 2020. Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name Admin Switch(config-vlan)# end 17 3.2 Atribuindo portas às VLANs Depois de criar uma VLAN, a próxima etapa é atribuir as portas do switch que pertencerão à VLAN criada, e o comando para atribuir uma VLAN a uma interface – a ser feito no modo de configuração de interface – é: #switchport access vlan vlan-id Além do comando de atribuição de VLAN, outro comando opcional – mas altamente recomendado como prática de segurança, com o qual a interface se altera para o modo de acesso permanente – é: #switchport mode access Na Figura 13 temos a configuração da Porta 18, na qual está conectado o PC do usuário da VLAN administrativa criada no exemplo anterior, a VLAN 10. Figura 13 – Atribuição de VLAN Fonte: Rohling, 2020. As VLANs são configuradas na porta do switch, e não no dispositivo terminal do usuário. No exemplo, o PC está configurado com um endereço IPv4 e uma máscara de sub-rede associada à VLAN, configurada na porta do switch que, nesse exemplo, é a VLAN 10. Assim, a ela deverá ser configurada nos demais switches da rede, permitindo que os outros computadores da área de administração da empresa estejam na mesma sub-rede do PC (192.168.10.0/24). S1# configure terminal S1(config)# interface fa0/18 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10 S1(config-if)# end F0/18 Administração VLAN 10 192.168.10.10 18 3.3 As VLANs de dados e de voz Quando configurada como porta de acesso, essa interface poderá pertencer a apenas uma VLAN de cada vez. No entanto, num switch Cisco, uma porta também poderá ser associada a uma VLAN de voz, permitindo a conexão do telefone IP e do computador do usuário na mesma porta do switch. Sem esse recurso, seria necessário utilizar duas portas do switch: uma para conectar o telefone IP, e outra para conectar o computador. Porém, num switch Cisco, teremos uma porta conectada a um telefone IP e um dispositivo final, que será associado a duas VLANs: uma para voz e outra para os dados. Considerando a topologia na Figura 14, o PC5 está conectado ao telefone IP Cisco que, por sua vez, está conectado à interface fastethernet 0/12 no switch. Assim, para implementar essa configuração, uma VLAN de dados e uma VLAN de voz deverão ser criadas no switch, e o comando para atribuir uma VLAN de voz a uma porta, no modo de configuração de interface, é: #switchport voice vlan vlan-id. Figura 14 – Configuração de VLAN de voz e de dados Fonte: Rohling, 2020. A configuração no exemplo cria as duas VLANs, ou seja, a VLAN 10 (de dados da rede administrativa) e a VLAN 100 (que é a VLAN de voz). A seguir, a interface F0/12 do switch é configurada como uma porta da VLAN 20, atribuindo Switch(config)# vlan 10 Switch(config-vlan)# name Admin Switch(config-vlan)# vlan 100 Switch(config-vlan)# name VOICE Switch(config-vlan)# exit Switch(config)# interface fa0/12 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# mls qos trust cos Switch(config-if)# switchport voice vlan 100 Switch(config-if)# end F0/12 19 também o tráfego de voz à VLAN 150, permitindo a classificação de QoS com base na CoS atribuída pelo telefone IP. As redes LAN que suportam o tráfego de voz normalmente têm o QoS habilitado. O tráfego de voz deve ser identificado como confiável assim que entra na rede. Para isso, utilizamos o comando mls qos trust [cos | device cisco-phone | dscp | ip-precedence] no modo de configuração da interface para definir o estado confiável de uma interface e indicar quais campos do pacote são usados para classificar o tráfego. O comando switchport access vlan força a criação de uma VLAN se ela ainda não existir no switch. Por exemplo, se a VLAN 30 não estiver configurada – o que pode ser verificado com o comando show vlan brief do switch e se inserirmos o comando switchport access vlan 30 –, o switch exibirá a informação de que a VLAN está sendo criada, conforme a Figura 15: Figura 15 – Criação de VLAN por atribuição de porta Fonte: Rohling, 2020. TEMA 4 – CONFIGURAÇÃO DE TRONCOS DE VLAN Depois de configurar as VLANs, a próxima etapa é configurar os troncos de VLAN, que são links de Camada 2 entre dois switches, que transportam o tráfego de todas as VLANs, a menos que a lista de VLANs permitidas seja configurada – manual ou dinamicamente – definindo quais serão permitidas e, por consequência, bloqueando todas as demais. Para habilitar os links de tronco e configurar as portas de interconexão, teremos o conjunto de comandos de configuração de interface listados a seguir. Switch(config)# interface fa0/10 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 30 % Access VLAN does not exist. Creating vlan 30 F0/10 20 • A primeira etapa é a entrada no modo de configuração global, com o comando: Switch# configure terminal; • A próxima etapa é a entrada no modo de configuração da interface, com o comando: Switch(config)# interface ID; • No modo de configuração da interface que será configurada como tronco, devemos então definir a porta para o modo de entroncamento permanente, com o comando: Switch(config-if)# switchport mode trunk; • Por questão de segurança, a próxima etapa é a definição da VLAN nativa para um valor diferente da VLAN 1, com o comando: Switch(config- if)# switchport trunk native vlan vlan-id; • Se desejarmos que nem todas as VLANs criadas no switch sejam permitidas nessa conexão de tronco, devemos, então, especificar a lista de VLANs que serão permitidas no link do tronco com o comando: Switch(config-if)# switchport trunk allowed vlan vlan- list. 4.1 Configuração da porta-tronco Na Figura 16, temos o exemplo da configuração das VLANs 10, 20 e 30, que atendem as redes de computadores dos docentes, dos alunos e dos convidados (PC 1, PC 2 e PC 3). A porta Fa0/1 no switch SW 1 está configurada como porta-tronco e encaminhará o tráfego das VLANs 10, 20 e 30 para o SW2. Nesse exemplo, utilizaremos a VLAN 99 como a VLAN nativa. 21 Figura 16 – Exemplo de rede para configurar portas-tronco Fonte: Rohling, 2020. Assim, a divisão das VLANs, com o respectivo endereçamento das sub- redes, será: • VLAN 10 – Corpo docente – 192.168.10.0/24; • VLAN 20 – Alunos – 192.168.20.0/24; • VLAN 30 – Convidados/visitantes – 192.168.30.0/24; • VLAN 99 – VLANs nativas – 192.168.99.0/24. Dessa forma, a configuração a ser aplicada no SW 2, para a porta de trunk, é mostrada na Figura 17: Figura 17 – Exemplo de configuração de portas-tronco Essa configuração pressupõe o uso de switches Cisco Catalyst 2960, que usam automaticamente o encapsulamento 802.1Q em links de tronco, e outros switches podem exigir uma configuração manual desse encapsulamento. Além disso, é necessário sempre configurar as duas extremidades de um link de tronco Docentes VLAN 10 192.168.10.11 SW1 PC2 SW2 F0/1 PC1 PC3 Alunos VLAN 20 192.168.20.11 Convidados VLAN 30 192.168.30.11 SW2(config)# interface fastEthernet 0/1 SW2(config-if)# switchport mode trunk SW2(config-if)# switchport trunk native vlan 99 SW2(config-if)# switchport trunk allowed vlan 10,20,30,99 SW2(config-if)# end 22 com a mesma VLAN nativa, pois, se a configuração do tronco 802.1Q não for a mesma em ambas as extremidades, o IOS da Cisco gerará mensagens de erro de VLAN nativa. Para verificar as configurações da interface de tronco, o comando a ser utilizado é: #show interfaces interface-ID switchport. Na Figura 18, temos a saída do comando que verifica a configuração de interface-tronco, aplicada na interface F0/1do SW 1, e podemos verificar que ela está configurada como porta-tronco (Administrative Mode: trunk). O encapsulamento configurado é o padrão 802.1q (Administrative Trunking Encapsulation: dot1q), e a VLAN nativa é a VLAN 99 (Trunking Native Mode VLAN: 99). Figura 18 – Verificação de configuração de portas-tronco Fonte: Rohling, 2020. Se for necessário retornar à configuração-padrão da porta-tronco, os comandos a utilizar são: • #no switchport trunk allowed vlan; • #no switchport trunk native vlan. S1# show interfaces fa0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 99 (VLAN0099) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 23 Aplicando esses comandos, removeremos as VLANs permitidas e redefiniremos a VLAN nativa do tronco. Quando a porta-tronco for redefinida para o estado-padrão, o tronco permite o tráfego de todas as VLANs por essa porta, e utilizará a VLAN 1 como a VLAN nativa. 4.2 A exclusão de VLANs Além de reconfigurar as portas-tronco, também pode ser necessário reconfigurar as VLANs, incluindo a exclusão de algumas delas, o que pode ser feito com o comando: #no vlan vlan-id. Como as configurações de VLAN são armazenadas no arquivo vlat.dat, que fica armazenado na memória flash, não é necessário salvar essas configurações, diferente das demais, como a associação das portas às VLANs e as portas-tronco, que devem ser salvas com o comando: #copy running- config startup-config. No entanto, antes de excluir uma VLAN, deve-se atribuir todas as portas associadas à VLAN a ser excluída para uma VLAN diferente, porque todas as portas não movidas para uma VLAN ativa, quando ela for excluída, não conseguirão mais se comunicar com outros hosts. O próprio arquivo vlan.dat pode ser excluído pelo comando #delete flash:vlan.dat. Depois de executar esse comando e reinicializar o switch, as VLANs configuradas anteriormente não estarão mais presente, colocando o switch efetivamente no seu estado-padrão de fábrica quanto às configurações da VLAN. Portanto, para restaurar um switch Catalyst à sua condição-padrão de fábrica, devemos desconectar todos os cabos, exceto o console e o cabo de alimentação do switch. Em seguida, digitamos o comando erase startup- config no modo de configuração privilegiado e, depois, o comando delete vlan.dat. 4.3 O Protocolo DTP Alguns switches Cisco suportam um protocolo proprietário, que permite negociar automaticamente o entroncamento com um dispositivo vizinho – chamado dynamic trunking protocol (DTP) –, que pode acelerar a configuração da rede. Como as interfaces de tronco ethernet suportam diferentes modos de entroncamento e podem ser definidas como porta de tronco ou não tronco, 24 também podem negociar o entroncamento com a interface do dispositivo vizinho. Essa negociação de tronco será então gerenciada pelo DTP, que opera somente ponto a ponto, entre dispositivos de rede. O DTP é um protocolo proprietário da Cisco ativado automaticamente nos switches Catalyst séries 2960 e 3560, gerenciando a negociação de tronco apenas se a porta de switch vizinho estiver configurada num modo de tronco com suporte para DTP. No entanto, os switches de outros fornecedores não oferecem suporte ao DTP, sendo necessária, então, uma configuração manual adequada para essas conexões. A configuração DTP padrão para switches Cisco Catalyst 2960 e 3650 é o modo dinâmico auto (dynamic auto). Além disso, é necessário observar que alguns dispositivos de rede podem encaminhar quadros DTP incorretamente, o que poderia causar configurações incorretas. Para evitar isso, devemos desativar o DTP nas interfaces de switch Cisco conectadas a dispositivos que não suportem o protocolo DTP. Para habilitar o entroncamento de um switch Cisco com um dispositivo que não suporta DTP, devemos utilizar os comandos switchport mode trunk e switchport nonegotiate no modo de configuração da interface. Isso faz com que a interface se torne um tronco, mas não gera quadros DTP. Caso a interface necessite novamente ser habilitada para enviar o DTP, o comando a ser utilizado é: switchport mode dynamic auto. Além disso, se as portas que conectam dois switches estiverem configuradas para ignorar todos os anúncios DTP, com os comandos switchport mode trunk e switchport nonegotiate, as portas permanecerão no modo de porta de tronco. Porém, se ambas as portas de conexão estiverem definidas como dynamic auto, elas não negociarão um tronco e permanecerão no modo de acesso, mantendo o link de tronco inativo. Portanto, ao configurar uma porta que deverá operar no modo de tronco, devemos utilizar sempre o comando switchport mode trunk. Assim, não haverá ambiguidade no estado em que o tronco opera, ficando sempre no estado ativo. 4.4 Configuração do DTP Como podemos ter diversas configurações distintas do protocolo DTP, nas portas do switch, temos o estado operacional do link de acordo com a combinação de configurações entre as duas portas nas suas extremidades, e a 25 melhor prática é configurar os links de tronco estaticamente, sempre que possível. As opções de configuração de porta para o DTP são: • Tronco; • Acesso; • Dinâmica (dynamic auto); • Tronco desejável (dynamic desirable). A configuração de porta como tronco só será incompatível com a configuração de porta como “acesso” na outra extremidade do link. Nos demais casos, será mantida como porta-tronco e forçará a outra porta a também se tornar uma porta-tronco, caso esteja configurada como dynamic auto ou dynamic desirable, ou seja, prevalecerá a configuração de tronco. Se a porta estiver configurada como acesso, forçará a outra porta também ao modo de acesso, caso esteja configurada como dynamic auto ou dynamic desirable, ou seja, nesse caso prevalece a configuração de acesso. Porém, se as duas portas estiverem configuradas no modo dinâmico, prevalece a configuração de tronco; sendo uma delas como dynamic desirable, a porta migra para o modo tronco. O estado da porta migra para acesso apenas se a configuração em ambas as portas estiver como dynamic auto. Por medida de segurança, o protocolo DTP deve ser desabilitado nas interfaces nas quais não se deve estabelecer uma conexão de tronco. Nas portas que deverão operar como tronco, deve-se fazer uma configuração manual, definindo o modo de trunk e desabilitando a negociação (nonegotiate). Para verificar o DTP, o comando a ser utilizado é o show dtp interface interface-id, conforme a Figura 19. 26 Figura 19 – Verificando a configuração do DTP Fonte: Rohling, 2020. TEMA 5 – O MODELO AAA Além de segmentar a rede com a configuração das VLANs, outro recurso empregado nos projetos de redes LAN é controlar o acesso à rede, baseado no modelo conhecido como AAA, que significa “autenticação, autorização e auditoria/contabilização”. Ele fornece a estrutura principal para configurar o controle de acesso num dispositivo de rede, sendo uma maneira de controlar quem tem permissão para acessá-la: controlando o recurso de rede (autenticação); controlando o que o usuário pode fazerenquanto estão acessando o recurso de rede (autorização); e contabilizando os recursos acessados e as ações executadas (auditoria). Vejamos cada processo em detalhes. 5.1 Autenticação A autenticação pode ser feita baseando-se em recursos locais, sendo armazenados os nomes de usuário e senhas localmente, no próprio dispositivo de rede, tal como um switch ou roteador Cisco. Ao acessar os dispositivos de rede, os usuários se autenticam no banco de dados local, conforme a sequência mostrada a seguir, sendo o modelo AAA local ideal para redes pequenas. Para o acesso, o cliente remoto se conecta a um roteador ou switch AAA, e um nome de usuário e senha é solicitado. Então, o dispositivo de rede verifica seu banco S1# show dtp interface fa0/1 DTP information for FastEthernet0/1: TOS/TAS/TNS: ACCESS/AUTO/ACCESS TOT/TAT/TNT: NATIVE/NEGOTIATE/NATIVE Neighbor address 1: C80084AEF101 Neighbor address 2: 000000000000 Hello timer expiration (sec/state): 11/RUNNING Access timer expiration (sec/state): never/STOPPED Negotiation timer expiration (sec/state): never/STOPPED Multidrop timer expiration (sec/state): never/STOPPED FSM state: S2:ACCESS # times multi & trunk 0 Enabled: yes In STP: no 27 de dados local, validando as credenciais informadas; por fim, o usuário obtém o acesso à rede com base nas informações do banco de dados local. Outro modelo de autenticação AAA é por um servidor. O roteador ou switch acessa um servidor AAA central que contém os nomes de usuário e a senha de todos eles. O dispositivo de rede utiliza os protocolos remote authentication dial-in user service (Radius) ou terminal access controller access control system (Tacacs+) para se comunicar com o servidor AAA. Quando há vários roteadores e switches na rede, o AAA baseado em servidor é muito mais adequado e eficiente. Na primeira etapa de autenticação, o cliente estabelece uma conexão com o dispositivo de rede, que solicita o nome de usuário e a senha. O dispositivo de rede os valida e faz uma consulta ao servidor AAA; se as credenciais forem validadas, o dispositivo de rede permite o acesso, com base nas informações no servidor AAA remoto. Figura 20 – Autenticação baseada em servidor Fonte: Rohling, 2020. 5.2 Autorização e auditoria A autorização AAA é automática e não requer que os usuários executem etapas adicionais após a autenticação. A autorização controla o que os usuários podem ou não fazer na rede depois de autenticados, e a autorização usa um conjunto de atributos que descrevem o acesso do usuário à rede. Esses atributos são usados pelo servidor AAA para determinar privilégios e restrições ao usuário. A autorização ocorre depois de o usuário ter sido autenticado, estabelecendo uma sessão entre o dispositivo de rede e o servidor AAA. Assim, o dispositivo de rede solicita a autorização do servidor AAA para o serviço solicitado do cliente, Servidor AAA Validação das credenciais Credenciais do usuário 28 e o servidor AAA dá uma resposta de pass/fail, concedendo ou não a autorização de acesso ao recurso solicitado pelo usuário ou para executar a tarefa solicitada. A contabilização no AAA coleta informações e relata o uso dos recursos e as ações feitas pelo usuário. Esses dados podem ser usados para propósitos como auditoria ou faturamento. Os dados coletados podem incluir os horários de conexão inicial e final, comandos executados, número de pacotes e número de bytes. Um uso primário da contabilização é combiná-lo com a autenticação AAA, cujo servidor mantém um registro detalhado do que o usuário autenticado faz no dispositivo. Esse registro contém todos os comandos exec e de configuração emitidos pelo usuário, e os logs contêm vários campos de dados, incluindo nome de usuário, data, hora e comando real inserido pelo usuário. Essa informação é útil para resolver problemas de dispositivos, fornecendo evidências de quando indivíduos cometem atos mal-intencionados. 5.3 Padrão 802.1x O padrão IEEE 802.1x é um protocolo de autenticação e controle de acesso baseado em porta que impede estações de trabalho não autorizadas de se conectar a uma rede LAN por portas do switch. O servidor autentica cada estação de trabalho quando se conecta a uma porta de switch antes de disponibilizar qualquer serviço oferecido pelo switch ou pela LAN. Figura 21 – Controle de acesso com 802.1x Fonte: Rohling, 2020. Na autenticação baseada em porta, o protocolo 802.1x define funções específicas para os dispositivos: Perfil do usuário Credenciais do usuário Usuário (suplicante) Switch (autenticador) Servidor 802.1x 29 • Cliente (suplicante): é o dispositivo que executa um software cliente, compatível com 802.1x, podendo ter fio ou não; • Switch (autenticador): o switch atua como intermediário entre o cliente e o servidor de autenticação, solicitando informações de identificação do cliente, confirmando-as com o servidor de autenticação e retransmitindo uma resposta ao cliente. Outro dispositivo que poderia atuar como autenticador é um ponto de acesso sem fio (access point); • Servidor de autenticação: o servidor valida a identidade do cliente e notifica o switch (ou ponto de acesso sem fio), mostrando se o cliente está ou não autorizado a acessar a LAN e os serviços do switch. O recurso do protocolo 802.1x aumenta significativamente a segurança da rede, pois, além de segmentá-la com a configuração das VLANs, era necessário configurar as portas, associando-se às VLANs. Com o protocolo 802.1x, esse processo é feito de maneira dinâmica, associando a porta do switch à VLAN/grupo informado pelo servidor de autenticação, baseado nas credenciais do usuário. FINALIZANDO A segmentação das redes, com a configuração das VLANs, é um dos itens essenciais na elaboração do projeto de uma rede comutada, pois, sem a segmentação, o tráfego de broadcast, gerado por uma grande quantidade de hosts conectados no mesmo domínio, pode afetar drasticamente o desempenho da rede. Além disso, a segmentação também aumenta a segurança da rede, limitando o acesso dos recursos apenas aos usuários que efetivamente devem acessá-los. No entanto, para o correto funcionamento da rede, é necessário definir todas as VLANs de dados, com base numa estrutura organizacional da empresa, criando uma VLAN de gerenciamento para garantir a segurança dos dispositivos de redes e uma VLAN de voz para implementar mecanismos de QoS. Essa configuração de VLANs deve ser consistente, ou seja, devemos ter mecanismos para garantir que rodos os switches da rede tenham a mesma configuração de VLANs, com os identificadores (VLAN ID) corretos para cada VLAN criada. Além de criar e configurar as VLANs, também é necessário garantir a configuração correta das conexões de tronco. 30 Caso uma VLAN não seja criada num switch, todo o tráfego recebido pelas conexões de tronco que tenham o identificador (VLAN ID) da VLAN desconhecida será descartado, não sendo encaminhado para os demais switches na rede. É um problema muito comum nas redes comutadas, portanto a configuração correta e consistente das VLANs é um fator crítico para a rede funcionar. Para garantir a configuração consistente das VLANs em switches Cisco, um recurso muito útil é o VTP, que sincroniza as VLANs em todos os switches da rede comutada. Para o VTP operar, define-se um switch que será o servidor VTP na rede, criando-se as VLANs. Os demais switches da rede, que serão os clientes VTP, receberão as informações do servidor VTP, mantendo uma base consistente de dados sobre as VLANs da rede. Dessa forma, não haverá o risco do descarte de tráfego, pois, mesmo que um switch não tenha nenhuma porta associada a uma determinada VLAN, ele terá essa VLAN em seu banco de dados. Além de configurar as portas-tronco, para permitir o tráfego das VLANs entre os switches,também é necessário atribuir as portas de acesso às respectivas VLANs. Para essa etapa de configuração das portas de acesso, devemos considerar o protocolo 802.1x, que automatiza o processo e aumenta a segurança. Sem ele, teríamos que configurar manualmente todas as portas de acesso de todos os switches, e esse processo, além de trabalhoso, apresenta um grande risco de segurança, pois um usuário poderia conectar seu computador num outro ponto da rede e acessar uma porta associada a outra VLAN à qual não deveria ter acesso. Com o protocolo 802.1x isso não ocorre, pois, ao fornecer suas credenciais, o switch consulta o servidor e associa a porta de conexão do usuário à sua VLAN, de acordo com o perfil informado pelo servidor, não permitindo que o usuário tenha acesso a outra VLAN que não seja a da sua equipe. 31 REFERÊNCIAS CHAPPELL, L. Diagnosticando redes: Cisco internetwork toubleshooting. São Paulo: Pearson Education do Brasil, 2002. MAIA, L. P. Arquitetura de redes de computadores. 2. ed. Rio de Janeiro: LTC, 2013. TANEMBAUM, A. S. Redes de computadores. 2. ed. São Paulo: Pearson Education do Brasil, 2011.
Compartilhar