Prévia do material em texto
Tecnologias de Switching • Introdução; • Visão Geral da Lógica de Comutação; • Con�igurando Inter�aces no Comutador; • Design de Rede Ethernet; • Analisando Topologias de Campus LAN. • Compreender e abordar os conceitos �undamentais do que é dimensionamento de rede, projeto de rede e escolha correta de dispositivos intermediários de conexão e conf guração básica de switches. OBJETIVO DE APRENDIZADO Dimensionamento de Rede Comutada UNIDADE Dimensionamento de Rede Comutada Introdução Para um bom conhecimento em redes, o entendimento sobre como �unciona uma rede local (LAN) tanto em relação às �ormas de como é desenhada e proje- tada, assim como �uncionam os seus dispositivos de rede como, por exemplo, os switches, seus protocolos de comunicação e as características especí�icas que têm por objetivo manter tais redes estáveis e imunes a eventuais �alhas correspondem à proposta de discussão nesta oportunidade. Assim, nesta Unidade trataremos dos aspectos de �uncionamento de uma rede local ethernet e dos tipos de desenhos de rede mais utilizados em uma in�raestru- tura de comunicação de dados. Conceitos de Comutação em LAN Uma Local Area Network (LAN) ou, em português, rede de área local – ethernet moderna conecta dispositivos de usuários e servidores em alguns switches – comutadores de rede –, de modo que os switches podem, então, conectar-se entre si, �ormando um design de rede LAN, chamado de campus LAN, que suporta a população de usuários �inais. Dispositivos de usuários �inais se conectam a switches LAN que, por sua vez, conectam-se a outros switches de modo a criarem um caminho para o resto da rede (TANENBAUM; WETHERALL, 2011). Os switches do campus LAN estão em racks de cabos – armários de telecomunicações – mais próximos dos usuários �inais. Alguns racks de cabos contêm os servidores e sistemas de armazenamento de dados – storages –, estes que, uma vez instalados em grandes salas de computação – conhecidas como centros de dados (data center) –, têm por �inalidade servir à rede, podendo suportar o trá�ego de dados aos seus usuários (COMER, 2016). Para encaminhar o trá�ego de um dispositivo de usuário para um servidor e vice-versa, cada comutador de rede executa o mesmo tipo de operação lógica e os métodos de acesso, objetivando encaminhar um quadro ethernet para um dispositivo na rede. Figura 1 – Desenho de campus LAN Fonte: Adaptado de Cisco 8 9 Visão Geral da Lógica de Comutação O principal papel de um switch LAN é encaminhar quadros ethernet – caso a rede local utilize essa tecnologia. As LAN existem como um conjunto de dispositivos de usuário, servidores e outros dispositivos que se conectam a switches. Tais dispositivos de rede são igualmente conhecidos como hosts de rede, ou apenas hosts. O switch LAN tem um objetivo principal: encaminhar os quadros para o correto endereço de destino (MAC). Para tanto, os switches LAN usam uma lógica baseada no endereço MAC de origem e de destino no cabeçalho ethernet de cada quadro – frame (DAVID; PETERSON, 2013). Os switches LAN recebem, então, os quadros ethernet em uma inter�ace – por- ta – de origem para a consequente tomada de decisão de encaminhamento, comu- tando o respectivo dado ao seu correto destino. Para realizar essa missão primária, os comutadores de rede executam três ações �undamentais, a saber: 1. Decidir quando encaminhar um quadro ou quando f ltrar – não encami- nhar – um quadro baseado no endereço MAC de destino; 2. Preparar-se para encaminhar quadros e aprender os endereços MAC, exa- minando a origem do endereço MAC de cada frame recebido pelo switch a f m de relacioná-lo a uma inter�ace de origem e, assim, mapear a tabela de endereçamento; 3. Preparar-se para encaminhar apenas uma cópia do quadro ao destino, criando um ambiente livre de loops de camada 2, com outros switches da rede ao utilizar o algoritmo Spanning Tree Protocolo (STP). Note que a primeira ação é o trabalho principal do switch, enquanto os outros dois itens são �unções indiretas, apesar de também serem importantes para o bom �uncionamento da rede local ethernet. Como a lógica de comutação utiliza a aná- lise de endereços MAC armazenados no quadro ethernet, é importante apresentá- -lo para um bom entendimento, veja: 1 byte 1 byte 1 or 2 bytes LLC/Data Control User Data or Pad Source Service Access Point Destination Service Access Point Length or Type Frame Check Sequence Source Address Destination AddressPreamble S F D Data or Pad to create minimum of 46 bytes, maximum of 1500 Figura 2 – Quadro ethernet IEEE 802.3 9 UNIDADE Dimensionamento de Rede Comutada O quadro ethernet é a menor unidade entendível de transmissão de uma rede ethernet – abaixo do qual temos apenas sinais elétricos, de luz e ondas eletromagnéticas –, possuindo vários campos, sendo que o principal certamente corresponde à identi�icação dos endereços de origem e destino – MAC address. Ambos os endereços MAC têm o tamanho de 48 bits, ou 6 bytes de comprimento – representados como doze dígitos hexadecimais –, constituindo parte �undamental da lógica de comutação desse tipo de rede (TANENBAUM; WETHERALL, 2011). Encaminhando Quadros Unicast Conhecidos Para decidir se deve encaminhar um quadro, um switch usa uma tabela criada dinamicamente que lista os endereços MAC aprendidos e as inter�aces associadas a cada endereço. Os comutadores, então, comparam o endereço MAC de destino do quadro nessa tabela de endereços para decidir se o switch deve encaminhar um quadro, ou simplesmente ignorá-lo Figura 3 – Decisão de encaminhamento do switch Fonte: Adaptado de Cisco A tabela de endereços MAC de um switch também é conhecida como tabela de comutação, ou tabela de ponte, ou até mesmo como tabela de Content Addressable Memory (CAM) – em re�erência à �orma de memória utilizada para armazenar a tabela (COMER, 2016). Ademais, a tabela de endereços MAC de um switch lista a localização de cada MAC em relação a esse único switch. Em LAN com múltiplos switches, cada um destes �az uma decisão de encaminhamento independente com base em sua própria tabela de endereços MAC. Juntos, encaminham o quadro para que eventualmente cheguem ao destino corretamente. No exemplo apresentado, os switches possuem a tabela de endereços com os seus respectivos MAC listados que, por consequência, contam com o endereço MAC de destino no quadro conhecido pelo comutador; estes são chamados de quadros unicast conhecidos, ou simplesmente unicasts conhecidos (KUROSE; ROSS, 2013). 10 11 Aprendendo Endereços MAC Em �unção do aprendizado automático de endereços, a equipe de rede não precisa digitar todas as entradas da tabela MAC. Ao invés disso, os switches �azem a sua segunda �unção principal: aprender os endereços e as inter�aces MAC a �im de colocá-los em sua tabela de endereços. Com uma tabela de endereços MAC completa, o switch pode tomar decisões precisas de encaminhamento e �iltragem. Os switches constroem a tabela de endereços ouvindo os quadros recebidos e examinando a origem do endereço MAC no quadro (COMER, 2016). Se um quadro entrar no switch por meio de uma porta de origem e o endereço MAC de origem não estiver na tabela de endereços MAC, o switch criará essa entrada na tabela de endereços – chamamos esse processo de mapeamento. Tal entrada da tabela lista as inter�aces a partir das quais o quadro chegou (TANENBAUM; WETHERALL, 2011). Veja como �unciona um switch ethernet em: https://youtu.be/j-IxVKsudDw.Exp lo r Inundação de Unicast Desconhecido e Quadros de Broadcast Caso o switch tenha que enviar um quadro a um endereço desconhecido, ou seja, quando não houver correspondência na entrada na tabela de endereços, o quadro será enviado para �ora de todas as inter�aces – exceto a de entrada –, usando um processo denominado flooding – ou, em português, inundação. Contudo, se o quadro cujo endereço de destino �or desconhecido ao switch, será chamado de quadro unicast desconhecido, ou simplesmente unicastdesconhecido (CISCO, 2017a). Os switches inundam quadros unicast desconhecidos, ou seja, o comutador encaminha cópias do quadro de todas as suas portas, exceto aquela na qual o quadro �oi recebido. A ideia é simples: se você não sabe para aonde enviá-lo, então o �aça para todos os lugares, a �im de entregar o quadro. Dessa �orma, é provável que o dispositivo envie uma resposta e, em seguida, o switch possa saber que o endereço MAC do dispositivo, para que possa encaminhar os quadros �uturos para uma porta como um quadro de unicast conhecido (TANENBAUM; WETHERALL, 2011). Switches também inundam quadros de broadcast da LAN – quadros destinados à transmissão ethernet. O endereço de broadcast é o FFFF.FFFF.FFFF, isso existe porque esse processo ajuda a entregar uma cópia do quadro a todos os dispositivos na LAN, de modo que diversos protocolos utilizam esse tipo de comutação para realizar as suas atividades próprias (KUROSE; ROSS, 2013). 11 UNIDADE Dimensionamento de Rede Comutada Assim, para melhor entendimento desses processos, pegue um simulador de rede, monte uma pequena topologia com dois switches interligados e com dois ou três hosts em casa switch e proceda com os seguintes comandos do IOS, observando-os para tirar as suas próprias conclusões: show mac address-table show mac address-table dynamic show interfaces status show interfaces F0/1 counters show mac address-table dynamic vlan 1 show running-config Hospedar e Alternar Confgurações IP Um switch precisa do mesmo tipo de con�iguração de IP que um host con- vencional como um Personal Computer (PC) com uma única inter�ace ethernet. Como comparação, um PC tem uma CPU com o sistema operacional rodando na qual, mais uma placa de inter�ace de rede – Network Interface Card (NIC) – ethernet. A con�iguração do Sistema Operacional de Rede (SOR) inclui um ende- reço IP associado à NIC, a qual con�igurada ou aprendida dinamicamente por meio de um servidor Dynamic Host Configuration Protocol (DHCP). Por sua vez, cada switch utiliza as mesmas ideias, exceto que o switch precisa usar uma NIC virtual aplicada internamente (TANENBAUM; WETHERALL, 2011). Assista ao Computer Networking Tutorial – em inglês –, disponível em: https://youtu.be/_VRToy-9SD0.Ex pl or Como um PC, um switch tem uma CPU real, rodando um SOR – denominado IOS no caso das plata�ormas Cisco. O comutador obviamente possui muitas inter- �aces ethernet, mas em vez de atribuir o seu endereço IP de gerenciamento para qualquer uma dessas portas, o switch usa um conceito semelhante à NIC, chamado de inter�ace virtual comutado – Switched Virtual Interface (SVI) –, ou mais comu- mente uma inter�ace de VLAN, que atua como a própria NIC (COMER, 2016). Figura 4 – Switch virtual inter�ace Fonte: Adaptado de Cisco 12 13 Por padrão, os switches da Cisco já possuem a VLAN 1 devidamente criada, permitindo inserir um endereço IP para o seu gerenciamento nessa inter�ace virtual da seguinte �orma: SW_Unicsul# configure terminal SW_Unicsul(config)# interface vlan 1 SW_Unicsul(config-if)# ip address 192.168.1.200 255.255.255.0 SW_Unicsul(config-if)# no shutdown 00:25:07: %LINK-3-UPDOWN: Interface Vlan1, changed state to up 00:25:08: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up SW_Unicsul(config-if)# exit SW_Unicsul(config)# ip default-gateway 192.168.1.1 Importante! O comando ip de�ault-gateway 192.168.1.1, aplicado ao f nal da conf guração, in�orma ao switch qual seria a inter�ace de de�ault-gateway da rede, geralmente um roteador ou f rewall. Note que aqui tratamos de switches de camada 2 (L2) – e não de switches multicamadas. Importante! Conf gurando Inter�aces no Comutador O IOS da Cisco usa o termo interface para se re�erir a portas �ísicas utilizadas para encaminhar dados de – e para – outros dispositivos. Cada inter�ace pode ser con�ormada com diversas con�igurações, cada qual di�erindo das demais em sua(s) inter�ace(s). O IOS usa subcomandos de inter�ace para de�inir essas con�igurações. Podemos con�ormar, ao menos, três con�igurações básicas por inter�ace: i) a velocidade da porta; ii) o duplex; e iii) uma descrição de texto de identi�icação dessa inter�ace; depois disso, são con�igurados os comandos shutdown e no shutdown, que administrativamente desativam e ativam a inter�ace, respectivamente. Conf gurando Velocidade, Duplex e Descrição Inter�aces de comutação que suportam várias velocidades – inter�aces 10/100 e 10/100/1000 –, por padrão, negociarão automaticamente a velocidade a ser utilizada. No entanto, você pode con�igurar a velocidade e con�igurações duplex com o duplex {auto | full | half} e a velocidade de inter�ace com {auto | 10 | 100 | 1000}. Essas con�igurações podem ser realizadas se desejar, por exemplo, de�inir a velocidade de inter�ace entre dois switches a �im de evitar os tempos de autonegociação que podem gerar um pequeno atraso. 13 UNIDADE Dimensionamento de Rede Comutada Assim, vejamos os comandos para realizar tais tare�as: SW_Unicsul # configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW_Unicsul(config)# interface FastEthernet 0/1 SW_Unicsul config-if)# duplex full SW_Unicsul(config-if)# speed 100 SW_Unicsul(config-if)# description Esse Switch liga outro Switch SW_Unicsul(config-if)# no shutdwon SW_Unicsul(config-if)# exit SW_Unicsul(config)# interface range FastEthernet 0/10 - 20 SW_Unicsul(config-if-range)# description As portas 10 a 20 ligar usuários SW_Unicsul(config-if-range)# no shutdwon SW_Unicsul(config-if-range)# ^Z (Lê-se CTRL+Z) SW_Unicsul# Note que o comando interface range é recorrentemente utilizado para criar um intervalo de portas e con�igurá-las de uma única vez; isso �az com que o processo de con�iguração de portas se torne mais rápido e menos estressante. Ou seja, todo o comando que você aplicar no range – grupo – valerá para todas as portas contidas nesse grupo �ormado. Após a con�iguração das portas, não se esqueça de aplicar o no shutdown para liberar/ativar a(s) porta(s). Design de Rede Ethernet Os dispositivos da rede ethernet e a lógica de �uncionamento que utilizam têm grande impacto no motivo pelo qual os engenheiros de redes projetam LAN. Alguns dos termos empregados para descrever os principais recursos de design vêm signi�icativamente para trás na história da ethernet e, por conta de sua idade, o signi�icado de cada termo pode ou não ser tão óbvio para alguém que atualmente aprende ethernet. A �im de melhor conhecermos o �uncionamento dessas redes, torna-se necessário que entendamos essas �ormas e lógicas de operação. Domínios de Colisão Ethernet A expressão domínio de colisão vem da história remota das LAN baseadas no protocolo ethernet. Atualmente, porém, esse termo pode se tornar um pouco con�uso para as redes ethernet consideradas modernas, até porque estas pratica- mente impedem que colisões ocorram com �requência. Então, para entender com- pletamente os domínios de colisão, inicialmente devemos observar brevemente a história da ethernet (KUROSE; ROSS, 2013). O cabo 10BASE-T �oi introduzido em 1990 e mudou signi�icativamente o design das LAN ethernet, tais como os desenhos atualmente vistos; isto porque o 10BASE-T introduziu o modelo de cabeamento similar ao atual para as LAN 14 15 ethernet, com cada dispositivo conectado a um outro centralizado e usando um cabo de par trançado (UTP). No entanto, originalmente o 10BASE-T não contava com switches LAN, mas sim com um dispositivo conhecido como hub ethernet. Embora tanto um hub, como um switch usem a mesma topologia �ísica de cabeamento em estrela, um hub ethernet não pode encaminhar o trá�ego tal como um switch. Os hubs ethernet utilizam o processamento da camada �ísica para encami- nhar dados, de modo que um hub não interpreta o sinal elétrico de entrada como um quadro ethernet, o endereço MAC de origem e destino e assim por diante. Basicamente, um hub age como um repetidor, apenascom muitas portas – in- ter�aces – de comunicação. Logo, quando um repetidor recebe um sinal elétrico de entrada, imediatamente encaminha um sinal regenerado para todas as demais portas que possui, exceto a porta de entrada – que recebeu tal sinal. Fisicamente, o hub envia apenas uma versão mais limpa do mesmo sinal elétrico de entrada, repetindo-o às suas outras portas (TANENBAUM; WETHERALL, 2011). Figura 5 – Hub ethernet Devido à operação da camada �ísica utilizada pelo hub, os dispositivos conecta- dos à rede devem empregar o método de acesso múltiplo com detecção de colisão (CSMA/CD) para saberem enviar os seus dados, de modo que o hub, por ser um dispositivo elétrico de regeneração de sinal e envio desse sinal a todas as portas, praticamente não tem mecanismos para evitar tais colisões. Em uma rede ethernet dessa �orma – com um hub – toda a análise da portadora e decisão de encaminha- mento dos dados na rede são realizadas pelos hosts dessa rede. Ou seja, o host que deseja enviar determinado dado a outro host precisa, antes, veri�icar se outro dado �oi colocado na portadora – em caso a�irmativo, necessitará aguardar essa portadora �icar livre para que possa enviar o re�erido dado. Como a rede ethernet não é determinística, ou seja, de acesso múltiplo e que não se consegue prever quando um host enviará um dado a outro dispositivo, pode ser que um host envie um dado ao mesmo tempo em que outro host o �aça – caso 15 UNIDADE Dimensionamento de Rede Comutada isso aconteça, colisões de quadros podem ocorrer; ao passo que o método de acesso CSMA/CD deve identi�icar essa colisão, parando por um tempo aleatório a �im de que outros hosts dessa mesma rede enviem os seus dados – isto até que a portadora volte a �icar livre (TANENBAUM; WETHERALL, 2011). Baseando-se nessas in�ormações, um hub não tenta impedir colisões, pois todos os dispositivos conectados ao qual �icam dentro do mesmo domínio de colisão, este que é o conjunto de NIC e portas de dispositivo, entrando em iminência de colisão. Resumindo os pontos-chave sobre hubs: • Atuam como repetidores multiportas, regenerando cegamente e repetin- do qualquer sinal a todas as outras portas, ainda que ignorem as regras do CSMA/CD; • Quando dois ou mais dispositivos enviam dados ao mesmo tempo, as ações do hub causam colisão, �azendo com que ambos os sinais sejam corrompidos; • Os dispositivos conectados devem se alternar usando o acesso múltiplo com detecção de portadora – a qual com detecção de colisão (CSMA/CD) –, que é a lógica de �uncionamento para que os dispositivos compartilhem a largura de banda e possam enviar os seus dados na rede; • Por serem dispositivos concentradores, os hubs criam uma topologia �ísica em estrela. O primeiro método para permitir que vários dispositivos enviem simultaneamen- te os seus dados é chamado de transparent bridges, ou apenas bridges – que em português signi�ica ponte. As bridges trouxeram as seguintes melhorias: • Ficavam entre os hubs e dividiam a rede em diversos domínios de colisão; Veja CSMA/CD e CSMA/CA explicados – em inglês –, disponíveis em: https://youtu.be/iKn0GzF5-IU.Ex pl or • Aumentam a capacidade de toda a ethernet, uma vez que cada domínio de colisão é basicamente uma instância separada do CSMA/CD; logo, cada do- mínio de colisão pode ter um remetente de cada vez – sem que as colisões ocorram em um mesmo domínio de colisão –, por este motivo dizemos que uma bridge divide domínios de colisão; • Criam diversos domínios de colisão como um e�eito colateral de sua lógica de encaminhamento. Uma bridge �az decisões de encaminhamento tal como um switch LAN moderno – na verdade, bridges eram os antecessores dos switches LAN modernos. Ademais e tal como os switches, as bridges arma- zenam os quadros ethernet na memória, esperando para enviá-los à inter�ace de saída com base nas regras do CSMA/CD e de suas tabelas de endereços. 16 17 Switches Ethernet e Domínios de Colisão Os switches LAN executam as mesmas �unções básicas que as bridges, mas com velocidades de comutação mais rápidas e com inúmeros recursos aprimora- dos. Tais como as bridges, os switches segmentam uma LAN em um separado domínio de colisão, cada qual com a sua própria capacidade. Como um switch é também conhecido como bridge multiportas, cada porta desse dispositivo é con- siderada um domínio de colisão especí�ico, �azendo com que seja diminuído em eventuais colisões. Quando ativado em uma porta do switch, o full-duplex prati- camente de detecção de colisão não precisa ser ativado, pois nesse caso a porta pode suportar dados simultaneamente transmitidos em sentidos opostos sem que haja colisão (TANENBAUM; WETHERALL, 2011). Hub Switch Figura 6 – Hub e switch ethernet Apesar do desenvolvimento dos switches, a expressão domínio de colisão se mantém importante, dado que as colisões ainda são relevantes nessa rede, pois os engenheiros necessitam estar prontos para entender e solucionar possíveis pro- blemas. Para tanto, tais engenheiros precisam identi�icar o domínio de colisão, de modo que os seus pontos-chave são: 17 UNIDADE Dimensionamento de Rede Comutada • Os switches da LAN colocam cada inter�ace separada em um domínio de colisão apartado; • As bridges de LAN – que usam a mesma lógica dos switches – colocam cada inter�ace em um domínio de colisão; • Os roteadores colocam cada inter�ace da LAN em um domínio de colisão especí�ico – o termo domínio de colisão não se aplica a inter�aces WAN; • Uma LAN moderna, com todos os switches e roteadores LAN e com full duplex aplicado em cada link não tem colisões. Domínios de Transmissão – Broadcast – Ethernet Um domínio de transmissão ethernet, igualmente chamado de domínio de broadcast ethernet, é o conjunto de dispositivos para o qual essa transmissão é entregue. Pense em uma LAN moderna por um momento e onde um quadro de transmissão �lui. Agora, imagine que todos os switches envolvidos ainda utilizem o padrão do switch para colocar cada inter�ace na VLAN 1 – esta que é criada por padrão nos switches ethernet modernos, sendo todas as suas portas associadas à qual. Como resultado, uma transmissão enviada por qualquer dispositivo seria inundada para todos os dispositivos conectados – exceto para aquele que enviou o quadro original (TANENBAUM; WETHERALL, 2011). Uma �orma de diminuir esses domínios de broadcast é criar duas in�raestruturas de redes �ísicas e, ao invés de conectá-las entre si – na mesma rede –, �azer a intermediação com um roteador de rede que possua a capacidade de segmentar domínios de broadcast. Em grandes redes e com diversos departamentos, a aplicação do roteador para separar tais domínios de transmissão pode se tornar uma atividade complicada, pois esses dispositivos não têm grande capilaridade de conexões ethernet que �azem a interligação das redes locais. Com isso, uma técnica amplamente implementada é a separação desses domínios de broadcast utilizando redes locais virtuais, do inglês Virtual Local Area Network (VLAN) – que trataremos em unidades �uturas. Analisando Topologias de Campus LAN O termo Campus LAN se re�ere à LAN criada para suportar os dispositivos em um ou diversos edi�ícios próximos uns dos outros. Os engenheiros de rede podem, então, construir um campus LAN que inclua switches em cada prédio, além de links ethernet entre esses switches nos edi�ícios a �im de criar grande rede que possa suportar as necessidades de negócio de uma determinada empresa. Ao planejar e projetar um campus LAN, os engenheiros devem considerar os tipos disponíveis de ethernet e os comprimentos de cabeamento suportados por cada �orma de tecnologia. Precisam também escolher as velocidades de comutação necessárias para 18 19 cada segmento ethernet, bem como estabelecer os tipos de switches mais adequados para a conexão de usuários, servidores e até mesmo outros switches, �ormando um grande backbone – espinha dorsal – na rede. Conheceremos, então, alguns modelos de desenho derede mais aplicáveis para os ambientes de campus LAN. Projeto de Campus LAN de Dois Níveis – Núcleo Colapsado A Cisco utiliza três termos para descrever a �unção de cada switch em um projeto de campus: acesso, distribuição e núcleo. As �unções di�erem dependendo se o switch encaminha o trá�ego do dispositivo usuário ao resto da LAN – acesso –, ou se o comutador encaminha o trá�ego entre outros switches na LAN – distribuição e core. Os switches de acesso se conectam diretamente aos usuários �inais, �ornecendo acesso ao dispositivo do usuário para a LAN. Comumente enviam trá�ego de – e para – os dispositivos de usuário �inal aos quais estão conectados. Os switches de distribuição �ornecem um caminho pelo qual os switches de acesso podem encaminhar o trá�ego uns aos outros. Utilizando o design, cada um dos switches de acesso se conecta a, pelo menos, um switch de distribuição, comumente para dois switches de distribuição para redundância (DAVID; PETERSON, 2013). Os comutadores de distribuição podem �ornecer o serviço de encaminhamento de trá�ego para outras partes da LAN. Note que a maioria dos projetos utiliza, ao menos, dois uplinks para dois comutadores de distribuição di�erentes, com �inalidades de redundância, porém, de links. Em um projeto de dois níveis – núcleo colapsado – temos duas camadas de switches, uma de acesso e a outra de distribuição – e não de core. Logo, um design de dois níveis resolve duas principais necessidades de design: 1. Fornece um local para conectar dispositivos de usuário f nal – a camada de acesso, com switches de acesso; e 2. Conecta os switches a um número razoável de cabos e portas de switch, ligando todos os switches de acesso para dois switches de distribuição de uma �orma condensada. Projeto de núcleo colapsado: https://goo.gl/�44PWX. Ex pl or Projeto Campus de Três Níveis O design de dois níveis apresentado possui uma malha parcial de links na camada de distribuição que, inclusive, é o projeto de campus LAN mais comum. O projeto de três camadas, como o próprio nome indica, inclui a camada principal – core –, sendo utilizada principalmente em redes que possuem a conexão de vários prédios que precisam comutar os seus dados em altíssima velocidade (CISCO, 2017b). 19 UNIDADE Dimensionamento de Rede Comutada Às vezes, o centro da rede utiliza uma malha completa – full mesh –, que é uma malha plenamente redundante, ou uma malha parcial, dependendo da disponibilidade de cabos entre os edi�ícios. No entanto, um design com uma terceira camada – principal – economiza portas de switch e cabos em design, pois nas ligações entre os edi�ícios os cabos correm para �ora do ambiente local – que comumente são mais caros para instalar –, sendo quase sempre compostos de cabeamento de �ibra com portas de switch mais caras. Assim, conservar o número de cabos utilizados entre os edi�ícios pode ajudar a reduzir signi�icativamente os custos de um grande projeto (DAVID; PETERSON, 2013). Projeto de três níveis: https://goo.gl/BRB6VQ. Ex pl or Usando um design central, com uma malha parcial de links no núcleo, você ain- da �ornece conectividade para todas as partes da LAN e aos roteadores que enviam pacotes pela WAN – apenas com menos ligações entre os edi�ícios. Podemos, então, descrever as �unções dos switches do campus considerando: • Acesso: �ornece um ponto de conexão – acesso – para dispositivos de usuário �inal. Não encaminha quadros entre dois outros comutadores de acesso em circunstâncias normais; • Distribuição – agregação: �ornece um ponto de agregação para switches de acesso, possibilitando conectividade para o resto dos dispositivos na LAN, encaminhando quadros entre switches, mas não conectando diretamente aos dispositivos do usuário �inal; • Principal – core: agrega os switches de distribuição em campus LAN consi- derados grandes, �ornecendo taxas de encaminhamento para o maior volume de trá�ego devido ao tamanho da rede e às capacidades de comutação – signi- �icativamente velozes. Assista ao vídeo, em inglês, intitulado Cisco hierarchical network model e disponível em: https://youtu.be/lTF28lN0md0.Ex pl or 20 • Introdução; • Conceitos de LAN Virtual (VLAN); • Criando VLAN e Trunks; • Conceitos de Marcação de VLAN; • Protocolos de Entroncamento de VLAN 802.1Q e ISL; • Encaminhando Dados entre VLAN; • Protocolo de Entroncamento de VLAN. • Conhecer e compreender as principais características e os conceitos sobre a apli- cação de redes virtuais locais (VLAN), além dos bene�ícios de utilização em redes de comutação. OBJETIVOS DE APRENDIZADO Redes Virtuais Locais (VLAN) UNIDADE Redes Virtuais Locais (VLAN) Introdução Caro(a) aluno(a), Por padrão, os switches ethernet já vêm configurados em seu sistema opera- cional para redes virtuais locais (VLAN) 1, estas que possuem características de gerência e de rede nativa. Assim, quando temos uma VLAN, detemos também um domínio de broadcast separado. Logo, caso se deseje criar outros domínios de broadcast e associar as por- tas/interfaces dos switches nessas novas VLAN, é necessário ter conhecimento para configurá-los. Portanto, nesta Unidade veremos, de fato, o que é uma VLAN, os seus bene- fícios e como criá-la e configurá-la corretamente em um ambiente de comutação. Conceitos de LAN Virtual (VLAN) Antes de entender o que é Virtual Local Area Network (VLAN), ou Virtual LAN, você deve, inicialmente, compreender a definição de uma LAN, esta que significa rede de área local, incluindo todos os dispositivos do usuário, servidores, switches, roteadores, cabos e pontos de acesso sem fio em um único local – ou seja, uma LAN contempla todos os dispositivos no mesmo domínio de transmis- são – broadcast. Por sua vez, um domínio de broadcast inclui o conjunto de todos os dispositivos conectados à LAN, de modo que quando os dispositivos enviam um quadro de broadcast, todos os demais dispositivos conectados obtêm uma cópia do referido quadro (TANENBAUM; WETHERALL, 2011). De uma perspectiva mais abran- gente, você poderá pensar em uma LAN e em um domínio de broadcast como um mesmo significado. Sem VLAN criada, um switch considera todas as suas interfaces no mesmo do- mínio de broadcast. Ou seja, para um switch, quando um frame de broadcast en- tra em uma porta do switch, este é redirecionado para que quadros sejam transmi- tidos para as demais portas. Baseando-nos nessa lógica, para criar dois diferentes domínios de broadcast, torna-se necessário adquirir dois switches LAN Ethernet diferentes (COMER, 2016). Com suporte no sistema operacional para a criação de VLAN, um único switch pode atingir os mesmos objetivos do design de rede para criar dois domínios de broadcast com apenas um único switch. Ademais, com VLAN, um switch pode configurar certas interfaces em um domínio de broadcast e algumas em outro domínio, criando, assim, vários domínios de broadcast, os quais individuais e cha- mados de LAN Virtuais (VLAN). 8 9 Projetar campus LAN para usar mais VLAN, cada qual com um número menor de dispositivos, ajuda a melhorar a LAN de diversas maneiras: por exemplo, uma transmissão enviada por um host em uma VLAN será recebida e processada por todos os outros hosts dessa VLAN, mas não pelos hosts em uma VLAN diferente. Limitando o número de hosts que recebem um único quadro de broadcast, é reduzido o número de hosts que desperdiçam esforço processando transmissões desnecessárias, diminuindo também os riscos de segurança, afinal, menos hosts veem quadros enviados por qualquer host – tratam-se apenas de algumas razões para separar hosts em diferentes VLAN. A seguinte lista resume as razões mais comuns para escolher criar menores do- mínios de broadcast (VLAN): • Reduzir a sobrecarga da Central Processing Unit (CPU) em cada dispositivo, diminuindo o número de dispositivos que recebem cada quadro de transmissão; • Reduzir os riscos de segurança, diminuindo o número de hosts que rece- bem cópias de quadros que os switches inundam – broadcasts,multicasts e unicasts desconhecidos; • Melhorar a segurança dos hosts que enviam dados confidenciais, mantendo esses hosts em uma VLAN específica; • Criar designs mais flexíveis para agrupar usuários por departamento, ou por grupos que funcionem juntos, ao invés de localização física; • Resolver problemas mais rapidamente, isto porque o domínio de falha para muitos problemas é o mesmo conjunto de dispositivos que estão no equivalen- te domínio de broadcast; • Reduzir a carga de trabalho do Spanning Tree Protocol (STP), limitando uma VLAN a um comutador de acesso único. Criando VLAN e Trunks Configurar VLAN em um único switch requer apenas um pequeno esforço: você deve criar a VLAN primeiro e depois configurar cada porta – interface – para infor- mar o número de VLAN ao qual essa porta pertencerá. Com vários switches você de- verá considerar conceitos adicionais sobre como encaminhar o tráfego entre os quais. Ao operar VLAN em redes com vários switches interconectados, estes pre- cisam usar o entroncamento – trunk – de VLAN nos links entre os switches. Nesses troncos, os switches necessitam utilizar um processo denominado VLAN tagging – etiqueta –, pelo qual o switch de envio adiciona outro cabeçalho para o quadro antes de enviá-lo pelo tronco. Tal cabeçalho de trunking extra inclui um campo de identificação de VLAN (VLAN ID) para que o switch de envio possa associar o quadro com um ID de VLAN em particular, enquanto o comutador de recepção possa saber em qual VLAN cada quadro pertence (COMER, 2016). 9 UNIDADE Redes Virtuais Locais (VLAN) Conceitos de Marcação de VLAN O entroncamento VLAN cria um link entre os switches que suportam tantas VLAN quanto forem necessárias. Como um tronco da VLAN, os switches tratam o link como se este fizesse parte de todas as VLAN. Ao mesmo tempo, o tronco mantém o tráfego da VLAN separado, de modo que os quadros de uma VLAN não alcançarão os dispositivos na outra VLAN e vice-versa, isto porque cada quadro é identificado pelo número de VLAN enquanto cruza o tronco. Tal marcação fica entre os comutadores da rede, ou em equipamentos que possuem características de leitura desses tags. Saiba para que serve uma VLAN no vídeo disponível em: https://youtu.be/b�AlsLZgOG8. Ex pl or Figura 1 – Entroncamento de VLAN Fonte: thanatos.trollprod.org O uso do entroncamento permite que os switches transmitam quadros de várias VLAN em um único meio físico de rede, adicionando um pequeno cabeçalho ao quadro ethernet. Protocolos de Entroncamento de VLAN 802.1Q e ISL A Cisco suportou dois protocolos diferentes de entroncamento ao longo dos anos: Inter-Switch Link (ISL) e IEEE 802.1Q (dot1Q). Desses dois protocolos de marcação de VLAN a Cisco criou o ISL antes do 802.1Q, em parte porque o IEEE não tinha, até então, definido um padrão de entroncamento de VLAN. Anos depois, o IEEE concluiu o trabalho no padrão 802.1Q, que define uma maneira diferente de executar o entroncamento. Atualmente, o 802.1Q se tornou o protocolo de entroncamento mais popular no mercado e, por esse motivo, a Cisco praticamente não suporta mais o ISL – apesar de ser um protocolo proprietário da Cisco – em alguns de seus modelos de switches mais modernos. 10 11 Enquanto o ISL e 802.1Q marcam cada quadro com o ID da VLAN, os detalhes de marcação são diferentes: 802.1Q insere um cabeçalho extra de VLAN 802.1Q de 4 bytes no cabeçalho do quadro ethernet original – sendo que o campo mais importante para nós, nesta Unidade, é o VLAN ID, que identifica uma VLAN den- tro do cabeçalho do 802.1Q. O campo de 12 bits suporta um máximo teórico de 4.096 VLAN, mas na práti- ca suporta, no máximo, 4.094 – tanto o 802.1Q quanto o ISL usam 12 bits para marcar o ID de VLAN, com dois valores reservados (0 e 4.095). 802. 1Q Tag 802. 1Q Tagged Layer 2 frame EtherType(0x8100) 2B PRI 3B CFI 1 bit VLAN ID 12 bits FCS 4B Data 0-1500B Length/Etype 2B Tag 4B SA 6 DA 6B Figura 2 – Marcação do IEEE 802.1Q Os switches da Cisco quebram o intervalo de ID de VLAN (1 a 4.094) em dois intervalos: normal e de alcance estendido. Todos os switches podem usar VLAN de intervalo normal com valores de 1 a 1.005. Apenas alguns switches podem usar VLAN de faixa estendida com ID de VLAN de 4.094. As regras para as quais os switches podem usar VLAN de intervalo estendido dependem da configuração do VLAN Trunking Protocol (VTP), que também é um protocolo proprietário da Cisco com a finalidade de agilizar a criação e configuração em uma rede campus LAN (KEVIN; LACOSTE; HUCABY, 2015). 802.1Q também define uma ID de VLAN especial em cada tronco como a VLAN nativa para usar a VLAN 1. Por definição, 802.1Q simplesmente não adi- ciona um cabeçalho 802.1Q a quadros em uma VLAN nativa. Quando o comuta- dor do outro lado do tronco recebe um quadro que não tem um cabeçalho 802.1Q, o switch de recepção sabe que o quadro é parte da VLAN nativa. Note que devido a esse comportamento, ambos os switches devem concordar sobre em qual VLAN está definida a VLAN nativa. Por padrão nos switches da Cisco, a VLAN nativa e de gerência é a 1. Por sua vez, a VLAN nativa do 802.1Q fornece algumas funções interessantes, principal- mente para suportar conexões para dispositivos que não entendem o entronca- mento (TANENBAUM; WETHERALL, 2011). Descubra, af nal, o que é VLAN trunk (IEEE 802.1Q) disponível em: https://youtu.be/9C9TEm�1TkQ.Ex pl or 11 UNIDADE Redes Virtuais Locais (VLAN) Por exemplo, um switch Cisco pode ser conectado a um switch que não en- tende o entroncamento 802.1Q. O switch Cisco pode enviar quadros na VLAN nativa, significando que o quadro não tem cabeçalho de entroncamento para que o outro switch entenda o quadro. O conceito de VLAN nativa fornece aos switches a capacidade de, pelo menos, passar tráfego em uma VLAN – nativa –, o que pode permitir funções básicas, tal como a acessibilidade para telnet ou SSH – aplicações de conexão remota – em um switch. Encaminhando Dados entre VLAN Geralmente, em uma grande infraestrutura de campus LAN é normal que tenhamos diversas VLAN criadas. Como vimos, quando criamos uma VLAN, con- cebemos um domínio de broadcast que, por sua vez, não tem a capacidade de se comunicar com outros domínios por se tratar de uma tecnologia de camada 2; por esse motivo, precisamos compreender as formas conhecidas de transmissão de dados entre essas VLAN (CISCO, 2017a, 2017b). Os switches ethernet são dispositivos da camada 2 em relação ao modelo de referência OSI, pois tomam a decisão de encaminhamento se baseando nos en- dereços MAC aprendidos e armazenados em uma tabela de endereçamento de hardware. Alguns switches podem fazer determinadas funções como um roteador usando uma lógica adicional definida pelos protocolos da camada 3, de modo que esses switches são conhecidos como switches multicamadas – Multilayer Switches (MLS) –, ou switches de camada 3, ou ainda switches L2/L3. Assim, nesta oportunidade trataremos dos switches ethernet da forma que fo- ram concebidos, ou seja, de camada de enlace, ou camada 2 e, nesse caso, para que os dados entre VLAN sejam propagados, torna-se necessária a aplicação de um dispositivo de rede com a capacidade de roteamento de pacotes como, por exemplo, um roteador (KEVIN; LACOSTE; HUCABY, 2015). Comunicação de VLAN com um Roteador Ao incluir VLAN em um projeto de campus LAN, os dispositivos em uma VLAN precisam estar na mesma sub-rede. Seguindo a mesma lógica de design, os dispositivos em diferentes VLAN necessitam estar em diferentes sub-redes. Por sua vez, a rede como um todo precisa suportar o tráfego que entra e sai de cada VLAN, ainda que o comutador de camada 2 não encaminhe quadros fora de uma VLAN. O trabalho de encaminhamento dos dados que entram e saem de uma VLAN é atribuído aos roteadores. Logo, em vez de trocar quadros ethernet da camada 2 entre as duas VLAN, a rede deve rotear os pacotes da camada 3 entre as duas sub-redes. A lógica da camada 2 não permite que essa possa alternarpara frente a unidade de dados de protocolo da camada 2 (L2PDU), o quadro ethernet, entre VLAN. 12 13 No entanto , os roteadores podem rotear PDU (L3PDU) de camada 3 – paco- tes – entre sub-redes e, por esse motivo, tal técnica é devidamente implementada (CISCO , 2017a, 2017b). Uma opção preferida usa um tronco – trunk – de VLAN entre o switch e roteador, exigindo apenas um link físico entre esses dispositivos, podendo supor- tar todas as VLAN criadas na rede. O entroncamento pode funcionar entre dois dispositivos que escolham suportar, por exemplo, dois switches entre um roteador e um switch, ou até mesmo entre o hardware do servidor com capacidade de roteamento e um comutador de rede. Figura 3 – Roteamento de VLAN com roteador e trunk Fonte: oakwoodclub.org Comunicação de VLAN com um Switch L2/L3 Roteamento de pacotes usando um roteador físico conectado a uma porta trunk em um switch de camada 2 é conhecido como router-on-stick ou, em português, roteador no palito e é uma forma clássica e barata de se fazer roteamento entre as VLAN criadas em uma rede. Os problemas desse tipo de solução estão relacio- nados à vulnerabilidade da conexão de tronco, que pode acabar desconectada por engano ou falha, além das capacidades que o roteador poderá suportar em relação ao tráfego de rede. 13 UNIDADE Redes Virtuais Locais (VLAN) A solução definitiva move as funções de roteamento dentro do hardware do switch LAN. Os fornecedores há muito começaram a combinar os recursos de hardware e software de sua camada 2 e switches LAN, além de roteamento de camada 3, criando produtos chamados de switches de camada 3 – igualmente conhecidos como switches multicamadas. Os switches da camada 3, ou apenas L3, podem ser configurados para atuar somente como um switch de camada 2, switch de camada 3, ou configurá-los de forma mista, onde são definidas quais portas farão a função de L2 e L3. Atualmente, muitas campus LAN corporativas de médio a grande porte utilizam switches de camada 3 para rotear pacotes entre sub-redes (VLAN) em um campus (DAVID; PETERSON, 2013). No conceito, um switch de camada 3 funciona como os dois dispositivos origi- nais nos quais o layer 3 switch é baseado e com estas capacidades: um switch de LAN de camada 2 e um roteador de camada 3. Apesar de serem mais caros que os switches de camada 2 – considerando as mesmas características de hardware –, tais equipamentos são mais ágeis, robustos e confiáveis para a infraestrutura de rede e, assim, obtém-se maior preferência para atualmente realizar essas funções (TANENBAUM; WETHERALL, 2011). fa 0/1 172.17.17.9/30 Gi0/1 Gi0/1 fa 0/24 172.17.17.10/30 IEEE 802. 1Q Gigabit Trunk 10.100.10.2/24 10.100.20.2/24 Corp Cat3560 L3SW Cat2950 L2SW PC01 PC02 VLAN (Native) - 10.100.1.1/24 VLAN 10 - 10.100.10.1/24 VLAN 20 - 10.100.20.1/24 Native VLAN 1 10.100.1.0/24 Marketing VLAN 10 fa 0/1-4 10.100.10.0/24 Marketing VLAN 20 fa 0/5-8 10.100.20.0/24 Figura 4 – Roteamento de VLAN com um switch L2/L3 14 15 Os switches da Cisco não exigem nenhuma configuração para funcionar. Você pode comprar um desses switches, instalar os dispositivos por meio do cabeamen- to correto, ligá-los e com certeza funcionarão – é claro que, de uma forma clássica onde todas as suas interfaces estarão associadas à VLAN 1 criada e definida como padrão, ou seja, em um único domínio de broadcast. Quando se deseja criar VLAN, associar as portas às quais e definir portas- -troncos e outras características mais específicas, é necessário que um profis- sional com conhecimento faça essas configurações. Para facilitar o seu entendi- mento, descreveremos algumas etapas de configuração para um ambiente com tais necessidades: Etapa 1 – para configurar uma nova VLAN: • Dê uma olhada nas VLAN criadas no switch com o comando show vlan brief; • A partir do modo de configuração, use o comando vlan vlan-id na configura- ção global do modo para criar a VLAN e para mover o usuário para a confi- guração de modo de VLAN; • Opcional – use o comando name name no modo de configuração da VLAN para definir um nome para tal VLAN. Se não configurado, o nome da VLAN será VLANXXXX, onde XXXX é o ID da VLAN em decimal de quatro dígitos. Etapa 2 – para cada interface de acesso (que não fizer o tronco, mas que per- tencer a uma única VLAN): • Use o comando número do tipo de interface no modo de configuração global para passar ao modo de configuração de interface para cada interface desejada; • Use o comando switchport access vlan id-number na configuração do modo de interface para especificar o número da VLAN associado a essa interface; • Opcional – utilize o comando de acesso do modo switchport na configuração de modo de interface para que essa porta funcione sempre no modo de acesso (ou seja, não tronco). Para fazer tais configurações, insira os seguintes comandos: SW_UNICSUL# show vlan brief SW_UNICSUL# configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW_UNICSUL(config)# vlan 2 SW_UNICSUL(config-vlan)# name ENGENHARIA SW_UNICSUL(config-vlan)# exit SW_UNICSUL(config)# interface range fastethernet 0/10 - 15 SW_UNICSUL(config-if)# switchport access vlan 2 SW_UNICSUL(config-if)# switchport mode access SW_UNICSUL(config-if)# end SW_UNICSUL# show running-config SW_UNICSUL# show vlan brief 15 UNIDADE Redes Virtuais Locais (VLAN) Os comandos aplicados no exemplo primeiramente verificam os estados das VLAN que tal dispositivo possui, acessando o modo global de configuração, criando uma VLAN como VLAN 2, definindo o seu nome administrativo como engenharia e saindo do modo global. Na próxima etapa acessaremos as interfaces – agrupadas (range) – fastethernet 0/10 até a fastethernet 0/15, associando esse grupo de interfaces à VLAN 2 criada e a definindo como uma porta de acesso, ou seja, uma porta que receberá conexões de hosts usuários. Assista, em inglês, aos conceitos de VLAN no vídeo disponível em: https://youtu.be/2hUUaG4o3DA.Ex pl or Por fim, verifica a conformidade do arquivo de configuração que está na memória de trabalho RAM e depois averígua novamente o estado das VLAN nesse switch, po- rém, agora com a VLAN 2 devidamente criada da porta 10 à 15 – associadas à qual. Protocolo de Entroncamento de VLAN A Cisco desenvolveu um protocolo conhecido como VLAN Trunking Protocol (VTP), que tem o objetivo de acelerar os processos de configuração das VLAN em uma infraestrutura de switches Cisco – o TP é um protocolo proprietário. Trata-se de uma ferramenta que anuncia cada VLAN configurada em um switch – com o comando vlan number – para que todos os outros switches no campus LAN conheçam essa VLAN. No entanto, por várias razões, diversas empresas optam por não usar o VTP por questões de segurança em relação à falta de atenção dos profissionais que o configuram; mesmo assim, o nosso objetivo é apresentá-lo como uma ferramenta útil, desde que seja utilizada com conhecimento e siga os procedimentos apropria- dos de configuração. Esse protocolo VTP possui os switches em três estados: server – servidor –, transparent – transparente – e client – cliente. A fim de apresentar esse protocolo, torna-se importante definir alguns parâmetros, tal como verificar o status do VTP com o comando show vtp status. Se o seu switch estiver definido como servidor VTP ou modo cliente, você encontrará os comutadores no estado: • Servidor, podendo configurar VLAN apenas no intervalo padrão – 1 a 1.005; • De cliente, não podendo configurar VLAN; • Tanto de servidor, quanto de cliente do VTP, podendo aprender novas VLAN de outros switches e verificar as suas VLAN excluídas por outros switches, em função da estrutura do VTP. Conheceremos detalhadamente esse protocolo VTP em Unidade futura. 16 17 Configuração de Entroncamento de VLAN – Porta Trunk A configuração de entroncamento entre dois switches Cisco pode ser simples se você apenas configurar estaticamente – manualmente – o entroncamento. Porexemplo, se dois switches Cisco 2960 se conectarem um ao outro, suportarão apenas os encapsulamentos de VLAN do tipo IEEE 802.1Q – e não ISL (isso já foi explicado). Nesse caso, você poderia literalmente adicionar um subcomando de interface para a do switch em cada lado do link – trunk do modo switchport –, de modo que criaria um tronco de VLAN que suportaria todas as VLAN conhecidas por cada switch dessa configuração. No entanto, a configuração de trunking nos switches da Cisco inclui diversas outras opções, incluindo várias para negociar dinamica- mente inúmeras configurações de entroncamento. Caso seja um switch que suporte o protocolo ISL e o administrador queira apli- car esse tipo de encapsulamento, torna-se necessário: • Definir o tipo de entroncamento – IEEE 802.1Q ou ISL: suponhamos que você queira configurar dois switches que possuem várias VLAN criadas entre si; será necessário estabelecer, na porta que os conecta fisicamente, a porta de tronco – trunk port –, da seguinte forma: Figura 5 – Conf guração de porta trunk Fonte: Adaptado de Cisco, 2017 SW_UNICSUL# configure terminal SW_UNICSUL(config)# interface fastethernet 0/1 SW_UNICSUL(config-if)# switchport mode trunk SW_UNICSUL(config-if)# end 17 UNIDADE Redes Virtuais Locais (VLAN) É importante que essa configuração seja realizada em ambas as interfaces que cumprirão o papel de tronco. Note que não definimos o tipo de encapsulamento desse tronco, pois consideramos que seja um switch que suporta apenas o pro- tocolo IEEE 802.1Q – caso o switch suporte também o protocolo de encap- sulamento ISL, será necessário definir o encapsulamento a ser utilizado com o seguinte comando: SW_UNICSUL(config)# switchport trunk encapsulation dot1q Ou: SW_UNICSUL(config)# switchport trunk encapsulation isl 18 • Contextualização; • Roteamento entre VLANs. • Compreender e apresentar técnicas de dimensionamento de redes locais virtuais e roteamento entre VLANs. OBJETIVO DE APRENDIZADO Roteamento e Dimensionamento de VLANs UNIDADE Roteamento e Dimensionamento de VLANs Contextualização Olá, caro(a) aluno(a), Como vimos em outras unidades, a criação e operação das VLANs em um switch ethernet é realizada em camada 2 do modelo OSI (Data Link) e a marcação da VLAN é feita através de um Tag conhecido como IEEE 802.1Q ou ISL da Cisco. Ao se criar várias VLAN temos vários domínios de broadcast separados. Por definição, uma VLAN não pode se comunicar com outra VLAN e por esse motivo surge a necessidade de aplicarmos roteamento entre as VLANs que de- sejamos que se comuniquem. Nesta unidade, vamos conhecer essas técnicas de roteamento e também como dimensionar melhor essas redes virtuais. 8 9 Roteamento entre VLANs Os hosts em uma VLAN vivem em seu próprio domínio de broadcast e podem se comunicar livremente nesse segmento. As VLANs podem criar particionamento de rede e separação de tráfego na camada 2 do modelo OSI, e, como dito em outras unidades, quando associamos hosts em uma VLAN, eles só podem se comunicar com hosts dentro de sua própria VLAN (Domínio de Broadcast). Para que hosts de uma VLAN possam se comunicar com hosts de uma outra VLAN, surge a neces- sidade de aplicação de um dispositivo de rede que faça a função de roteamento em camada 3 (COMER,2016). Para que isso se realize, podemos utilizar um roteador que tenha uma interface Ethernet para cada VLAN, ou um roteador que suporte o entroncamento de pro- tocolos de marcação (Tag) do tipo ISL da Cisco, ou IEEE 802.1q (Dot1Q). A Cisco praticamente se afastou da utilização de seu protocolo ISL, então provavelmente, deveremos utilizar o 802.1q para esse tipo de encapsulamento de VLAN. De qualquer forma, se estivéssemos utilizando duas ou três VLANs em uma infraestrutura de rede, poderíamos obter um roteador equipado com duas ou três conexões FastEthernet ou GigabitEthernet, por exemplo. Cada uma dessas in- terfaces do roteador estaria conectada a um link de acesso, que faria a função de um gateway da respectiva VLAN, e, por esse motivo, cada uma dessas interfaces também estaria relacionada a um endereço IP de rede/sub-rede com a função de identificá-las e separá-las em camada 3 (KUROSE, 2013). Figura 1 – Roteador conectado a três VLANs ou LANs segmentadas para a comunicação InterVLAN Observe que a comunicação de InterLAN é limitada à quantidade de portas físi- cas que o dispositivo que fará o roteamento pode suportar. Caso se deseje conectar mais VLANs disponíveis do que as interfaces do roteador, é possível configurar o entroncamento em uma interface FastEthernet, ou então adquirir um switch de camada 3. Ou seja, ao invés de se usar uma interface de roteador para cada VLAN, poderíamos utilizar uma interface FastEthernet que execute o entroncamento do tipo ISL ou 802.1q. 9 UNIDADE Roteamento e Dimensionamento de VLANs Quando criamos uma interface de entroncamento, por definição, todos os qua- dros marcados com TAG ISL ou 802.1q devem passar por essa porta. Por esse motivo, definimos um entroncamento – também chamado de porta “trunk”, ou no português, uma porta tronco – uma interface que passa por padrão todas as VLANs de uma infraestrutura de rede (CISCO, 2017). Figura 2 – Roteador conectado a três VLANs através de uma porta tronco É importante ressaltar que a técnica de entroncamento cria um gargalo poten- cial, assim como um único ponto de falha, então sua contagem de host/VLAN é limitada, dependendo dos dispositivos de rede e das vazões dos meios físicos de co- municação utilizados nessa estrutura. Essa técnica de entroncamento e roteamento de VLANs, utilizando uma interface Ethernet e conectando um roteador e um switch é conhecida como “router-on-stick” ou, em português, roteador no palito, ou roteador no bastão, em função do desenho que apresenta. Essa interface física de conexão no roteador suporta várias interfaces lógicas (sub-interfaces) e essas agem como portas gateway identificadas em cada rede/sub-rede, como ocorre na InterVLAN (roteamento de VLANs) tradicional. GigabitEthernet 0/0GigabitEthernet 0/0.1 GigabitEthernet 0/0.2 GigabitEthernet 0/0.3 Figura 3 – Roteador e Inter�aces Lógicas Criadas Podemos então notar uma interface física devidamente particionada, ou dividi- da, em várias interfaces lógicas, conhecidas como sub-interfaces, que carregam um endereço IP atribuído por cada VLAN e agem como a interface padrão (default gateway) dessa VLAN criada. 10 11 Além disso, cada sub-interface precisa ser identificada com o tipo de encapsu- lamento de VLAN devidamente utilizado na infraestrutura de rede. É importante também verificar que o processo de roteamento age praticamente de uma forma automática quando se configura essa interface física dividida em várias interfaces ló- gicas, cada uma com seu endereço IP, pois como podemos observar no roteamento clássico, rotas diretamente configuradas podem ser rotadas entre si, sem a necessida- de de um protocolo de roteamento dinâmico ser aplicado (COMER,2016). Roteamento entre VLANs e Rota estática para Switches HP, 3Com e H3C. Disponível em: https://youtu.be/OvSAt-XLAUU.Ex pl or Outra forma de se fazer roteamento de VLANs em uma infraestrutura de redes é a aplicação da configuração de interfaces virtuais (SVIs – Interface Virtual Comu- tada) em um switch de camada 3, também chamado de switch L2/L3, ou apenas de switch L3. Esse processo também é conhecido por IVR (InterVLAN Routing) / SVIs (Switched Virtual Interface). Router (7206VXR) Internet Fa 0/0 Fa 0/48Catalyst 3550 SERVER_1 Catalyst 2950 Vlan 10 - 10.1.10.2 Catalyst 2948G Sc0 - 10.1.10.3 SERVER_2 HOST_1 HOST_2 SERVER_3 Gig 0/1 Gig 0/2 Gig 0/1 Fa 0/17 Fa 0/33 2/232/2 2/49 Fa 0/5 Vlan 2 - 10.1.2.1 Vlan 3 - 10.1.3.1 Vlan 10 - 10.1.10.1 Figura 4 – Roteamento de VLANs realizado através de SVIs em um Switch L3 11 UNIDADE Roteamento e Dimensionamento de VLANs O processo de IVR requer pouco esforço e é mais fácil para se implementar, o que o tornaatualmente numa técnica mais utilizada. Contudo, isso vai depender de cada recurso que a rede possa ter, pois é necessário adquirir um switch multicama- das (MLS), que geralmente tem um custo superior ao de um roteador tradicional (dependendo da sua arquitetura, é claro). Além disso, é uma técnica muito mais eficiente para o roteamento entre VLANs do que um roteador externo. Para im- plementar o IVR em um switch multicamadas, precisamos apenas criar interfaces lógicas na configuração do switch para cada VLAN (CISCO, 2017). Confgurando o Roteamento entre VLANs Por padrão, somente hosts que são membros da mesma VLAN podem se comuni- car. Para mudar isso é necessário permitir a comunicação entre VLANs através de um roteador ou de um switch multicamadas ou de camada 3. Vamos abordar primeiramente um exemplo de configuração usando um roteador. Para suportar o roteamento ISL ou 802.1q em uma interface FastEthernet, a interface do roteador é dividida em interfaces lógicas (sub-interfaces), uma para cada VLAN devidamente criada na rede e que necessita ser roteada. De uma interface FastEthernet ou GigabitEthernet, você pode definir a interface para o entroncamento (ou apenas tronco) com o comando de encapsulamento: UNICSUL# config t UNICSUL(config)# interface f0/0.1 UNICSUL(config-subif)# encapsulation ? dot1Q IEEE 802.1Q Virtual LAN UNICSUL(config-subif)# encapsulation dot1Q ? <1-4094> IEEE 802.1Q VLAN ID No exemplo, estamos usando um roteador da família ISR 2811, que suporta apenas o tipo de encapsulamento 802.1q. Ou seja, caso se deseje usar o encap- sulamento ISL, é necessário utilizar um roteador que o suporta, e provavelmente um roteador mais ultrapassado do que os modelos ISR (Cisco Integrated Service Routers). Note que para se criar uma sub-interface sob uma interface física, não existe um comando específico, e sim um comando como se estivesse adentrando em um nova interface, ou seja, basta apenas aplicar o comando “interface” seguido da interface física e da sub-interface que se deseja criar, nesse caso a sub-interface 0.1 (zero ponto um). Para apresentar se o roteador pode suportar mais tipos de encapsuladores de VLANs, inserimos o “?” após o “encasulation” e verificamos que este roteador utilizado apenas suporta o IEEE 802.1q, que inclusive é o mais utilizado atualmente (o ISL da Cisco praticamente foi descontinuado). Também notamos que este dispo- sitivo suporta a criação de pelo menos 4094 VLANs que, de certa forma, é uma excelente quantidade para a maioria das redes corporativas. Caso se necessite de um dispositivo que suporte uma quantidade maior de VLANs, recomenda-se adqui- rir dispositivos mais robustos do que o ISR 2811. 12 13 É importante comentar que a sub-interface tem apenas um significado local, por isso não importa quais números de sub-interfaces são configurados no roteador. Na maioria das vezes, se configura uma sub-interface com o mesmo número da VLAN que se deseja rotear. O número da sub-interface é utilizado apenas para fins administrativos. É muito importante que se entenda que cada VLAN é, na verdade, uma sub-rede separada. Esta técnica é definida como roteador no palito e irá fornecer roteamento Inter- -VLAN, podendo também ser usada para encaminhar o tráfego a montante da rede comutada para outras partes da rede corporativa, ou até mesmo para a Inter- net, que é uma rede exterior à topologia (ROCHOL, 2012). Multilayer Switch InterVLAN Routing (Em Inglês) em: https://youtu.be/BvH�Qc3_l4I. Ex pl or Cada sub-interface deve possuir um endereço IP que identifica o gateway pa- drão da respectiva VLAN. Geralmente, para facilitar a gerência, usamos no núme- ro de sub-interface o mesmo que o número de VLAN ID que identifica uma VLAN. Por exemplo, se criamos uma VLAN 10, então se costuma aplicar a sub-interface f0/0.10. Note que fica mais fácil entender, dessa forma, qual sub-interface está associada à qual VLAN (DAVID, 2013). • Exemplo 1 de Roteamento InterVLAN: 1841 Router1 2960-24TT Switch0 PC-PT PC1 PC-PT PC0 PC-PT PC2 1841 Router1 2960-24TT Switch0 Figura 5 – Exemplo 1 de Roteamento InterVLAN com entroncamento 13 UNIDADE Roteamento e Dimensionamento de VLANs » Exemplo de Configuração no Roteador: RO_UNICSUL(config)# Interface fastethernet 0/1 RO_UNICSUL(config-if)# ip address 192.168.10.1 255.255.255.240 RO_UNICSUL(config-if)# exit RO_UNICSUL(config-subif)# interface fastethernet 0/1.20 RO_UNICSUL(config-subif)# encapsulation dot1q 20 RO_UNICSUL(config-subif)# ip address 192.168.20.1 255.255.255.0 RO_UNICSUL(config-subif)# interface fastethernet 0/1.30 RO_UNICSUL(config-subif)# encapsulation dot1q 30 RO_UNICSUL(config-subif)# ip address 192.168.30.1 255.255.255.0 RO_UNICSUL(config-subif)# interface fastethernet 0/1.40 RO_UNICSUL(config-subif)# encapsulation dot1q 40 RO_UNICSUL(config-subif)# ip address 192.168.40.1 255.255.255.0 » Exemplo de Configuração no Switch: SW_UNICSUL# config t SW_UNICSUL(config)# interface fa0/1 SW_UNICSUL(config-if)# switchport mode trunk Faça você no Switch: • Crie as VLANs 20, 30 e 40. Coloque os nomes Professores, Administra- ção e Estudantes, respectivamente. • Associe as portas fa0/2 na VLAN 20, fa0/3 na VLAN 30 e a fa0/4 na VLAN 40. • Coloque as portas como modo de acesso e as tire de shutdown. Faça você nos Hosts: • Configure no Host A um endereço IP na sub-rede da VLAN 20. • Configure no Host B um endereço IP na sub-rede da VLAN 30. • Configure no Host C um endereço IP na sub-rede da VLAN 40. • Aponte no Host A um endereço IP de default-gateway na VLAN 20. • Aponte no Host B um endereço IP de default-gateway na VLAN 30. • Aponte no Host C um endereço IP de default-gateway na VLAN 40. 14 15 • Exemplo 2 de Roteamento InterVLAN: PC-PT PC1 (VLAN 2) PC-PT PC0 (VLAN 3) 2960-24TT Switch0 1841 Router1 Figura 6 – Exemplo 2 de Roteamento InterVLAN com entroncamento » Exemplo de Configuração no Switch: SW#config t SW(config)#int f0/1 SW(config-if)#switchport mode trunk SW(config-if)#int f0/2 SW(config-if)#switchport access vlan 2 SW(config-if)#int f0/3 SW(config-if)#switchport access vlan 3 SW#config t SW(config)#int vlan 1 SW(config-if)#ip address 192.168.10.2 255.255.255.0 SW(config-if)#no shutdown SW(config-if)#exit SW(config)#ip default-gateway 192.168.10.1 15 UNIDADE Roteamento e Dimensionamento de VLANs » Exemplo de Configuração no Roteador: ISR#config t ISR(config)#int f0/0 ISR(config-if)#ip address 192.168.10.1 255.255.255.0 ISR(config-if)#no shutdown ISR(config-if)#int f0/0.2 ISR(config-subif)#encapsulation dot1q 2 ISR(config-subif)#ip address 172.16.10.1 255.255.255.128 ISR(config-subif)#int f0/0.3 ISR(config-subif)#encapsulation dot1q 3 ISR(config-subif)#ip address 172.16.10.254 255.255.255.128 • Exemplo 3 de Roteamento InterVLAN com SW L3: PC-PT PC0 (VLAN 10) PC-PT PC1 (VLAN 20) 3560-24PG Multilayer Switch0 Figura 7 – Exemplo 3 de Roteamento InterVLAN com SW Multicamadas Certifique-se de que os hosts já estão configurados com o endereço IP, a máscara de sub-rede e o endereço de gateway padrão usando o primeiro endereço no intervalo. As configurações de VLANs que devem ser criadas no switch também deveriam estar configuradas. Faça o roteamento de VLANs usando o switch multicamadas da seguinte forma: SW_3560(config)#ip routing SW_3560(config)#int vlan 10 SW_3560(config-if)#ip address 192.168.10.1 255.255.255.0 SW_3560(config-if)#int vlan 20 SW_3560(config-if)#ip address 192.168.20.1 255.255.255.0 O switch modelo Cisco Catalyst 3560 é um switch multicamadas, também conhecido como switch L2/L3. Para isso devemos usar os modelos que suportam tal confguração.Ex pl or 16 • Evitando Loops de Camada 2; • Spanning Tree Protocol (STP). • Compreender os possíveis problemas de loops de camada 2 em redes ethernet; • Apresentar protocolos de redundância de links que evitam esses loops de camada de enlace, como, por exemplo, o STP, RSTP e outros. OBJETIVOS DE APRENDIZADO Redundânciade Links UNIDADE Redundância de Links Contextualização As redes ethernet se comunicam através de um meio compartilhado e usando um método de acesso conhecido como CSM/CD. Por características próprias, quando se aplica uma redundância de link (dois links ligados em dois switches, por exemplo), pode-se causar um evento conhecido como loop de camada 2 e este acarretará vários problemas nessa infraestrutura de rede. Nesta unidade, vamos apresentar quando e como esses loops de camada 2 ocorrem, suas consequências e formas de contornar tal problema usando o Spanning Tree Protocol, ou apenas STP. 8 9 Evitando Loops de Camada 2 As redes Ethernet foram desenvolvidas na década de 1970 para serem utiliza- das em ambientes locais e com uma quantidade de máquinas limitada, como cerca de 20 ou 30 computadores ligados através de um barramento coaxial conhecido como 10BASE2. Esses computadores eram interligados uns aos outros usando um conector chamado BNC do tipo T e que conectava esse cabo coaxial em forma de varal ou barramento (STALLINGS, 2010). Como já vimos, as redes Ethernet são um tipo de rede não determinística, ou seja, não é possível identificar quem irá enviar um dado a alguém em um exato momento, pois é uma rede de meio físico compartilhado. Ou seja, quem transmitir primeiro será atendido. Caso essa transmissão seja “ouvida” por outros compu- tadores que desejam transmitir, esses devem aguardar tal barramento ficar livre, para que possam enviar suas informações aos seus destinatários corretamente. Por ventura, pode ocorrer que um computador transmita um dado ao mesmo tem- po que um outro host transmite; caso isso ocorra, irá acontecer o que chamamos de colisão de dados. Essa colisão de dados também é identificada pelo método de acesso da rede ethernet conhecido como CSMA/CD, que a identifica e solicita que as máquinas desse barramento deixem de enviar dados por um tempo aleatório, até que a portadora esteja novamente disponível para o envio. Até o momento, não contamos nada de novo nesta unidade, pois tal processo é a forma de funcionamento das redes Ethernet e nada de errado aconteceu até o momento. É importante também salientar que os broadcasts não são um problema e sim também uma consequência de como tal arquitetura de rede funciona (o problema seria a tempestade de broadcasts) (COMER, 2016). O grande limitador que é identificado é em relação à redundância de links nesses tipos de rede. Ou seja, quando temos dois ou mais links ligados entre os switches Ethernet por características do funcionamento normal dessa rede, pode ocorrer um loop de camada 2 e esse sim trazer problemas para sua arquitetura. Os links redundantes entre switches são uma boa ideia de utilização, pois ajudam a evitar falhas de rede irrecuperáveis no caso de um link parar de funcionar. Parece ótimo, mas mesmo que os links redundantes possam ser extremamente úteis, eles geral- mente causam mais problemas do que resolvem. Isso ocorre porque os quadros podem ser inundados em todos os links redundantes simultaneamente, criando loops de rede e outros males. Veja uma lista de alguns dos problemas mais sérios: • Se nenhuma tecnologia de evitar os loops for colocada em prática, os switches inundarão as transmissões interminavelmente por toda a infraestrutura de rede. Isso às vezes é referido como uma tempestade de transmissão ou tempestade de broadcast, que age como uma transmissão propagada por toda a rede; 9 UNIDADE Redundância de Links • Um dispositivo pode receber várias cópias do mesmo quadro, já que esse quadro pode chegar de diferentes segmentos de rede ou interfaces ao mes- mo tempo; • A tabela de filtros de endereços MAC pode ficar totalmente confusa sobre a localização do dispositivo de origem, porque o switch pode receber o quadro de mais de um link. O switch confuso poderia ter lentidão ou até mesmo tra- vamento em constante atualização à tabela de filtros MAC, com locais de en- dereços de hardware de origem que não conseguirão encaminhar um quadro; • Além disso, podem acontecer múltiplos loops gerados em toda a rede. Isso significa que os loops podem ocorrer dentro de outros loops, e se uma tem- pestade de broadcast ocorrer, a rede não seria capaz de realizar comutação de quadros; • Além disso, poderá também ocorrer o travamento dos comutadores de rede, que podem acabar perdendo suas capacidades de hardware (CPU, processa- mento, memória, etc.). Figura 1 – Loop de camada 2 Spanning Tree Protocol (STP) Em meados da década de 1980, a DEC - Digital Equipment Corporation, ad- quirida pela Compaq e que mais tarde foi adquirida pela HP, desenvolveu a versão original do Spanning Tree Protocol, ou apenas STP. O IEEE, posteriormente, criou e padronizou sua própria versão do STP, chamada 802.1D. A Cisco avançou em direção a outro padrão de mercado em seus switches mais recentes, o 802.1w, que seria o RSTP e que abordaremos daqui a pouco, porém antes é importante 10 11 conhecer as características originais desse protocolo que são usadas como compa- rativo para suas novas versões, tanto proprietárias como padronizadas pelos ór- gãos de padronização. Vamos, então, definir algumas noções básicas importantes de STP (ROCHOL, 2012). A principal tarefa do STP é impedir a ocorrência de loops de rede de camada 2 (bridges ou switches). Atua de forma vigilante à rede para encontrar todos links, certificando-se de que não ocorram esses loops, desligando quaisquer links redun- dantes e aguardando eventuais falhas para colocá-los em atividade, protegendo a rede e permitindo uma maior disponibilidade de recursos. O STP usa o algoritmo spanning-tree (STA) para criar primeiro uma topologia de banco de dados e, em seguida, pode pesquisar e desabilitar links redundantes. Com o STP em execução, os quadros serão encaminhados apenas para os links principais selecionados pelo STP (CISCO, 2017). Como funciona o Spanning Tree Protocol: https://youtu.be/8C9ECuWZ8Fw. Ex pl or Antes de começarmos a descrever os detalhes de como o STP funciona efetiva- mente na rede, precisamos entender algumas ideias e termos básicos e como eles se relacionam dentro da rede comutada da camada 2: • BPDU (Bridge Protocol Data Unit): todos os switches trocam informações para usar na seleção da bridge raiz, bem como na configuração subsequente da rede. » Cada switch compara os parâmetros de BPDU que envia a um vizinho com os que ele recebe de outros vizinhos. • Bridge ID (Identificados da Bridge): o ID da bridge é como o STP monitora todos os switches na rede. É determinado por uma combinação da prioridade da bridge, que é 32.768 por padrão, e o endereço MAC base do comutador. O Bridge ID de número mais baixo torna-se a ponte raiz na topologia do STP. • Ponte Raiz (Root Bridge): a ponte raiz é o comutador com o melhor Bridge ID. Na topologia STP, todos os switches na rede elegem uma bridge raiz que se torna o ponto focal na rede. Todas as outras decisões na rede, como qual porta deve ser bloqueada e qual porta deve ser colocada no modo de encaminhamento, são feitas da perspectiva dessa ponte raiz. Uma vez que uma bridge raiz é eleita na rede, todas as outras bridges fornecem um único caminho para esta bridge raiz. A porta com o melhor caminho para a bridge raiz é chamada de porta raiz (Root Port). • Pontes Não Raiz (Non-Root Bridge): estas são todas as bridges que não são a bridge raiz. Pontes não raiz trocam BPDUs com todas as pontes e atualizam o banco de dados STP da topologia em todos os switches, impedindo loops e fornecendo uma medida de defesa contra falhas de link. 11 UNIDADE Redundância de Links • Custo da Porta (Port Cost): o custo da porta determina o melhor caminho quando vários links são usados entre dois switches. O custo de um link é de- terminado pela largura de banda de um link. • Porta Raiz (Root Port): a porta raiz é sempre o link diretamente conectado à bridge raiz ou o caminho mais baixo para a ponte raiz. Se mais de um link conecta-se àbridge raiz, então um custo de porta é determinado pela verifica- ção da largura de banda de cada link. A porta de menor custo se torna a porta raiz. Se vários switches “upstream” tiverem o mesmo custo, a ponte com o Bridge ID de publicidade inferior será usada. Quando vários links se conectam ao mesmo dispositivo, a porta conectada ao número de porta mais baixo no comutador a montante será usada. • Porta de Encaminhamento (Forwarding Port): uma porta de encaminha- mento encaminha quadros e pode ser uma porta raiz ou uma porta designada. • Porta Designada (Designated Port): uma porta designada é aquela que foi determinada como tendo o melhor (menor) custo para a bridge raiz atra- vés de sua porta raiz. Uma porta designada será marcada como uma porta de encaminhamento. • Porta Não Designada (Nondesignated Port): uma porta não designada é aquela com um custo maior do que a porta designada. São o que restam depois das portas raiz e portas designadas determinadas. Portas não designadas são co- locadas no modo de bloqueio, dados não serão encaminhados por essas portas. • Porta Bloqueada (Blocked Port): uma porta bloqueada é a porta que pode evitar loops e por este motivo não encaminhará quadros de dados. No entan- to, uma porta bloqueada sempre ouvirá quadros de BPDU. Operações do Spanning Tree O trabalho da STP é encontrar todos os links na rede e desligar todos os re- dundantes, evitando, assim, que ocorram loops de rede. O STP faz isso primeiro elegendo uma bridge raiz que encaminhará todas as portas e atuará como um ponto de referência para todos os outros comutadores dentro do domínio de STP. Uma vez que todos os switches concordam em quem é a bridge raiz, cada bridge deve encontrar sua única porta raiz. Cada link entre dois switches deve ter uma e apenas uma porta designada, a porta nesse link que fornece a maior largura de banda em direção à raiz. É muito importante lembrar que uma bridge pode passar por muitas outras bridges para chegar à raiz, o que significa que nem sempre é o caminho mais cur- to, mas o caminho mais rápido (maior largura de banda) que será o utilizado. Obviamente, toda porta na bridge raiz é uma porta designada (porta de enca- minhamento para um segmento). Qualquer porta que não seja uma porta raiz ou uma porta designada, o que significa que é uma porta não raiz, não designada, é 12 13 colocada no estado de bloqueio, quebrando, assim, o loop de comutação de cama- da 2 (KEVIN, 2015). Selecionando a ponte raiz O Bridge ID é usado para eleger a bridge raiz no domínio STP e para determi- nar a porta raiz de cada um dos dispositivos restantes no domínio de STP quando houver várias portas raiz candidatas disponíveis e os custos do caminho forem iguais. Esse ID tem 8 bytes de comprimento e inclui a prioridade e o endereço MAC do dispositivo comutador. A prioridade padrão em todos os dispositivos que executam a versão do IEEE STP é 32.768. Para determinar a bridge raiz, você combina a prioridade de cada ponte com seu endereço MAC. Se dois switches ou bridges tiverem o mesmo valor de prioridade, o endereço MAC se torna o compo- nente de desempate para descobrir qual deles tem a ID mais baixa (melhor). Figura 2 – Topologia STP Por padrão, antes da eleição da ponte raiz, os BPDUs são enviados a cada dois (2) segundos para todas as portas ativas em uma ponte/ comutador; novamente, a ponte com o menor (melhor) Bridge ID é eleita a bridge raiz. É possível alterar o ID da bridge manualmente, diminuindo sua prioridade para que ela se torne uma ponte raiz automaticamente, o que inclusive é recomendado aos administradores de rede, pois assim é possível escolher o equipamento que fará o papel central da topologia de STP (KEVIN, 2015). Estados de transição do Spanning-Tree As portas em uma ponte ou com o comutador executando IEEE 802.1d STP podem passar por cinco estados diferentes: • Bloqueio (Blocking): uma porta bloqueada não encaminhará quadros; ele apenas escuta BPDUs. A finalidade do estado de bloqueio é impedir o uso de 13 UNIDADE Redundância de Links caminhos de loop. Todas as portas estão no estado de bloqueio por padrão quando o switch é ligado. • Escutar (Listening): a porta escuta BPDUs para garantir que não ocorram loops na rede antes de passar quadros de dados. Uma porta no estado de escuta se prepara para encaminhar quadros de dados sem preencher a tabela de endereços MAC. • Aprendizado (Learning): a porta do switch ouve os BPDUs e aprende todos os caminhos na rede comutada. Uma porta no estado de aprendizado preen- che a tabela de endereços MAC, mas ainda não encaminha quadros de dados. O atraso de encaminhamento significa o tempo que leva para fazer a transição de uma porta para ouvir o modo de aprendizado (ou da aprendizagem para o modo de encaminhamento), que é definido como 15 segundos por padrão. • Encaminhamento (Forwarding): a porta envia e recebe todos os quadros de dados na porta em ponte. Se a porta ainda for uma porta designada ou raiz no final do estado de aprendizado, ela entra no estado de encaminhamento. • Desabilitado (Disabled): tecnicamente não é um estado de transição. Uma por- ta no estado desabilitado (administrativamente) não participa do encaminhamento de quadros. Uma porta no estado desativado é virtualmente não operacional. As portas de switch estão mais frequentemente no estado de bloqueio ou en- caminhamento. Uma porta de encaminhamento é tipicamente aquela que foi de- terminada para ter menor (melhor) custo para a bridge raiz. Mas quando e se a rede experimenta uma alteração de topologia (por causa de um link com falha, por exemplo), as portas em um switch passarão por estados de escuta e aprendi- zado. Como mencionado, o bloqueio de portas é uma estratégia para evitar loops de rede. Quando um switch determina o melhor caminho para a porta raiz, bem como quaisquer portas designadas, todas as outras portas redundantes estarão no modo de bloqueio. Portas bloqueadas ainda podem receber BPDUs, elas simples- mente não enviam qualquer quadro de dados e é por esse motivo que não se pode confundir uma porta no estado de bloqueio no STP com uma porta em shutdown, essa última sim parada para qualquer transmissão de dados e BPDUs. Se um switch determinar que uma porta bloqueada deve agora ser a porta designada ou raiz de- vido a uma alteração de topologia, ela entrará no modo de escuta e verifica todos os BPDUs recebidos para garantir que eles não criarão um loop quando a porta for para o modo de encaminhamento (CISCO, 2017). Convergência do STP A convergência do STP ocorre quando todas as portas em bridges e switches passaram para os modos de encaminhamento ou bloqueio. Nenhum dado será en- caminhado até que a convergência esteja completa. No caso do STP original, esse tempo de convergência é de 50 segundos, o que em muitos tipos de redes pode ser um problema. Por esse motivo, o STP acabou se atualizando e criando novas versões, que, além de melhorias técnicas significativas, trouxeram também tempos 14 15 de convergência menores. Também para que o tempo de convergência seja menor, é possível configurar os “timers” no STP e/ou utilizar técnicas já implementadas, como, por exemplo, o Port Fast e outras. Spanning Tree Port Fast Nós administradores de rede devemos ter, de uma certa forma, controle de nossa topologia de rede e realmente saber quais são e onde são conectados os hosts. Se tivermos, por exemplo, um servidor conectado em uma porta de um switch, com certeza este dispositivo não causará um loop (exceto se ele for ligado por duas portas e não tiver mecanismo de team ou agregação de link). Em função disso, essa porta do switch não necessitaria participar do processo de eleição do spanning tree e por esse motivo tal porta poderia estar desativada para isso. O nome dessa funcionalidade é spanning tree portfast ou apenas portfast, ela é aplicada em uma porta em que o administrador tenha certeza de que não causará um eventual loop, pois, como foi dito,