Vamos para mais conteúdo da CCNA 640-801. Hoje iremos abordar os seguintes objetivos:

• Funcionamento de um switch
• Protocolo STP
• Virtuais LANs

Objetivo 1: Funcionamento de um Switch

O princípio básico de funcionamento de um switch é através da comutação dos quadros de acordo com o endereço de hardware, ou seja, através do MAC Address. Seu funcionamento deve ser o mais rápido possível, para que não cause muita latência na rede. Como eles apenas analisam dados referentes a camada de Enlace do Modelo OSI, endereçamento lógico na camada de rede não é levado em consideração, o que torna mais simples o processo de encaminhamento dos quadros. Durante o processo de encaminhamento dos dados, o conteúdo do quadro não é modificado, apenas sua PDU, que pode sofrer mudanças nos endereços de destino.

Podemos utilizar a comutação da camada de enlace para delimitação entre grupos de trabalhos e quebra dos domínios de colisão. Porém, para que a delimitação seja eficiente, é importante que ao menos 80% do tráfego gerado seja de destino no mesmo segmento de rede. Redes comutadas quebram domínios de colisão, entretanto, a rede ainda é um grande domínio de broadcast, ou seja, switches de camada 2 não podem substituir completamente os roteadores em uma rede.

Quando tratamos de comutação de camada de enlace podemos estar nos referindo também às Bridges. Existem algumas diferenças importantes entre os dois tipos de equipamentos:

• O processamento dos quadros nos switches é realizado no hardware através de chips especiais chamados ASICs, enquanto nas bridges o processo é baseado em software.
• Bridges podem ter apenas uma ocorrência de Spanning Tree, enquanto switches podem ter várias ocorrências.
• Bridges podem ter até 16 portas, enquanto switches podem possuir centenas, devido o hardware ser dedicado.

Para critérios da certificação CCNA, é importante podermos definir bem quais as principais funções dos switches e bridges.

• Aprendizagem de endereços
• Decisões de encaminhamento
• Inibição de loops

Aprendizagem de Endereços

Os switches e bridges têm a capacidade de aprender quais endereços são acessados em cada uma de suas interfaces. Isso é possível pois a partir do mundo em que são ligados, sua tabela MAC se encontra vazia, mas irá começar a registrar os endereços de origem dos quadros que for recebendo, de maneira que possa saber, depois de algum tráfego gerado, onde localizar cada host. A tabela MAC assim é constantemente atualizada, sendo que se algum endereço não for registrado em um período de tempo, ele é excluído da tabela. Isso garante que a tabela será a mais atualizada possível.

Decisões de Encaminhamento

Assim que um quadro é recebido em alguma das portas do switch ou bridge, ele verifica o endereço do hardware de destino consta na tabela MAC, enviando o dado para a interface indicada na tabela. Se o endereço não constar na tabela, o quadro é propagado para todas as interfaces ativas, com exceção da interface na qual ele foi recebido.

Inibição de Loops

Em uma rede de alta disponibilidade, é necessário o estabelecimento de links redundantes entre os switches, de maneira que haja caminhos alternativos, em caso de falhas. Onde houver redundâncias haverão loops, fazendo com que os switches fiquem propagando continuamente quadros repetidos na rede. Esse fenômeno chama-se “tempestade de broadcast”. O protocolo STP é utilizado para evitar loops, permitindo a criação de links redundantes.

Tipos de Comutação

Uma característica importante que difere os switches é a maneira como realizam a comutação dos quadros. Esse característica interfere diretamente com no tempo de latência gasto. Existem basicamente três tipos de comutação:

• Armazenar e repassar (Store-and-foward) – nesse modo de operação, o switch primeiramente armazena todo o quadro em memória, depois realiza uma checagem de erros (CRC – Cyclic Redundant Check), e por fim, será analisado o endereço MAC de destino para encaminhá-lo. Provê alta latência e alta detecção de erros.
• Cortar completamente (Cut-Through) – nesse modo de operação, o switch apenas analisa os primeiros 7 bytes do quadro, suficiente para verificar o endereço MAC de destino, então verifica na tabela MAC a interface de destino e o encaminha. Provê baixa latência e baixa detecção de erros.
• Livre de fragmentos (FragmentFree) – nesse modo de operação, o switch analisa os primeiros 64 bytes do quadro, pois existe uma alta probabilidade de que se houver um erro, ele será detectado até esse ponto. Depois de armazenado esse trecho do quadro, é realizado uma checagem de erros mais simples do que a realizada no tipo de comutação armazenar e repassar. Provê latência moderada e checagem de erros simples. Esse é o modo de comutação padrão nos switches Cisco da linha Catalyst 1900 e 2900.

Objetivo 2: Protocolo STP

O protocolo STP (Spanning Tree Protocol) tem o papel de evitar loops de rede na camada de enlace. Isso é feito realizando a designação de um switch da rede como sendo o switch-raiz (root bridge) que será responsável pela definição de toda a topologia da rede. Sendo assim, apenas um switch-raiz pode existir por vez na rede. Um switch é “eleito” de acordo com a soma da prioridade (32.768, por padrão) e o endereço MAC, sendo que o menor número será o switch-raiz.

O processo de “eleição” do switch-raiz é realizado através da troca de BPDUs (Bridge Protocol Data Units), que são quadros enviados em broadcast para a rede. Através das BPDUs, os switches enviam uns aos outros os seus ID, que contém a prioridade de cada.

Todas as portas de comunicação do switch-raiz chamam-se “portas designadas” (designated ports) e encontram-se no modo de operação “modo de encaminhamento” que será explicado adiante. Interfaces que operam nesse modo podem enviar e receber dados.

Assim como existe o switch-raiz, dizemos os outros são chamados de switches não-raiz (non-root switch). As portas desses switches que fazem conexão ao switch-raiz, por sua vez, podem ser de dois tipos. As portas que possuem o menor custo psão chamadas de porta-raiz (root-port) e estarão em modo de encaminhamento, assim como as portas designadas do switch-raiz. As outras portas de ligação switch-raiz se chamarão não-designadas. Portas não-designadas se encontrarão em modo bloqueio, não podendo enviar ou receber dados. As demais portas, que não fazem conexão com o switch-raiz são chamadas de portas-designadas.

Modos de Operação das Portas no STP

Os quatro modos de operação das portas de um switch quando elas fazem parte do STP são:

• Bloqueio (Blocking) – Não recebe e envia quadros, apenas BPDUs. É o modo padrão para todas as portas de um switch.
• Escuta (Listening) – Recebe e analista BPDUs para se certificar que não ocorrerão loops na rede antes de começar a encaminhar quadros.
• Aprendizado (Learning) – Registra os endereços MAC de quem estiver conectado às interfaces do switch, de forma a construir a tabela MAC. Não encaminha quadros até então.
• Encaminhamento (Forwarding) – Envia e recebe quadros normalmente.\

Normalmente os switches possuem as portas no estado de bloqueio ou de encaminhamento. Porém, se a topologia da rede mudar, todas as portas conectadas em redundância de um switch retornarão aos modos de escuta e aprendizado.

A convergência completa da rede ocorre quando, após uma mudança na topologia dos switches as interfaces, as interfaces responsáveis pela redundância alternaram entre o modo de bloqueio até o modo de encaminhamento. Sendo que durante esse processo, não há transmissão de dados. Portanto, o tempo de convergência é um fator crucial. Em média são utilizados 50 segundos para ir do modo de bloqueio para o modo de encaminhamento.

Objetivo 3: Virtuais LANs

O uso de Virtuais LANs, ou simplesmente VLANs, pode resolver boa parte dos problemas associados à comutação na camada de enlace do modelo OSI. O uso dessa tecnologia permite uma redução no tamanho dos domínios de broadcast, porém, aumenta seu número. Além disso, as VLANs permitem que os usuários sejam agrupados logicamente, de acordo com os recursos necessários a cada um. Melhor gerenciamento, aumento na segurança, flexibilidade e escalabilidade são outros motivos que nos levam a utilizarmos VLANs. Porém, como elas funcionam?

O princípio das VLANs é o de divisão dos domínios de broadcast nos switches. Porém, isso não é realizado como os roteadores fazem. É uma maneira de designar cada porta como parte de redes diferentes. Vejam o desenho abaixo.

Na figura, os dois computadores representados não possuem comunicação direta entre eles, pois estão em VLANs diferentes, é como se estivessem em redes completamente distintas, em switches diferentes. Porém, mesmo com essa característica, os switches não substiturem os roteadores, pois se houver a necessidade de comunicação inter-VLANs, um roteador será necessário para rotear entre as duas redes.

Um dos grandes problemas em redes planas, que é como chamamos redes que não são seccionadas por roteadores ou VLANs, é a segurança. O problema existe em qualquer usuário que se conectar a uma rede terá acesso aos recursos disponíveis naquela rede plana. Podemos ainda analisar o tráfego de broadcast de todos que compartilhamos a mesma rede plana, sem contar o problema se os equipamentos utilizados forem hubs, em vez de switches. Através da criação de VLANs, os administradores adquirem o controle sobre cada porta e cada usuário. O administrador controla cada porta e quais recursos serão alocadas a ela.

Tipos de Associação VLAN

A associação de uma porta a uma VLAN pode ser realizada de duas maneiras: estaticamente ou dinamicamente. Na associação estática, cada porta do switch deverá ser designada para manter associação com uma determinada VLAN. Essa associação é realizada manualmente pelo administrador do ambiente na configuração do equipamento. Na associação dinâmica, as portas são designadas a uma VLAN automaticamente, através do uso de softwares específicos de gerenciamento, como um Servidor Gerenciador de Políticas VLAN (VMPS), que irão mapear o endereço de hardware do cliente, protocolos e até mesmo aplicações ou logins de usuários para uma VLAN específica.

Tipos de Conexão em VLANs

As VLANs podem se espalhar em vários switches interconectados. Os switches dessa “malha” devem poder identificar a quais VLANs cada quadro pertence, possibilitando que uma VLAN envolva mais de um equipamento simultaneamente. Vejam o desenho abaixo.

Reparem que existem computadores espalhados por vários switches que são da mesma VLAN, e que portanto, têm acesso aos mesmos recursos. Agora, reparem na próxima figura.

As conexões entre os switches precisam trafegar dados que pertencem a diferentes VLANs, mesmo que elas não tenham comunicação direta entre si. Isso é possível graças aos links de transporte (trunk links). Eles podem carregar informações sobre múltiplas VLANs, sendo utilizados na maioria dos casos para conexão entre switches e outros switches, roteadores ou mesmo servidores com interfaces especiais. Essas conexões podem ser FastEthernet e Gigabit Ethernet apenas. Para que os quadros sejam corretamente identificados dentro do tronco é necessário que eles sejam marcados como pertencentes a alguma VLAN. Para tanto, é utilizado o recurso de etiquetamento de quadros (frame tagging). Nos links de transporte, existem duas técnicas de etiquetamento de quadros: ISL (Inter-Switch Link Protocol) e 802.1q. A VLAN1 é utilizada para gerenciamento em caso de falhas nos links de transporte.

O outro tipo de link existente, além do de transporte, é o link de acesso. Link de acesso é a conexão até o computador de destino. Conexão essa que não possui qualquer tipo de etiquetamento, pois há conectividade para apenas uma VLAN. Ou seja, o recurso de frame tagging só é utilizado dentro dos links de transporte, e é retirado quando o quadro é entregue ao destino. Isso torna o processo transparente para os clientes.

É possível o “entroncamento” de servidores, de maneira que um computador, com apenas uma conexão utilizando um link de transporte, seja visível localmente a duas VLANs distintas. Isso é possível se o servidor possuir uma interface com suporte aos dois protocolos de etiquetamento. Porém, isso só é vantajoso se a regra 80/20 (80% do tráfego a ser mantido localmente) for seguida.

Métodos de Etiquetação de VLAN

Como vimos, existem duas técnicas para o etiquetamento dos quadro dentro dos links de transporte. Vamos ver mais detalhadamente cada um deles:

• Cisco ISL – protocolo proprietário da Cisco. O método literalmente encapsula novamente os quadros Ethernet com informações sobre a VLAN, ou seja, o quadro original é mantido intacto dentro de uma outra estrutura. Com o encapsulamento, é realizado um novo cálculo FCS (Frame Check Sequence) para o quadro. Uma vez encapsulado, apenas dispositivos (ou interfaces) compatíveis com ISL estarão habilitados a decodificá-lo. Pois, os quadros ISL podem possuir até 1522 bytes, que é um valor superior ao permitido pelo padrão Ethernet (1518 bytes).
• IEEE 802.1q – protocolo aberto criado pelo IEEE para ser padrão de interoperabilidade entre equipamentos de diversos fabricantes. O método insere um novo campo específico no quadro Ethernet, e depois recalcula seu FCS. Sendo assim, não é realizado um novo encapsulamento, como no ISL.

Protocolo VTP

A Cisco criou o protocolo proprietário VTP (Virtual Trunk Protocol) como forma de gerenciar e manter consistente todas as VLANs configuradas em diversos switches. Para permitir que o protocolo VTP gerencie as VLANs de todos os switches é necessário antes que seja criado um servidor VTP. O servidor VTP deve pertencer a um domínio, assim como todos os outros switches que compartilharem a mesma configuração. Um switch pode participar de apenas um domínio VTP ao mesmo tempo. As informações da VTP são enviadas aos switches através dos links de transporte.

O funcionamento básico do VTP é bem simples. Ao realizar uma modificação em alguma VLAN no servidor VTP, essa informação é propagada para todos os switches que fazem parte do domínio. Essa informação é acompanhada de um número de revisão, que é acrescentado em mais um a cada nova modificação no servidor VTP. Os clientes, quando recebem a atualização do servidor VTP, armazenam o número de revisão, sendo que quando encontram uma atualização número superior, ela é realizada.

Dentre as vantagens do uso do protocolo VTP, podemos citar:

• Permite ao administrador do ambiente modificar a configuração das VLANs, inclusive adicionar novas, e as configurações serem propagadas automaticamente entre todos os switches do domínio VTP.
• Consistência da configuração dos switches do domínio VTP.
• Permite que as VLANs sejam truncadas sob redes ATM ou FDDI.
• Mantém um controle e monitoramento sobre as VLANs.

Modos de Operação VTP

Os switches que fazem parte de um domínio VTP podem possuir um dos três seguintes papéis:

• Servidor (server) – Modo padrão para os switches da linha Cisco Catalyst. Switch que terá sua configuração propagada para os demais. É necessário ao menos um servidor VTP no domínio.
• Cliente (client) – Nesse modo o switch recebe informações de atualização do servidor VTP, atualiza sua base, se necessário, e retransmite as informações pelos outros links de transporte.
• Transparente (transparent) – Nesse modo o switch recebe informações de atualização do servidor VTP, porém não atualiza sua base de dados, apenas retransmitindo os dados para os outros links de transporte. Os switches em modo transparente podem manter sua própria base de configuração, sem que ela seja sobrescrita pelas atualizações do servidor VTP.

VTP Pruning

Existe um procedimento chamado VTP Pruning (“podar”) que pode diminuir o número de broadcasts enviados através dos links de transporte. Esse procedimento evita que uma informação endereçada para uma VLAN que não interessa a um switch chegue até ele. O VTP Pruning por padrão é desabilitado nos switches Cisco.

Concluindo

E com esse texto eu finalizo a parte apenas teórica do conteúdo. Próxima publicação já iremos começar a mexer na CLI do roteador Cisco, realizando configurações básicas. Espero que leiam o texto, que ficou, creio eu, bem objetivo e resumido. Se encontrarem erros ou possuírem dúvidas, é só levantar o braço que a gente ajuda! 🙂

Até mais a todos!