12
Ago
2009
[1o Desafio CCNA] Ping bem sucedido entre 2 Vlans diferentes
Publicado por Maurício Bento Ghem e arquivado em CCNA, Desafio CCNA, Laboratórios
Imprimir este Post
Olá Pessoal,
Estudando para a BCMSN reparei numa pergunta com uma resposta errada de um simulado e resolvi tirar a prova disso.
Em resumo, a pergunta era:
- É possível que dois hosts na mesma sub-rede e em VLANs diferentes se comuniquem sem o intermédio de um roteador?
Eu vos digo, é possível. Isto ocorre devido a uma configuração não tão convencional.
Abaixo, apresento uma imagem da topologia, das configurações, e, subseqüentemente o arquivo do Packet Tracer.
Download do arquivo Packet Tracer do 1o Desafio CCNA - Ping entre 2 Vlans diferentes
Gostaria que vocês comentassem o porque isso aconteceu.
No final da semana explico.
Um grande abraço,
Maurício Bento Ghem.
Posts (RSS)
Boa tarde..
Bom, posso estar errado, mas as f0/1 que ligam um switch ao outro estão em modo de acesso, e não de trunk; não foi configurado domínios; hosts com IPs da mesma sub-rede… portanto acho que assim como eu achei esquisita uma configuração desse tipo, os switches também devem entender que seus respectivos PCs podem se falar normalmente, como se não estivessem em vlans diferentes… sei lá…rs…é isso?..
Abraço!
Flws..
Milk..
A única coisa de diferente que verifiquei é que os dois dominios vtp estão como Server
Funciona pois ambas portas estão em modo de acesso. Detalhe, o CDP, caso habilitado, vai reclamar de VLAN mismatch. Se o switch é de acesso, o ideal é além de forçar o modo de acesso, limitar o máximo de MACs na porta, 1 para estações de trabalho e servidores ou 2 para ramais VoIP. Além disso, se forem portas para estações, pode-se habilitar o bpduguard, daí se alguém tentar espetar um switch que fale xSTP, a porta entra em err-disable e protege a rede. Se o comportamento desejado é que ao se conectar um switch, a porta entre em modo trunk, então volte a porta para modo auto ou desirable, e o DTP faz a negociação e as VLANs não irão se comunicar como desejado.
Parabéns aos que participaram.
Vamos lá!
Como vocês sabem VLANs segmentam domínios de broadcast. Pelo diagrama, nota-se que ambos switches tem duas portas nas mesmas VLANs de acesso, mas essas VLANs são diferente entre os switches.
Outro fato importante, é saber que uma porta em modo de acesso não envia os frames encapsulados pelo protocolo de trunking, 802.1Q ou ISL.
Porque é possível a comunicação entre os Hosts, estando em VLANs diferentes?
Quando o ping é iniciado, é necessário descobrir o endereço MAC por meio do protocolo ARP, enviado por Broadcast. O Switch percebe que possui uma outra porta na mesma VLAN e encaminha esse broadcast ARP. Como as portas são de acesso nos dois lados, o frame não recebe o tagging, o outro switch recebe o broadcast, o host responde e a comunicação flue.
Essa configuração não deve ser utilizada, mas achei muito interessante colocá-la como desafio, pois apareceu num simulado para a prova BCMSN. Parei alguns minutos para pensar, pois nunca tinha visto configuração que nem essa.
Um grande abraço,
Maurício Bento Ghem.
…boa, realmente interessante…
abs,
Essa foi interessante =D ( é bom ver que acontece..senão até pensar nisso seria…erro no packet tracer!)
Temos que estar por dentro das configurações malfeitas, afinal estamos estudando para projetar, configurar, implementar e resolver problemas!
Parabéns aos que participaram, e também aos que se questionaram sobre essa configuração.
Abração,
Maurício.
Muito intessante, mesmo.!
esse esquema eh bastante interessante.
testei esse esquema no PTracer e tambem tive sucesso no PING. Bem, nessa ordem de ideia acredito no seguinte:
1. os hosts (PC0, PC1) como se encontram no mesmo dominio de rede, o pacote gerado pelo um desses hosts descarta todo tipo de itens relacionado vlan ID, assumindo-se como se estivem na Vlan default
Essa falha na configuração é bastante peculiar. Como a comunicação entre os switches não foi dada via porta trunk, e sim porta de acesso, o tagging (informação a respeito das Vlans) é removido nesta porta. Como os dois hosts encontram-se no mesmo domínio de broadcast, é possível a comunicação!
Abraço