[1o Desafio CCNA] Ping bem sucedido entre 2 Vlans diferentes

Olá Pessoal,

Estudando para a BCMSN reparei numa pergunta com uma resposta errada de um simulado e resolvi tirar a prova disso.

Em resumo, a pergunta era:

– É possível que dois hosts na mesma sub-rede e em VLANs diferentes se comuniquem sem o intermédio de um roteador?

Eu vos digo, é possível. Isto ocorre devido a uma configuração não tão convencional.

Abaixo, apresento uma imagem da topologia, das configurações, e, subseqüentemente o arquivo do Packet Tracer.

1o Desafio CCNA

Download do arquivo Packet Tracer do 1o Desafio CCNA – Ping entre 2 Vlans diferentes

Gostaria que vocês comentassem o porque isso aconteceu.

No final da semana explico.

Um grande abraço,

Maurício Bento Ghem.

Autor: Maurício Bento Ghem

Administrador do blog de estudos www.bentow.com.br Para maiores informações, www.bentow.com.br/sobre

16 comentários em “[1o Desafio CCNA] Ping bem sucedido entre 2 Vlans diferentes”

  1. Boa tarde..

    Bom, posso estar errado, mas as f0/1 que ligam um switch ao outro estão em modo de acesso, e não de trunk; não foi configurado domínios; hosts com IPs da mesma sub-rede… portanto acho que assim como eu achei esquisita uma configuração desse tipo, os switches também devem entender que seus respectivos PCs podem se falar normalmente, como se não estivessem em vlans diferentes… sei lá…rs…é isso?..

    Abraço!

    Flws..
    Milk..

  2. A única coisa de diferente que verifiquei é que os dois dominios vtp estão como Server

  3. Funciona pois ambas portas estão em modo de acesso. Detalhe, o CDP, caso habilitado, vai reclamar de VLAN mismatch. Se o switch é de acesso, o ideal é além de forçar o modo de acesso, limitar o máximo de MACs na porta, 1 para estações de trabalho e servidores ou 2 para ramais VoIP. Além disso, se forem portas para estações, pode-se habilitar o bpduguard, daí se alguém tentar espetar um switch que fale xSTP, a porta entra em err-disable e protege a rede. Se o comportamento desejado é que ao se conectar um switch, a porta entre em modo trunk, então volte a porta para modo auto ou desirable, e o DTP faz a negociação e as VLANs não irão se comunicar como desejado.

  4. Parabéns aos que participaram.

    Vamos lá!
    Como vocês sabem VLANs segmentam domínios de broadcast. Pelo diagrama, nota-se que ambos switches tem duas portas nas mesmas VLANs de acesso, mas essas VLANs são diferente entre os switches.
    Outro fato importante, é saber que uma porta em modo de acesso não envia os frames encapsulados pelo protocolo de trunking, 802.1Q ou ISL.

    Porque é possível a comunicação entre os Hosts, estando em VLANs diferentes?
    Quando o ping é iniciado, é necessário descobrir o endereço MAC por meio do protocolo ARP, enviado por Broadcast. O Switch percebe que possui uma outra porta na mesma VLAN e encaminha esse broadcast ARP. Como as portas são de acesso nos dois lados, o frame não recebe o tagging, o outro switch recebe o broadcast, o host responde e a comunicação flue.

    Essa configuração não deve ser utilizada, mas achei muito interessante colocá-la como desafio, pois apareceu num simulado para a prova BCMSN. Parei alguns minutos para pensar, pois nunca tinha visto configuração que nem essa.

    Um grande abraço,
    Maurício Bento Ghem.

  5. Essa foi interessante =D ( é bom ver que acontece..senão até pensar nisso seria…erro no packet tracer!)

  6. Temos que estar por dentro das configurações malfeitas, afinal estamos estudando para projetar, configurar, implementar e resolver problemas!

    Parabéns aos que participaram, e também aos que se questionaram sobre essa configuração.

    Abração,
    Maurício.

  7. esse esquema eh bastante interessante.
    testei esse esquema no PTracer e tambem tive sucesso no PING. Bem, nessa ordem de ideia acredito no seguinte:
    1. os hosts (PC0, PC1) como se encontram no mesmo dominio de rede, o pacote gerado pelo um desses hosts descarta todo tipo de itens relacionado vlan ID, assumindo-se como se estivem na Vlan default

  8. Essa falha na configuração é bastante peculiar. Como a comunicação entre os switches não foi dada via porta trunk, e sim porta de acesso, o tagging (informação a respeito das Vlans) é removido nesta porta. Como os dois hosts encontram-se no mesmo domínio de broadcast, é possível a comunicação!

    Abraço

  9. Pessoal,

    Esse desafio pode se aplicar na pratica, tenho um ambiente similar onde o switch A esta com a vl 1 nativa em um ambiente de produção, preciso transporta esse ambiente para um se b em outra Vlan ex900 sem mexer no sw a pois não é de minha adm; bem, tenho exatamente esse ambiente só que quando configuro assim o Cdp da Vlan mismach e depois de um tempo a porta trava.

    Como eu posso transportar a Vlan 1 do sw A para um outro id em outro sw sem mexer no switch a, o ambiente acima funciona mais a porta trava, não posso mexer na estrutura do sw A pois abaixo dele é um ambiente perdido e mau configurado que ninguém tem acesso.

  10. acabei de entrar no grupo e estou fuçando td, ta ai, gostei da proposta, testei e realmente o negócio passa, falei com os meu pcs de trabalho e todos riram qndo fiz funcionar deste modo, obrigado pela dica…

  11. Maurício, estou com uma dúvida parecida com esta. Posso te enviar o cenário pra você analisar??

  12. Mauricio,

    Se a comunicação entre os switches fosse pela porta trunk, mesmo que as portas fossem configuradas via modo de acesso, o ping entre as VLAN não obteria sucesso, certo?

  13. Oi Fernando,

    Lembrando que esta configuração é um desafio, e não deve ser utilizado em ambiente produtivo. No teu caso, por consequência você se deparou com este cenário.
    No entanto, provavelmente a máscara de subrede utliizado na porta da Vlan 1 e no outro switch na Vlan900 são diferentes, logo você não vai conseguir acessar.

    Oses e Tiago, obrigado pela reconhecimento.

    F. Santana, é claro.

    Anderson, você está corretíssimo, pois desta forma seria transportado o tagging da VLan na porta trunk e o switch permitira apenas acesso às portas que possuíssem este tag.

    Abraço a todos.
    Bentow.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *