Il tuo indirizzo IP è 151.32.136.81     
HomeNetworkingLivello 2 - collegamentoVLAN: le LAN virtuali

VLAN: le LAN virtuali

Scritto da Alessio Carta il . Inserito in Livello 2 - collegamento . Visite: 8827

Share0

Per definizione, le VLAN rappresentano un metodo per segmentare un dominio di broadcast in più domini di dimensione ridotta. A livello 2, ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN. Con le VLAN si possono creare gruppi di lavoro con dispositivi ubicati fisicamente in qualsiasi punto di una rete, che possono però comunicare come se fossero sullo stesso segmento fisico.

Con le VLAN si può separare la rete in base a:

  • Gruppi di lavoro: è possibile avere una VLAN per il dipartimento di marketing, un’altra per il dipartimento delle finanze, etc..
  • Gerarchia di gruppo: è possibile avere una VLAN per i direttori, un’altra per i dirigenti, un’altra generale per il personale.

 

vlan.jpg

 

Il vantaggio delle VLAN è che esse forniscono un sistema di segmentazione di rete molto più flessibile rispetto a qualsiasi rete tradizionale. Di seguito altre caratteristiche non meno importanti:

  • cambiamento e circolazione dei dispositivi nella rete. Nelle tradizionali reti IP, se gli utenti devono essere spostati su una sottorete IP diversa da quella precedente, gli indirizzi IP di ciascun PC devono essere aggiornati manualmente. Con una configurazione tramite VLAN, se un PC appartenente alla VLAN 1 viene spostato su un altro switch (ad. esempio per un cambio di postazione all'interno della rete), si ha solo bisogno di specificare che la nuova porta appartenga alla VLAN 1.
  • ulteriore sicurezza nella rete, poiché i dispositivi all'interno di ogni VLAN possono comunicare solo con i dispositivi appartenenti alla stessa VLAN. Se un dispositivo in VLAN 1 ha necessità di comunicare con i dispositivi della VLAN 2, il traffico deve passare necessariamente attraverso un router o uno switch layer 3 (switch con le funzionalità aggiuntive tipiche di un router).
  • con le reti tradizionali, la congestione può essere causata dal traffico broadcast, ossia da quei pacchetti che rivolti a tutti i dispositivi di rete. Il termine dominio di broadcast si riferisce a quella parte di rete raggiunta da un pacchetto broadcast; pertanto fanno parte dello stesso dominio di broadcst tutti i nodi raggiunti da quel pacchetto (ad es: ARP Request, NetBIOS name request). Il traffico di tipo broadcast colpisce l'intera rete poiché ciascun dispositivo che riceve un frame broadcast è costretto ad analizzarlo. Se i broadcast crescono nella frequenza, la banda disponibile comincia a diminuire sensibilmente fino a consumarsi. Le VLAN definiscono e ridimensionano i domini di broadcast, perché ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN.

 

Lo standard 802.1Q

Per definire le VLAN, uno switch associa ogni porta ad un numero specifico di VLAN. Appena una trama entra nella porta, lo switch inserisce un identificativo nel frame Ethernet, il VLAN ID (VID). L'aggiunta del VLAN ID nel frame Ethernet è chiamata frame-tagging. Lo standard di frame-tagging più comune è rappresentato dal protocollo IEEE 802.1Q, talvolta abbreviato in dot1q. Tale standard prevede l’inserimento di un tag di 4 byte nel frame Ethernet, tra il campo dell'indirizzo sorgente e il campo type/length.

Bisogna ricordare che le trame Ethernet hanno una dimensione minima di 64 byte e una dimensione massima di 1518 byte; tuttavia una frame Ethernet con il tag VLAN arriva ad una dimensione di 1522 byte. Pertanto gli switch che vogliono trattare le trame di questa dimensione devono essere compatibili 802.1Q.

 

Trunk

Le porte di uno switch possono essere di accesso, usate per collegare gli Host, o di trunk, usate per gli uplink tra switch o tra switch e router. Il trunk è quindi un link che permette il trasporto di frame appartenenti a VLAN diverse. Il concetto è meglio espresso dall'immagine sottostante:

vlan.gif

Bisogna evidenziare un concetto molto importante: le trame girano in formato 802.1Q solo sulle porte di trunk. Quando vengono inoltrate agli host o dagli host sulle porte di accesso, il tag VLAN viene eliminato e il formato della trama ritorna ad essere quello dello standard Ethernet.

Riassumendo in due punti:

  • porte di accesso (access port), in alcuni switch chiamate anche porte untagged, sono le porte che privano il frame ethernet del tag VLAN, per la consegna agli host. Gli host infatti non sono a conoscenza delle VLAN!
  • porte di trunk, in alcuni switch chiamate anche porte tagged, sono le porte su cui viaggiano le trame con il VLAN TAG, che quindi viene lasciato inalterato.

 

Esempi

Se una porta compatibile 802.1Q è connessa ad un’altra porta compatibile 802.1Q, ossia sono collegate in trunk, il tag VLAN presente nella trama Ethernet viene mantenuto. In questo esempio la trama arriva a destinazione:

 

In quest'altro esempio, dove le porte non sono configurate in trunk ma in modalità "access", la trama non arriva a destinazione. La porta "access" elimina infatti il tag VLAN dal frame all'uscita della porta stessa:

Share0

Aggiungi commento

:D:lol::-);-)8):-|:-*:oops::sad::cry::o:-?:-x:eek::zzz:P:roll::sigh:

Codice di sicurezza
Aggiorna