Il termine VLAN (Virtual LAN) Indica un insieme di tecnologie che permettono di segmentare il dominio di broadcast di una rete. Infatti l’impiego di switch in una LAN consente di segmentare la rete:
• in domini di collisione separati (uno per ogni porta
• in un unico dominio di broadcast
Un dominio di broadcast è un’area all’interno della topologia di rete in cui le informazioni trasmesse vengono ricevute da tutti gli host presenti nel dominio. I frame broadcast sono inoltrati su tutti i segmenti di rete (ad esempio ARP DHCP NetBIOS). Il traffico broadcast “inondando” l’intera rete, ha come conseguenza :
• Il consumo della banda disponibile (Broadcast storm)
• Il consumo di risorse (Ciascun device che riceve un broadcast frame è “costretto” ad analizzarlo) comportando degli interrupts alla CPU con degrado delle performance
Consideriamo l’esempio in figura abbiamo quattro reti collegate ad uno switch quindi abbiamo un unico dominio di broadcast Se si divide la rete per gruppi logici:
- didattica
- personale
- presidenza
- studenti
si vogliono avere anche domini di broadcast separati, in modo da poter implementare tra i diversi segmenti di rete funzioni tipiche del livello Network, come la sicurezza o la qualità del servizio.
Segmentazione della rete
Per segmentare il traffico broadcast si possono adottare due soluzioni:
1) Utilizzare dei router: infatti i broadcast terminano sulle interfacce dei router.
2) Utilizzare le VLAN
Il termine VLAN (Virtual LAN) Indica un insieme di tecnologie che permettono di segmentare il dominio di broadcast:
• Tutti gli host “mappati” sulla stessa VLAN è come se condividessero uno stesso media fisico
• Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi
• CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN
Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro di una azienda, per applicare diverse politiche di sicurezza. Rispetto all’uso di router e più switch offre alcuni vantaggi:
• Sicurezza – I gruppi che hanno dati sensibili sono separati dal resto della rete, diminuendo le possibilità di violazione di informazioni riservate.
• Riduzione dei costi e ingombri: invece di diversi switch, è possibile utilizzare un solo switch con molte porte, risparmiando in costi di acquisizione e manutenzione, spazio occupato
• flessibilità: le porte dello switch possono essere spostate da una VLAN ad un’altra per mezzo di semplici operazioni di riconfigurazione software. Altre VLAN possono essere aggiunte utilizzando le porte esistenti
Vediamo un’altro scenario di applicazione delle vlan, consideriamo un’azienda su due pian:
In uno c’è l’amministrazione
Nell’altro ci sono le vendite
Immaginiamo che uno degli amministratori cambi ufficio spostandosi al piano terra, non potendosi collegare allo switch del piano terra perché non fa parte della sua rete, deve necessariamente ricorrere ad un cablaggio di questo genere:
Fisicamente deve collegare la sua macchina che si trova al pianterreno con lo switch posto al primo piano. Un processo analogo avviene se l’utente cambia gruppo di lavoro senza cambiare ufficio, anche in questo caso è necessario costruire fisicamente un collegamento.
Ricorso alle vlan
Con le VLAN si supera questo problema. Nel nostro caso è sufficiente collegare i due switch e specificare via solftware che l’amministratore che fisicamente si trova collegato allo switch del piano terra ma logicamente fa parte del gruppo di lavoro del primo piano.
Per realizzare VLAN è necessario definire le VLAN, con un numero identificativo VLAN ID (e un nome opzionale) per distinguerle una dall’altra: il VID (Virtual Identificator), ha un range 1-4095 e un proprio blocco di indirizzi. Riprendiamo in nostro primo esempio e vediamo come si configurano le VLAN:
Una volta definita una VLAN, ci sono sostanzialmente due tecniche per associarvi degli host:
VLAN statiche – le porte di uno switch sono assegnate manualmente a una VLAN.
VLAN dinamiche – la porta (e quindi l’utente) è assegnata alla VLan in base al MAC Address.
VLAN: configurazione
Per definire più VLAN all’interno di una rete Ethernet bisogna correttamente configurare gli switch della rete.
Ogni VLAN è identificata da:
- un numero (VID: 1 – 4095)
- un proprio blocco di indirizzi.
Essendo le VLAN port-based (VLAN di appartenenza in base alla porta) bisogna configurare staticamente le porte di accesso in modo da associarle alle VLAN corrette.
Vediamo come configurare una vlan con cisco packet.
Per prima cosa bisogna configurare lo switch e definire le tre vlan, quindi entriamo nei comandi cli dello scwitch.
Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 10 Switch(config-vlan)#name personale Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name didattica Switch(config-vlan)#exit Switch(config)#vlan 30 Switch(config-vlan)#name studenti Switch(config-vlan)#exit Switch(config)#
Questi comandi fanno si che nel database dello switch ci siano:
- personale
- didattica
- studenti
come VLAN
Da notare che esistono anche delle altre VLAN quella di default (1) a cui appartengono tutte le porte se non diversamente impostate, e poi ce ne sono altre che riguardano altre reti come la token ring che non possono essere rimosse. Andiamo a visualizzare il database da riga di comando.
Ora si devono assegnare le porte alle VLAN:
Sullo switch nella configurazione della porta fa 0/1 modifichiamo la Vlan associata alla porta (dalla 1 alla 10), lasciano la porta in modalità access
Ripetiamo per le altre porte da config oppure da cli
Switch(config)#interface FastEthernet0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit
Switch(config)#interface FastEthernet1/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#
Andando a vedere il database delle Vlan osserviamo che alle nostre vlan sono state assegnate delle porte
Assegnare un range di porte ad una VLAN
Si può assegnare un range di porte a una vlan tramite il comando:
Switch(config)#interface range interfaccia N/inizio_range – fine_range
Switch(config-if)#switchport access vlan numero-VLAN
Esempio:
Switch(config)#interface range fa0/13-18
Switch(config-if)#switchport access vlan 30
Una volta assegnati gli indirizzi ai pc facciamo il ping dal PC personale 1 al Pc personale 2
Non ci sono problemi perché i due PC fanno parte della stessa VLAN. Proviamo adesso a pingare dal PC personale 1 il Pc Didattica 1
Il PC no risponde perché appartengono a 2 VLA diverse
Nota:
Noi abbiamo utilizzati reti diverse per le vlan si ottiene lo stesso risultato anche se usiamo una stessa rete ad es. 192.168.1.0/24
Proviamo a vedere modificando gli indirizzi dei pc assegnando a tutti la stessa rete e testiamo il dominio di broadcast facendo il ping su l’indirizzo 192.168.1.255
Il pacchetto viene inoltrato solo al pc2 perché solo loro 2 appartengono allo stesso dominio di broadcast. In un prossimo articolo prenderemo in considerazione altri aspetti dell vlan.
Lascia un commento