Virtual LAN (VLAN) BASE

Categorie

VLAN

Il termine VLAN (Virtual LAN) Indica un insieme di tecnologie che permettono di  segmentare il dominio di broadcast di una rete. Infatti l’impiego di switch in una LAN consente di segmentare la rete:

in domini di collisione separati (uno per ogni porta

• in un unico dominio di broadcast

Un dominio di broadcast è un’area all’interno della topologia di rete in cui le informazioni trasmesse vengono ricevute da tutti gli host presenti nel dominio. I frame broadcast sono inoltrati su tutti i segmenti di rete  (ad esempio ARP DHCP NetBIOS). Il traffico broadcast “inondando” l’intera rete, ha come conseguenza :

Il consumo della banda disponibile (Broadcast storm)

• Il consumo di risorse (Ciascun device che riceve un broadcast frame è “costretto” ad analizzarlo) comportando degli interrupts alla CPU con degrado delle performance

Consideriamo l’esempio in figura abbiamo quattro reti collegate ad uno switch quindi abbiamo un unico dominio di broadcast Se si divide la rete per gruppi logici:

  1. didattica
  2.  personale
  3.  presidenza
  4.  studenti

si vogliono avere anche domini di broadcast separati, in modo da poter implementare tra i diversi segmenti di rete funzioni tipiche del livello Network, come la sicurezza o la qualità del servizio.

Segmentazione della rete

Per segmentare il traffico broadcast si possono adottare due soluzioni:

1) Utilizzare dei router: infatti i broadcast terminano sulle interfacce dei router.

 


2) Utilizzare le VLAN

 

Il termine VLAN (Virtual LAN) Indica un insieme di tecnologie che permettono di  segmentare il dominio di broadcast:

Tutti gli host “mappati” sulla stessa VLAN è come se condividessero uno stesso media fisico

• Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi

• CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN

Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro  di una azienda, per applicare diverse politiche di sicurezza. Rispetto all’uso di router e più switch offre alcuni vantaggi:

Sicurezza – I gruppi che hanno dati sensibili sono separati dal resto della rete, diminuendo le possibilità di violazione di informazioni riservate.

Riduzione dei costi e ingombri: invece di diversi switch, è possibile utilizzare un solo switch con molte porte, risparmiando in costi di acquisizione e manutenzione, spazio occupato

flessibilità: le porte dello switch possono essere spostate da una VLAN ad un’altra per mezzo di semplici operazioni di riconfigurazione software. Altre VLAN possono essere aggiunte utilizzando le porte esistenti

Vediamo un’altro scenario di applicazione delle vlan, consideriamo un’azienda su due pian:

In uno c’è l’amministrazione

Nell’altro ci sono le vendite

 

segmentazione della rete

Immaginiamo che uno degli amministratori cambi ufficio spostandosi al piano terra, non potendosi collegare allo switch del piano terra perché non fa parte della sua rete, deve necessariamente ricorrere ad un cablaggio di questo genere:

 

Fisicamente deve collegare la sua macchina che si trova al pianterreno con lo switch posto al primo piano. Un processo analogo avviene se l’utente cambia gruppo di lavoro senza cambiare ufficio, anche in questo caso è necessario costruire fisicamente un collegamento.

Ricorso alle vlan

Con le VLAN si supera questo problema. Nel nostro caso  è sufficiente collegare i due switch e specificare via solftware che l’amministratore che fisicamente si trova collegato allo switch del piano terra ma logicamente fa parte del gruppo di lavoro del primo piano.

 

Per realizzare VLAN è necessario definire le VLAN, con un numero identificativo  VLAN ID  (e un nome  opzionale) per distinguerle una dall’altra:  il VID (Virtual Identificator),  ha un range 1-4095 e un proprio blocco di indirizzi. Riprendiamo in nostro primo esempio e vediamo come si configurano  le VLAN:

Questa immagine ha l'attributo alt vuoto; il nome del file è Schermata-2019-05-04-alle-19.36.22.png

Una volta definita una VLAN, ci sono sostanzialmente due tecniche per associarvi degli host:

VLAN statiche –  le porte di uno switch sono assegnate manualmente a una VLAN.

VLAN dinamiche – la porta (e quindi l’utente) è assegnata alla VLan in base al MAC Address.

VLAN: configurazione

Per definire più VLAN all’interno di una rete Ethernet bisogna correttamente configurare gli switch della rete.

Ogni VLAN è identificata da:

  •  un numero (VID: 1 – 4095)
  •  un proprio blocco di indirizzi. 

Essendo le VLAN  port-based (VLAN di appartenenza in base alla porta) bisogna configurare staticamente le porte di accesso in modo da associarle alle VLAN corrette.

Disposizione vlan

Vediamo come configurare una vlan con cisco packet.

Per prima cosa bisogna configurare lo switch e definire le tre vlan, quindi entriamo nei comandi cli dello scwitch.

Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name personale
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#name didattica
Switch(config-vlan)#exit
Switch(config)#vlan 30
Switch(config-vlan)#name studenti
Switch(config-vlan)#exit
Switch(config)#

Questi comandi fanno si che nel database dello switch ci siano:

  • personale
  • didattica 
  • studenti

come VLAN

 

vlan database

Da notare che esistono anche delle altre VLAN quella di default (1) a cui appartengono tutte le porte se non diversamente impostate, e poi ce ne sono altre che riguardano altre reti come la token ring che non possono essere rimosse. Andiamo a visualizzare il database da riga di comando.

 

Ora si devono assegnare le porte alle VLAN:

Sullo switch nella configurazione della porta fa 0/1 modifichiamo la Vlan associata alla porta (dalla 1 alla 10), lasciano la porta in modalità access

 

Questa immagine ha l'attributo alt vuoto; il nome del file è Schermata-2019-05-05-alle-14.36.10.png

Ripetiamo per le altre porte da config oppure da cli

Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#interface FastEthernet1/1
Switch(config-if)#switchport access vlan 10
Switch(config-if)#

Andando a vedere il database delle Vlan osserviamo che  alle nostre vlan sono state assegnate delle porte

porte assegnate a vlan

Assegnare un range di porte ad una VLAN

Si può assegnare un range di porte a una vlan tramite il comando:

Switch(config)#interface range interfaccia N/inizio_range – fine_range
Switch(config-if)#switchport access vlan 
numero-VLAN
Esempio:
Switch(config)#interface range fa0/13-18
Switch(config-if)#switchport access vlan 30

Una volta assegnati gli indirizzi ai pc facciamo il ping dal PC personale 1 al Pc personale 2

ping nella stessa vlan

Non ci sono problemi perché i due PC fanno parte della stessa VLAN. Proviamo adesso a pingare dal PC personale 1 il Pc Didattica 1

 

Ping tra vlan

Il PC no risponde perché appartengono a 2 VLA diverse

Nota:

Noi abbiamo utilizzati reti diverse per le vlan  si ottiene lo stesso risultato anche se usiamo una stessa rete ad es. 192.168.1.0/24 

Proviamo a vedere modificando gli indirizzi dei pc assegnando a tutti la stessa rete e testiamo il dominio di broadcast facendo il ping su l’indirizzo 192.168.1.255

dominio di broadcast

Il pacchetto viene inoltrato solo al pc2 perché solo loro 2 appartengono allo stesso dominio di broadcast. In un prossimo articolo prenderemo in considerazione altri aspetti dell vlan.

 

Please follow and like us:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Wordpress Social Share Plugin powered by Ultimatelysocial
error

Enjoy this blog? Please spread the word :)

%d blogger hanno fatto clic su Mi Piace per questo: