Consulenze presso Eunet srl, via dell'Artigianato 15, 09122 Cagliari 070 753609 Lun - Ven 08:30-13:00 / 14.30-17.00

VLAN: le LAN virtuali

Networking
Read Time: 5 mins

Per definizione, le VLAN rappresentano un metodo per segmentare un dominio di broadcast in più domini di dimensione ridotta. A livello 2, ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN.

Con le VLAN si possono creare gruppi di lavoro con dispositivi ubicati fisicamente in qualsiasi punto di una rete, che possono però comunicare come se fossero sullo stesso segmento fisico. Le VLAN consentono di separare la rete in base a:

  • Gruppi di lavoro: è possibile avere una VLAN per il dipartimento di marketing, un’altra per il dipartimento delle finanze, etc..
  • Gerarchia di gruppo: è possibile avere una VLAN per i direttori, un’altra per i dirigenti, un’altra generale per il personale.

 

vlan.jpg

 

Il vantaggio delle VLAN è che esse forniscono un sistema di segmentazione di rete molto più flessibile rispetto a qualsiasi rete tradizionale. Di seguito altre caratteristiche non meno importanti:

  • Circolazione dei dispositivi in rete - nelle reti che non prevedono l'impiego delle VLAN, se un utente deve essere spostato su una rete diversa da quella precedente, è necessario collegarlo fisicamente sulla nuova rete (ad esempio su uno switch differente). Con una configurazione tramite VLAN, l'utente può essere spostato su una nuova rete senza modificare i collegamenti fisici; è sufficiente specificare l'appartenenza ad un'altra VLAN all'interno dello stesso switch.
  • Ulteriore sicurezza nella rete, poiché i dispositivi all'interno di ogni VLAN possono comunicare solo con i dispositivi appartenenti alla stessa VLAN. Se un dispositivo in VLAN 1 ha necessità di comunicare con i dispositivi della VLAN 2, il traffico deve passare necessariamente attraverso un router o uno switch layer 3 (switch con le funzionalità aggiuntive tipiche di un router).
  • Con le reti tradizionali, la congestione può essere causata dal traffico broadcast, ossia da quei pacchetti che rivolti a tutti i dispositivi di rete. Il termine dominio di broadcast si riferisce a quella parte di rete raggiunta da un pacchetto broadcast; pertanto fanno parte dello stesso dominio di broadcst tutti i nodi raggiunti da quel pacchetto (ad es: ARP Request, NetBIOS name request). Il traffico di tipo broadcast colpisce l'intera rete poiché ciascun dispositivo che riceve un frame broadcast è costretto ad analizzarlo. Se i broadcast crescono nella frequenza, la banda disponibile comincia a diminuire sensibilmente fino a consumarsi. Le VLAN definiscono e ridimensionano i domini di broadcast, perché ogni VLAN contiene solo il traffico dei dispositivi appartenenti a quella VLAN.

 

Lo standard 802.1Q

Per definire le VLAN, uno switch associa ogni porta ad un numero specifico di VLAN. Appena una trama entra nella porta, lo switch inserisce un identificativo nel frame Ethernet, il VLAN ID (VID). L'aggiunta del VLAN ID nel frame Ethernet è chiamata frame-tagging. Lo standard di frame-tagging più comune è rappresentato dal protocollo IEEE 802.1Q, talvolta abbreviato in dot1q. Tale standard prevede l’inserimento di un tag di 4 byte nel frame Ethernet, tra il campo dell'indirizzo sorgente e il campo type/length.

Bisogna ricordare che le trame Ethernet hanno una dimensione minima di 64 byte e una dimensione massima di 1518 byte; tuttavia una frame Ethernet con il tag VLAN arriva ad una dimensione di 1522 byte. Pertanto gli switch che vogliono trattare le trame di questa dimensione devono essere compatibili 802.1Q.

 

Trunk

Le porte di uno switch possono essere di accesso, usate per collegare gli Host, o di trunk, usate per gli uplink tra switch o tra switch e router. Il trunk è quindi un link che permette il trasporto di frame appartenenti a VLAN diverse. Il concetto è meglio espresso dall'immagine sottostante:

vlan.gif

Bisogna evidenziare un concetto molto importante: le trame girano in formato 802.1Q solo sulle porte di trunk. Quando vengono inoltrate agli host o dagli host sulle porte di accesso, il tag VLAN viene eliminato e il formato della trama ritorna ad essere quello dello standard Ethernet.

Riassumendo in due punti:

  • access port, in alcuni switch definite come porte untagged, sono le porte che inseriscono il tag VLAN (quindi taggano) al traffico in ingresso sulla porta e tolgono il tag VLAN  al traffico in uscita (diretto verso gli host). Gli host infatti non sono a conoscenza delle VLAN!
  • porte di trunk, in alcuni switch chiamate anche porte tagged, sono le porte dove il traffico viaggia con il Tag VLAN, che quindi viene lasciato inalterato.

 

Esempi

Se una porta compatibile 802.1Q è connessa ad un’altra porta compatibile 802.1Q, ossia sono collegate in trunk, il tag VLAN presente nella trama Ethernet viene mantenuto. In questo esempio la trama arriva a destinazione:

 

In quest'altro esempio, dove le porte non sono configurate in trunk ma in modalità "access", la trama non arriva a destinazione. La porta "access" elimina infatti il tag VLAN dal frame all'uscita della porta stessa:

networking
livello data link
switch
(3 Votes)

Related Articles

Cisco

Spanning Tree e varianti su switch Cisco

Gli switch Cisco eseguono diverse implementazioni del protocollo Spanning Tree. A partire dagli standard originali IEEE, esattamente 802.1d per lo Spanning Tree classico e 802.1w per il Rapid Spanning Tree, sono state introdotte delle varianti proprietarie, elencate di seguito:

  • PortFast: è una funzione che permette ad una porta di passare immediatamente allo stato di forwarding, saltando gli stati intermedi di listening e learning. L'uso di PortFast è utile nel collegamento diretto tra una porta ed una workstation o un server, permettendo a tali macchine un accesso immediato alla rete, senza le lunghe attese dovute ai tempi di convergenza di STP.
  • UplinkFast: è la versione "globale" del PortFast, ossia fa passare immediatamente qualsiasi porta dello switch allo stato di forwarding, saltando gli stati intermedi di listening e learning. Utile quando lo switch ha un solo collegamento di trunk.

Tecnologie dedicate al supporto di reti Ethernet con più VLAN:

  • PVST, Per-Vlan Spanning Tree: viene supportata un’istanza dello Spanning Tree Protocol per ogni VLAN, con un root bridge e una topologia STP differente per ogni VLAN. Utilizza il protocollo di trunking Cisco ISL (Inter Switch Link).
  • PVST+, variante del Per-Vlan Spanning Tree. Si tratta della modalità predefinita sugli switch Cisco. Mantiene tutte le caratteristiche del PVST, con un’istanza STP per ogni VLAN, e aggiunge il supporto allo standard 802.1Q per i trunk. Poiché di default esiste la VLAN1 su ogni switch, esisterà su ogni switch l’istanza STP predefinita per la VLAN1.
  • Rapid PVST+: si basa sul protocollo standard IEEE 802.1w (Rapid STP). Supporta tutte le estensioni di PVST e PVSTP+, ma rispetto a questi è più veloce a convergere, essendo "Rapid".

 

Poiché gli switch Cisco eseguono un’istanza dello Spanning Tree Protocol per ogni VLAN, visualizzando le relative informazioni su uno switch appena collegato in rete, si osserva che queste riguardano la VLAN predefinita 1:

Switch#show spanning-tree
VLAN0001
 Spanning tree enabled protocol ieee
 Root ID    Priority    32769
 Address     0000.0CBB.7E1E
 Cost        19
 Port        1(FastEthernet0/1)
 Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

 Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
 Address     00D0.BC04.E963
 Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
 Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1            Root LRN 19        128.1    P2p

 

 

I comandi

Disabilitare il protocollo Spanning-Tree

Switch(config)#no spanning-tree vlan numero_VLAN

Se non sono state create VLAN oltre quella di default, il valore del numero_VLAN è 1.

Modificare il Bridge ID per uno switch – metodo priority

Switch(config)#spanning-tree vlan numero_VLAN priority bridge_priority

Il root bridge viene eletto in base al valore del Bridge ID: “vince” lo switch con il valore minore. Il BID è composto da 2 byte di Bridge Priority, che di default vale 32768, più 6 byte costituiti dal MAC-address. Ad esempio, se uno switch ha come MAC address AA-11-BB-22-CC-33, il BID sarà 32768:AA-11-BB-22-CC-33. Se si vuol forzare l'elezione del root bridge in favore di uno switch specifico, è sufficiente variare al ribasso la sua priorità con il comando appena indicato. Sono consentite variazioni a intervalli di 4096.

Modificare il Bridge ID per uno switch – metodo root

Switch(config)#spanning-tree vlan numero_VLAN root primay|secondary

L’opzione primary assegna un Bridge ID di 24576, ossia 8192 punti sotto il valore di default, mentre l’opzione secondary assegna un Bridge ID di 28672, ossia 4096 punti sotto il valore di default.

Abilitare la funzionalità Port Fast su una porta

Switch(config-if)#spanning-tree portfast

Impostare la modalità Rapid PVSTP+

Switch(config)#spanning-tree mode rapid-pvst