VLAN
Una Virtual LAN (VLAN) è una LAN realizzata in maniera logica all'interno di una stessa rete fisica (grazie allo standard 802.1Q), la rete fisica può contenere più VLAN, realizzando quindi un subnetwork all'interno di una rete fisica. Questo permette di poter separare postazioni che sono connesse alla stesse rete fisica e quindi nello stesso dominio di broadcast in più reti logiche distinte, “scollegate” tra loro.
Ogni VLAN ha un VLAN ID (VLAN IDentifier), numero che identifica la VLAN dalle altre. Nella tabella di switching degli switch è così presente una colonna (VLAN ID) che indica a quale VLAN appartiene ciascuna porta. Quando uno switch riceve un frame in broadcast su una sua porta lo inoltra solo sulle porte che hanno lo stesso VLAN ID, oltre che sull’eventuale porta trunk che lo interconnette a un altro switch, limitando così il traffico al solo dominio di broadcast corrispondente alla VLAN. Se un computer invia un frame in broadcast esso giunge solo ai computer appartenenti alla stessa VLAN e non a tutti i computer collegati in rete.
A tutti gli effetti computer appartenenti a VLAN diverse non possono comunicare direttamente, anche se sono collegati allo stesso switch. La loro comunicazione deve avvenire tramite un router (che può anche essere integrato in uno stesso apparato che funge da switch e da router, detto multilayer switch o switch layer 3).
I principali vantaggi dati dalle VLAN sono i seguenti:
- Aumento delle prestazioni della rete: realizzando domini di broadcast più piccoli il traffico diminuisce e diminuiscono anche le collisioni.
Aumento della sicurezza: due host che appartengono a due VLAN diverse non possono comunicare direttamente anche se sono collegati alle porte di uno stesso switch e anche se appartengono alla stessa subnet IP
Migliore organizzazione: è possibile suddividere gli host di una rete in relazione al loro ambito di impiego e richiedendo dei Router per la comunicazione tra VLAN differenti
Possibilità di separare il traffico voce dal traffico dati: in caso di reti convergenti di nuova generazione (che condividono la stessa infrastruttura fisica con diversi servizi all'interno, per esempio il Voip ed il traffico Internet) è possibile definire una VLAN a cui appartengono solo i telefoni IP (Voice VLAN), che quindi operano come se fossero su una rete completamente separata rispetto a quella dei PC (traffico dati)
Possibilità di separare il traffico proveniente da host connessi via radio (wireless), intrinsecamente meno sicuro, dal traffico proveniente da host cablati (wired), definendo una VLAN per gli apparati wireless.
Le porte di uno switch che supporta le VLAN possono essere configurate essenzialmente in due modalità:
- Static access (accesso configurato staticamente): quando una porta viene assegnata a una specifica VLAN; uno switch non ancora configurato presenta una sola VLAN di default (default VLAN) che negli switch Cisco è la numero 1 (VLAN ID 1); si utilizza per collegare un host;
- trunk, è una porta comune a tutte le VLAN (VLAN ID ALL) che viene utilizzata per interconnettere due switch su cui sono configurate delle VLAN; la comunicazione tra gli switch che consente la gestione di VLAN distribuite su più switch è regolata dallo standard 802.1Q e dal protocollo VTP (VLAN Trunking Protocol); quando uno switch deve trasmettere un frame a un altro switch lo marca (frame tagging) aggiungendo l’identificativo della VLAN a cui appartiene la porta da cui è stato ricevuto; in questo modo l’altro switch viene a conoscenza della VLAN a cui appartiene l’host di destinazione. Il trunk viene utilizzato per utilizzare un'unico cavo per connettere due switch, altrimenti la connessione tra due switch deve essere fatta con un numero di interfacce fisiche pari al numero delle VLAN che devono poter comunicare tra di loro. Gli switch attraverso il protocollo DTP (Dynamic Trunking Protocol) possono determinare in automatico le VLAN definite in altri switch.
Il traffico all’interno di una stessa VLAN viene definito intra-VLAN e richiede semplicemente che gli host appartengano alla stessa subnet IP. Se due PC appartengono alla stessa VLAN ma hanno indirizzi IP che appartengono a subnet IP diverse, non possono comunicare.
P.S. è possibile realizzare delle VLAN modificando esclusivamente l'indirizzo di rete IP, ma in questo caso la rete non è sicura in quanto basta cambiare la configurazione di una scheda di rete per farla passare da una rete all’altra oltre che il traffico broadcast aumenta.
Frame VLAN 802.1Q
La tecnologia che permette di far condividere una VLAN a due o più switch mediante una modifica del formato del frame Ethernet è quella che utilizza lo standard 802.1Q, la quale aggiunge 4 byte (TAG) che trasportano le informazioni sulla VLAN e altre aggiuntive. Con queste “aggiunte” è possibile che il frame possa superare la lunghezza di 1518 byte, limite massimo dello standard Ethernet: i bridge che ammettono standard 802.1Q devono poter accettare frame con 4 byte in più.
I pacchetti con questo formato non possono arrivare su qualsiasi porta dello switch in quanto questo deve essere in grado di interpretarli: è necessario avere una classificazione anche delle porte, che possono essere distinte in porte trunk e porte static.
Se il frame viene inviato da una porta static ad una trunk (o viceversa) lo switch deve ricalcolare il valore del CRC.
Inter-VLAN Routing
Per far cominciare due VLAN il modo più semplice è quello di inserire un router e connetterlo a uno degli switch della LAN: la connessione tra il router e lo switch deve essere fatta con un numero di interfacce fisiche pari al numero delle VLAN che devono poter comunicare tra di loro.
Si nota la grande "limitazione" di questo metodo, e proprio come avviene negli switch, è possibile utilizzare il trunk per poter utilizzare un'unico collegamento fisico tra router e switch. Infatti il router viene connesso a uno degli switch della LAN con una sola interfaccia fisica. Opereremo una “suddivisione” dell’interfaccia fisica in tante interfacce virtuali quante sono le VLAN che possono comunicare tra di loro: ogni interfaccia virtuale (subinterface) del router è associata a una VLAN e deve quindi avere un indirizzo IP appartenente a tale VLAN.