Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 1 voto(i) - 4 media
  • 1
  • 2
  • 3
  • 4
  • 5
Che cos'è una VLAN

#1
In telecomunicazioni e informatica il termine VLAN (Virtual LAN) indica un insieme di tecnologie che permettono di segmentare il dominio di broadcast, che si crea in una rete locale (tipicamente IEEE 802.3) basata su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.
[hide]
Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro o dipartimenti di una azienda, per applicare diverse politiche di sicurezza informatica.

Le prime versioni proprietarie permettevano di realizzare su un singolo switch diverse reti "virtuali" (VLAN), assegnando ciascuna porta ad una di queste reti. Gli host collegati ad una rete VLAN potevano comunicare solo tra di loro e non con quelli collegati alle altre reti VLAN, se non per mezzo di un router connesso ad entrambe le VLAN cioè tramite un indirizzamento a livello 3 di internetworking.

Ad esempio, ipotizziamo di avere un solo switch, e di avere la necessità di incrementare la sicurezza affinché utenti di un gruppo di lavoro non interagiscano con utenti di un altro gruppo.

Attivando, via software, la gestione delle VLAN sullo switch, si può impostare ad esempio che su 24 porte ethernet disponibili, le prime 12 facciano parte del gruppo 1 e le seconde 12 facciano invece parte del gruppo 2.

Il risultato è lo stesso che si otterrebbe utilizzando un diverso switch "tradizionale" per ciascuna rete, ma con alcuni vantaggi:

costi e ingombri: invece di diversi switch, è possibile utilizzare un solo switch con molte porte, risparmiando in costi di acquisizione e manutenzione, spazio occupato, prese di alimentazione elettrica, indirizzi IP per la gestione remota;
flessibilità: le porte dello switch possono essere spostate da una VLAN ad un'altra per mezzo di semplici operazioni di riconfigurazione software, spesso effettuabili da remoto. Altre VLAN possono essere aggiunte utilizzando le porte esistenti, e quindi a costo nullo.

In seguito la tecnologia è stata sviluppata, aggiungendo la possibilità di collegare tra loro due switch unendo le VLAN presenti su di essi (VLAN trunking), permettendo così la realizzazione di VLAN che si estendono nelle diverse parti di una rete aziendale, anche su scala geografica.

Questa tecnologia è poi stata standardizzata come IEEE 802.1Q in modo che apparati di rete di diversi fornitori possano essere collegati tra loro in maniera interoperabile.

Ciascuna VLAN è identificata da un numero, detto VID (Vlan ID), che va da 1 a 4094 (0 e 4095 sono riservati).

Per realizzare il trunking di VLAN presenti su switch diversi, è necessario che sui collegamenti tra switch si possa identificare a quale VLAN appartiene ciascun pacchetto. Per fare questo, nel frame ethernet IEEE 802.3 viene aggiunto un campo di 4 byte posto tra il source address e il campo type/length, questo tag detto VLAN TAG oppure DOT1Q TAG, contiene il VID relativo a quel pacchetto. Lo switch che riceve questo pacchetto deve quindi sapere che deve interpretare questi 4 byte come VLAN TAG, ed il resto del pacchetto come un normale pacchetto 802.3.

Una porta di uno switch su cui viaggiano pacchetti con il VLAN TAG è detta tagged o trunk port. Viceversa, una su cui viaggiano pacchetti senza VLAN TAG è detta access port. Alcuni switch accettano anche un traffico misto di pacchetti tagged e non tagged, e una porta configurata in questo modo è detta hybrid port.

Più in generale l'appartenenza di un host ad una VLAN può essere definita secondo diversi criteri:

porte: come nell'esempio sopra descritto, ciascuna porta di uno switch è configurata per appartenere ad una data VLAN. Tutti i pacchetti provenienti da quella porta saranno "taggati" con l'ID della sua VLAN, e su questa porta verranno inviati solo pacchetti provenienti dalla sua VLAN. Questo è il metodo più diffuso e più semplice da implementare, in quanto lo switch deve guardare solo da quale porta viene un pacchetto per attribuirgli un VID.
Autenticazione: i diversi apparati possono essere assegnati automaticamente a determinate VLAN sulla base di credenziali di autenticazione dell'utente o dell'apparato stesso tramite l'impiego del protocollo 802.1x.
protocollo: l'appartenenza ad una VLAN è dettata dal protocollo incapsulato in 802.3. Ad esempio, i pacchetti IP possono appartenere ad una VLAN, diversa da quella usata dai pacchetti IPX.
MAC Address o indirizzo IP: i pacchetti vengono attribuiti ad una VLAN sulla base dell'indirizzo MAC o IP dell'host da cui provengono. In questo modo, ad una porta di uno switch possono essere collegati diversi host, che però appartengono a VLAN diverse.
analisi del pacchetto: lo switch che riceve il pacchetto lo esamina in dettaglio, possibilmente fino al livello applicazioni, e sulla base dei risultati decide a quale VLAN attribuirlo sulla base del suo contenuto.
[/hide]
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#2
Fondamentalmente sono LAN logiche layer 3 Big Grin
Cita messaggio

#3
(10-09-2013, 14:27)cisco88 Ha scritto: Fondamentalmente sono LAN logiche layer 3 Big Grin

Non esattamente. La VLAN è un gruppo di host separati logicamente da un altro gruppo per questioni di policy, strutturali, settoriali etc etc.
Non è necessario che le VLAN abbiano sottoreti differenti. E' un' implementazione puramente Layer 2.
Cita messaggio

#4
(11-09-2013, 12:19)Wolfhwk Ha scritto: Non è necessario che le VLAN abbiano sottoreti differenti.

Leggevo recentemente che era meglio spalmarle su sub differenti.
Che poi, alla fine, il tag Vlan è applicato nell'header 802.3 e quindi, come dici tu, è a layer 2.
If it ain't broke, don't fix it (Cit)
Cita messaggio

#5
(11-09-2013, 12:21)cisco88 Ha scritto:
(11-09-2013, 12:19)Wolfhwk Ha scritto: Non è necessario che le VLAN abbiano sottoreti differenti.

Leggevo recentemente, però avvertiva anche che era meglio spalmarle su sub differenti.
Che poi, alla fine, il tag Vlan è applicato all'header 802.3 e quindi, come dici tu, è a layer 2.

Certo che è meglio separarle in sottoreti. Per scelte di design ottimale.
Inoltre ricordati che il tag 802.1Q viene piazzato solo quando si attraversa un trunk, ovvero quando la stessa vlan convive in più switch.
Cita messaggio

#6
(11-09-2013, 12:29)Wolfhwk Ha scritto: Certo che è meglio separarle in sottoreti. Per scelte di design ottimale.
Inoltre ricordati che il tag 802.1q viene piazzato solo quando si attraversa un trunk, ovvero quando la stessa vlan convive in più switch.

Vero!
Alla fine io cerco anche l'ottimizzazione.
E ricordiamo anche che 1 vlan non ha tag Angel
If it ain't broke, don't fix it (Cit)
Cita messaggio

#7
Metti in conto che, nel design più comune, le VLAN dal livello accesso terminano nel livello distribuzione sotto forma di SVI (Switched Virtual Intreface). L' indirizzo ip sulla SVI è il default gateway dei membri della vlan specificata.

Immaginiamo la SVI come un tunnel che conduce ai dispositivi della VLAN.
Se ne deduce che il protocollo di routing considera queste interfacce virtuali, insieme alle porte fisiche (routed).

(11-09-2013, 12:31)cisco88 Ha scritto: E ricordiamo anche che 1 vlan non ha tag Angel

Gli si può mettere il tag per ragioni di sicurezza, senza disturbare CDP, PAgP e DTP.
E' uso comune scegliere come vlan nativa un numero differente da 1.
Cita messaggio

#8
Interessante Smile
If it ain't broke, don't fix it (Cit)
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2017 MyBB Group.