Pensare? Perché pensare! Abbiamo i computer che lo fanno per noi.

— Jean Rostand

VLAN: cosa sono e perché si usano

  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT last_comment_timestamp, last_comment_name, comment_count FROM node_comment_statistics WHERE nid = 182 in /home/stenoweb/public_html/modules/comment/comment.module on line 596.
  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT last_comment_timestamp, last_comment_name, comment_count FROM node_comment_statistics WHERE nid = 24 in /home/stenoweb/public_html/modules/comment/comment.module on line 596.
  • user warning: Table './stenoweb/node_comment_statistics' is marked as crashed and should be repaired query: SELECT comment_count FROM node_comment_statistics WHERE nid = 24 in /home/stenoweb/public_html/modules/comment/comment.module on line 1121.
http://www.stenoweb.it/files/blog/vlan.png Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione fisica. una VLAN ha le stesse caratteristiche di una LAN fisica, ma consente di raggruppare le workstation come se fossero attestate sullo stesso segmento di rete. Invece di spostare gli host, la configurazione della rete si fa tramite strumenti software.

Uno dei termini impiegati per definire una LAN, è “dominio di broadcast”(*): un segmento della rete all’interno del quale diversi host di uno stesso subnet comunicano tra di loro senza dover “passare” da un router, appartenendo alla stessa VLAN.
L’utilizzo delle VLAN porta diversi benefici, tra i quali:

  • Facilità di gestione delle infrastrutture di rete: invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software.
  • Ottimizzazione dell’uso delle infrastrutture: se desidero isolare una subnet non devo aggiungere uno switch e/o un router, ma mi sarà sufficiente riassegnare alcune porte.
  • Forte scalabilità: in pochi minuti si riassegna una porta e si sposta una patch, e le VLAN si possono estendere su diversi switch, rendendo semplice e relativamente economica l’espansione della rete.
  • Possibilità di estensione oltre i limiti fisici di un singolo switch: oltre alla scalabilità, c’è il vantaggio di poter estendere una LAN su (ad esempio) piani diversi, utilizzando una unica dorsale di collegamento.
  • Economicità: con uno switch livello 3, si può fare routing tra le VLAN.
  • Diminuzione del traffico di rete: tramite VLAN si confina facilmente il broadcast.

L’assegnazione di un host ad una VLAN può seguire diversi criteri, tra cui: MAC address, indirizzo IP e porta dello switch; la maggior parte degli switch moderni con un adeguato numero di porte sono in grado di gestire le VLAN.

Le VLAN riguardano il livello 2, mentre le subnet interessano il livello 3, ma molto spesso ad una VLAN corrisponde una sola sottorete, completando il metodo di assegnazione basato sulla porta dello switch, che è il modello sicuramente più diffuso.

Se lo switch gestisce il livello 3, le VLAN possono comunicare tra di loro tramite routing, senza dover introdurre un elevato numero di router sulla rete.

Facciamo un esempio pratico: su uno switch a 48 porte, si potrebbero assegnare le porte da 1 a 30 per la VLAN principale, con i client ed i server di dominio, da 31 a 35 una VLAN per le stampanti, su una subnet diversa e routing da e verso la LAN, sulle porte restanti si potrebbe attestare una VLAN completamente separata per ospitare una rete di test che non si vuole condividere con il resto delle attività. A questo punto è semplicissimo riassegnare le porte e/o gli host, semplicemente riconfigurando lo switch e spostando un cavo. Alcune porte potrebbero essere usate per isolare (con una blanda sicurezza) il traffico WiFi da quello cablato.

Le VLAN possono estendersi al di là dei limiti fisici dei singoli switch, tramite il VLAN tagging. Il protocollo 802.1Q, che regola le VLAN, prevede che ciascun frame ethernet venga “etichettato” con le informazioni relative alla VLAN di appartenenza. In questo modo, host lontani fisicamente possono appartenere alla stessa VLAN: è sufficiente che gli switch interessati al trasporto dei frame siano collegati tra di loro (tramite “trunk”, un collegamento in grado di trasportare diverse VLAN) con porte opportunamente “taggate”.
La gestione della VLAN, nei casi più semplici si effettua collegandosi con un browser all’indirizzo IP dello switch, oppure via seriale direttamente connessi alla porta console del dispositivo.
E’ buona norma non utilizzare le VLAN per isolare le diverse zone della rete, ad esempio per ospitare una DMZ, perché il traffico tra le VLAN è spoofabile. E’ sempre meglio affidarsi ad un firewall per isolare le zone tra le quali la sicurezza del traffico è un fattore critico.

(*) Prima della diffusione capillare degli switch si usava “dominio di collisione”. Dato che uno switch per definizione elimina le collisioni, l’attenzione si è spostata sul traffico broadcast.