Andrea Beggi

Emancipate yourself from mental slavery.

VLAN: cosa sono e perché si usano

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Da Wikipedia: “Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione fisica. una VLAN ha le stesse caratteristiche di una LAN fisica, ma consente di raggruppare le workstation come se fossero attestate sullo stesso segmento di rete. Invece di spostare gli host, la configurazione della rete si fa tramite strumenti software.”

Uno dei termini impiegati per definire una LAN, è “dominio di broadcast”(*): un segmento della rete all’interno del quale diversi host di uno stesso subnet comunicano tra di loro senza dover “passare” da un router, appartenendo alla stessa VLAN.

L’utilizzo delle VLAN porta diversi benefici, tra i quali:

  • Facilità di gestione delle infrastrutture di rete: invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software.
  • Ottimizzazione dell’uso delle infrastrutture: se desidero isolare una subnet non devo aggiungere uno switch e/o un router, ma mi sarà sufficiente riassegnare alcune porte.
  • Forte scalabilità: in pochi minuti si riassegna una porta e si sposta una patch, e le VLAN si possono estendere su diversi switch, rendendo semplice e relativamente economica l’espansione della rete.
  • Possibilità di estensione oltre i limiti fisici di un singolo switch: oltre alla scalabilità, c’è il vantaggio di poter estendere una LAN su (ad esempio) piani diversi, utilizzando una unica dorsale di collegamento.
  • Economicità: con uno switch livello 3, si può fare routing tra le VLAN.
  • Diminuzione del traffico di rete: tramite VLAN si confina facilmente il broadcast.

L’assegnazione di un host ad una VLAN può seguire diversi criteri, tra cui: MAC address, indirizzo IP e porta dello switch; la maggior parte degli switch moderni con un adeguato numero di porte sono in grado di gestire le VLAN.

Le VLAN riguardano il livello 2, mentre le subnet interessano il livello 3, ma molto spesso ad una VLAN corrisponde una sola sottorete, completando il metodo di assegnazione basato sulla porta dello switch, che è il modello sicuramente più diffuso.

Se lo switch gestisce il livello 3, le VLAN possono comunicare tra di loro tramite routing, senza dover introdurre un elevato numero di router sulla rete.

Facciamo un esempio pratico: su uno switch a 48 porte, si potrebbero assegnare le porte da 1 a 30 per la VLAN principale, con i client ed i server di dominio, da 31 a 35 una VLAN per le stampanti, su una subnet diversa e routing da e verso la LAN, sulle porte restanti si potrebbe attestare una VLAN completamente separata per ospitare una rete di test che non si vuole condividere con il resto delle attività. A questo punto è semplicissimo riassegnare le porte e/o gli host, semplicemente riconfigurando lo switch e spostando un cavo. Alcune porte potrebbero essere usate per isolare (con una blanda sicurezza) il traffico WiFi da quello cablato.

Le VLAN possono estendersi al di là dei limiti fisici dei singoli switch, tramite il VLAN tagging. Il protocollo 802.1Q, che regola le VLAN, prevede che ciascun frame ethernet venga “etichettato” con le informazioni relative alla VLAN di appartenenza. In questo modo, host lontani fisicamente possono appartenere alla stessa VLAN: è sufficiente che gli switch interessati al trasporto dei frame siano collegati tra di loro (tramite “trunk”, un collegamento in grado di trasportare diverse VLAN) con porte opportunamente “taggate”.

La gestione della VLAN, nei casi più semplici si effettua collegandosi con un browser all’indirizzo IP dello switch, oppure via seriale direttamente connessi alla porta console del dispositivo.

E’ buona norma non utilizzare le VLAN per isolare le diverse zone della rete, ad esempio per ospitare una DMZ, perché il traffico tra le VLAN è spoofabile. E’ sempre meglio affidarsi ad un firewall per isolare le zone tra le quali la sicurezza del traffico è un fattore critico.

(*) Prima della diffusione capillare degli switch si usava “dominio di collisione”. Dato che uno switch per definizione elimina le collisioni, l’attenzione si è spostata sul traffico broadcast.

(La trattazione è semplificata in alcuni aspetti, ma l’argomento è abbastanza vasto ed è facilissimo trovare materiale di approfondimento.)

Tags: ,

13 Commenti

fabio torazza | #

Bravo! Conciso chiaro ed essenziale , come sempre !! :-D
ti è capitato di impostarne/gestirne ? su che apparati ?

dr.snail | #

brau

@

Giulio | #

Complimenti Andrea, molto chiaro ed esaustivo.

returncode | #

Mi associo agli elogi generali!

Sintesi e chiarezza riuniti.

Luca | #

Domanda :

ma se voglio effettuare routing tra vlan ci vuole un layer 3..ok…ma nel caso in cui questi indirizzamenti fossero di classi diverse ho problemi nel farle comunicare?

esempio

vlan 10 192.168.1.x

vlan 20 10.10.1.x

vlan 30 172.16.1.x

Paolo | #

Buonasera,
avrei bisogno di un aiuto anche solo su come reperire informazioni per una configurazione wi-fi con vlan.

Un cliente vuole che l’accesso wi-fi sia diviso in due uno per gli uffici e uno per gli ospiti, cioe’ che per il primo l’accesso sia completo sia rete lan che a internet metre per il secondo l’accesso sia solo verso internet e se è possibile vedere una stampante e una condivisione di rete o disco di rete.

Per fare questa divisione senza dividere fisicamente gli access point su due classi di rete diverse o due switch diversi, ho pensato di utilizzare le vlan visto che sia gli access point che gli switch le supportano.

Per prima cosa ho creato due ssid “uffici” (vlan1) e “ospiti” vlan2) e abilitato le vlan sugli access point, poi mi sono bloccato perchè sia i clients “uffici” che quelli “ospiti” ricevono la configurazione ip dall’unico server dhcp, però questo server non dovrebbe essere visibile a chi si collega come ospite.

Secondo lei la cosa è fattibile in qualche modo, inoltre il server dhcp ha delle prenotazioni per i notebook/telefoni conosciuti che si collegano solo ad “uffici”, però a questo ssid si devono collegare anche dei programmatori esterni di cui non posso conoscere i mac address dei loro notebook, le dico questo perchè avevo pensato anche ad impostare subnet diverse.

Dato che ci sono le chiedo anche un’altra cosa in che modo è possibile impostare delle passphrase a tempo per l’ssid “ospiti” gestite/create da un pc/server/utente.

Giuseppe | #

Salve, secondo lei che problemi potrei avere configurando su una VLAN tre classi di indirizzi IP diverse tra di loro?
Mi serve poichè su uno switch L3 non ho porte a disposizione e quindi non posso creace nuove Vlan su altre porte.

Grazie e buon lavoro

Giuseppe

Robert | #

Ciao Andrea! E’ un po che non ti scrivo. Quando si cerca un informazione sulle reti… si arriva sempre sul tuo blog!! AHAH
In questo caso, mi associo alla domanda scritta sopra dal sig Paolo, ma nel mio caso è più semplice (Credo)
In un ufficio, mi hanno chiesto di mettere un router adls col wireless.
Solo dopo che tutto è entrato in funzione, mi hanno specificato, che il WiFi è solo per dare connettività interent agli ospiti, ma che questi NON devono potere accedere alle risorse della intranet o se vogliamo usare un termine più elementare, gli ospiti non devono poter sfogliare la rete locale.
Il router ha le funzionalità di VLAN. Il problema è che io non ho mai avuto a che fare con le VLAN.
Comunque nei settaggi, si vede che il WiFi e le 4 porte RJ45, sono considerate come 5 schede (vedi il capitolo 4.4.5 di questa guida
E’ forse con le VLAN che si può ottenere la divisione richiesta?
Hai qualche linea guida da suggerire?
Grazie
Ciaoi
Robert

Andrea | #

Non ti sbattere troppo. Metti l’access point fuori dal firewall, se puoi. E sei a posto.

Robert | #

Ciao Andrea, grazie per la pronta risposta.

hehe
il firewall è il router adsl wifi stesso…

Ma a riguardo delle sue funzionalità VLAN? Cosa ci si potebbe fare?

Dalla schermata di configurazione, si capisce che dentro al router si potrebbero assegnare alla VLAN 1 le porte RJ45 e ad esempio alla VLAN 2 la scheda WiFi (P.S. cosa sono le taggature delle porte VLAN?)

Si, ma poi? Ci vorrebbero IP differenti? Come si suppone verrebbero getiti gli IP?

(Scusa ma il router non lo ho qui evorrei evitare di andare la a fare prove a vuoto, grazie per ogni suggerimento)

Invece andare per la tua strada, comporterebbe quindi di dover introdurre un firewall tra il router adsl e l’HUB, corretto?

Fran | #

E’ possibile integrare switch cisco layer3 (routing) con una infrastruttura di rete già esistente switch cisco layer2 con vlan ?

riccardo | #

salve, ho uno switch layer 3, dovrei configurare 3VLAN, con subnet separate, ma tutti i computer devono poter “vedere” un computer sulla VLAN1. è possibile ?