Cosa è una VLAN e quali sono i suoi vantaggi

Lo standard 802.1Q permette di realizzare delle reti LAN virtuali che condividono la stessa rete fisica.

Le VLAN sono delle LAN realizzate logicamente e quindi tramite tecniche prettamente software. Una rete virtuale di questo tipo, definita nello standard 802.1Q, è isolata dalle altre reti virtuali solo a livello logico e non fisico. Ciò permette di avere su una stessa rete fisica più reti logiche o, viceversa, avere su più reti fisiche una stessa rete logica.

Due reti separate logicamente ma presenti sulla stessa rete fisica.

Una VLAN è un gruppo di host (computer, tablet, smartphone, dispositivi di rete, etc.) che comunicano tra di loro come se fossero all’interno della stessa rete fisica, a prescindere dalla posizione geografica in cui si trovano.

Per esempio, in un edificio di due piani vorremmo due reti logiche distinte indipendentemente dal piano in cui si trovano. Dunque, non due reti come quelle qui sotto, anche se questa è la loro distribuzione fisica.

Ecco la soluzione: due reti, indipendenti dalla loro posizione all’interno dell’edificio, separate tra loro ma unite logicamente.

La porta di TRUNK è la porta che concentra i messaggi provenienti da più VLAN.

Questa divisione tra rete logica A e B si traduce in VLAN 20 e VLAN 30. Questo perché ogni VLAN ha un numero di identificazione che va da 1 a 1005. Ogni Rete Virtuale ha le stesse medesime caratteristiche di una LAN comune, se non fosse che la configurazione della rete non si fa spostando fisicamente gli host ma utilizzando strumenti software. Ovviamente, per far comunicare le due reti VLAN è necessario effettuare Routing di livello 3 del TCP/IP: proprio come se fossero due reti locali distinte e separate. La comunicazione all’interno delle reti virtuali è, invece, a livello 2 del TCP/IP.

Vantaggi della VLAN

Risparmio

Si risparmia tempo e denaro utilizzando le VLAN, sfruttando le reti fisiche già esistenti o comunque un numero ridotto di apparecchiature di rete. Inoltre, è possibile estendere la LAN oltre i limiti fisici di uno switch.

Aumento delle prestazioni

Il traffico viene confinato all’interno della stessa rete locale e non all’intera rete “globale” di un edificio.

Maggiore sicurezza

Dato che il traffico è confinato all’interno della VLAN, i dati riservati ad un’area della rete restano al suo interno. Siete mai stati in quei negozi di spedizioni che hanno anche la possibilità di usare dei computer a noleggio? Mail Boxes sto parlando di te… Bene, è ovvio che la rete dei PC a noleggio e quella degli impiegati devono essere separate. Il traffico dei clienti e quello dei dipendenti è totalmente diverso e questo garantisce che non si mescolino mai.

Flessbilità

Sempre restando nell’esempio di prima: se un computer a noleggio si rompe, puoi darne uno dei dipendenti che non serve più. Basta riconfigurarlo per funzionare nella VLAN dedicata al noleggio. Viceversa, se un dipendente ha bisogno di un computer ed è rimasto solo un PC a noleggio può temporaneamente collegarlo alla VLAN dei dipendenti.

Come si realizza una VLAN

Le VLAN possono essere:

  • Port Based (Untagged): nel quale è il numero di porta dello switch a stabilire a quale VLAN appartiene il dispositivo collegato;
  • Tagged (802.1Q): nel quale lo switch assegna un indirizzo IP/MAC ad una VLAN.

E’ chiaro che il secondo metodo è in assoluto il più sicuro e il più flessibile. Nel primo caso vi è una staticità da parte del router che associa semplicemente una porta ad una VLAN. Basterebbe quindi collegare un computer qualsiasi alla porta N per renderla automaticamente appartenente alla VLAN N. Troppo poco sicuro.

Le VLAN, come avrai di certo capito in questo articolo, vengono gestite dallo switch. Ogni rete virtuale possiede un Nome e un ID (VID: Vlan Identificator), con un range da 1 a 1005, e un blocco d’indirizzi. 

Realizzazione di una VLAN Port Based (Untagged)

Come abbiamo già detto prima, utilizzando una VLAN Tagged i numeri delle porte dello switch vengono assegnate alle diverse VLAN presenti. Ciascuna porta diviene, quindi, una Access Port.

Le operazioni che lo switch deve compiere sono:

  • Ingress: riconosce la VLAN di provenienza di un frame;
  • Forwarding: in questa fase lo switch individua a quale porta deve essere inviato il frame, in base alla VLAN di provenienza. Ovviamente, la rete virtuale di destinazione non può essere diversa da quella di provenienza;
  • Egress: una volta determinata la porta di destinazione, avviene la trasmissione del frame.

Realizzazione di una VLAN Tagged (802.1Q)

Lo standard 802.1Q permette di far condividere una VLAN su più switch. Per fare questo, vengono aggiunti 4 byte (TAG) al frame Ethernet i quali trasportano le informazioni sulla VLAN e altre aggiuntive.

Tag Protocol Identifier

I primi 2 byte sono chiamati Tag Protocol Identifier (TPI). Al loro interno è presente il tag EtherType con valore predefinito di 0x8100, il quale evidenzia il nuovo formato del frame.

Tag Control Information (TCI)

I successivi 2 byte sono chiamati Tag Control Information (TCI) o VLAN Tag. Sono divisi in:

  • user_priority: campo a 3 bit per indicare il livello di priorità del frame;
  • CFI: indica se i MAC address nel frame sono in forma canonica;
  • VID: campo di 12 bit che indica l’ID delle VLAN. E’ possibile definire 4094 VLAN tagged.

 

 

All’interno dello switch è necessario avere una situazione delle porte, che possono essere distinte in porte trunk/tagged e untagged.

  • Se la porta è associata ad una VLAN port-based i frame ricevuti da quella porta non necessitano i tag TPI e TCI sia in entrata che in uscita. Queste sono le porte d’accesso e il link su tali porte si dice access link.
  • Se la porta è associata ad una VLAN in modalità tagged, i frame trasportano le informazioni di TAG e la VLAN di appartenenza del frame è all’interno del TAG. Queste porte sono chiamate porte Trunk.

Porte Ibride

Lo standard 802.1Q prevede che ci sia una porta utilizzabile sia come untagged che come tagged. Questa porta prende il nome di hybrid port. Questa porta è in grado di riconoscere se nel frame sono presenti i tag TPI e TCI. Nel caso questi non sono presenti la porta funziona come una porta untagged, se invece sono presenti questi vengono analizzati e la VLAN di appartenenza viene identificata nel campo VID del TCI.

Lo switch opererà secondo queste fasi:

  • Ingress: lo switch riconosce il tipo di frame e identifica la VLAN di appartenenza.
    • Se il frame è untagged, la VLAN di appartenenza viene identificata in base alla porta di provenienza del frame;
    • Se il frame è tagged, la VLAN di appartenenza viene identificata nel tag;
  • Forwarding: una volta identificata la VLAN di appartenenza viene identificata la porta in uscita;
  • Egress: qui potrebbe verificarsi l’inserimento e la rimozione del tag.
    • Se il frame in ingresso è di tipo tagged e la porta di destinazione è anch’essa tagged, il frame rimane inalterato;
    • Se il frame in ingresso è di tipo untagged e la porta di destinazione è anch’essa untagged, il frame rimane inalterato;
    • Se il frame in ingresso è di tipo tagged e la porta di destinazione è di tipo untagged, è necessario rimuovere i 4 byte del TPI e del TCI;
    • Se il frame in ingresso è di tipo untagged e la porta di destinazione è di tipo tagged, è necessario aggiungere i 4 byte del TPI e del TCI.

Requisiti delle VLAN

Per ragioni di compatibilità è possibile aggiungere alla rete che non supportano lo standard 802.1Q, basta collegarle a porte untagged. Le schede di rete in genere non sono compatibili con lo standard 802.1Q. Fortunatamente basta installare dei driver aggiornati ed un sistema operativo che supporti questa tecnologia.

 


Fonti

Francesco Grecucci

Sono nato a Taranto e mi sono diplomato in Informatica e Telecomunicazioni. Ho questo blog dal 2016 e cerco sempre di migliorarlo, ogni giorno. Mi piacciono molto anche la musica, il vintage, le fotografie. Amo molto scrivere, non solo di informatica, ma anche di narrativa. 😉

Francesco Grecucci

Francesco Grecucci

Sono nato a Taranto e mi sono diplomato in Informatica e Telecomunicazioni. Ho questo blog dal 2016 e cerco sempre di migliorarlo, ogni giorno. Mi piacciono molto anche la musica, il vintage, le fotografie. Amo molto scrivere, non solo di informatica, ma anche di narrativa. ;)