VLAN, cosa sono?

lan-party-764022Per capire bene il concetto di VLAN, cerchiamo prima di mostrare uno scenario tipico del suo utilizzo. Immaginiamo un’azienda che ha due dipartimenti distinti. Questi dipartimenti sono collegati ad una Lan tramite un singolo Switch  (Lo switch è un dispositivo che si occupa di instradamento dei pacchetti a livello 2, analogalmente al Router che però è al livello 3). Questa azienda vuole dividere il traffico dei due dipartimenti sia per ragioni di sicurezza, sia per dividere il traffico.

Una soluzione sarebbe utilizzare più LAN, ma potrebbe essere dispendioso.  Quello che si fa è quindi creare due VLAN distinte.

Una VLAN è una tecnologia logia indipendente dalla struttura fisica del mezzo. Attraverso un singolo switch ed una singola LAN, permette di dividere il traffico.

Abbiamo che ogni singolo pacchetto può appartenere ad una sola VLAN. Nel singolo switch, si hanno quindi una ingress port da cui entra il traffico relativo ad una vlan ed una egress port da cui esce. Praticamente il ragionamento è: appena un pacchetto entra nello switch appartiene ad una VLAN. Pacchetti che appartengono ad una VLAN specifica hanno assegnate porte di uscita ed ingresso specifiche, che vengono memorizzate in una particolare tabella detta filtering database. Quindi i singoli pacchetti posso essere associati all VLAN o in base alle porte da cui entrano/escono, oppure anche in base al loro indirizzo MAC.

Il router a livello superiore, vedrà due traffici distinti di pacchetti e gli assegnerà prefissi diversi. In questo modo si ha quindi una separazione del traffico senza intaccare l’infrastruttura fisica.

Esistono 2 tipi di VLAN:

  • VLAN Simmetriche: Le ingress port di un pacchetto sono uguali alle sue egress port
  • VLAN Asimmetriche: Le ingress port di un pacchetto possono essere diverse dalle sue egress port

Le VLAN Asimmetriche permettono la comunicazione tra dipartimenti diversi. Ponendo la egress port del primo dipartimento uguale alla ingress port del secondo, un ipotetico PC nel primo può inviare pacchetti al secondo. Per l’instradamento dei vari pacchetti, le varie VLAN posso condividere una singola Filtering database oppure averne ognuna una specifica. Quale è la differenza? Torniamo al caso di prima: Ho PC1 che invia un pacchetto a PC2. Il pacchetto inviato passerà per la VLAN1. Se ogni VLAN ha una propria tabella di instradamento, VLAN 1 non conosce PC2 che è presente sulla tabella di VLAN2, e quindi spedirà il pacchetto che ha ricevuto in broadcast su tutte le sue egress port. Risultato? PC2 riceverà comunque il pacchetto di PC1, ma sarà spedito anche ad altri PC che non lo avevano richiesto, aumentando inutilmente il traffico e appesantendo quindi l’infrastruttura. Se invece è presente un’unica tabella condivisa, quando VLAN1 riceve il pacchetto, ha già nella sua tabella l’indirizzo di PC2 che, in quando appartiene a VLAN2 che condivide la sua tabella con VLAN1, e quindi invierà direttamente il pacchetto al destinatario.

E se ci sono più dipartimenti con più switch? La soluzione di collegare gli switch con un collegamento per ogni dipartimenti risulta dispendiosa e potrebbe generare cicli. Quindi si instaura una particolare connessione tra switch definita Trunk1d: Praticamente, ogni switch è collegato con un altri tramite questo collegamento bidirezionale. Se devo spedire da una VLAN un pacchetto su un’altra appartenente ad un altro switch, invio il pacchetto sul Truck1d con un particolare TAG in modo che appena arriva allo switch successivo, questo sa a quale VLAN appartiene e lo assegna correttamente. Quindi in una VLAN con più switch ci ritroviamo con 3 tipi di porte:

  • Access Port: Gestisce solo pacchetti senza TAG
  • Trunk Port: Gestisce solo pacchetti con TAG, ed è vista di default come egress port
  • Ibrid Port: Gestisce entrambe le tipologie di pacchetti
Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Create a website or blog at WordPress.com

Su ↑

%d blogger hanno fatto clic su Mi Piace per questo: