Per apprezzare la necessità di LAN virtuali, consideriamo e le LAN se fossero costruite senza switch utilizzando solo hub. Come sapete, gli hub sono dispositivi di livello 1 senza alcuna intelligenza e in genere trasmettono il frame ricevuto su una porta a tutte le altre porte indipendentemente dal tipo di frame. È un dato di fatto che a loro non importa quale sia il contenuto del frame e lo stesso trattamento viene dato ai frame unicast, multicast e broadcast. Di conseguenza, l’insieme di dispositivi collegati a un hub si trova nello stesso dominio di collisione, il che significa che due dispositivi collegati a un hub non possono trasmettere contemporaneamente senza causare una collisione. Il meccanismo Ethernet per il rilevamento di accessi multipli / rilevamento collisioni (CSMA / CD) di Carrier Sense è operativo in reti costruite con hub. Poiché tutti i dispositivi si trovano nello stesso dominio di collisione, si verifica un peggioramento delle prestazioni poiché sempre più dispositivi sono connessi allo stesso hub e iniziano a verificarsi più collisioni.
Supponiamo di avere cinque LAN fisiche nella nostra organizzazione: ingegneria, finanza, gestione, marketing e vendite, ciascuna appartenente a un reparto che deve essere connesso allo stesso router che fornisce connettività WAN (Wide Area Network). Ecco come questa rete può essere costruita usando solo gli hub.
Si noti che le reti aziendali non utilizzano più hub e sono costruite esclusivamente con switch. Ma analizzare la rete di cui sopra costruita con hub ci consentirebbe di apprezzare i vantaggi offerti dagli switch. Innanzitutto esiste un hub per ogni LAN fisica e tutti i dispositivi in ​​quella LAN fisica sono cablati allo stesso hub mentre ogni hub stesso è collegato a un’interfaccia separata sul router. Inoltre, esiste una sottorete IP per ciascuna LAN fisica e ogni dispositivo collegato a quella LAN deve avere un indirizzo IP in quella sottorete IP. L’interfaccia del router su una determinata LAN fisica ha anche un indirizzo IP nella sottorete IP per quella LAN. Gli host nella LAN fisica hanno l’indirizzo IP del router impostato come gateway predefinito. In questo progetto, se è necessario aggiungere un altro dispositivo in una LAN fisica, ad esempio Engineering, è sufficiente collegarlo all’hub di Engineering e assegnargli un indirizzo IP dalla sottorete IP per Engineering LAN.
Ci sono alcune carenze in questo design. Innanzitutto ci sono limitazioni su dove è possibile posizionare fisicamente i dispositivi su una determinata LAN a causa della lunghezza massima del cavo limitata supportata dagli standard di cablaggio Ethernet. Supponiamo che ci sia un nuovo impiegato nel dipartimento di ingegneria che deve essere collegato alla LAN di ingegneria, ma non c’è spazio fisico nel dipartimento di ingegneria per fare spazio al nuovo dipendente. Vi è abbondanza di spazio nel reparto vendite e il nuovo impiegato di ingegneria viene fatto sedere nel reparto vendite. Ora, il reparto vendite si trova in un altro angolo dell’edificio e non è possibile collegare il nuovo impiegato di ingegneria all’hub di ingegneria a causa del semplice fatto che la distanza supera la lunghezza massima consentita del cavo. Il nuovo impiegato di Engineering è invece collegato all’hub di vendita ma questo ha alcuni effetti collaterali indesiderati. Il dipendente di Engineering è ora sulla LAN di vendita e può accedere a tutte le risorse sulla LAN di vendita come server che devono essere visibili solo al personale di vendita. È un problema di sicurezza poiché le politiche dell’organizzazione possono impedire ai dipendenti di altri reparti di accedere a documenti e dati di vendita. Inoltre, il nuovo impiegato di ingegneria verrebbe escluso dalle risorse della LAN di ingegneria che potrebbe impedirgli di svolgere efficacemente il suo lavoro. Nelle prossime sezioni vedremo in che modo le LAN virtuali nelle reti costruite con switch anziché hub forniscono mezzi per prevenire problemi come questo pur consentendo la mobilità fisica. Il design che ho appena descritto, anche se oggi obsoleto, ha funzionato bene per diversi anni nonostante i suoi limiti.
In una LAN Ethernet, un insieme di dispositivi che ricevono una trasmissione inviata da qualsiasi altro dispositivo viene chiamato dominio di trasmissione . Abbiamo appena appreso nell’ultima sezione, uno switch inoltra semplicemente tutte le trasmissioni su tutte le interfacce, tranne l’interfaccia su cui ha ricevuto il frame. Di conseguenza, tutte le interfacce su un singolo switch si trovano nello stesso dominio di trasmissione. Inoltre, se uno switch si connette anche ad altri switch, anche le interfacce su tali switch si trovano nello stesso dominio di trasmissione. Sugli switch che non hanno il concetto di LAN virtuali (VLAN), l’intera rete commutata è una grande rete piatta comprendente un singolo dominio di trasmissione.
Una VLAN è semplicemente un sottoinsieme di porte switch configurate per essere nello stesso dominio di trasmissione. Le porte degli switch possono essere raggruppate in VLAN diverse su un singolo switch e anche su più switch interconnessi. Creando più VLAN, gli switch creano più domini di trasmissione. In tal modo, una trasmissione inviata da un dispositivo in una VLAN viene inoltrata a tutti gli altri dispositivi nella stessa VLAN; tuttavia la trasmissione non viene inoltrata ai dispositivi nelle altre VLAN. Le VLAN offrono efficienza di larghezza di banda perché le trasmissioni, i multicast e gli unicast sconosciuti sono limitati alle singole VLAN e forniscono anche sicurezza poiché un host su una VLAN non può comunicare direttamente con un host su un’altra VLAN.
Concetto dell’esame – Una VLAN è semplicemente un insieme di porte switch definite amministrativamente che si trovano nello stesso dominio di trasmissione. Il nuovo esame CCNA ha un sacco di domande sui concetti VLAN, quindi capiscili dentro e fuori.
Poiché un collegamento trunk può trasportare molte VLAN, uno switch deve identificare i frame con le VLAN associate quando vengono inviati e ricevuti tramite un collegamento trunk. L’identificazione del frame assegna un numero univoco definito dall’utente a ciascun frame trasportato su un collegamento trunk. Questo numero VLAN è anche chiamato ID VLAN e poiché ogni frame viene trasportato su un collegamento trunk, tale identificatore univoco viene inserito nell’intestazione del frame. Quando ogni switch lungo la strada riceve questi frame, l’identificatore viene esaminato per determinare a quale VLAN appartengono i frame e quindi viene rimosso. Il campo ID VLAN contiene un valore a 15 bit e pertanto l’intervallo dei possibili ID VLAN è compreso tra 0 e 4095. Gli ID VLAN compresi tra 0 e 4095 non vengono utilizzati e l’intervallo utilizzabile degli ID VLAN è quindi compreso tra 1 e 4094. Per impostazione predefinita, tutti le porte su uno switch Cisco sono assegnate alla VLAN 1. La VLAN 1 è anche chiamata VLAN di gestione e il traffico del piano di controllo appartiene alla VLAN 1.
Le migliori pratiche consigliate da Cisco prevedono l’utilizzo di una sottorete IP separata per ciascuna VLAN. In poche parole, i dispositivi in ​​una singola VLAN si trovano in genere anche nella stessa sottorete IP. Il livello 2 commuta i frame in avanti tra i dispositivi sulla stessa VLAN, ma non inoltra i frame tra i dispositivi in ​​VLAN diverse. Per poter inoltrare i frame tra due diverse VLAN, è necessario uno switch multistrato o un router. Tratteremo questo in modo più dettagliato in una sezione successiva del capitolo.
Ora vediamo come possiamo costruire la stessa rete usando switch anziché hub e quali vantaggi ci offrono. La Tabella 7-1 elenca gli ID VLAN corrispondenti ai dipartimenti organizzativi e alle sottoreti IP associate a ciascuna VLAN. Esiste una sottorete IP diversa assegnata a ciascuna VLAN e se si osserva attentamente il terzo ottetto del numero della sottorete IP è lo stesso dell’ID VLAN. È solo un numero arbitrario per rendere il progetto facilmente comprensibile e permetterci di concentrarci maggiormente sui concetti piuttosto che sui numeri specifici utilizzati. Il router ha una connessione WAN (Wide Area Network) e fornisce due importanti funzioni: connettività WAN e routing inter-VLAN per consentire la comunicazione tra due dipartimenti o VLAN diversi. Come puoi vedere nella Figura 7-6, i dispositivi appartenenti alle VLAN 20 e 40 sono collegati a più di uno switch. Le VLAN rimuovono la restrizione di dover connettere dispositivi appartenenti alla stessa LAN allo stesso dispositivo pur fornendo l’isolamento del traffico al livello 2. In altre parole, le VLAN possono estendersi a più switch con porte switch appartenenti alla stessa VLAN esistenti su switch diversi. Questo è uno dei numerosi vantaggi offerti dagli switch alle reti locali. Inoltre, se vogliamo aggiungere un altro dispositivo per dire la VLAN di ingegneria e vogliamo localizzare il nuovo utente in una posizione diversa dal dipartimento di ingegneria, si può semplicemente realizzare collegando il nuovo dispositivo allo switch più vicino e assegnando la porta dello switch a la VLAN di ingegneria. Confrontalo con la situazione simile nella rete costruita con hub e potresti apprezzare che la rete diventa più flessibile senza sacrificare la sicurezza o l’isolamento del traffico. Il router fornisce il routing inter-VLAN in questo scenario, ma è possibile ottenere la stessa funzionalità utilizzando uno switch di livello 3 come Cisco 3560.
ID VLAN | nomi | Sottorete IP |
10 | Ingegneria | 192.168.10.0/24 |
20 | Finanza | 192.168.20.0/24 |
30 | Gestione | 192.168.30.0/24 |
40 | Marketing | 192.168.40.0/24 |
50 | I saldi | 192.168.50.0/24 |
Creazione VLAN
Una delle attività che un amministratore di sistema deve eseguire durante la creazione di VLAN è quella di assegnare porte switch o interfacce a ciascuna VLAN. Esistono due modi in cui le interfacce switch possono essere assegnate alle VLAN e ciò dà origine a due diversi tipi di VLAN: statica e dinamica. Nel caso di VLAN statiche, ciascuna porta dello switch viene assegnata staticamente a una VLAN specifica e qualsiasi host collegato a tale switchport farà automaticamente parte di quella VLAN. Questo tipo di VLAN è statico perché le singole porte dello switch sono allocate in modo permanente a VLAN specifiche. Le VLAN in questo caso sono legate alle porte dello switch e non a ciò che è collegato a tali porte dello switch. Nel caso di VLAN dinamiche, tuttavia, tutti gli indirizzi hardware dei dispositivi host sono assegnati a un database in modo che lo switch possa essere configurato per assegnare dinamicamente le VLAN ogni volta che un host è collegato a uno switch. In questo caso la VLAN è legata agli indirizzi hardware o MAC degli host e non allo scambio di porte. Un host il cui indirizzo MAC è collegato a una determinata VLAN farebbe parte di quella VLAN indipendentemente dalla porta dello switch a cui è connessa. Le VLAN statiche sono più facili da creare rispetto alle VLAN dinamiche perché non è necessario documentare gli indirizzi hardware di tutti gli host che potrebbero essere collegati alla LAN e quindi memorizzarli in un database sullo switch. Tratterò le VLAN statiche e dinamiche nelle prossime sezioni.
VLAN statiche
Il metodo più comune e semplice per creare VLAN è VLAN statiche e anche queste sono più sicure delle VLAN dinamiche. La sicurezza dipende dal fatto che le VLAN sono associate manualmente alle porte dello switch tramite la configurazione dello switch e queste associazioni VLAN vengono sempre mantenute a meno che l’assegnazione delle porte non venga modificata manualmente.
La configurazione della VLAN statica è piuttosto semplice e funziona davvero bene nella maggior parte degli ambienti di rete aziendali in cui la mobilità degli utenti è limitata e controllata. Gli endpoint sono in genere costituiti da computer desktop, stampanti e server che sono cablati in modo permanente per passare da una porta all’altra. È opportuno associare le VLAN allo switch delle porte in tale ambiente.
VLAN dinamiche
VLAN dinamica basa l’assegnazione della VLAN su indirizzi hardware (MAC), protocolli o persino applicazioni che creano VLAN dinamiche. Consideriamo un caso specifico in cui gli indirizzi MAC sono stati immessi in un’applicazione di gestione VLAN centralizzata e si collega un nuovo nodo a uno switch. Se il nodo è collegato a una porta dello switch non assegnata, il database di gestione della VLAN può cercare l’indirizzo hardware ed assegnare e configurare la porta dello switch nella VLAN corretta. Ciò rende la configurazione e la gestione molto più semplici perché se un utente si sposta in una nuova posizione e collega il nodo a una nuova porta dello switch, lo switch semplicemente li assegnerà automaticamente alla VLAN corretta. È possibile perché l’assegnazione della VLAN è legata agli indirizzi hardware dei nodi piuttosto che alle porte degli switch fisici. Ma questa facilità di gestione della VLAN e della mobilità degli utenti ha un costo: devi fare molto più lavoro inizialmente notando gli indirizzi hardware di tutti i nodi che dovrebbero essere collegati alla LAN e impostare di conseguenza il database VLAN.
Concetto dell’esame – Il traffico del piano di controllo come i protocolli VTP, CDP, DTP e PAgP viene sempre inviato nella VLAN 1 attraverso un collegamento trunk tra due switch Cisco.