Le VLAN sono un argomento su cui non ci si può permettere errori o approssimazioni durante la configurazione. Perciò, è molto importante comprendere come funzionano le VLAN a livello più basso. Questo articolo potrebbe non entrare nelle fondamenta più profonde delle VLAN, ma ti offrirà una buona panoramica su cosa sono le VLAN, come funzionano e come configurarle.
1. Cos'è una VLAN?
VLAN sta per Virtual Local Area Network ed è, in termini semplici, un modo molto comune per separare le reti sugli switch. Di solito, se si desidera separare le reti, bisognerebbe costruire fisicamente segmenti di rete differenti (ad esempio una rete intera per i dipendenti, una per gli ospiti, ecc.) e farle funzionare in parallelo. Tramite le VLAN, è possibile utilizzare la stessa infrastruttura di rete per trasportare più reti contemporaneamente. Ciò permette la creazione di reti virtuali sopra i dispositivi di rete fisici reali.
Per fare un'analogia: mentre le subnet sono un modo per separare le reti all'interno di router o cosiddetti "dispositivi Layer-3", cioè dispositivi basati su IP, le VLAN fanno una cosa molto simile sui dispositivi Layer-2 in reti basate su MAC.
Le regole e gli standard per l'implementazione delle VLAN sono classificati dall'organizzazione IEEE all'interno dello standard IEEE 802.1q.
2. Quindi, come funziona realmente una VLAN?
Una VLAN, semplificando, funziona tramite tag. Un tag consiste in alcuni byte aggiuntivi allegati a ogni frame di dati, che includono informazioni come l'appartenenza alla VLAN:
La parte più importante, e su cui ci concentreremo principalmente, è il VID, l'ID VLAN. Questo numero da 1 a 4096 è semplicemente un marcatore che indica "a quale VLAN appartiene il frame".
Il tagging è un modo molto efficiente per controllare a quale VLAN appartiene ogni frame.
Per capire come funzionano le VLAN nella pratica, immagina di creare una corsia di traffico dati quando configuri una VLAN all'interno di uno switch. Ogni corsia è separata, funziona in parallelo ed è collegata a porte diverse assegnate a quella corsia. L'"assegnazione alla corsia" è la nostra appartenenza alla VLAN. Come configurare ciò è descritto in molti articoli diversi collegati in fondo a questo articolo. Ma ecco una rappresentazione grafica:
Puoi vedere le corsie che attraversano gli switch e poi vanno a qualsiasi porta dello switch a cui è assegnata la rispettiva appartenenza. Quindi, una volta che un frame è entrato nello switch su una VLAN specifica, può comunicare con qualsiasi porta che abbia l'appartenenza a quella VLAN. Ma come fa un frame a diventare assegnato a VLAN10, 20 o 30?
3. Traffico in ingresso sulle VLAN
La definizione di a quale VLAN viene assegnato un frame in ingresso dipende dal fatto che il frame in ingresso abbia già o meno un tag VLAN assegnato dal dispositivo sorgente. Se c'è un tag VLAN assegnato al frame, viene letto il contenuto del VID. Se il VID corrisponde al numero dell'appartenenza taggata di una porta dello switch, sarà consentito "entrare nella corsia". Ma è molto più interessante scoprire cosa succede con i frame Ethernet completamente non taggati. Qui entra in gioco il cosiddetto PVID (Port-Based VLAN ID). Il PVID è responsabile della scelta della corsia giusta su cui posizionare i frame che sono in ingresso e non taggati - il PVID entra in gioco solo per frame che soddisfano questi due criteri. Una porta assegnata con un PVID di 1 assegnerà il traffico in ingresso non taggato alla VLAN1 per spingere il traffico "sulla corsia #1".
Per impostazione predefinita, tutte le porte dei dispositivi di rete e degli switch sono configurate con un PVID1 e un'appartenenza (non taggata) alla VLAN1. Ciò significa che, di default, se colleghi un computer a uno switch senza alcuna configurazione da parte tua, che a sua volta va a un gateway, allora grazie alla preimpostazione del PVID1 e all'appartenenza non taggata in VLAN1, i dispositivi possono comunicare immediatamente tra loro, poiché la configurazione li ha collocati all'interno della stessa rete.
Diamo un altro sguardo a un'altra visualizzazione:
Questo potrebbe sembrare a prima vista più caotico di quanto non sia: fondamentalmente, entrambe le porte collegate a PC e Gateway condividono l'appartenenza VLAN predefinita VLAN1 (appartenenza non taggata -> sarà spiegata tra poco) e PVID1.
Se il PC invia traffico al gateway, il PVID1 della porta dello switch inferiore assegnerà il traffico alla "corsia" per la VLAN1, permettendo la comunicazione con la porta dello switch superiore dato che l'appartenenza alla VLAN1 è presente. Rispetto a un'appartenenza taggata, l'appartenenza non taggata decide se la VLAN viene inviata con un tag, contrassegnato con VID=1 (membro taggato) o senza alcun tag VLAN (membro non taggato). In questo caso, poiché la porta superiore è non taggata, non verrà aggiunto alcun tag. Il gateway può quindi rispondere a questo pacchetto in ingresso e inviarlo indietro - anch'esso non taggato, poiché il gateway non ha ancora alcuna configurazione di consapevolezza VLAN. Ancora una volta, il PVID1, questa volta sulla porta dello switch superiore, assegnerà il frame alla "corsia VLAN1", permettendo nuovamente la comunicazione, ora con la porta dello switch inferiore grazie all'appartenenza VLAN condivisa. Ancora una volta, non verrà aggiunto alcun tag a causa dell'appartenenza non taggata, rendendo il frame accettabile per il PC, che non può leggere alcuna informazione del tag VLAN. Con questo processo, si stabilisce la comunicazione tra gateway e dispositivo client.
4. Considerazioni finali e link utili
Comprendere questo principio fondamentale delle VLAN è un passo cruciale per fare le scelte giuste nella configurazione delle VLAN. Naturalmente, abbiamo solo scalfito la superficie di questo argomento, ma si spera che ciò ti dia un buon punto di partenza per capire effettivamente le VLAN e conoscere la differenza tra PVID e appartenenze VLAN.
Qui sotto puoi trovare alcuni articoli che riguardano la configurazione delle VLAN su una vasta gamma di apparecchiature del nostro portafoglio:
VLANs - Tagged VLANs vs PVID (Esempio di configurazione VLAN non taggata/taggata)
Come configurare VLAN su un dispositivo USG
Commenti
0 commentiAccedi per aggiungere un commento.