Esistono davvero poche informazioni, in Rete, sulle VLAN. Eppure, si tratta si tratta di una tecnologia legata al networking davvero importante in ambito professionale e aziendale, per diversi motivi.
Diciamo innanzi tutto che una buona gestione della VLAN è offerta solo a coloro che acquistano uno switch moderno, completo e versatile.
Grazie alle VLAN è possibile allestire più reti locali, logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.
VLAN, cosa sono e perché sono utili
Quando si realizza una rete locale in ambito professionale e si devono interconnettere diversi sistemi via cavo Ethernet, di più rispetto al numero di porte (quattro) comunemente presenti sui router commerciali, si fa sempre ricorso a uno switch, apparato che si occupa di veicolare i dati dalla sorgente alla destinazione corretta eliminando le cosiddette collisioni (vedere Switch gigabit: cosa sono. Differenza tra managed e unmanaged).
Creando una o più VLAN si possono predisporre diversi segmenti di rete all’interno dei quali i singoli sistemi e dispositivi possono comunicare tra di loro senza dover “passare” attraverso un router.
I vantaggi di una VLAN, peraltro già brevemente illustrati nell’articolo Come funziona uno switch e a cosa serve: le funzionalità più importanti, sono notevoli:
– Isolamento di un gruppo di dispositivi.
Con una VLAN si può fare in modo che alcuni sistemi e dispositivi possano “colloquiare” fra loro e connettersi alla rete Internet senza che la rete virtuale nella quale essi sono inseriti offra visibilità sugli altri host della LAN (o delle altre VLAN) e senza che questi possano avere a loro volta visibilità sui “membri” della VLAN.
– Migliore gestione del traffico.
Impostando una VLAN si possono definire molto facilmente politiche per la gestione del traffico che permettano ad esempio di limitare la banda messa a disposizione dei sistemi collegati alla rete virtuale.
In condizioni di traffico elevato, quindi, è possibile ricorrere a QoS (Quality of Service) per definire una politica di prioritizzazione del traffico.
– Ottimizzazione dell’utilizzo delle infrastrutture ed elevata scalabilità.
Per creare una VLAN e isolare una subnet non si dovranno acquistare nuovi switch o router ma basterà isolare semplicemente alcune porte presenti sullo switch.
L’utilizzo delle VLAN permette inoltre di creare configurazioni di rete fortemente scalabili: l’espansione di una rete esistente diventa così facile, veloce e molto economica.
Le VLAN consentono di creare differenti domini di broadcast: ogni volta che un client, per esempio, invia una richiesta a livello hardware sulla rete per conoscere qual è il MAC address corrispondente a un determinato IP privato, viene effettuata un’operazione broadcast.
Grazie alla segmentazione che può essere impostata ricorrendo alle VLAN, il traffico di broadcast può essere circoscritto all’interno della VLAN stessa.
I benefici sono evidenti perché le richieste broadcast di una VLAN non vanno più a impattare sulle prestazioni dell’intera rete locale. Mediante lo switch, infatti, si possono mettore in comunicazione solo quei dispositivi che necessitano di colloquiare tra loro.
Un aspetto da rimarcare è che le VLAN possono essere estese anche oltre i limiti fisici del singolo switch.
Supponendo di avere una rete che si sviluppa su più piani, si può usare il trunking per collegare più switch tra di loro quindi sfruttare il protocollo 802.1Q, uno standard con cui l’hardware provvede ad aggiungere – in ciascun frame Ethernet – le informazioni sulla VLAN di appartenenza dei dati in transito (è prevista una tag aggiuntiva da 4 byte).
Così facendo dispositivi fisicamente lontani l’uno dall’altro possano appartenere alla medesima VLAN.
VLAN in pratica, l’esempio degli switch ProSAFE di Netgear
Come abbiamo visto nell’articolo Come funziona uno switch e a cosa serve: le funzionalità più importanti, già switch come i ProSAFE Plus (vedere queste pagine) offrono la possibilità di creare e gestire VLAN da una comoda interfaccia web. Le modalità di configurazione sono più limitate rispetto, ad esempio, agli switch Smart di Netgear ma sono comunque già più che sufficienti per le esigenze di molte realtà aziendali (i.e. piccole e medie imprese).
Quando si configura una VLAN è possibile utilizzare diversi approcci, tutti supportati dai vari switch Netgear.
La modalità più comune e banale è l’approccio port-based: in questa configurazione le VLAN restano “locali” sul singolo switch (non si fa ricorso allo standard 802.1Q).
È possibile quindi utilizzarla quando si usa un singolo switch o un numero limitato di questi dispositivi di networking.
Sugli switch Plus di Netgear è sempre presente la modalità port-based mentre non lo è nei dispositivi Smart, coi quali si può comunque ricorrere allo standard 802.1Q per assolvere la medesima esigenza anche in presenza di un singolo switch.
Usando 802.1Q, infatti, si può implementare lo stesso approccio previsto in una configurazione port-based con la possibilità, eventualmente, di “propagare” le VLAN su domini costituiti da più switch.
L’appartenenza di un dispositivo a una VLAN può essere definita anche sulla base del corrispondente indirizzo MAC (MAC address): in questo modo, indipendentemente dalla porta alla quale sarà collegato il device, il traffico generato sarà instradato sulla VLAN corretta (MAC-based VLAN).
Gli switch Netgear consentono poi di creare VLAN osservando l’insieme di indirizzi IP associati (IP subnet-based).
Per i servizi voce (VoIP), sono poi previste configurazioni per le VLAN chiamate Auto-VoIP e Voice VLAN: nel primo caso l’impostazione avviene automaticamente stabilendo l'”identità” di telefoni VoIP e centrali mentre nel secondo caso è necessario intervenire in modo manuale.
Infine, GARP VLAN consente di distribuire in maniera dinamica le VLAN (propagazione della configurazione ai vari switch sul dominio di broadcast) ma è possibile ricevere le informazioni sulle porte da configurare in ottica VLAN anche da un server Radius.
Le VLAN possono essere anche configurate impostando un filtro protocol-based; verificando cioè la tipologia di traffico generato a livello di rete (IP, IPX, ARP; livello 3). Si tratta però di una modalità ormai davvero scarsamente utilizzata all’atto pratico.
Le varie modalità di configurazione possono essere ovviamente combinate tra loro.
Le configurazioni possibili per ogni porta dello switch
Lo standard 802.1Q, come abbiamo visto in precedenza, consente il tagging delle porte Ethernet dello switch.
Ciascuna porta dello switch utilizzata per una VLAN può assumere una tra 3 possibili configurazioni: può essere taggata, non taggata oppure non configurata.
Si tratta di opzioni che consentono di creare configurazioni differenziate in termini di segmentazione, sicurezza, isolamento del traffico, miglioramento dell’efficienza delle comunicazioni.
Per tutti gli switch in commercio ogni porta, di default, la configurazione è untagged cioè “non taggata” per la VLAN1 con PVID impostato a 1.
Quando si collega un PC, una stampante o un qualunque altro device similare a una porta Ethernet dello switch essa dovrebbe essere impostata come “non taggata”. Alle porte untagged, però, deve essere associato un identificativo della VLAN di riferimento (PVID).
Le porte sulle quali sono collegati altri switch oppure dispositivi come telefoni VoIP, centralini e così via, dovrebbero essere impostate come tagged.
Configurare le VLAN usando l’interfaccia HTTP dei router Netgear web managed
Collegandosi da browser all’interfaccia di amministrazione di un router ProSAFE di Netgear, si nota subito la presenza della scheda VLAN.
Selezionandola, si ha la possibilità di configurare VLAN port-based, con lo standard 802.11Q o Voice LAN, esattamente come abbiamo visto in precedenza.
Attivando, ad esempio, l’uso di 802.1Q, di default lo switch Netgear assegnerà tutte le porte Ethernet alla VLAN1 in modalità untagged così come si può verificare in figura.
Cliccando su Advanced quindi su VLAN Configuration e infine attivando l’opzione Advanced 802.1Q VLAN Status, si potranno eventualmente aggiungere ulteriori VLAN specificandone l’identificativo numerico e cliccando sul pulsante Add in alto a destra.
I link VLAN membership e Port PVID consentono, rispettivamente, di indicare se ciascuna porta sia “taggata”, “non taggata” oppure “non configurata” e il corrispettivo PVID.
Gli switch Smart di Netgear consentono non soltanto di usare 802.1Q e Voice VLAN ma anche le altre modalità di configurazione citate in precedenza.
Una vasta gamma di switch Netgear, capaci di assolvere un ampio ventaglio di possibili esigenze, è disponibile in queste pagine.
Per approfondire ulteriormente l’argomento, consigliamo di fare riferimento al webminar di Andrea Rossi, Senior System Engineer del team italiano di Netgear.