dado/learning
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
2e5d4e2223dd3b798771373d9bcd78267b1bc7a1
learning/networking/012-vlan.md
dado 8b9c681d1e vlan tagging
2025-07-13 14:39:31 +02:00

3.1 KiB
Raw Blame History

VLAN

Gli host all'interno della stessa rete locale possono comunicare tra loro grazie a dispositivi di rete di livello 2, come switch, hub e AP.

Le VLAN (Virtual Local Area Network) sono utilizzate per partizionare e segmentare una rete locale, creando diverse sottoreti logiche. Questo approccio offre numerosi vantaggi, principalmente in termini di sicurezza: separando le reti, si isolano le comunicazioni tra i vari dispositivi, creando ambienti distinti.

I pacchetti inviati da una stazione appartenente a una specifica VLAN saranno ricevuti esclusivamente dalle macchine che fanno parte della stessa sottorete. Per comunicare con stazioni appartenenti a VLAN diverse, è necessario utilizzare un dispositivo di livello superiore, come un router o uno switch multilayer, che consenta l'instradamento dei dati tra le diverse VLAN.

Per assegnare i membri a una VLAN, si configurano le porte dello switch. Assegnando le porte a specifiche VLAN, si realizza la segmentazione desiderata.

VLAN Tagging

Un link definito come trunk è un canale capace di trasportare i frame di tutte le VLAN. Attraverso una procedura nota come tagging, l'intestazione del frame viene modificata per includere un indicatore di VLAN, secondo lo standard IEEE 802.1Q. Questa operazione può essere eseguita solo da dispositivi VLAN Aware, che sono in grado di gestire correttamente le VLAN.

Un tag .1Q è composto da due parti principali:

  • VPId (VLAN Protocol Identifier): questo campo serve a distinguere i frame marcati da quelli non marcati
  • TCI (Tag Control Information): questo campo contiene le informazioni relative alla VLAN di appartenenza e include:
    • Priority: un campo di 3 bit utilizzato per impostare la priorità del frame
    • VLAN Identifier (VId): un campo di 12 bit che contiene l'ID della VLAN, consentendo così fino a 4096 VLAN diverse

VLAN Native

In un ambiente 802.1Q, è possibile connettere anche dispositivi che non sono VLAN Aware. Questo supporto avviene tramite la VLAN Native. In pratica, il traffico generato da questa VLAN non viene taggato, permettendo così che possa essere interpretato correttamente anche da stazioni non compatibili con lo standard 802.1Q.

Configurazione VLAN Switch CISCO

Ad esempio, per configurare le interfacce 1 e 2 di uno switch nella VLAN 10

switch> ena
switch# conf t
switch(config)# interface range fastEthernet0/1-2
switch(if-range)# switchport mode access 
switch(if-range)# switchport access vlan 10
switch(if-range)# end
switch# show vlan brief # Visualizza un riepilogo della configurazione VLAN
switch# write

È importante notare che esiste sempre una VLAN nativa, la VLAN 1, che per impostazione predefinita include tutte le interfacce dello switch.

Dopo aver creato le VLAN, è necessario procedere con la segmentazione delle reti, ovvero il subnetting. Per consentire la comunicazione tra due o più reti distinte, è necessario utilizzare dispositivi di livello 3, come i router. Questi dispositivi sono responsabili dell'instradamento del traffico tra le VLAN, garantendo che i pacchetti possano viaggiare tra le diverse sottoreti.