VLAN | Cos’è una Virtual Local Area Network?

La vir­tua­liz­za­zio­ne ha luogo grazie alla memoria, alla capacità di calcolo, al software e alla tec­no­lo­gia di rete: la VLAN è una rete virtuale puramente logica basata su una rete fisica reale. Come funzione una Virtual Local Area Network?

Al giorno d’oggi una rete fisica si basa per lo più su uno o più switch, vale a dire di­spo­si­ti­vi che regolano il traffico dati tra i par­te­ci­pan­ti della rete. Allo switch vengono collegati tutti i cavi di rete che rendono possibile la co­mu­ni­ca­zio­ne tra diversi computer. È possibile che tali switch col­le­ghi­no ad­di­rit­tu­ra centinaia di di­spo­si­ti­vi tra loro, as­si­cu­ran­do comunque un’ottima co­mu­ni­ca­zio­ne. Tuttavia potrebbe avere senso sud­di­vi­de­re una rete così ampia senza dovervi apportare delle modifiche fisiche.

Una Virtual Local Area Network (VLAN) è un piccolo segmento logico all’interno di un’ampia rete fisica collegata tramite cavi. Il rag­grup­pa­men­to delle diverse stazioni in un’unica rete avviene in­di­pen­den­te­men­te dalla loro lo­ca­liz­za­zio­ne: infatti, finché esse sono collegate ad una stessa LAN, possono essere rag­grup­pa­te in un’unica VLAN. Non è un problema se la LAN si estende su più switch: la cosa im­por­tan­te è che lo switch sia adatto per la VLAN. Le VLAN possono basarsi solo sui managed switch.

È possibile con­fi­gu­ra­re le VLAN in diversi modi e, a seconda della tipologia, viene applicata una tec­no­lo­gia diversa. Nella pratica ri­tro­via­mo due tipi di ap­pli­ca­zio­ne: VLAN basate su porta o tagged VLAN (“VLAN taggate”). In molti casi gli am­mi­ni­stra­to­ri di rete rea­liz­za­no le in­stal­la­zio­ni e le as­se­gna­zio­ni im­ple­men­tan­do entrambe le tipologie.

All’interno di uno switch ogni par­te­ci­pan­te di rete viene in­di­riz­za­to verso una porta, ovvero una presa all’interno della quale viene inserito il relativo cavo di rete collegato al computer di turno. Tuttavia le porte vengono uti­liz­za­te anche per collegare gli switch tra di loro. Se da un’unica rete fisica si vogliono ricavare due VLAN, si assegnano le relative porte alla rete virtuale de­si­de­ra­ta.

La con­fi­gu­ra­zio­ne at­tra­ver­so diversi switch è possibile anche quando l’in­stal­la­zio­ne della VLAN basata su porta è attuata su piccole reti e viene rea­liz­za­ta all’interno di un solo switch. Così le porte da 1 a 3 sul primo switch e la porta 1 sul secondo switch possono essere collegate insieme a un’unica VLAN. Per fare ciò bisogna collegare tra di loro i due switch con due cavi, pre­ve­den­do una con­nes­sio­ne per ogni VLAN.

La di­stri­bu­zio­ne dei pacchetti avviene tramite gli stessi switch. Gli am­mi­ni­stra­to­ri di rete impostano e assegnano le porte alle ri­spet­ti­ve VLAN. In questo caso la VLAN si definisce statica. Se le VLAN devono essere con­fi­gu­ra­te in modo diverso, le porte devono essere ri­di­stri­bui­te in fase di con­fi­gu­ra­zio­ne dello switch. Inoltre ogni porta, e quindi anche ogni di­spo­si­ti­vo ad essa connesso, ap­par­tie­ne solo a un’unica VLAN. La co­mu­ni­ca­zio­ne tra i di­spo­si­ti­vi di una VLAN con quelli di un’altra deve avvenire at­tra­ver­so un router che permette di inoltrare i messaggi, così come avviene per la co­mu­ni­ca­zio­ne tra la rete domestica e Internet.

Nel caso della tagged VLAN l’as­se­gna­zio­ne alla VLAN è più dinamica: a garantire l’as­se­gna­zio­ne è un tag nel frame del pacchetto, che so­sti­tui­sce la per­ma­nen­te im­po­sta­zio­ne nello switch. Per questo motivo questa tec­no­lo­gia viene de­no­mi­na­ta basata su frame, come avviene per le reti basate su porta. Nel tag è contenuta l’in­for­ma­zio­ne che indica in quale VLAN ci si trova al momento. Uno switch riconosce in quale segmento avviene la co­mu­ni­ca­zio­ne e in base a questo inoltra il messaggio.

Un tag VLAN è di 32 bit e compare di­ret­ta­men­te dopo l’indirizzo MAC del mittente all’interno del frame ethernet. Il tag inizia con un ID di pro­to­col­lo di due byte: il Tag Protocol Iden­ti­fier (TPI) mostra se è stato stabilito un ID VLAN. Se nel frame si iden­ti­fi­ca una VLAN, questi blocchi hanno il valore di 0x8100. In seguito, il frame indica in tre bit la priorità del messaggio. Segue poi un bit per il Canonical Format Iden­ti­fier (CFI). Questa posizione serve per garantire la com­pa­ti­bi­li­tà tra ethernet e token ring.

È solo negli ultimi dodici bit che il pro­to­col­lo indica il vero ID VLAN (VID). Il campo frame può ospitare 4.096 VLAN diverse. Ogni VLAN ha il suo numero proprio. Le tagged VLAN possono essere im­ple­men­ta­te anche di­ret­ta­men­te sulle schede di rete. Linux ad esempio supporta lo standard per im­po­sta­zio­ne pre­de­fi­ni­ta. Per gli utenti di Windows, invece, dipende dal relativo fornitore della scheda di rete. È possibile impostare la VLAN at­tra­ver­so il driver.

La struttura del frame segue lo standard IEEE 802.1q, che è la variante più usata. In realtà ci sarebbero ancora altre pos­si­bi­li­tà per inserire i tag VLAN nei pacchetti. Cisco, ad esempio, per i suoi switch utilizza l’Inter-Switch Link Protocol (ISL). Questo pro­to­col­lo incapsula il completo frame di dati per abilitare più VLAN.

Il vantaggio di una tagged VLAN, in confronto a una VLAN con as­se­gna­zio­ne su porta, è rap­pre­sen­ta­to dalla con­nes­sio­ne tra diversi switch. Per le VLAN basate su porta devono essere collocati almeno due cavi tra gli switch, in quanto ogni Virtual lan ha bisogno della propria con­nes­sio­ne. Per le trunking in tagged VLAN, invece, basta un solo cavo, in quanto la di­stri­bu­zio­ne dei dati avviene at­tra­ver­so le in­for­ma­zio­ni del frame. Lo switch riconosce la VLAN corretta e la inoltra al secondo switch. Qui il tag viene eliminato e il pacchetto viene inoltrato al corretto de­sti­na­ta­rio.

Perché si dovrebbe sud­di­vi­de­re una LAN più grande in diverse VLAN più piccole?

Se un nuovo par­te­ci­pan­te vuole far parte di una LAN, il di­spo­si­ti­vo deve essere connesso tramite cavo a uno switch. Nel caso in cui un di­pen­den­te cambi il suo team all’interno dell’azienda e debba quindi lavorare su un’altra rete, è ne­ces­sa­rio cambiare la po­sta­zio­ne di lavoro oppure ef­fet­tua­re un nuovo cablaggio. La con­fi­gu­ra­zio­ne di una VLAN avviene esclu­si­va­men­te sulla base di un software e quindi l’am­mi­ni­stra­to­re può assegnare lo stesso computer a un’altra VLAN.

È una buona idea limitare i par­te­ci­pan­ti della rete a un piccolo gruppo affinché le persone non au­to­riz­za­te non abbiano accesso a dati sensibili. Nell’ambito della VLAN si possono limitare i domini broadcast solamente a poche stazioni. In questo modo il broadcast sarà re­pe­ri­bi­le solo per i de­sti­na­ta­ri delle in­for­ma­zio­ni.

At­tra­ver­so la riduzione dei domini broadcast si mi­glio­ra­no anche le pre­sta­zio­ni. I messaggi broadcast non dovranno più circolare per tutta la rete. I messaggi inviati a tutti i par­te­ci­pan­ti della rete ma che in realtà sono destinati solo a un definito gruppo di persone creano solamente un inutile traffico di dati. Uti­liz­zan­do una VLAN il so­vrac­ca­ri­co della larghezza di banda viene ridotto al minimo.

Le VLAN collegano un gruppo logico alle stazioni. All’interno delle reti aziendali, ad esempio, diversi di­pen­den­ti che non hanno la po­sta­zio­ne di lavoro nello stesso luogo possono far parte di un unico gruppo logico. A volte si trovano in uffici diversi, piani diversi o ad­di­rit­tu­ra edifici diversi. Per mettere in col­le­ga­men­to queste persone e i loro computer con una LAN bi­so­gne­reb­be avere un cavo lun­ghis­si­mo, disposto in lungo e in largo per tutta l’azienda. Uti­liz­zan­do una VLAN, invece, diversi switch possono par­te­ci­par­vi e il cablaggio è più sensato e ordinato.

Teo­ri­ca­men­te, invece di usare diverse VLAN, si possono in­stal­la­re anche più LAN collegate tra di loro at­tra­ver­so un router che permette la co­mu­ni­ca­zio­ne da rete a rete. Ciò com­por­te­reb­be tuttavia una spesa ulteriore e un in­ve­sti­men­to fi­nan­zia­rio con­si­de­re­vo­le. Inoltre, l’in­stal­la­zio­ne di reti parallele necessita anche un certo in­ve­sti­men­to di tempo.