VLAN | Cos’è una Virtual Local Area Network?

La virtualizzazione ha luogo grazie alla memoria, alla capacità di calcolo, al software e alla tecnologia di rete: la VLAN è una rete virtuale puramente logica basata su una rete fisica reale. Come funzione una Virtual Local Area Network?

Al giorno d’oggi una rete fisica si basa per lo più su uno o più switch, vale a dire dispositivi che regolano il traffico dati tra i partecipanti della rete. Allo switch vengono collegati tutti i cavi di rete che rendono possibile la comunicazione tra diversi computer. È possibile che tali switch colleghino addirittura centinaia di dispositivi tra loro, assicurando comunque un’ottima comunicazione. Tuttavia potrebbe avere senso suddividere una rete così ampia senza dovervi apportare delle modifiche fisiche.

Una Virtual Local Area Network (VLAN) è un piccolo segmento logico all’interno di un’ampia rete fisica collegata tramite cavi. Il raggruppamento delle diverse stazioni in un’unica rete avviene indipendentemente dalla loro localizzazione: infatti, finché esse sono collegate ad una stessa LAN, possono essere raggruppate in un’unica VLAN. Non è un problema se la LAN si estende su più switch: la cosa importante è che lo switch sia adatto per la VLAN. Le VLAN possono basarsi solo sui managed switch.

È possibile configurare le VLAN in diversi modi e, a seconda della tipologia, viene applicata una tecnologia diversa. Nella pratica ritroviamo due tipi di applicazione: VLAN basate su porta o tagged VLAN (“VLAN taggate”). In molti casi gli amministratori di rete realizzano le installazioni e le assegnazioni implementando entrambe le tipologie.

All’interno di uno switch ogni partecipante di rete viene indirizzato verso una porta, ovvero una presa all’interno della quale viene inserito il relativo cavo di rete collegato al computer di turno. Tuttavia le porte vengono utilizzate anche per collegare gli switch tra di loro. Se da un’unica rete fisica si vogliono ricavare due VLAN, si assegnano le relative porte alla rete virtuale desiderata.

La configurazione attraverso diversi switch è possibile anche quando l’installazione della VLAN basata su porta è attuata su piccole reti e viene realizzata all’interno di un solo switch. Così le porte da 1 a 3 sul primo switch e la porta 1 sul secondo switch possono essere collegate insieme a un’unica VLAN. Per fare ciò bisogna collegare tra di loro i due switch con due cavi, prevedendo una connessione per ogni VLAN.

La distribuzione dei pacchetti avviene tramite gli stessi switch. Gli amministratori di rete impostano e assegnano le porte alle rispettive VLAN. In questo caso la VLAN si definisce statica. Se le VLAN devono essere configurate in modo diverso, le porte devono essere ridistribuite in fase di configurazione dello switch. Inoltre ogni porta, e quindi anche ogni dispositivo ad essa connesso, appartiene solo a un’unica VLAN. La comunicazione tra i dispositivi di una VLAN con quelli di un’altra deve avvenire attraverso un router che permette di inoltrare i messaggi, così come avviene per la comunicazione tra la rete domestica e Internet.

Nel caso della tagged VLAN l’assegnazione alla VLAN è più dinamica: a garantire l’assegnazione è un tag nel frame del pacchetto, che sostituisce la permanente impostazione nello switch. Per questo motivo questa tecnologia viene denominata basata su frame, come avviene per le reti basate su porta. Nel tag è contenuta l’informazione che indica in quale VLAN ci si trova al momento. Uno switch riconosce in quale segmento avviene la comunicazione e in base a questo inoltra il messaggio.

Un tag VLAN è di 32 bit e compare direttamente dopo l’indirizzo MAC del mittente all’interno del frame ethernet. Il tag inizia con un ID di protocollo di due byte: il Tag Protocol Identifier (TPI) mostra se è stato stabilito un ID VLAN. Se nel frame si identifica una VLAN, questi blocchi hanno il valore di 0x8100. In seguito, il frame indica in tre bit la priorità del messaggio. Segue poi un bit per il Canonical Format Identifier (CFI). Questa posizione serve per garantire la compatibilità tra ethernet e token ring.

È solo negli ultimi dodici bit che il protocollo indica il vero ID VLAN (VID). Il campo frame può ospitare 4.096 VLAN diverse. Ogni VLAN ha il suo numero proprio. Le tagged VLAN possono essere implementate anche direttamente sulle schede di rete. Linux ad esempio supporta lo standard per impostazione predefinita. Per gli utenti di Windows, invece, dipende dal relativo fornitore della scheda di rete. È possibile impostare la VLAN attraverso il driver.

La struttura del frame segue lo standard IEEE 802.1q, che è la variante più usata. In realtà ci sarebbero ancora altre possibilità per inserire i tag VLAN nei pacchetti. Cisco, ad esempio, per i suoi switch utilizza l’Inter-Switch Link Protocol (ISL). Questo protocollo incapsula il completo frame di dati per abilitare più VLAN.

Il vantaggio di una tagged VLAN, in confronto a una VLAN con assegnazione su porta, è rappresentato dalla connessione tra diversi switch. Per le VLAN basate su porta devono essere collocati almeno due cavi tra gli switch, in quanto ogni Virtual lan ha bisogno della propria connessione. Per le trunking in tagged VLAN, invece, basta un solo cavo, in quanto la distribuzione dei dati avviene attraverso le informazioni del frame. Lo switch riconosce la VLAN corretta e la inoltra al secondo switch. Qui il tag viene eliminato e il pacchetto viene inoltrato al corretto destinatario.

Perché si dovrebbe suddividere una LAN più grande in diverse VLAN più piccole?

Se un nuovo partecipante vuole far parte di una LAN, il dispositivo deve essere connesso tramite cavo a uno switch. Nel caso in cui un dipendente cambi il suo team all’interno dell’azienda e debba quindi lavorare su un’altra rete, è necessario cambiare la postazione di lavoro oppure effettuare un nuovo cablaggio. La configurazione di una VLAN avviene esclusivamente sulla base di un software e quindi l’amministratore può assegnare lo stesso computer a un’altra VLAN.

È una buona idea limitare i partecipanti della rete a un piccolo gruppo affinché le persone non autorizzate non abbiano accesso a dati sensibili. Nell’ambito della VLAN si possono limitare i domini broadcast solamente a poche stazioni. In questo modo il broadcast sarà reperibile solo per i destinatari delle informazioni.

Attraverso la riduzione dei domini broadcast si migliorano anche le prestazioni. I messaggi broadcast non dovranno più circolare per tutta la rete. I messaggi inviati a tutti i partecipanti della rete ma che in realtà sono destinati solo a un definito gruppo di persone creano solamente un inutile traffico di dati. Utilizzando una VLAN il sovraccarico della larghezza di banda viene ridotto al minimo.

Le VLAN collegano un gruppo logico alle stazioni. All’interno delle reti aziendali, ad esempio, diversi dipendenti che non hanno la postazione di lavoro nello stesso luogo possono far parte di un unico gruppo logico. A volte si trovano in uffici diversi, piani diversi o addirittura edifici diversi. Per mettere in collegamento queste persone e i loro computer con una LAN bisognerebbe avere un cavo lunghissimo, disposto in lungo e in largo per tutta l’azienda. Utilizzando una VLAN, invece, diversi switch possono parteciparvi e il cablaggio è più sensato e ordinato.

Teoricamente, invece di usare diverse VLAN, si possono installare anche più LAN collegate tra di loro attraverso un router che permette la comunicazione da rete a rete. Ciò comporterebbe tuttavia una spesa ulteriore e un investimento finanziario considerevole. Inoltre, l’installazione di reti parallele necessita anche un certo investimento di tempo.