Cos'è una vlan Da Wikipedia: Una LAN virtuale, comunemente detta VLAN, è un gruppo di host che comunicano tra di loro come se fossero collegati allo stesso cablaggio, a prescindere dalla loro posizione fisica. una VLAN ha le stesse caratteristiche di una LAN fisica, ma consente di raggruppare le workstation come se fossero attestate sullo stesso segmento di rete. Invece di spostare gli host, la configurazione della rete si fa tramite strumenti software.
Dominio di collisione In una rete di calcolatori, un dominio di collisione è un insieme di nodi che concorrono per accedere allo stesso mezzo trasmissivo e successivamente trasmettere. Livello 1 della pila ISO/OSI: repeater e hub si limitano a inoltrare ogni trasmissione ricevuta a tutti i nodi cui sono collegati, espandere una rete tramite simili dispositivi può portare a creare domini di collisione sempre più ampi e quindi meno efficienti
Dominio di Broadcast Un dominio di broadcast è un insieme di computer in una rete che possono scambiare dati a livello datalink, senza che questi debbano risalire fino al livello di rete in altri nodi dello stesso insieme. Più precisamente potremmo dire che un dominio di broadcast è formato da tutte quelle macchine (dotate di interfaccia di rete) tali che se una di loro inviasse un messaggio in broadcast a livello IP, sarebbe "ascoltata" da tutte le altre. Tipicamente, due diversi domini di broadcast sono separati da un router, che deve esaminare le intestazioni IP dei pacchetti per poterli inoltrare verso la loro destinazione. Si dice appunto, che il router "spezza" i domini di broadcast.
Benefici Facilità di gestione delle infrastrutture di rete: invece di spostare cavi, riposizionare uplink, aggiungere dispositivi e ricablare intere zone, si gestiscono le VLAN tramite strumenti software. Ottimizzazione dell uso delle infrastrutture: se desidero isolare una subnet non devo aggiungere uno switch e/o un router, ma mi sarà sufficiente riassegnare alcune porte. Forte scalabilità: in pochi minuti si riassegna una porta e si sposta una patch, e le VLAN si possono estendere su diversi switch, rendendo semplice e relativamente economica l espansione della rete.
Benefici Possibilità di estensione oltre i limiti fisici di un singolo switch: oltre alla scalabilità, c è il vantaggio di poter estendere una LAN su (ad esempio) piani diversi, utilizzando una unica dorsale di collegamento. Economicità: con uno switch livello 3, si può fare routing tra le VLAN. Diminuzione del traffico di rete: tramite VLAN si confina facilmente il broadcast.
Le VLAN riguardano il livello 2, mentre le subnet interessano il livello 3, ma molto spesso ad una VLAN corrisponde una sola sottorete, completando il metodo di assegnazione basato sulla porta dello switch, che è il modello sicuramente più diffuso. Se lo switch gestisce il livello 3, le VLAN possono comunicare tra di loro tramite routing, senza dover introdurre un elevato numero di router sulla rete.
Esempio su uno switch a 48 porte, si potrebbero assegnare le porte da 1 a 30 per la VLAN principale, con i client ed i server di dominio, da 31 a 35 una VLAN per le stampanti, su una subnet diversa e routing da e verso la LAN, sulle porte restanti si potrebbe attestare una VLAN completamente separata per ospitare una rete di test che non si vuole condividere con il resto delle attività. A questo punto è semplicissimo riassegnare le porte e/o gli host, semplicemente riconfigurando lo switch e spostando un cavo. Alcune porte potrebbero essere usate per isolare il traffico WiFi da quello cablato.
Le VLAN possono estendersi al di là dei limiti fisici dei singoli switch, tramite il VLAN tagging. Il protocollo 802.1Q, che regola le VLAN, prevede che ciascun frame ethernet venga etichettato con le informazioni relative alla VLAN di appartenenza. In questo modo, host lontani fisicamente possono appartenere alla stessa VLAN: è sufficiente che gli switch interessati al trasporto dei frame siano collegati tra di loro (tramite trunk, un collegamento in grado di trasportare diverse VLAN) con porte opportunamente taggate.
E buona norma non utilizzare le VLAN per isolare le diverse zone della rete, ad esempio per ospitare una DMZ, perché il traffico tra le VLAN è spoofabile. E sempre meglio affidarsi ad un firewall per isolare le zone tra le quali la sicurezza del traffico è un fattore critico.
Il VLAN hopping è un tipo di hackeraggio, un metodo per attaccare le risorse di rete su una LAN virtuale (VLAN). Il concetto alla base tutti gli attacchi hopping è di attaccare un host su una VLAN per ottenere l'accesso al traffico di altre VLAN normalmente non accessibili. Ci sono due metodi principali di VLAN hopping: lo switch spoofing e il doppio tagging. Entrambi i metodi di attacco possono essere facilmente mitigati con una corretta configurazione delle porte.
VLAN: configurazione Per definire più VLANs all interno di una rete Ethernet bisogna configurare correttamente gli switch della rete Ogni VLAN è identificata da un numero (VID: 1-1005) ed ha un proprio blocco di indirizzi Le VLAN devono essere definite all interno dello switch
Porte dello switch Le porte di uno switch possono essere di due tipi: Porte d accesso (access port): porte a cui sono connessi solo dispositivi appartenenti ad una VLAN Porte Trunk: porte su cui possono transitare frame appartenenti a VLAN diverse e quindi esiste la necessità di differenziare i frame
Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una particolare interfaccia/porta? Le VLAN sono port based e quindi lo determina in base alla porta su cui sono stati ricevuti Bisogna configurare staticamente le porte di accesso modo da associarle alle VLAN corrette
Ad ogni porta di accesso è associata un unica VLAN L unica eccezione si ha nel caso di Voice VLAN
Tipi di VLANs Data VLAN: VLAN classica, detta anche User VLAN Default VLAN (1) Native VLAN : Trunk port Management VLAN: per configurare gli switch della rete (99)
Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una porta trunk? E necessario estendere lo standard Ethernet 802.3Q: inserimento di un tag all interno del frame ethernet contenente il VID (identificativo della VLAN cui appartiene il frame)
Con il termine trunk si intende la connessione punto-punto tra due porte trunk di uno switch I frame che attraversano un trunk sono tutti tagged ad eccezione di quelli appartenenti ad una specifica VLAN: la native VLAN La Native VLAN è utilizzata per il traffico di controllo
Di default la porta trunk accetta di tutte le VLAN E possibile configurare solo un sottoinsieme di VLAN
Funzionamento dello switch Uno switch instrada il traffico in base alla VLAN di appartenenza Il traffico broadcast ricevuto su un'interfaccia di accesso sarà inviato solo sulle altre interfacce (accesso o trunk) del router su cui è configurata la VLAN in questione
Il comando show vlan brief elenca le VLAN configurate e l'associazione alle porte Il comando show interface FastEthernet x/y switchport consente di valutare le modalità di un'interfaccia
La suddivisione in VLAN limita il traffico di broadcast Quando due host apparteneti a VLAN diverse devono comnunicare è necessaria la presenza di un router Uno switch layer 3 consente di non utilizzare il route e di limitare il numero di interfacce utilizzate