Stampa libroStampa libro

A0 Le VLAN in breve

Sito: Materiali Didattici
Corso: (Classe 5a) - Sistemi e Reti
Libro: A0 Le VLAN in breve
Stampato da: Utente ospite
Data: venerdì, 17 maggio 2024, 07:14

Sommario

1. Introduzione

In telecomunicazioni e informatica il termine VLAN (Virtual LAN) indica un insieme di tecnologie che permettono di segmentare il dominio di broadcast, che si crea in una rete locale (tipicamente IEEE 802.3) basata su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.

Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro o dipartimenti di una azienda, per applicare diverse politiche di sicurezza informatica.

Le reti locali, con il passare del tempo, subiscono modifiche: l’aggiunta di nuovi pc, lo spostamento di altri, l’inserimento di nuovi dispositivi come nas o stampanti, fanno sì che la rete diventi sempre più estesa e complessa.

A fronte di questo, nuove problematiche  possono insorgere, quali l’elevato traffico di multicast broadcast, la necessità di fare routing tra le sottoreti ip, per non parlare dei problemi legati alla sicurezza informatica.

La soluzione a queste problematiche è assolta dalla Vlan.


2. Creazione di una VLAN

La creazione di una VLAN (Virtual Lan) significa poter  separare  completamente  le  reti  evitando  la comunicazione tra di loro, oppure connettere più vlan tramite, un router o uno switch di terzo livello.

Le  Vlan  (Virtual  Local  Area  Network)  sono  una  tecnologia  che  permette  di  separare  i domini di broadcast.  

Per la realizzazione è necessario configurare via software lo switch impostandolo in modo che alcune porte costituiscano un gruppo, mentre altre ne costituiscano un altro, e così via.

I PC collegati alle porte di uno stesso gruppo potranno comunicare tra loro, ma non potranno farlo con i PC degli altri gruppi.

Una Virtual Local Area Network (VLAN) è un piccolo segmento logico all’interno di un’ampia rete fisica collegata tramite cavi. Il raggruppamento delle diverse stazioni in un’unica rete avviene indipendentemente dalla loro localizzazione: infatti, finché esse sono collegate ad una stessa LAN, possono essere raggruppate in un’unica VLAN. Non è un problema se la LAN si estende su più switch: la cosa importante è che lo switch sia adatto per la VLAN. Le VLAN possono basarsi solo sui managed switch.

I managed switch offrono infatti numerose possibilità di configurazione per l’uso professionale, al contrario degli unmanaged switch che vengono invece utilizzati per le reti domestiche e sono basati sull’idea del plug and play. Si possono ad esempio gestire specifici indirizzi IP, filtrare indirizzi MAC o impiantare VLAN.

Ogni singola VLAN riceve un proprio dominio broadcast: se un partecipante invia un broadcast all’interno della VLAN, tutti i partecipanti all’interno dello stesso segmento (e soltanto loro) ricevono il messaggio. Il broadcast non viene trasmesso oltre i confini della rete virtuale. La comunicazione tra le diverse VLAN avviene attraverso gli stessi cavi.



3. Diversi tipi di VLAN

È possibile configurare le VLAN in diversi modi e, a seconda della tipologia, viene applicata una tecnologia diversa. Nella pratica ritroviamo due tipi di applicazione: VLAN basate su porta o tagged VLAN (“VLAN taggate”). In molti casi gli amministratori di rete realizzano le installazioni e le assegnazioni implementando entrambe le tipologie.

VLAN basata su porta

All’interno di uno switch ogni partecipante di rete viene indirizzato verso una porta, ovvero una presa all’interno della quale viene inserito il relativo cavo di rete collegato al computer di turno. Tuttavia le porte vengono utilizzate anche per collegare gli switch tra di loro. Se da un’unica rete fisica si vogliono ricavare due VLAN, si assegnano le relative porte alla rete virtuale desiderata.

La configurazione attraverso diversi switch è possibile anche quando l’installazione della VLAN basata su porta è attuata su piccole reti e viene realizzata all’interno di un solo switch. Così le porte da 1 a 3 sul primo switch e la porta 1 sul secondo switch possono essere collegate insieme a un’unica VLAN. Per fare ciò bisogna collegare tra di loro i due switch con due cavi, prevedendo una connessione per ogni VLAN.

Questo tipo di connessione viene definita trunking. Gli switch hanno una o più porte predisposte per tale scopo e attraverso le quali si possono definire le opzioni di impostazione. La tipologia di connessione è secondaria: non è rilevante se si usino cavi in rame o in fibra ottica o una connessione wireless.

La distribuzione dei pacchetti avviene tramite gli stessi switch. Gli amministratori di rete impostano e assegnano le porte alle rispettive VLAN. In questo caso la VLAN si definisce statica. Se le VLAN devono essere configurate in modo diverso, le porte devono essere ridistribuite in fase di configurazione dello switch. Inoltre ogni porta, e quindi anche ogni dispositivo ad essa connesso, appartiene solo a un’unica VLAN. La comunicazione tra i dispositivi di una VLAN con quelli di un’altra deve avvenire attraverso un router che permette di inoltrare i messaggi, così come avviene per la comunicazione tra la rete domestica e Internet.

Tagged VLAN

Nel caso della tagged VLAN l’assegnazione alla VLAN è più dinamica: a garantire l’assegnazione è un tag nel frame del pacchetto, che sostituisce la permanente impostazione nello switch. Per questo motivo questa tecnologia viene denominata basata su frame, come avviene per le reti basate su porta. Nel tag è contenuta l’informazione che indica in quale VLAN ci si trova al momento. Uno switch riconosce in quale segmento avviene la comunicazione e in base a questo inoltra il messaggio.

Un tag VLAN è di 32 bit e compare direttamente dopo l’indirizzo MAC del mittente all’interno del frame ethernet. Il tag inizia con un ID di protocollo di due byte: il Tag Protocol Identifier (TPI) mostra se è stato stabilito un ID VLAN. Se nel frame si identifica una VLAN, questi blocchi hanno il valore di 0x8100. In seguito, il frame indica in tre bit la priorità del messaggio. Segue poi un bit per il Canonical Format Identifier (CFI). Questa posizione serve per garantire la compatibilità tra ethernet e token ring.

È solo negli ultimi dodici bit che il protocollo indica il vero ID VLAN (VID). Il campo frame può ospitare 4.096 VLAN diverse. Ogni VLAN ha il suo numero proprio. Le tagged VLAN possono essere implementate anche direttamente sulle schede di rete. Linux ad esempio supporta lo standard per impostazione predefinita. Per gli utenti di Windows, invece, dipende dal relativo fornitore della scheda di rete. È possibile impostare la VLAN attraverso il driver.

La struttura del frame segue lo standard IEEE 802.1q, che è la variante più usata. In realtà ci sarebbero ancora altre possibilità per inserire i tag VLAN nei pacchetti. Cisco, ad esempio, per i suoi switch utilizza l’Inter-Switch Link Protocol (ISL). Questo protocollo incapsula il completo frame di dati per abilitare più VLAN.

Il vantaggio di una tagged VLAN, in confronto a una VLAN con assegnazione su porta, è rappresentato dalla connessione tra diversi switch. Per le VLAN basate su porta devono essere collocati almeno due cavi tra gli switch, in quanto ogni Virtual lan ha bisogno della propria connessione. Per le trunking in tagged VLAN, invece, basta un solo cavo, in quanto la distribuzione dei dati avviene attraverso le informazioni del frame. Lo switch riconosce la VLAN corretta e la inoltra al secondo switch. Qui il tag viene eliminato e il pacchetto viene inoltrato al corretto destinatario.

Nella pratica si sta affermando una combinazione tra VLAN basate su porta e tagged VLAN: in questo caso la comunicazione VLAN all’interno di uno switch avviene attraverso le porte assegnate. Tra gli switch, tuttavia, la connessione avviene basandosi sul frame, per poter risparmiare un cavo (e quindi anche due porte).

4. VLAN: I vantaggi della rete virtuale

Perché si dovrebbe suddividere una LAN più grande in diverse VLAN più piccole?

Flessibilità

Se un nuovo partecipante vuole far parte di una LAN, il dispositivo deve essere connesso tramite cavo a uno switch. Nel caso in cui un dipendente cambi il suo team all’interno dell’azienda e debba quindi lavorare su un’altra rete, è necessario cambiare la postazione di lavoro oppure effettuare un nuovo cablaggio. La configurazione di una VLAN avviene esclusivamente sulla base di un software e quindi l’amministratore può assegnare lo stesso computer a un’altra VLAN.

Sicurezza

È una buona idea limitare i partecipanti della rete a un piccolo gruppo affinché le persone non autorizzate non abbiano accesso a dati sensibili. Nell’ambito della VLAN si possono limitare i domini broadcast solamente a poche stazioni. In questo modo il broadcast sarà reperibile solo per i destinatari delle informazioni.


5. Esempio con Packet Tracer

REALIZZIAMO UNA VLAN

Dopo aver costruito un’architettura come in figura e aver connesso tramite connessioni di tipo automatico è possibile iniziare la configurazione. Clicchiamo sullo Switch e apriamo la voce config: qua avverranno le due operazioni fondamentali.


Aprendo la voce VLAN Database possiamo inserire le due reti di nostro interesse. Ognuna ha un nome e un ID (chiamato anche VID). Dobbiamo creare due voci, come in figura.


Su ogni interfaccia FastEthernet (o equivalente) possiamo indicare a che VLAN appartiene ogni porta. Facciamo attenzione a non confondere il numero di porta in quanto il risultato non sarebbe quello aspettato.


Ora le VLAN sono state create, ma per avere la conferma (tramite il servizio ping) è necessario inserire un indirizzo IP valido per ogni PC. Seguendo l’esempio in figura, inseriamo un IP valido. Io ho scelto:

192.168.1.1/24; 192.168.1.2/24; 192.168.1.3/24; 192.168.1.4/24.

 

Procedendo ora con il ping, sarà possibile verificare che i pacchetti circolano solo sulle rispettive LAN.


Il ping tra due PC appartenenti alla stessa VLAN funziona. Al contrario, il ping tra due PC appartenenti a reti virtuali differenti fallisce.

Lo stesso risultato avrebbe funzionato anche tramite l’utilizzo esclusivo della CLI (Command Line Interface), ma sicuramente risulta più comodo procedere attraverso la grafica di Packet Tracer. In ogni caso è bene ricordare che quest’ultima presenta alcune limitazioni e per reti più complesse sarà necessario operare anche con la CLI.


6. Progetto di una VLAN (approfondimento)

Le Virtual LAN (VLAN) permettono di condividere una singola infrastruttura fisica (stessi apparati, stesso cablaggio) tra più LAN logiche: attraverso alcune porte di un bridge passa solo il traffico di una certa LAN, attraverso altre porte passa solo il traffico di un'altra LAN, e così via → ogni bridge ha un filtering database per ogni VLAN.

Una rete di livello data-link costituita da più VLAN è più vantaggiosa rispetto a:

  • una rete di livello rete, grazie al supporto della mobilità: gli host possono continuare a essere raggiungibili allo stesso indirizzo (l'indirizzo MAC) quando si spostano;
  • una singola LAN fisica, grazie a:
    • maggiore scalabilità: il traffico broadcast è confinato in domini di broadcast più ridotti;
    • maggiore sicurezza: un utente appartenente a una VLAN non può effettuare un MAC flooding attack su altre VLAN;
    • migliore policing: l'amministratore di rete può configurare politiche diverse in base alla VLAN;
  • più LAN completamente separate dal punto di vista fisico, grazie al maggiore risparmio di risorse e di costi: i bridge non sono duplicati per ogni LAN ma sono condivisi tra tutte le VLAN, così come i cavi tra i bridge possono trasportare il traffico di qualsiasi VLAN.

Un esempio di applicazione delle VLAN è la rete di un'università: una VLAN è riservata agli studenti, un'altra VLAN è riservata ai docenti con politiche meno restrittive, e così via.

Interconnessione di VLAN

I dati non possono attraversare a livello data-link i confini delle VLAN: una stazione in una VLAN non può mandare una trama a un'altra stazione in una VLAN differente, poiché le VLAN hanno domini di broadcast differenti. Una soluzione possibile potrebbe consistere nel collegare la porta di una VLAN alla porta di un'altra VLAN, ma in questo modo si creerebbe un unico dominio di broadcast quindi le due VLAN apparterrebbero di fatto alla stessa LAN.

Pertanto una stazione in una VLAN può mandare dati a un'altra stazione in una VLAN differente solo a livello rete, ovvero serve un router che colleghi la porta di una VLAN con la porta di un'altra VLAN: una stazione in una VLAN invia un pacchetto IP verso il router, quindi quest'ultimo rigenera l'intestazione di livello data-link del pacchetto (in particolare cambia gli indirizzi MAC) e invia il pacchetto alla stazione nell'altra VLAN. Questa soluzione però occupa due interfacce di un router e due porte di uno stesso bridge, e richiede due fili che collegano questi stessi due apparati di rete. Un router a braccio singolo permette di interconnettere due VLAN tramite un singolo filo, occupando una singola porta del bridge e una singola interfaccia del router: attraverso l'unico filo e attraverso la porta del bridge può passare il traffico di entrambe le VLAN.

Il traffico broadcast di livello data-link non può ancora attraversare i confini delle VLAN, poiché il router non lo propaga sulle altre interfacce spezzando il dominio di broadcast; quindi una stazione in una VLAN che vuole contattare una stazione in un'altra VLAN non può scoprirne l'indirizzo MAC tramite il protocollo ARP, ma deve inviare un pacchetto al suo indirizzo IP, il quale ha un diverso prefisso di rete poiché le due VLAN devono avere spazi di indirizzamento diversi.

Assegnazione di host alle VLAN

Ogni bridge mette a disposizione delle porte, dette porte access, a cui gli host si possono collegare tramite dei link access. Nei link access passano trame non contrassegnate, ossia prive del tag VLAN; le porte access contrassegnano le trame in base alle VLAN di appartenenza.

Quando un host si collega a una porta access, si può riconoscerne la VLAN di appartenenza in quattro modi:

  • assegnazione basata sulle porte:  Assegnazione basata sulle porte
  • assegnazione trasparente:  Assegnazione trasparente
  • assegnazione per utente:  Assegnazione per utente
  • assegnazione cooperativa o anarchica:  Assegnazione cooperativa
Assegnazione basata sulle porte

Ogni porta access è associata a una singola VLAN → un host può accedere a una VLAN collegandosi alla relativa porta sul bridge.

Vantaggi
  • configurazione: non è necessario configurare le VLAN sugli host; questo comporta compatibilità massima con i dispositivi.
Svantaggi
  • sicurezza: l'utente può collegarsi a qualsiasi VLAN; infatti non è possibile stabilire delle politiche diverse in base alle VLAN;
  • mobilità a livello rete: sebbene l'utente possa collegarsi a qualsiasi VLAN, non può comunque mantenere lo stesso indirizzo IP da una VLAN all'altra.
Assegnazione trasparente

Ogni host è associato a una certa VLAN in base al suo indirizzo MAC.

Svantaggi
  • configurazione: un nuovo utente deve contattare l'amministratore di rete per registrare l'indirizzo MAC del suo dispositivo. Può non essere semplice per un utente trovare l'indirizzo MAC del proprio dispositivo;
  • costo del database: è necessario un server, insieme a del personale per la sua gestione, che memorizzi il database contenente le associazioni tra gli indirizzi MAC e le VLAN;
  • manutenzione del database: occorre cancellare le entry corrispondenti a indirizzi MAC non più in uso, ma l'utente spesso quando dismette un dispositivo si dimentica di ricontattare l'amministratore di rete per chiederne la cancellazione dell'indirizzo MAC. Nel tempo il database continua a crescere;
  • sicurezza: l'utente può configurare un indirizzo MAC fasullo e accedere a un'altra VLAN fingendosi un altro utente.
Assegnazione per utente

Ogni utente possiede un account, e ogni account utente è associato a una certa VLAN. Quando si collega alla porta di un bridge, l'utente si autentica inserendo le proprie credenziali di accesso tramite il protocollo standard 802.1x, e il bridge è in grado di contattare un server RADIUS per verificare le credenziali e di assegnare all'utente la VLAN appropriata in caso di successo.

Svantaggi
  • compatibilità: l'autenticazione viene svolta a livello data-link direttamente dalla scheda di rete. Ogni dispositivo deve disporre di una scheda di rete compatibile con lo standard 802.1x;
  • configurazione: l'utente deve impostare molti parametri di configurazione (ad es. il tipo di autenticazione) sul proprio dispositivo prima di poter accedere alla rete.
Assegnazione cooperativa

Ogni utente si associa da sé alla VLAN che desidera: è il sistema operativo sull'host a contrassegnare le trame in uscita, così esse arrivano tramite un link trunk alla porta del bridge già contrassegnate.

Svantaggi
  • configurazione: l'utente deve configurare manualmente il proprio dispositivo prima di poter accedere alla rete;
  • sicurezza: l'utente può collegarsi a qualsiasi VLAN; quindi non è possibile stabilire delle politiche diverse in base alle VLAN.

Tagging delle trame

link trunk sono i link che possono trasportare il traffico di VLAN diverse:

  • link trunk tra bridge: Nel backbone
  • link trunk tra un bridge e un server: Interfacce di rete virtuali
  • link trunk tra un bridge e un router a braccio singolo: Interfacce di rete virtuali

Nei link trunk passano trame contrassegnate, ossia dotate del tag VLAN standardizzato come IEEE 802.1Q (1998):

Formato del tag VLAN (4 byte).
16 19 20 32
TPID (0x8100) PCP CFI VLAN ID


dove i campi sono:

  • campo Tag Protocol Identifier (TPID) (2 byte): identifica una trama contrassegnata (valore 0x8100);
  • campo Priority Code Point (PCP) (3 bit): specifica la priorità utente per la qualità del servizio: 
  • flag Canonical Format Indicator (CFI) (1 bit): specifica se l'indirizzo MAC è in formato canonico (valore 0, ad es. Ethernet) oppure no (valore 1, ad es. token ring);
  • campo VLAN Identifier (VID) (12 bit): identifica la VLAN della trama:
    • valore 0: la trama non appartiene ad alcuna VLAN → utilizzato nel caso l'utente voglia solamente impostare la priorità per il traffico;
    • valore 1: la trama appartiene alla VLAN predefinita;
    • valori da 2 a 4094: la trama appartiene alla VLAN identificata da questo valore;
    • valore 4095: riservato.

IEEE 802.1Q in realtà non incapsula la trama originale; invece, aggiunge il tag tra i campi indirizzo MAC sorgente e EtherType/Length della trama originale, lasciando la dimensione minima della trama invariata a 64 byte ed estendendo la dimensione massima della trama da 1518 byte a 1522 byte → sui link trunk non possono esserci degli hub perché non supportano le trame più lunghe di 1518 byte:


Inserimento del tag VLAN in una trama Ethernet.


Nel backbone

Vediamo un esempio di trasporto VLAN di una trama attraverso un link trunk nel backbone.

Il trasporto di una trama da una stazione all'altra attraverso i link trunk avviene nel seguente modo:

  1. l'host sorgente invia verso la porta access una trama non contrassegnata;
  2. quando una trama arriva alla porta access, il bridge contrassegna la trama con il tag corrispondente alla VLAN associata alla porta;
  3. il bridge invia la trama contrassegnata su un link trunk;
  4. ogni bridge che riceve la trama guarda il filtering database relativo alla VLAN specificata dal tag:
    • se la destinazione è "remota", il bridge propaga la trama su un link trunk lasciandone il tag VLAN invariato;
    • se la destinazione è "locale", ossia è raggiungibile attraverso una delle porte access associate alla VLAN della trama, il bridge rimuove il tag VLAN dalla trama e invia la trama non contrassegnata sul link access verso l'host di destinazione.

Interfacce di rete virtuali

Un esempio di trasporto VLAN di una trama attraverso le interfacce di rete virtuali di un router a braccio singolo e di un server.

Un server tipicamente ha bisogno di essere contattato allo stesso tempo da più host situati in VLAN diverse; siccome a ogni interfaccia di rete è possibile associare solo una VLAN, il server richiederebbe di avere una interfaccia di rete per ogni VLAN, ciascuna collegata al bridge con un proprio link fisico. Analogo problema vale per un router a braccio singolo, che ha bisogno di ricevere e mandare traffico da/a più VLAN diverse per permettere la loro interconnessione.

Le interfacce di rete virtuali permettono di avere allo stesso tempo più interfacce di rete logiche virtualizzate sulla stessa scheda di rete fisica, la cui singola interfaccia fisica è collegata con il bridge tramite un unico link fisico trunk: il sistema operativo vede più interfacce di rete installate nel sistema, e il driver della scheda di rete in base al tag VLAN espone al sistema operativo ogni trama come se fosse arrivata da una delle interfacce di rete virtuali.

Le interfacce di rete virtuali hanno indirizzi IP diversi, perché ogni VLAN ha il suo spazio di indirizzamento, ma hanno lo stesso indirizzo MAC, uguale a quello della scheda di rete fisica; ciò non costituisce tuttavia un problema in quanto è sufficiente che l'indirizzo MAC sia univoco all'interno del dominio di broadcast (quindi all'interno della VLAN).

Tag stacking

Il tag stacking (anche noto come "provider bridging" o "Stacked VLAN" o "QinQ"), standardizzato come IEEE 802.1ad (2005), permette di inserire più tag VLAN nella pila di una trama contrassegnata, dal tag più esterno a quello più interno:


Inserimento di due tag VLAN in una trama Ethernet.


Il tag stacking è utile per trasportare il traffico di più clienti che utilizzano le VLAN su una rete del provider condivisa: due clienti diversi potrebbero decidere di utilizzare lo stesso VLAN Identifier nelle loro reti aziendali; perciò i bridge ai margini della rete del provider aggiungono alle trame in ingresso e rimuovono dalle trame in uscita dei tag esterni che distinguono le VLAN che hanno lo stesso VLAN Identifier ma sono di clienti diversi.

Vantaggi
  • flessibilità: il tag stacking è più flessibile e meno distruttivo rispetto alla definizione di un altro formato di tagging con un VLAN Identifier più grande;
  • semplicità: il tag stacking è più semplice rispetto al tunneling Ethernet:
    • tunneling Ethernet: i bridge ai margini devono incapsulare la trama in una nuova intestazione Ethernet (operazione complessa);
    • tag stacking: i bridge ai margini si limitano a effettuare delle più rapide operazioni di push e pop nella pila dei tag;
  • scalabilità delle VLAN: il tag stacking è più scalabile rispetto alla traslazione di VLAN:
    • traslazione di VLAN: i bridge ai margini modificano il VLAN Identifier di ogni trama in modo tale che ciascun VLAN Identifier sia univoco all'interno della rete del provider → problema di scalabilità: sono a disposizione solo un massimo di 4094 VLAN;
    • tag stacking: i bridge ai margini usano un VLAN Identifier esterno per ogni cliente, indipendentemente dal numero di VLAN Identifier interni che ogni cliente utilizza → la rete del provider può servire fino a 4094 clienti, ciascuno con 4094 VLAN.
Svantaggi
  • scalabilità degli indirizzi MAC: il tag stacking è meno scalabile rispetto al tunneling Ethernet:
    • tag stacking: il filtering database di ogni bridge nella rete del provider deve apprendere tutti gli indirizzi MAC delle interfacce di rete situate nelle VLAN di tutti i clienti → problema di scalabilità: i filtering database dei bridge sono memorizzati in memorie TCAM di dimensione limitata;
    • tunneling Ethernet: il filtering database di ogni bridge nella rete del provider vede solo gli indirizzi MAC dei bridge ai margini della rete;
  • sicurezza: un broadcast storm sulla VLAN di un cliente può avere ripercussioni sul traffico di altri clienti: 

PVST

Lo STP e il RSTP standard non supportano le VLAN: l'albero ricoprente è unico nell'intera rete e l'algoritmo di spanning tree opera indipendentemente dalle VLAN. Molti fornitori offrono funzionalità proprietarie per il supporto alle VLAN: per esempio Cisco offre il Per-VLAN Spanning Tree (PVST) e il Per-VLAN Spanning Tree Plus (PVST+), basati sullo STP, e il Rapid Per-VLAN Spanning Tree Plus (Rapid-PVST+), basato sul RSTP.

Il PVST consente più alberi ricoprenti nella rete, uno per ogni VLAN; ciascun albero è determinato tramite la configurazione per VLAN dei parametri del protocollo di spanning tree. In particolare, è necessario personalizzare la priorità di ogni bridge in base alla VLAN al fine di differenziare il root bridge fra VLAN diverse, altrimenti risulterebbe lo stesso albero per tutte le VLAN, identificando la VLAN a cui si riferisce il valore di priorità con il campo STP Instance (12 bit), introdotto nel Bridge Identifier da IEEE 802.1t (2001):

Formato del Bridge Identifier stabilito da IEEE 802.1t.
4 16 64
Bridge Priority STP Instance Bridge MAC Address

Svantaggi
  • ottimizzazione del traffico: l'ottimizzazione operata dal PVST sul carico di traffico non è così significativa, anche tenendo conto della elevata larghezza di banda dei link nelle reti moderne:
    • il PVST ottimizza il carico di traffico nell'intera rete: se gli alberi ricoprenti sono ben bilanciati, tutti i link sono utilizzati; non ci sono più link attivi ma completamente inutilizzati;
    • il PVST non ottimizza il carico di traffico all'interno di una VLAN: il traffico della VLAN è ancora legato a uno specifico albero ricoprente; quindi non è possibile scegliere il percorso più breve verso la destinazione come avviene nelle reti IP;
  • carico CPU: l'esecuzione di più istanze del protocollo di spanning tree allo stesso tempo aumenta il carico sulle CPU dei bridge;
  • interoperabilità: la coesistenza nella stessa rete di bridge dotati del supporto a PVST e di bridge privi di esso può portare a dei broadcast storm;
  • complessità: l'amministratore di rete deve gestire più alberi ricoprenti sulla stessa rete → la risoluzione dei problemi è più complicata: è difficile capire il percorso del traffico, poiché le trame attraversano link diversi a seconda della VLAN a cui appartengono.

Problemi

Ottimizzazione del traffico broadcast

Il traffico broadcast viene inviato su tutti i link trunk, oltre che sui link access associati alla VLAN a cui la trama broadcast appartiene:

  • un broadcast storm su un link, causato dal traffico di una VLAN, può influenzare le altre VLAN saturando i link trunk → anche se le trame non possono passare da una VLAN all'altra a livello data-link, l'isolamento della rete non è completo neanche con le VLAN dovuto al fatto che i link sono condivisi;
  • una trama broadcast appartenente a una certa VLAN può raggiungere un bridge all'estremità della rete su cui non è presente alcuna porta access appartenente a quella VLAN → il filtering database di quel bridge inserirà tramite i meccanismi di apprendimento un'inutile entry contenente l'indirizzo MAC sorgente.

Al fine di ridurre il traffico broadcast sui link trunk ed evitare entry inutili nei filtering database, ogni bridge ha bisogno di sapere di quali VLAN propagare il traffico broadcast su ogni porta trunk:

  • protocollo GVRP: è un protocollo standard molto complesso che permette ai bridge di scambiarsi informazioni sulle VLAN nella topologia della rete;
  • meccanismi proprietari: vengono impiegati al posto del protocollo GVRP perché sono più semplici, anche se introducono problemi di interoperabilità;
  • configurazione manuale: l'amministratore di rete configura esplicitamente su ogni bridge le VLAN di cui propagare il traffico broadcast → le VLAN sono configurate staticamente e non possono cambiare in caso di riconvergenza dell'albero ricoprente in seguito al guasto di un link.

Interoperabilità

Le VLAN non sono una tecnologia plug and play (com'era lo STP), e gli utenti domestici non sono abbastanza esperti per configurarle; pertano i bridge di fascia bassa tipicamente sono privi del supporto alle VLAN, e possono scartare le trame contrassegnate perché troppo grosse.

Un altro motivo di incompatibilità tra gli apparati di rete di diversi fornitori è il tagging sulle porte trunk: alcuni bridge contrassegnano il traffico appartenente a tutte le VLAN, altri lasciano il traffico appartenente alla VLAN 1 non contrassegnato.


7. Esempio pratico

Quando si configura una VLAN è possibile utilizzare diversi approcci, tutti supportati dai vari switch Netgear.

La modalità più comune e banale è l'approccio port-based: in questa configurazione le VLAN restano "locali" sul singolo switch (non si fa ricorso allo standard 802.1Q).
È possibile quindi utilizzarla quando si usa un singolo switch o un numero limitato di questi dispositivi di networking.
Sugli switch Plus di Netgear è sempre presente la modalità port-based mentre non lo è nei dispositivi Smart, coi quali si può comunque ricorrere allo standard 802.1Q per assolvere la medesima esigenza anche in presenza di un singolo switch.
Usando 802.1Q, infatti, si può implementare lo stesso approccio previsto in una configurazione port-based con la possibilità, eventualmente, di "propagare" le VLAN su domini costituiti da più switch.

L'appartenenza di un dispositivo a una VLAN può essere definita anche sulla base del corrispondente indirizzo MAC (MAC address): in questo modo, indipendentemente dalla porta alla quale sarà collegato il device, il traffico generato sarà instradato sulla VLAN corretta (MAC-based VLAN).

Gli switch Netgear consentono poi di creare VLAN osservando l'insieme di indirizzi IP associati (IP subnet-based).

Per i servizi voce (VoIP), sono poi previste configurazioni per le VLAN chiamate Auto-VoIPVoice VLAN: nel primo caso l'impostazione avviene automaticamente stabilendo l'"identità" di telefoni VoIP e centrali mentre nel secondo caso è necessario intervenire in modo manuale.

Infine, GARP VLAN consente di distribuire in maniera dinamica le VLAN (propagazione della configurazione ai vari switch sul dominio di broadcast) ma è possibile ricevere le informazioni sulle porte da configurare in ottica VLAN anche da un server Radius.
Le VLAN possono essere anche configurate impostando un filtro protocol-based; verificando cioè la tipologia di traffico generato a livello di rete (IP, IPX, ARP; livello 3). Si tratta però di una modalità ormai davvero scarsamente utilizzata all'atto pratico.

Le varie modalità di configurazione possono essere ovviamente combinate tra loro.

Le configurazioni possibili per ogni porta dello switch

Lo standard 802.1Q, come abbiamo visto in precedenza, consente il tagging delle porte Ethernet dello switch.
Ciascuna porta dello switch utilizzata per una VLAN può assumere una tra 3 possibili configurazioni: può essere taggata, non taggata oppure non configurata.
Si tratta di opzioni che consentono di creare configurazioni differenziate in termini di segmentazione, sicurezza, isolamento del traffico, miglioramento dell'efficienza delle comunicazioni.

Per tutti gli switch in commercio ogni porta, di default, la configurazione è untagged cioè "non taggata" per la VLAN1 con PVID impostato a 1.

Quando si collega un PC, una stampante o un qualunque altro device similare a una porta Ethernet dello switch essa dovrebbe essere impostata come "non taggata". Alle porte untagged, però, deve essere associato un identificativo della VLAN di riferimento (PVID).
Le porte sulle quali sono collegati altri switch oppure dispositivi come telefoni VoIP, centralini e così via, dovrebbero essere impostate come tagged.

Configurare le VLAN usando l'interfaccia HTTP dei router Netgear web managed

Collegandosi da browser all'interfaccia di amministrazione di un router ProSAFE di Netgear, si nota subito la presenza della scheda VLAN.
Selezionandola, si ha la possibilità di configurare VLAN port-based, con lo standard 802.11Q o Voice LAN.


Attivando, ad esempio, l'uso di 802.1Q, di default lo switch Netgear assegnerà tutte le porte Ethernet alla VLAN1 in modalità untagged così come si può verificare in figura.


Cliccando su Advanced quindi su VLAN Configuration e infine attivando l'opzione Advanced 802.1Q VLAN Status, si potranno eventualmente aggiungere ulteriori VLAN specificandone l'identificativo numerico e cliccando sul pulsante Add in alto a destra.



I link VLAN membership e Port PVID consentono, rispettivamente, di indicare se ciascuna porta sia "taggata", "non taggata" oppure "non configurata" e il corrispettivo PVID.

Gli switch Smart di Netgear consentono non soltanto di usare 802.1Q e Voice VLAN ma anche le altre modalità di configurazione citate in precedenza.