Una VLAN è una sottorete logica definita dal software. Consente a dispositivi simili sulla rete di essere raggruppati in un dominio di trasmissione, indipendentemente dalla loro posizione fisica nella rete. VLAN multiple possono essere utilizzate per raggruppare workstation, server e altre apparecchiature di rete connesse allo switch, in base a dati e requisiti di sicurezza simili.
CHE COS'È UNA VLAN?
In termini semplici, una VLAN è un insieme di stazioni di lavoro all'interno di una LAN in grado di comunicare tra loro come se fossero su una singola LAN isolata.
Che cosa significa dire che "comunicano tra loro come se fossero su una singola LAN isolata"?
Significa che:
- I pacchetti di trasmissione inviati da una delle workstation raggiungeranno tutti gli altri nella VLAN;
- Le trasmissioni inviate da una delle workstation nella VLAN non raggiungeranno alcuna workstation che non si trova nella propria VLAN;
- Le trasmissioni inviate da stazioni di lavoro che non si trovano nella VLAN non raggiungeranno mai le stazioni di lavoro che si trovano nella VLAN;
- Le workstation possono comunicare tra loro senza dover passare attraverso un gateway;
- Le stazioni di lavoro possono comunicare tra loro tramite protocolli non instradabili.
LO SCOPO DELLE VLAN
Il motivo fondamentale per suddividere una rete in VLAN è ridurre la congestione su una LAN di grandi dimensioni.
Per comprendere questo problema, dobbiamo esaminare brevemente come si sono sviluppate le LAN nel corso degli anni. Inizialmente le LAN erano molto piatte: tutte le stazioni di lavoro erano collegate a un singolo spezzone di cavo o a gruppi di hub concatenati.
In una LAN piatta, ogni pacchetto che qualsiasi dispositivo trasmette sul cavo viene inviato a tutti gli altri dispositivi sulla LAN. Con l'aumentare del numero di stazioni di lavoro su una LAN tipica, le LAN hanno iniziato a diventare congestionate, con troppe collisioni, perché la maggior parte delle volte che una workstation tentava di inviare un pacchetto trovava il cavo già occupato da un pacchetto inviato da qualche altro dispositivo.
La prima soluzione a questo problema era quella di segmentare la rete usando i router, ciò dividerebbe la rete in un numero di LAN più piccolec ci sarebbero meno workstation su ogni LAN e quindi meno congestione. Naturalmente, i dati instradabili inviati tra le LAN dovrebbero essere instradati, quindi gli indirizzi di livello 3 dovrebbero essere organizzati in modo tale che ogni LAN avesse un insieme identificabile di indirizzi su cui poter essere instradati, come una sottorete IP.
USO DEGLI SWITCH PER SEGMENTARE LE LAN
Quando gli switch sono diventati più frequenti, si è passati da hub concatenati a un set di hub collegati a uno switch. Uno switch invia il traffico a una determinata porta solo se il traffico deve passare a quella porta. Quindi gli switch hanno l'effetto di ridurre la congestione delle workstation, impedendo alle workstation di vedere tutto il traffico proveniente dalle altre porte dello switch. Una semplice rete commutata, tuttavia, ha ancora bisogno di router per stabilire i limiti di trasmissione delle trasmissioni.
Figura1: Tipica VLAN
TERMINOLOGIA DEL DOMINIO
La figura sopra introduce il concetto di segmento LAN. Questo viene anche definito dominio di collisione, poiché quando un dispositivo tenta di inviare un pacchetto, può scontrarsi solo con pacchetti inviati da altri dispositivi sullo stesso segmento.
Ciascun segmento LAN è costituito da tutti i dispositivi collegati a una singola porta dello switch: lo switch impedisce ai pacchetti di porte diverse di scontrarsi.
La stessa LAN viene definita dominio di trasmissione, poiché se un dispositivo all'interno della LAN invia un pacchetto di trasmissione, verrà trasmesso a tutti i dispositivi in quella LAN, ma non a dispositivi oltre la LAN.
UTILIZZO DEI VLAN PER SEGMENTARE LE LAN
Man mano che le LAN diventano più grandi, le velocità dei dati diventano più veloci e gli utenti desiderano una maggiore flessibilità, i router in una rete iniziano a diventare un collo di bottiglia.
Questo perché:
- I router in genere inoltrano i dati nel software e quindi non sono veloci come gli switch;
- Suddividere una LAN usando i router significava che una LAN corrispondeva in genere a una particolare posizione fisica. Ciò è diventato limitante quando molti utenti avevano i notebook e volevano essere in grado di spostarsi da un edificio all'altro, ma hanno comunque lo stesso ambiente di rete ovunque siano stati collegati.
I fornitori di switch hanno iniziato a implementare metodi per la definizione di "LAN virtuali", set di porte switch, generalmente distribuiti attraverso più switch, che in qualche modo interagivano come se fossero in una singola LAN isolata. In questo modo, le workstation potrebbero essere separate in LAN separate senza essere fisicamente divise dai router. All'incirca nello stesso periodo, gli hub sono diventati meno popolari e sono stati in gran parte sostituiti dagli switch L2.
Ciò ha reso tutto il concetto di dominio di collisione alquanto storico. Nelle reti moderne, un "dominio di collisione" consiste principalmente in un singolo dispositivo collegato a una porta dello switch L2, o possibilmente in un PC con qualcosa come un telefono IP collegato ad esso.
Quindi, il layout della LAN è diventato più simile al seguente diagramma:
Figura2: VLAN segmentata
Invece delle LAN corrispondenti alle aree fisiche divise l'una dall'altra dai router, ci sono LAN virtuali distribuite attraverso la rete.
Ad esempio, tutti i dispositivi nelle varie aree etichettati "LAN A" appartengono tutti a una singola LAN virtuale, ad es. un singolo dominio di trasmissione.
VANTAGGI DELL'UTILIZZO DI VLANS:
1. Prestazioni. Come accennato in precedenza, i router che inoltrano i dati nel software diventano un collo di bottiglia all'aumentare della velocità dei dati LAN. Eliminare i router rimuove questo collo di bottiglia;
2. Controllo della trasmissione. Segmenta i dispositivi in domini di trasmissione LAN più piccoli per ridurre il sovraccarico causato a ciascun host nella VLAN. Un numero medio di trasmissioni dovrebbe essere di 30 trasmissioni al secondo o meno;
3. Formazione di gruppi di lavoro virtuali. Poiché le stazioni di lavoro possono essere spostate da una VLAN a un'altra semplicemente modificando la configurazione sugli switch, è relativamente facile riunire tutte le persone che lavorano insieme su un determinato progetto in un'unica VLAN. Possono quindi condividere più facilmente file e risorse tra loro;
4. Maggiore flessibilità. Se gli utenti spostano i loro banchi o semplicemente si spostano in un luogo con i loro laptop, quindi, se le VLAN sono impostate nel modo giusto, possono collegare il PC nella nuova posizione e rimanere nella stessa VLAN. Questo è molto più difficile quando una rete è fisicamente divisa dai router;
5. Facilità di partizionamento delle risorse (Sicurezza). Se sono presenti server o altre apparecchiature a cui l'amministratore di rete desidera limitare l'accesso, è possibile rimandarli nella propria VLAN. Quindi gli utenti in altre VLAN possono avere accesso in modo selettivo.