f
Antonio Cianfrani
Virtual LAN (VLAN)
Virtual LAN (VLAN)
INFOCOM Dept.
VLAN: motivazioni
¾ LAN Ethernet: tutti gli host appartenenti ad una stessa g pp
infrastruttura fisica (switches, hubs, cavi) fanno parte della stessa rete IP
¾ Se bisogna realizzare più reti IP all’interno di uno stesso edifico sono necessarie più infrastrutture fisiche
edifico sono necessarie più infrastrutture fisiche
¾ L’introduzione delle VLAN consente di eliminare questa li it i iù ti l i h di id l t
limitazione: più reti logiche possono condividere la stessa infrastruttura fisica
¾ Virtual LAN: sottorete IP indipendente che può condividere la stessa rete fisica di altre VLANs
INFOCOM Dept.
Vantaggi delle VLAN
¾ Sicurezza
¾ Riduzione dei costi
¾ Limitazione del traffico di broadcast
INFOCOM Dept.
VLAN: configurazione
¾ Per definire più VLANs all’interno di una rete Ethernet bisogna correttamente configurare gli switch della rete
correttamente configurare gli switch della rete
¾ Ogni VLAN è identificata da un numero (VID: 1 - 1005) ed ha un i bl di i di i i
proprio blocco di indirizzi
¾ Le VLAN devono essere definite all’interno dello switch
Switch (config)# vlan x
Switch (config-if)# name nome (opzionale) Switch (config-if)# name nome (opzionale)
R t ( fi )# l 10
VLAN 10
Router(config)# vlan 10
Router(config-vlan)# name student
VLAN 10
“student”
INFOCOM Dept.
Porte dello Switch
Le porte di uno switch possono essere di due tipi
¾ Porte d’accesso (access port): porte a cui sono connessi solo dispositivi appartenenti ad una VLAN
¾ Porte Trunk: porte su cui possono transitare frame
appartenenti a VLAN diverse Æ necessità di differenziare i frame
VLAN 10 VLAN 10
“ d ” VLAN 10
“student” “student”
VLAN 30
“ ”
VLAN 30
“guest”
“guest” guest
ACCESS PORT TRUNK PORT
INFOCOM Dept.
Access Port (1/2)
¾ Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una particolare interfaccia/porta?
frame che riceve su una particolare interfaccia/porta?
¾ Le VLAN sono port based Æ lo determina in base alla porta
¾ Le VLAN sono port-based Æ lo determina in base alla porta su cui sono stati ricevuti
¾ Bi fi i l di i
¾ Bisogna configurare staticamente le porte di accesso in modo da associarle alle VLAN corrette
Router (config)# interface FastEthernet o/x Router (config-if)# switchport mode access( f g f) p m Router (config-if)# switchport access vlan y
INFOCOM Dept.
Access Port (2/2)
¾ Ad ogni porta di accesso è associata un’unica VLAN
¾ L’unica eccezione si ha nel caso di Voice VLAN
INFOCOM Dept.
Tipi di VLANs
¾ Data VLAN: VLAN classica, detta anche User VLAN
¾ D f lt VLAN (1)
¾ Default VLAN (1)
¾ Native VLAN : Trunk port
¾ Management VLAN: per configurare gli switch della rete (99)
INFOCOM Dept.
Trunk Port (1/3)
¾ Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una porta trunk?
frame che riceve su una porta trunk?
¾ E’ necessario estendere lo standard Ethernet
¾ 802.3Q: inserimento di un tag all’interno del frame
ethernet contenente il VID (identificativo della VLAN cui ( appartiene il frame)
NO TRUNK VLAN 10 CON TRUNK
VLAN 10 NO TRUNK VLAN 10
VLAN 20 VLAN 20
VLAN 30
VLAN 20
VLAN 30
VLAN 30 VLAN 30
INFOCOM Dept.
Trunk Port (2/3)
¾ Con il termine trunk si intende la connessione punto-punto tra due porte trunk di uno switch
tra due porte trunk di uno switch
¾ I frame che attraversano un trunk sono tutti “tagged” ad
d ll d f l
eccezione di quelli appartenenti ad una specifica VLAN: la Native VLAN
¾ La Native VLAN è usata per il traffico di controllo Router (config)# interface FastEthernet o/x Router (config)# interface FastEthernet o/x Router (config-if)# switchport mode trunk
Router (config-if)# switchport trunk native vlan 99
INFOCOM Dept.
Trunk Port (3/3)
¾ Di default la porta trunk accetta tutte le VLAN.
¾ E’ possibile configurare solo un sottoinsieme di VLAN consentite su un trunk:
Router (config-if)# switchport trunk allowed vlan y
VLAN 10 R(config)# interface FastEthernet 0/13
VLAN 20 FE 0/13
R(config-if)# switchport mode trunk
R(config-if)# switchport trunk native vlan 99
VLAN 30
( g ) p
R(config-if)# switchport trunk allowed 10-20
INFOCOM Dept.
Funzionamento dello switch
¾ Uno switch instrada il traffico in base alla VLAN di appartenenza
appartenenza
¾ Il traffico broadcast ricevuto su una interfaccia di accesso
à l ll l f ( k) d l
sarà inviato solo sulle altre interfacce (accesso o trunk) del router su cui è configurata la VLAN in questione
VLAN 10 broad
b d
VLAN 20 FE 0/13
broad
FE 0/3 FE 0/2
FE 0/1
VLAN 30 FE 0/1, FE 0/2 e FE 0/3: access port FE 0/13 t k t ( ll d 10 20 30)
FE 0/3
FE 0/13: trunk port (allowed 10,20,30)
INFOCOM Dept.
Gestione delle VLAN (1/2)
¾ Il comando show vlan brief elenca le VLAN configurate e l’associazione alle porte
l associazione alle porte
Nessuna VLAN configurata configurata
VLAN 20 configurata ed configurata ed
associata all’interfaccia FastEthernet 0/18
INFOCOM Dept.
Gestione delle VLAN (1/2)
¾ Il comando show interface FastEthernet x/y switchporty p consente di valutare la modalità di una interfaccia
Access port Trunk port
INFOCOM Dept.
VLAN: messaggi broadcast
¾ La suddivisione in VLAN limita il traffico di broadcast
¾ La suddivisione in VLAN limita il traffico di broadcast
VLAN 10
192.168.0.10 VLAN 10
192.168.0.13 192.168.0.10
VLAN 20
192.168.0.13
VLAN 20 VLAN 20
192.168.0.11
VLAN 30
VLAN 20 192.168.0.14
VLAN 30 VLAN 30
192.168.0.12 VLAN 30
192.168.0.15
INFOCOM Dept.
Inter-VLAN routing (1/2)
¾ Quando due host appartenenti a VLAN diverse devono comunicare è necessaria la presenza di un router
comunicare è necessaria la presenza di un router
INFOCOM Dept.
Inter-VLAN routing (2/2)
¾ Uno switch layer 3 consente di non utilizzare il router e di limitare il numero di interfacce utilizzate
limitare il numero di interfacce utilizzate
¾ SVI (Switch Virtual Interface): interfaccia logica associata ad una VLAN
ad una VLAN
INFOCOM Dept.
VLAN Troubleshooting
Possibili problemi di funzionamento di una rete Ethernet con Possibili problemi di funzionamento di una rete Ethernet con VLAN:
¾ N ti VLAN i t h
¾ Native VLAN mismatch
¾ Trunk mode mismatch
¾ Incorretti indirizzi IP all’interno delle VLAN
¾ VLAN non consentite (allowed) sui trunk
