L'argomento delle VLAN si colloca al livello di collegamento dello stack protocollare TCP/IP.

La tecnologia della Virtual LAN permette di segmentare il dominio di broadcast di una LAN, suddividendola in più reti LAN Virtuali, isolate tra loro, ma che condividono la stessa infrastruttura fisica.

È possibile, ad esempio, definire diverse VLAN all'interno di un unico switch, oppure dislocare la stessa Virtual LAN su diversi switch.

Una Virtual LAN, quindi, consente di:

  • Separare host appartenenti allo stesso dominio di broadcast;
  • Connettere host separati fisicamente, alla stessa rete logica virtuale.

Ciascuna VLAN si comporta come una LAN separata dalle altre, e per la loro interconnessione si utilizza routing (livello 3).

Rete composta da tre VLAN
Rete composta da tre Virtual LAN

Vantaggi delle VLAN

Risparmio

Si realizzano LAN Virtuali sulle stesse strutture fisiche, con notevole risparmio di tempo e di denaro.

Aumento prestazioni

I frame non vengono propagati verso destinazioni non necessarie, grazie al confinamento del traffico broadcast alla singola VLAN.

Aumento sicurezza

Gli host possono vedere solamente il traffico della loro VLAN, e non quello delle altre

Flessibilità

Spostamento fisico di host: l'host rimane collegato alla stessa Virtual LAN, senza riconfigurare gli switch.

Spostamento fisico di un utente nell'infrastruttura di rete: l'utente può rimanere assegnato ad una Virtual LAN, dopo un'opportuna riconfigurazione degli apparati.

VLAN Port Based (porte non taggate)

Realizzazione di una VLAN

Ci sono due modi per realizzare una Virtual LAN:

  • Port Based (Private VLAN): lo switch assegna una VLAN a delle porte;
  • Tagged (802.1Q): lo switch associa un indirizzo IP/MAC ad una VLAN.

Quest'ultimo metodo garantisce una maggiore sicurezza, perchè si è certi dell'appartenenza di uno specifico host ad una Virtual LAN; mentre nel primo metodo, semplicemente cambiando interfaccia fisica, l'host è assegnato ad un'altra VLAN.

Le VLAN si definiscono all'interno dello switch, attraverso un Nome e un ID (VID: VLAN Identificator), quest'ultimo con range 1-1005, e un blocco di indirizzi.

Per gestire più VLAN sulla stessa struttura fisica, lo switch deve essere in grado di svolgere funzioni di:

  • Ingress: capire la VLAN di provenienza del frame;
  • Forwarding: capire la porta di destinazione del frame, in base alla VLAN di destinazione;
  • Egress: trasmettere il frame in modo che la sua appartenenza alla VLAN venga correttamente interpretata da altri eventuali switch.

VLAN Trunking (Tagged), 802.1Q

Questo protocollo (VTP) permette di far condividere una VLAN su più switch. Per fare questo, vengono aggiunti 4 byte (TAG) al frame Ethernet.

Header VLAN Trunking

Descrizione blocchi:

  • TPID (Tag Protocol Identifier): contiene il tag EtherType (valore 0x8100) che identifica il frame come 802.1Q;
  • TCI (Tag Control Information):
    • PCP (Priority Code Point): priorità del frame (range 0-7);
    • DEI (Drop Eligible Indicator): designa il frame come scartabile in caso di congestione; nelle prime versioni era CFI, utilizzato per indicare la forma canonica o meno dell'indirizzo MAC.
    • VID (VLAN Identificator): campo esadecimale che identifica la Virtual LAN di appartenenza del frame.

TAG non TAG?

VLAN: porte Trunk e Access

È sempre necessario aggiungere il TAG 802.1Q durante l'invio del frame? Non sempre, dipende dai casi.

Uno switch può avere sia porte taggate (Trunk), che porte non-taggate (Access Port); in quest'ultimo caso il TAG viene omesso, semplicemente perchè l'host di destinazione è sotto lo stesso switch del mittente, quindi basta solamente specificare l'IP di destinazione.

Nel caso di porte Trunk, invece, il TAG è sempre necessario, perchè il frame potrebbe passare per altri switch, che devono interpretarlo correttamente, ed inoltrarlo alla giusta destinazione.

Porte ibride

Una porta può essere utilizzata sia in modalità Trunk che Access.
Se nel frame non è presente il TAG, allora la porta lavora in modalità non-taggata, altrimenti in modalità taggata.