Le VLAN sono ovunque. Puoi trovarli nella maggior parte delle organizzazioni con una rete configurata correttamente. Nel caso in cui non fosse ovvio, VLAN è l'acronimo di Virtual Local Area Network e sono onnipresenti in qualsiasi rete moderna oltre le dimensioni di una minuscola rete domestica o di un ufficio molto piccolo.
Esistono alcuni protocolli diversi, molti dei quali sono specifici del fornitore, ma alla base ogni VLAN fa più o meno la stessa cosa e i vantaggi della VLAN si ridimensionano man mano che la rete cresce in termini di dimensioni e complessità organizzativa.
Questi vantaggi sono una parte importante del motivo per cui le VLAN sono così fortemente utilizzate da reti professionali di tutte le dimensioni. In effetti, sarebbe difficile gestire o ridimensionare le reti senza di esse.
I vantaggi e la scalabilità delle VLAN spiegano perché sono diventate così onnipresenti negli ambienti di rete moderni. Sarebbe difficile gestire o scalare reti anche moderatamente complesse con l'utente di VLAN.
Che cos'è una VLAN?
Ok, quindi conosci l'acronimo, ma cos'è esattamente una VLAN? Il concetto di base dovrebbe essere familiare a chiunque abbia lavorato o utilizzato server virtuali.
Pensa per un secondo a come funzionano le macchine virtuali. Più server virtuali risiedono all'interno di un componente hardware fisico che esegue un sistema operativo e un hypervisor per creare ed eseguire i server virtuali sul singolo server fisico. Attraverso la virtualizzazione, puoi trasformare efficacemente un singolo computer fisico in più computer virtuali, ciascuno disponibile per attività e utenti separati.
Le LAN virtuali funzionano più o meno allo stesso modo dei server virtuali. Uno o più switch gestiti eseguono il software (simile al software hypervisor) che consente agli switch di creare più switch virtuali all'interno di una rete fisica.
Ogni switch virtuale è la propria rete autonoma. La principale differenza tra server virtuali e LAN virtuali è che le LAN virtuali possono essere distribuite su più componenti hardware fisici con un cavo designato chiamato trunk.
Come funziona 
Immagina di gestire una rete per una piccola impresa in crescita, aggiungere dipendenti, dividere in reparti separati e diventare più complessa e organizzata.
Per rispondere a queste modifiche, è stato eseguito l'aggiornamento a uno switch a 24 porte per ospitare nuovi dispositivi sulla rete.
Potresti prendere in considerazione l'esecuzione di un cavo Ethernet su ciascuno dei nuovi dispositivi e chiamare l'attività completata, ma il problema è che l'archiviazione dei file e i servizi utilizzati da ciascun reparto devono essere mantenuti separati. Le VLAN sono il modo migliore per farlo.
All'interno dell'interfaccia web dello switch, è possibile configurare tre VLAN separate, una per ogni reparto. Il modo più semplice per dividerli è per numeri di porta. È possibile assegnare le porte 1-8 al primo reparto, assegnare le porte 9-16 al secondo reparto e infine assegnare le porte 17-24 g all'ultimo reparto. Ora hai organizzato la tua rete fisica in tre reti virtuali.
Il software sullo switch può gestire il traffico tra i client in ciascuna VLAN. Ogni VLAN agisce come una propria rete e non può interagire direttamente con le altre VLAN. Ora, ogni reparto ha la sua rete più piccola, meno ingombrante e più efficiente e puoi gestirle tutte tramite lo stesso componente hardware. Questo è un modo molto efficiente ed economico per gestire una rete.
Quando hai bisogno che i reparti siano in grado di interagire, puoi farglielo fare tramite il router sulla rete. Il router può regolare e controllare il traffico tra le VLAN e applicare regole di sicurezza più rigorose.
In molti casi, i dipartimenti dovranno lavorare insieme e interagire. È possibile implementare la comunicazione tra le reti virtuali tramite il router, impostando regole di sicurezza per garantire un'adeguata sicurezza e privacy delle singole reti virtuali.
VLAN e sottorete
Le VLAN e le sottoreti sono in realtà abbastanza simili e svolgono funzioni simili. Sia le sottoreti che le VLAN dividono le reti e i domini di trasmissione. In entrambi i casi, le interazioni tra le suddivisioni possono avvenire solo tramite un router.
Le differenze tra loro derivano dalla forma della loro implementazione e dal modo in cui alterano la struttura della rete.
Sottorete dell'indirizzo IP
Le sottoreti esistono al livello 3 del modello OSI, il livello di rete. Le sottoreti sono un costrutto a livello di rete e vengono gestite con i router, organizzandosi attorno agli indirizzi IP.
I router ritagliano intervalli di indirizzi IP e negoziano le connessioni tra di loro. Questo pone tutto lo stress della gestione della rete sul router. Le sottoreti possono anche diventare complicate man mano che la rete aumenta in dimensioni e complessità.
VLAN
Le VLAN trovano la loro casa sul livello 2 del modello OSI. Il livello di collegamento dati è più vicino all'hardware e meno astratto. Le LAN virtuali emulano l'hardware agendo come switch individuali.
Tuttavia, le LAN virtuali sono in grado di suddividere i domini di trasmissione senza la necessità di riconnettersi a un router, togliendo al router parte degli oneri di gestione.
Poiché le VLAN sono le proprie reti virtuali, devono comportarsi in qualche modo come se avessero un router integrato. Di conseguenza, le VLAN contengono almeno una sottorete e possono supportare più sottoreti.
Le VLAN distribuiscono il carico di rete e. più switch possono gestire il traffico all'interno delle VLAN senza coinvolgere il router, rendendo il sistema più efficiente.
come cercare in un subreddit
Vantaggi delle VLAN
Ormai, hai già visto un paio dei vantaggi che le VLAN portano in tavola. Proprio in virtù di ciò che fanno, le VLAN hanno una serie di attributi preziosi.
Le VLAN aiutano con la sicurezza. La compartimentazione del traffico limita ogni possibilità di accesso non autorizzato a parti di una rete. Aiuta anche a fermare la diffusione di software dannoso, nel caso in cui si trovi la strada nella rete. I potenziali intrusi non possono utilizzare strumenti come Wireshark per fiutare i pacchetti ovunque al di fuori della LAN virtuale su cui si trovano, limitando anche quella minaccia.
L'efficienza della rete è un grosso problema. L'implementazione delle VLAN può far risparmiare o costare a un'azienda migliaia di dollari. L'interruzione dei domini di trasmissione aumenta notevolmente l'efficienza della rete limitando il numero di dispositivi coinvolti nella comunicazione contemporaneamente. La VLAN riduce la necessità di distribuire router per gestire le reti.
Spesso, gli ingegneri di rete scelgono di costruire LAN virtuali in base al servizio, separando il traffico importante o ad alta intensità di rete come una Storage Area Network (SAN) o Voice over IP (VOIP). Alcuni switch consentono inoltre a un amministratore di assegnare priorità alle VLAN, fornendo più risorse al traffico più impegnativo e critico.
Sarebbe terribile dover costruire una rete fisica indipendente per separare il traffico. Immagina il contorto groviglio di cavi che dovresti combattere per apportare modifiche. Questo per non parlare dell'aumento del costo dell'hardware e del consumo di energia. Sarebbe anche selvaggiamente inflessibile. Le VLAN risolvono tutti questi problemi virtualizzando più switch su un singolo componente hardware.
Le VLAN offrono un alto grado di flessibilità agli amministratori di rete attraverso una comoda interfaccia software. Diciamo che due dipartimenti cambiano ufficio. Il personale IT deve spostare l'hardware per adattarsi al cambiamento? No. Possono semplicemente riassegnare le porte sugli switch alle VLAN corrette. Alcune configurazioni VLAN non lo richiederebbero nemmeno. Si adatterebbero dinamicamente. Queste VLAN non richiedono porte assegnate. Invece, si basano su indirizzi MAC o IP. In ogni caso, non è necessario mescolare interruttori o cavi. È molto più efficiente ed economico implementare una soluzione software per modificare la posizione di una rete piuttosto che spostare l'hardware fisico.
VLAN statiche e dinamiche
Esistono due tipi fondamentali di VLAN, classificati in base al modo in cui le macchine sono collegate ad esse. Ogni tipo ha punti di forza e di debolezza che dovrebbero essere presi in considerazione in base alla particolare situazione della rete.
VLAN statica
Le VLAN statiche vengono spesso definite VLAN basate su porta perché i dispositivi si uniscono collegandosi a una porta assegnata. Finora questa guida ha utilizzato solo VLAN statiche come esempi.
Nella configurazione di una rete con VLAN statiche, un ingegnere dividerebbe uno switch per le sue porte e assegnerebbe ciascuna porta a una VLAN. Qualsiasi dispositivo che si connette a quella porta fisica si unirà a quella VLAN.
Le VLAN statiche forniscono reti molto semplici e facili da configurare senza fare troppo affidamento sul software. Tuttavia, è difficile limitare l'accesso all'interno di una posizione fisica perché un individuo può semplicemente collegarsi. Le VLAN statiche richiedono anche a un amministratore di rete di modificare le assegnazioni delle porte nel caso in cui qualcuno sulla rete cambi posizione fisica.
VLAN dinamica
Le VLAN dinamiche fanno molto affidamento sul software e consentono un alto grado di flessibilità. Un amministratore può assegnare indirizzi MAC e IP a VLAN specifiche, consentendo il libero movimento nello spazio fisico. Le macchine in una LAN virtuale dinamica possono spostarsi ovunque all'interno della rete e rimanere sulla stessa VLAN.
Sebbene le VLAN dinamiche siano imbattibili in termini di adattabilità, presentano alcuni seri inconvenienti. Uno switch di fascia alta deve assumere il ruolo di un server noto come VLAN Management Policy Server (VMPS (per archiviare e fornire informazioni sugli indirizzi agli altri switch sulla rete. Un VMPS, come qualsiasi server, richiede una gestione e una manutenzione regolari ed è soggetto a possibili tempi di fermo.
Gli aggressori possono falsificare gli indirizzi MAC e ottenere l'accesso a VLAN dinamiche, aggiungendo un'altra potenziale sfida alla sicurezza.
Configurazione di una VLAN
Quello che ti serve
Ci sono un paio di elementi di base necessari per configurare una VLAN o più VLAN. Come affermato in precedenza, esistono diversi standard, ma il più universale è IEEE 802.1Q. Questo è quello che seguirà questo esempio.
Router
Tecnicamente, non hai bisogno di un router per configurare una VLAN, ma se vuoi che più VLAN interagiscano, avrai bisogno di un router.
Molti router moderni supportano la funzionalità VLAN in una forma o nell'altra. I router domestici potrebbero non supportare la VLAN o supportarla solo in una capacità limitata. Il firmware personalizzato come DD-WRT lo supporta in modo più completo.
Parlando di personalizzazione, non hai bisogno di un router standard per lavorare con le tue LAN virtuali. Il firmware del router personalizzato è solitamente basato su un sistema operativo simile a Unix come Linux o FreeBSD, quindi puoi creare il tuo router utilizzando uno di questi sistemi operativi open source.
Tutte le funzionalità di routing di cui hai bisogno sono disponibili per Linux e puoi configurare su misura un'installazione Linux per personalizzare il tuo router in base alle tue esigenze specifiche. Per qualcosa di più completo di funzionalità, guarda pfSense. pfSense è un'eccellente distribuzione di FreeBSD costruita per essere una solida soluzione di routing open source. Supporta le VLAN e include un firewall per proteggere meglio il traffico tra le tue reti virtuali.
Qualunque sia il percorso che scegli, assicurati che supporti le funzionalità VLAN di cui hai bisogno.
Switch gestito
Gli switch sono il cuore della rete VLAN. Sono dove avviene la magia. Tuttavia, è necessario uno switch gestito per sfruttare la funzionalità VLAN.
Per portare le cose a un livello più alto, letteralmente, sono disponibili switch gestiti Layer 3. Questi switch sono in grado di gestire parte del traffico di rete di livello 3 e in alcune situazioni possono sostituire un router.
scarica da google drive senza zippare
È importante tenere presente che questi switch non sono router e la loro funzionalità è limitata. Gli switch di livello 3 riducono la probabilità di latenza di rete che può essere critica in alcuni ambienti in cui è fondamentale disporre di una rete a latenza molto bassa.
Schede di interfaccia di rete client (NIC)
Le schede NIC utilizzate sui computer client devono supportare 802.1Q. È probabile che lo facciano, ma è qualcosa da esaminare prima di andare avanti.
Configurazione di base
Ecco la parte difficile. Ci sono migliaia di diverse possibilità su come configurare la tua rete. Nessuna guida può coprirli tutti. In fondo, le idee alla base di quasi tutte le configurazioni sono le stesse, così come il processo generale.
Configurazione del router
Puoi iniziare in un paio di modi diversi. Puoi connettere il router a ogni switch oa ogni VLAN. Se si opta per ogni singolo switch, sarà necessario configurare il router per differenziare il traffico.
È quindi possibile configurare il router per gestire il traffico in transito tra le VLAN.
Configurazione degli interruttori
Supponendo che si tratti di VLAN statiche, puoi accedere all'utilità di gestione VLAN dello switch tramite la sua interfaccia web e iniziare ad assegnare porte a VLAN diverse. Molti switch utilizzano un layout di tabella che consente di selezionare le opzioni per le porte.
Se stai utilizzando più switch, assegna una delle porte a tutte le tue VLAN e impostala come porta trunk. Fallo su ogni interruttore. Quindi, usa quelle porte per connetterti tra gli switch e distribuire le tue VLAN su più dispositivi.
Collegamento dei clienti Client
Infine, ottenere clienti sulla rete è abbastanza autoesplicativo. Connetti i tuoi computer client alle porte corrispondenti alle VLAN su cui li vuoi.
VLAN a casa
Anche se potrebbe non essere vista come una combinazione logica, le VLAN hanno in realtà un'ottima applicazione nello spazio di rete domestica, le reti ospiti. Se non ti va configurazione di una rete WPA2 Enterprise nella tua casa e creando individualmente le credenziali di accesso per i tuoi amici e familiari, puoi utilizzare le VLAN per limitare l'accesso dei tuoi ospiti ai file e ai servizi sulla tua rete domestica.
Molti router domestici di fascia alta e firmware del router personalizzato supportano la creazione di VLAN di base. Puoi configurare una VLAN ospite con le proprie informazioni di accesso per consentire ai tuoi amici di connettere i loro dispositivi mobili. Se il tuo router lo supporta, una VLAN ospite è un ottimo livello di sicurezza aggiuntivo per impedire al laptop infestato da virus del tuo amico di rovinare la tua rete pulita.
