Che cos'è una VLAN?

Una VLAN è una LAN virtuale che consente di segmentare logicamente la rete senza la necessità di una segmentazione fisica. Le VLAN sono molto flessibili e possono essere utilizzate per fornire vantaggi in termini di sicurezza, flessibilità e prestazioni. Le VLAN funzionano incapsulando frame Ethernet con un'intestazione VLAN che contiene l'ID VLAN. Questo ID viene utilizzato per identificare quali dispositivi si trovano su quale VLAN.

Le VLAN vengono create aggiungendo porte switch a una particolare VLAN. I dispositivi sulla stessa VLAN possono comunicare tra loro senza la necessità di un router. Ciò rende le VLAN molto efficienti e facili da gestire. Puoi pensare a una VLAN come a uno switch virtuale che fornisce isolamento tra i dispositivi.

Le VLAN vengono spesso utilizzate per separare diversi tipi di traffico come voce, video e dati. In genere viene data priorità al traffico vocale su una rete in modo che non subisca ritardi o pacchetti persi. Anche il traffico video ha la priorità su una rete in modo che possa essere trasmesso in streaming senza interruzioni. Il traffico dati è in genere segregato sulla propria VLAN in modo da non interferire con il traffico in tempo reale come voce e video.

Come funziona VLAN?

Una LAN virtuale (VLAN) è una rete logica creata da switch. Una VLAN contiene le porte Switch assegnate alla VLAN e dispone di un identificatore univoco chiamato ID VLAN.

Nella maggior parte dei casi, su un singolo switch fisico possono essere configurate più VLAN. Ciò consente una migliore organizzazione del traffico sulla rete e anche una maggiore sicurezza.

Quando un dispositivo invia dati sulla rete, include un campo chiamato tag che identifica a quale VLAN devono essere inviati i dati. Lo switch esamina questo tag e quindi inoltra i dati a tutti i dispositivi in ​​quella VLAN.

Un vantaggio dell'utilizzo delle VLAN è che possono aiutare a ridurre il traffico di trasmissione sulla rete. Il traffico broadcast è costituito da dati inviati a tutti i dispositivi sulla rete, indipendentemente dal fatto che ne abbiano bisogno o meno. Segregando i dispositivi in ​​diverse VLAN, puoi controllare quali trasmissioni riceve ogni dispositivo, il che può contribuire a migliorare le prestazioni sulla rete.

Formato frame IEEE 802.1Q

In base alle informazioni contenute nei suoi tag VLAN, uno switch identifica i pacchetti provenienti da diverse VLAN.IEEE 802.1Q aggiunge un tag VLAN di 4 byte tra l'indirizzo MAC di origine/destinazione e i campi Lunghezza/Tipo di un frame Ethernet per identificare la VLAN a cui la cornice appartiene.

Frame dati Ethernet regolare

Frame dati VLAN

Perché dovresti usare una VLAN?

1. Le VLAN possono essere utilizzate per segmentare una rete in sezioni più piccole e più gestibili.
2. Le VLAN possono migliorare la sicurezza isolando il traffico e tenendolo separato da altri tipi di traffico.
3. Le VLAN possono migliorare le prestazioni riducendo il traffico di trasmissione e i domini di collisione.
4. Le VLAN possono essere utilizzate per creare reti virtuali, che possono essere utili per scopi di test o formazione.

Qual è la differenza tra VLAN basata su porta e VLAN basata su tag?

In una VLAN basata su porta, ogni porta è assegnata a una VLAN specifica. Ciò consente di isolare il traffico tra le diverse VLAN. Una VLAN basata su TAG utilizza i tag per identificare quali pacchetti appartengono a quale VLAN. Ciò consente di assegnare più VLAN a una singola porta.

Le VLAN basate su porta e basate su tag sono due diversi tipi di LAN virtuali (VLAN) utilizzate nelle reti di computer. La VLAN basata su porta è il tipo più comune, in cui ogni porta su uno switch di rete è assegnata a una particolare VLAN. La VLAN basata su tag utilizza tag speciali per identificare i pacchetti che appartengono a diverse VLAN ed è più flessibile della VLAN basata su porta. In generale, le VLAN basate su tag vengono utilizzate nelle reti aziendali mentre le VLAN basate su porta vengono utilizzate nelle reti SOHO (small office/home office).

Le VLAN sono classificate nei seguenti tipi:

1. VLAN dati: una VLAN dati è una VLAN che trasporta il traffico dati utente. Le VLAN dati sono anche note come VLAN utente. A tutte le porte dello switch che sono membri di una VLAN dati viene assegnato lo stesso ID VLAN.

2. VLAN vocale: una VLAN voce è un tipo speciale di VLAN dati configurata per trasportare il traffico voce in tempo reale. Le VLAN vocali danno priorità al traffico vocale rispetto ad altri tipi di traffico e a tutte le porte dello switch che sono membri di una VLAN vocale viene assegnato lo stesso valore CoS (Voice Class of Service).

3, VLAN di sorveglianza: una VLAN di sorveglianza è un tipo speciale di VLAN dati configurata per trasportare traffico video in tempo reale. Le VLAN di sorveglianza danno priorità al traffico voce rispetto ad altri tipi di traffico e a tutte le porte dello switch che sono membri di una VLAN di sorveglianza viene assegnato lo stesso valore CoS (Voice Class of Service).

4. VLAN di gestione: una VLAN di gestione è un tipo speciale di VLAN di dati utilizzata per eseguire il traffico di gestione fuori banda per i dispositivi su una rete, come switch, router e firewall. Le VLAN di gestione in genere utilizzano indirizzi IP che non sono instradabili sulla rete Internet pubblica.

5. VLAN predefinita: una VLAN predefinita è una configurazione di switch di rete in cui tutte le porte sono assegnate a una singola VLAN. Ciò può semplificare l'amministrazione degli switch consentendo a tutti i dispositivi sulla stessa VLAN di comunicare tra loro senza la necessità di configurare VLAN separate. Tuttavia, può anche creare rischi per la sicurezza consentendo a dispositivi non autorizzati di accedere a dati sensibili.

6. VLAN nativa: una VLAN nativa è una VLAN che trasporta traffico senza tag. In genere è la VLAN predefinita per le nuove porte su uno switch. Tutti i dispositivi nella VLAN nativa possono comunicare tra loro senza contrassegnare il traffico.

Trunk VLAN

VLAN Trunking è un processo di invio del traffico da più VLAN attraverso un singolo collegamento fisico. Ciò consente una maggiore flessibilità ed efficienza durante la configurazione dei dispositivi di rete. Nella maggior parte dei casi, a ciascuna VLAN verrà assegnato il proprio identificatore univoco (ID). Quando si configura il trunking VLAN, l'ID viene utilizzato per specificare quale traffico deve essere inviato attraverso il collegamento trunk.

Ci sono due vantaggi principali nell'utilizzo del trunking VLAN. In primo luogo, può aiutare a migliorare le prestazioni della rete riducendo la congestione sulla rete. In secondo luogo, può fornire una maggiore sicurezza isolando il traffico da diverse VLAN. Questo può aiutare a prevenire l'accesso non autorizzato a dati sensibili.

Ci sono alcune cose da tenere a mente quando si configura il trunking VLAN. Innanzitutto, è importante assicurarsi che le porte dello switch siano configurate correttamente. In secondo luogo, l'ID di ciascuna VLAN deve essere univoco e non deve essere riutilizzato in altre parti della rete. Infine, è importante testare la configurazione prima di distribuirla in produzione.

Altri aspetti delle VLAN

Cosa sono le doppie VLAN?

Una VLAN, o LAN virtuale, è un gruppo di dispositivi su una rete locale (LAN) configurati per comunicare come se fossero su una LAN separata. Una doppia VLAN è costituita da due VLAN configurate per funzionare insieme.

Ci sono diversi vantaggi nell'usare una doppia VLAN. Ad esempio, se si dispone di dati sensibili su una VLAN che si desidera proteggere, è possibile utilizzare la seconda VLAN come DMZ. Ciò ti consentirà di mantenere i dati al sicuro pur consentendo l'accesso ad essi da Internet. Un altro vantaggio dell'utilizzo di una doppia VLAN è che può aiutare a migliorare le prestazioni della rete. Segregando il traffico in diverse VLAN, puoi ridurre la congestione e migliorare il throughput complessivo. Infine, l'utilizzo di una doppia VLAN può aumentare la sicurezza fornendo ridondanza. Se una VLAN viene compromessa, l'altra può comunque fornire l'accesso alle risorse critiche.

Nel complesso, ci sono molti vantaggi nell'usare una doppia configurazione VLAN. Se stai cercando di migliorare la sicurezza e le prestazioni, o desideri semplicemente maggiore flessibilità nella progettazione della tua rete, allora una doppia VLAN potrebbe essere la soluzione giusta per te.

Che cos'è il tagging QinQ

Nelle reti di computer, il tagging QinQ è una tecnica utilizzata per estendere le capacità delle reti locali virtuali (VLAN). Piuttosto che avere una singola VLAN per cliente, QinQ consente di trasportare più VLAN su un singolo collegamento fisico. Ciò può essere utile in situazioni in cui i clienti devono connettersi a più VLAN o in cui i provider devono offrire diversi livelli di servizio sulla stessa infrastruttura fisica.

Il tagging QinQ è stato inizialmente sviluppato da Cisco Systems ed è talvolta indicato come "Cisco Inter-Switch Link (ISL) Routing". Ora è un protocollo standard del settore ed è supportato dalla maggior parte dei principali fornitori di reti.

Per implementare il tagging QinQ, a ciascuna VLAN del cliente viene assegnato un identificatore globale del bridge del fornitore di servizi (S-TAG) univoco. L'S-TAG viene utilizzato per identificare la VLAN del cliente quando viene trasferita sulla rete del provider. Quando la VLAN del cliente raggiunge la sua destinazione, l'S-TAG viene rimosso e l'ID VLAN del cliente originale viene ripristinato.

Il tagging QinQ può essere utilizzato insieme ad altre tecniche, come la qualità del servizio (QoS), per fornire diversi livelli di servizio a clienti diversi. Ad esempio, un fornitore potrebbe dare una priorità maggiore ai clienti che pagano per livelli di servizio premium.

Complessivamente, la Tag QinQ fornisce un modo flessibile per estendere le capacità delle VLAN pur mantenendo la compatibilità con l'hardware e il software di rete esistenti.