VLAN Virtual LAN VLAN Le virtual LAN sono
- Slides: 21
VLAN Virtual LAN
VLAN • Le virtual LAN sono reti virtuali caratterizzati da un dominio di broadcast identificato da un VID • In altre parole, sono più reti locali virtuali distinte che utilizzano e condividono la stessa struttura fisica. • Ciò permette anche a host distanti di comunicare tra loro come se facessero parte di una stessa LAN, cioè sullo stesso dominio di collisione. Due host su edifici differenti possono far parte della stessa VLAN
VLAN • Ciascuna VLAN si comporta come se fosse separata dalle altre; la comunicazione all’interno della VLAN avviene a livello 2 e, la connettività tra due VLAN avviene a livello 3, il routing • Le VLAN sono in grado di: ▫ Consentire a postazioni su segmenti di rete fisicamente distinti di apparire come se fossero sulla stessa rete logica ▫ Separare postazioni sulla stessa rete fisica e quindi sullo stesso dominio di brodcast
Vantaggi I principali vantaggi: o Risparmio- sulla stessa struttura fisica si possono realizzare più reti separate o Aumento prestazioni-i dati vengono propagati solo verso il gruppo di host interessati della stessa VLAN o Aumento della sicurezza-gli host di una VLAN non possono vedere gli host di un’altra VLAN anche se sono sulla stessa postazione fisica o Flessibilità- gli utenti possono essere spostati all’interno dell’infrastruttura ma possono rimanere nella stessa VLAN e non si cambia la topologia della rete
Realizzazione della VLAN • Gli switch e i bridge devono essere in grado di distinguere le diverse VLAN e devono quindi osservare lo standard 802. 1 Q • La realizzazione di una VLAN può avvenire tramite due modalità: ▫ VLAN port based ▫ VLAN tagged
VLAN port based • Le VLAN all’interno dello switch vengono distinte con un numero identificativo detto Virtual Identifier VID che può assumere valore da 1 a 1005; un gruppo di host collegati su uno stesso switch, possono essere logicamente separati da un altro gruppo di host collegati sullo stesso switch
Funzioni per realizzare le VLAN le funzioni principali sono: • Ingress – il dispositivo ( bridge o switch) deve essere in grado di distinguere a quale VLAN appartiene il frame di dati • Forwarding – il dispositivo deve conoscere verso quale porta deve essere inoltrato il frame • Egress – il dispositivo deve trasmettere in maniera chiara verso una determinata VLAN
Associare gli host in maniera statica Utilizzando le porte degli switch (untagged): ad ogni gruppo di porte di uno stesso switch si associano determinate VLAN. Questa è una associazione statica. Il pacchetto ip non viene modificato. Il lavoro di riconoscimento è fatto dallo switch riconoscendo le porte tramite le operazioni dette in precedenza: ingress, forwarding, egress
Associare gli host in maniera dinamica • Indirizzi ip degli host: a determinati gruppi di indirizzi ip degli host si associano delle VLAN. Gli host possono essere collegati ad una qualsiasi porta dello switch indipendentemente dalla VLAN di appartenenza. Gli indirizzi IP possono essere modificabili; si può quindi realizzare una rete VLAN raggruppando gli host anche attraverso indirizzi di MAC.
VLAN tagged • Questa tecnologia viene utilizzata quando più VLAN sono condivise da più switch • Per conoscere la VLAN di appartenenza si deve modificare il frame ethernet ed aggiungere 4 byte che identifica il numero della VLAN secondo lo standard 802. 1 Q
Tagged VLAN product ID= numero che evidenzia il nuovo formto del frame; User priority=livello di priorità del frame CFI=indica se il MAC è in forma canonica VID=indica l’ID della VLAN e possono essere espresse 4096 VLAN ma la prima (ID=0) e l’ultima (ID=4096) sono riservate
Tagged VLAN
Tagged VLAN
Porta access e porta trunk • Una porta access è una porta dello switch che può trasportare dati di una sola VLAN • Una porta trunk è sempre una porta dello switch ma può trasportare VLAN differenti. Ciò evita che se in uno switch ci sono più VLAN allora devono essere aggiunti altrettanti cavi
Tagged VLAN • Per poter utilizzare VLAN tagged, i frame superano i 1518 byte; i bridge e gli switch devono poter accettare 2 byte in più. • Non tutti i pacchetti sono accettati; le porte degli switch devono essere divise in port trunk/tagged e porte untagged. Le porte associate ad una VLAN untagged non devono verificare se nel frame c’è un VID; una porta tagged deve verificare il VID scritto nel frame • Le porte ibride possono essere associate sia a porte tagged che untagged. Esse verificano se nel frame è contenuto il VID ed in base alla verifica, si comportano come porte tagged o untagged • Spesso le VLAN vengono utilizzate anche per creare le DMZ dove il traffico è falsificabile. In questo caso è utile avere un firewall.
VTP Virtual Trunking Protocol • Un VTP configura le VLAN su un solo switch in tre modalità: ▫ Client ▫ Server ▫ Trasparent • Gli switch in modalità server possono modificare la configurazione della VLAN • I client applicano la modifica a se stessi e la rinviano • Gli apparati in modalità trasparente accettano passivamente le modifiche • Ogni modifica viene numerata con una version number; se si aggiunge un nuovo elemento alla VLAN, bisogna partire da zero nella version number • Per configurare uno switch, bisogna collegarlo in modalità telnet • Per collegare più VLAN tra loro, bisogna inserire un router o uno switch a livello 3 • Si parla allora di inter-VLAN Routing
Inter-VLAN Routing
Inter-VLAN Routing
Lan trunking
Virtual local area network
Vlan (virtual local area network)
Red de área local virtual (vlan)
Vlan tagged
Vtp version 3
Gründe für vlan
Hvad står asa for
Tp vlan
Vlan trunking protocol
Asymmetric vlan
Introduction to vlans
Vlan
Definition of vlan
Linux transparent firewall
Fungsi dari show vlan brief adalah
Inter vlan routing challenge
Vlan tagged e untagged
Asymmetric vlan
Asymmetric vlan
Vlan tagging
Vlan osi layer
