Lan Switching: VLANs

Vlan

Una VLAN, come dice l’acronimo, una LAN Virtuale, dove con “Virtuale”, intendiamo dire che un intero dominio di collisione (e broadcast) in un apparato in grado di ospitare un certo numero di queste lan virtuali.

In modo pratico, uno switch Catalyst, in grado di gestire un numero congruo di VLANs, identificate da un intero senza segno a 12 bit (circa 4k possibili valori), di cui alcuni riservati ed il restante numero suddivisto in normal (1-1005) ed extended range (1006-4095). Alcuni di questi ID sono gia definiti negli swtich ed hanno un significato particolare: Vlan 1 solitamente utilizzata come Vlan di amministrazione (ed presente in tutti gli apparati swithing come i routers soho e gli AP), le vlan 1002-1005 sono gia esistenti nella maggior parte degli apparati e hanno dei nomi associati all’id (nonch il tipo, non enet) che fanno pensare a tecnologie specifiche (fddi, token-ring).

Trunking

In uno switch che fa uso di VLANs, le singole porte possono essere configurate in due modalit?: access e trunk. Le porte access, sono solitamente destinate a terminatori (computers, servers o altri apparati che sono lo spoke, ossia dal quale non si diparte nessuna ulteriore sottorete), mentre le porte configurate come trunk, gestisono il traffico intra vlan.

Da una porta trunk, passano i frame di una o pi vlan, destinate ad un altro switch (la cui porta sar? anch’essa configurata come trunk) oppure un router in grado di comprendere l’incapsulazione utilizzata ed effettuare il routing intra-vlan (router-on-a-stick).

IEEE 802.1Q

Affinch un frame ethernet passi (e venga adeguatamente gestito) attraverso una porta trunk, deve essere incapsulato in un protocollo di livello 2 che comprenda l’ID della vlan di appartenenza. In passato esistevano due protocolli, ISL e 802.1Q. Il primo, proprietario Cisco, stato abbandonato del tutto in favore dello standard IEEE 802.1Q. Per ovvie ragioni, non parler di ISL. 802.1q si limita ad aggiungere al frame di passaggio un nuovo campo (tag) di 32 bit contenente:

  • Type (16 Bits) Impostato a 0x8100 per identificare il frame come 802.1q
  • Priority (3 Bits) Viene usato per impostare la priorit? di traffico secondo lo standard IEEE 802.1p.
  • Flag (1 Bit) Indica se il MAC o meno canonico
  • Vlan ID (12 Bits) L’ID della Vlan proprietaria del frame

Inoltre, dato che il frame stato modificato con l’espansione dell’header, viene ricalcolato il FCS (Frame Check Sequence).

VTP – VLAN Trunking Protocol

VTP un protocollo proprietario Cisco di livello 2. Viene utilizzato per permettere una sincronizzazione delle VLAN tra i vari apparati interconnessi tramite trunks ed appartenenti allo stesso Dominio (inteso in senso VTP Domain).

Il protocollo prevede che gli apparati possano avere tre modalit? operative: Server, Client, Trasparent. Le prime due modalit? sono quelle maggiormente utilizzate in una rete che f? uso di VTP, infatti sono le uniche modalit? in cui avviene realmente una sincronizzazione. La modalit? trasparent, viene invece utilizzata quando non si fa uso di VTP, in quanto i messaggi vengono floodati attraverso i trunks, ma non vengono interpretati. Possiamo dire che un apparato VTP trasparent non partecipa quindi al dominio, ma puo’ essere intermediario per lo scambio di messaggi.

VTP prevede che, in un dato dominio, sia presente almeno un Server ed un numero arbitrario di clients. Il server l’apparato che viene utilizzato per creare modificare e rimuovere le VLAN, propagando quindi i cambiamenti a tutti i clients e gli eventuali altri servers. Per mantenere coerenza all’interno di una rete, VTP tiene traccia dei cambiamenti nel dominio attraverso il revision number, un intero positivo che identifica l’attualit? del database vlan utilizzato. Servers e Clients che ricevono un messaggio con un revision number inferiore al proprio, si limitano a scartarlo.

Considerazioni personali

Una componente importante dell’implementazione di Vlan / VTP all’interno di una rete senza dubbio la sicurezza che deve essere implementata. VTP nella sua configurazione standard, infatti, opera in modo che, un rogue switch, connesso tramite una porta non posta in sicurezza (disabilitando il trunking), possa perturbare il dominio e catturare il traffico di tutte le vlan abilitate a passare per il trunk stabilitosi (ossia tutte, di default). Risulta quindi essere buona norma, nello schieramento di una qualsiasi rete, configurare gli switch in modo adeguato, configurando esplicitamente tutte le porte come access, appartenenti ad una Parking Vlan, ossia una vlan che non porta da nessuna parte, avendo cura di metterle inoltre in shutdown e riconfigurare la vlan cui appartiene ogni singola porta nel momento in cui ne viene designato l’utilizzo.

VTP attivo di default, quindi conviene utilizzarlo coscientemente, avendo cura di impostare dominio e password di dominio, nonch designando le porte che faranno da trunk e configurandole specificamente.


Web Reference

Cisco: Inter-switch link and IEEE 802.1q frame Format

Cisco: Understanding VTP Protocol

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>