Una rete locale virtuale o VLAN è un modo di partizionare i computer su una rete in gruppi cluster che servono uno scopo aziendale comune. La parte LAN indica che stiamo partizionando l’hardware fisico mentre la parte virtuale indica che stiamo usando la logica per realizzarlo. In questo articolo, vedremo come è possibile creare una VLAN e quindi configurarla per consentire ai pacchetti di dati da un’altra VLAN di attraversarla.

Nota: mentre abbiamo cercato di rendere l’intero esercizio di creazione di una VLAN il più semplice possibile, si presume che tu, il lettore, abbia una conoscenza di base della configurazione di rete. Assumiamo anche che tu abbia una conoscenza pratica dei concetti e degli scopi di indirizzi IP, gateway, switch e router. Inoltre, è anche necessario conoscere la navigazione delle procedure di configurazione dell’interfaccia e dell’interfaccia secondaria su computer e dispositivi di rete.

Step-by-step – Come impostare una VLAN

Il modo migliore per imparare come impostare una VLAN – oltre ad andare a scuola di networking – è quello di farlo in realtà in un esercizio pratico. E poiché non tutti abbiamo router e switch che mentono, avrebbe senso creare la nostra VLAN in un ambiente simulato.

In questo esempio, useremo Cisco Packet Tracer per dimostrare come impostare la nostra VLAN. È uno degli strumenti più semplici e realistici da utilizzare e consente interfacce GUI e CLI. In questo modo puoi vedere i comandi che vengono eseguiti in tempo reale anche se stai semplicemente facendo clic e trascinando mentre vai sulla tua configurazione.

Lo strumento può essere scaricato, configurato e verificato (aprendo un account di apprendimento presso Cisco Networking Academy). Non preoccuparti; puoi semplicemente iscriverti al corso GRATUITO Cisco Packet Tracer per ottenere il pieno accesso allo strumento di progettazione.

Inoltre, e a parte la facilità d’uso, con Cisco che è il leader di mercato, pensiamo che questa sia la scelta appropriata per dimostrare come impostare una VLAN.

Naturalmente, è possibile utilizzare qualsiasi altro strumento simile-perché il concetto rimane lo stesso. Una rapida ricerca online vi mostrerà ci sono applicazioni-desktop e browser-based-per ogni marca di dispositivi di interfaccia di rete là fuori. Trova e lavora con quello con cui ti senti più a tuo agio.

Router-on-a-Stick – la spiegazione

Mentre ci sono molti modi di impostare una VLAN o inter-VLAN, l’architettura che creeremo farà uso di ciò che è noto come un router Cisco su una configurazione Stick.

In questa configurazione di rete, il nostro router avrà una singola connessione fisica o logica alla nostra rete. Questo router aiuterà a collegare le due VLAN-che non possono comunicare tra loro – collegandosi al nostro switch tramite un singolo cavo.

Ecco come funziona: i pacchetti di dati che vengono inviati da un computer nella VLAN Contabilità-e destinati a un computer nella VLAN Logistica-viaggeranno allo switch. Lo switch, dopo aver riconosciuto che i pacchetti devono passare a un’altra VLAN, inoltrerà il traffico al router.

Il router, nel frattempo, avrà un’interfaccia fisica (un cavo di rete, nel nostro esempio) che è stata divisa in due sotto-interfacce logiche. Le sotto-interfacce saranno ciascuna autorizzate ad accedere a una VLAN.

Quando i pacchetti di dati arrivano al router, vengono inoltrati alla VLAN corretta tramite la sotto-interfaccia autorizzata e quindi arrivano alla destinazione prevista.

Il nostro router su una configurazione Stick VLAN, con funzionalità inter-VLAN, sarà simile a questo:

Pianificazione delle attività

L’intero compito di creare la nostra architettura di rete sarà diviso in quattro categorie principali in cui sarà possibile:

• Connetti tutti i dispositivi per formare l’architettura corretta
• Configura le interfacce in modo che tutti i dispositivi possano “parlare” tra loro
• Crea VLAN e assegna i computer alle rispettive VLAN
• Conferma la configurazione corretta dimostrando che i computer non possono comunicare oltre la loro VLAN

Quindi, senza ulteriori indugi, iniziamo a creare la nostra VLAN . Ricorda, inizialmente avrà un interruttore e quattro computer collegati ad esso. È possibile portare il router nel design più tardi se si sceglie di farlo.

Collegare tutti i dispositivi

Trascinare uno switch, un router e quattro computer nella scheda di progettazione principale. Per la nostra demo, useremo uno switch 2960 e un router 2911. Lo switch si collegherà a quattro computer (PC0, PC1, PC2 e PC3) utilizzando connessioni a filo diretto in rame (verrà visualizzata la descrizione dell’hardware e dei tipi di connessione nella parte inferiore della finestra Tracer).

Quindi, collegare lo switch a ciascun computer utilizzando le porte FastEthernet.

Una volta che tutti i dispositivi sono collegati si dovrebbe avere tutto il traffico verde che scorre tra i dispositivi. Come lo strumento tenta di emulare dispositivi di avvio e la connessione nel mondo reale, potrebbe richiedere un minuto o due. Quindi non preoccuparti se gli indicatori del flusso di dati rimangono arancioni per alcuni secondi. Se le connessioni e le configurazioni sono corrette, tutto cambierà presto in verde.

Per rendere le cose più facili da afferrare, contrassegniamo i due computer a sinistra come appartenenti al reparto Contabilità (blu) e gli altri due come appartenenti ai reparti Logistici (rosso).

Configura interfacce

Ora, iniziamo ad assegnare indirizzi IP in modo che i nostri computer possano iniziare a comunicare tra loro. Le assegnazioni IP saranno simili a questa:

• ACT PC0 = 192.168.1.10/255.255.255.0
• ACCT PC1 = 192.168.1.20/255.255.255.0
• LOG PC2 = 192.168.2.10/255.255.255.0
• REGISTRI PC3 = 192.168.2.20/255.255.255.0

Il gateway predefinito per i computer è 192.168.1.1 per i primi due in Accounting e 192.168.2.1 per gli ultimi due computer in Logistics. È possibile accedere alla configurazione andando al menu Desktop e quindi facendo clic sulla finestra di configurazione IP.

Una volta che sei lì, inizia a compilare le configurazioni per tutti i computer:

Quando hai finito, ora possiamo passare allo switch. Prima, però, dobbiamo ricordare che ci saranno due tipi di porte switch:

• Porte di Accesso: queste sono le porte che verranno utilizzati per consentire dispositivi di uso quotidiano come i computer e i server di connettersi ad esso; nel nostro esempio, questi sono i FastEthernet 0/1, FastEthernet 1/1, FastEthernet 2/1, e FastEthernet 3/1 – uno per ogni computer.
• Porte tronco: queste sono le porte che permettono a uno switch di comunicare con un altro switch – o nel nostro esempio una comunicazione VLAN-to-VLAN sullo stesso switch (tramite il router) – per espandere la rete; useremo le porte GigaEthernet0/0 su entrambi i dispositivi di connettività.

Con questo in mente, passiamo alla parte divertente: configurare lo switch per eseguire le nostre VLAN.

Crea VLAN e assegna computer

Quindi, creiamo prima le VLAN: saranno denominate ACCT (VLAN 10) e LOGS (VLAN 20).

Vai alla CLI dello switch per digitare i comandi:

Switch#config terminalSwitch(config)#vlan 10Switch(config-vlan)#name ACCTSwitch(config-vlan)#vlan 20Switch(config-vlan)#name LOGS

I comandi nella tua CLI dovrebbero assomigliare a questo:

Oppure, se non sei all’altezza, puoi semplicemente usare la GUI per creare le VLAN (e vedere ancora i comandi eseguiti mentre vengono eseguiti di seguito). Vai al menu del database Config-VLAN e AGGIUNGI le VLAN inserendo i loro numeri (10,20) e nomi (ACCT, LOG).

Successivamente, dobbiamo assegnare ogni porta, che lo switch utilizza per collegare i computer, alle rispettive VLAN.

Si può semplicemente scegliere l’interfaccia e quindi la casella di controllo corrispondente VLAN dal menu di configurazione sulla destra:

Come si può vedere dall’immagine sopra, in alternativa, è possibile andare in CLI interfaccia di ciascuna porta e utilizzare il comando switchport access vlan 10 a svolgere lo stesso compito.

Non preoccuparti; c’è un modo più breve per farlo nel caso in cui ci sia un gran numero di porte da assegnare. Ad esempio, se si dispone di 14 porte, il comando sarebbe:

Switch(config-if)#int range fa0/1-14Switch(config-if-range)#switchport mode access

Il secondo comando assicura che lo switch capisca che le porte devono essere porte di ACCESSO e non porte di TRUNK.

Conferma la configurazione corretta

E il gioco è fatto; abbiamo creato due VLAN sullo stesso switch. Per testarlo e confermare che la nostra configurazione è corretta, possiamo provare a eseguire il ping P1 e P3 da P0. Il primo ping dovrebbe andare bene mentre il secondo dovrebbe scadere e perdere tutti i pacchetti:

Come impostare un inter-VLAN

Ora, anche se abbiamo diviso i computer in due VLAN – come era richiesto – ha più senso che i due reparti (Contabilità e Logistica) avrebbero bisogno di comunicare tra loro. Questa sarebbe la norma in qualsiasi ambiente aziendale reale. Dopo tutto, la logistica non poteva essere acquistata o fornita senza supporto finanziario, giusto?

Quindi, dobbiamo assicurarci che ACCT e LOG siano in grado di comunicare, anche se si trovano su VLAN separate. Ciò significa che dobbiamo creare una comunicazione inter-VLAN.

Ecco come procedere

Avremo bisogno dell’aiuto del nostro router; fungerà da ponte tra le due VLAN – quindi, vai avanti e aggiungi un router al tuo progetto se non lo hai già fatto.

Saltando nella configurazione, dobbiamo capire che useremo una porta sul router per la comunicazione di entrambe le VLAN “dividendola” in due porte. Nel frattempo, lo switch utilizzerà solo una porta TRUNK per inviare e ricevere tutte le comunicazioni da e verso il router.

Quindi, tornando al nostro router, divideremo l’interfaccia GigabitEthernet0/0 in GigabitEthernet0/0.10 (per VLAN10) e GigabitEthernet0 / 0.20 (per VLAN20). Useremo quindi il protocollo standard IEEE 802.1 Q per l’interconnessione di switch, router e per la definizione di topologie VLAN.

Una volta fatto, queste “sotto-interfacce” – come hanno chiamato – vengono quindi assegnate a ciascuna VLAN che vogliamo connettere o collegare.

Infine, ricordate i gateway – 192.168.1.1 e 192.168.2.1 – abbiamo aggiunto alle configurazioni dei computer in precedenza? Bene, questi saranno i nuovi indirizzi IP delle porte divise o delle sotto-interfacce sul router.

I comandi CLI per creare le sotto-interfacce sotto l’interfaccia GigabitEthernet0 / 0 sarebbero:

Router (config)#interface GigabitEthernet0/0.10Router (config-subif)#encapsulation dot1q 10Router (config-subif)#ip address 192.168.1.1 255.255.255.0

Ripetendo tutto per la seconda sotto-interfaccia e VLAN otteniamo

Router (config)#interface GigabitEthernet0/0.20Router (config-subif)#encapsulation dot1q 20Router (config-subif)#ip address 192.168.2.1 255.255.255.0

Una volta chiusa la CLI, puoi confermare che la tua configurazione è corretta semplicemente spostando il mouse sul router per vedere il tuo lavoro, che dovrebbe assomigliare a questo:

Ora, sappiamo che possiamo collegare solo le nostre sub-interfacce (sul router) al nostro switch tramite la sua porta trunk – e così, avremo bisogno di crearlo ora.

Tutto quello che devi fare è andare nella configurazione GigabitEthernet0/0 dello switch ed eseguire: switchport mode trunk.

E il gioco è fatto; avete appena creato due VLAN che contengono due computer ciascuno e che possono ancora comunicare tra loro. Puoi dimostrarlo eseguendo il ping del primo Logistics computer (PC2) con indirizzo IP 192.168.2.10 dal primo computer di contabilità (PC0) con l’indirizzo IP 192.168.1.10:

Grande successo!

Perché impostare una VLAN o inter-VLAN

A questo punto, alcuni di voi potrebbero chiedersi perché dovremmo passare attraverso questo esercizio e perdere tempo con VLAN o inter-VLAN. Bene, ci sono molte ragioni, alcune delle quali sono:

• Sicurezza La suddivisione di una rete in componenti garantisce che solo gli utenti e i dispositivi autorizzati possano accedere a una sottorete. Non vorresti che i tuoi commercialisti interferissero con il lavoro del tuo reparto logistico o viceversa.
• Sicurezza Nel caso in cui ci sia un’epidemia di virus, solo una sottorete sarebbe interessata in quanto i dispositivi su una sottorete non sarebbero in grado di comunicare – e quindi trasferire – il virus a un altro. In questo modo, le procedure di pulizia sarebbero focalizzate su quella sottorete che rende anche più facile identificare la macchina colpevole molto più velocemente.
• Garantisce la privacy isolando Se qualcuno volesse scoprire l’architettura della tua rete (con l’intento di attaccarla), userebbe uno sniffer di pacchetti per mappare il tuo layout. Con sotto-reti isolate, i colpevoli sarebbero solo in grado di ottenere un quadro parziale della rete negando così loro informazioni critiche circa le vulnerabilità, per esempio.
• Facilita il traffico di rete Le reti secondarie isolate possono ridurre l’utilizzo del traffico mantenendo i processi ad alta intensità di risorse limitati al proprio ambito e non travolgendo l’intera rete. Ciò significa che, solo perché sta spingendo aggiornamenti critici alle macchine contabili, non significa che anche il reparto logistico debba affrontare un rallentamento della rete.
• Priorità del traffico Con le aziende che hanno vari tipi di traffico dati i pacchetti sensibili o di risorse-hogging (VoIP, media, e trasferimenti di dati di grandi dimensioni, per esempio) possono essere assegnati a una VLAN con banda larga più grande, mentre quelli che hanno solo bisogno della rete per inviare e-mail possono essere assegnati a una VLAN
• Scalabilità Quando un’azienda ha bisogno di scalare le risorse disponibili per i suoi computer, può riassegnarle a nuove VLAN. I loro amministratori semplicemente creare una nuova VLAN e quindi spostare i computer in loro con facilità.

Come possiamo vedere, le VLAN aiutano a proteggere una rete migliorando anche le prestazioni dei pacchetti di dati che viaggiano intorno ad essa.

VLAN statica vs VLAN dinamica

Abbiamo pensato che sarebbe valsa la pena ricordare che ci sono due tipi di VLAN disponibili per l’implementazione:

VLAN statica

Questo design VLAN dipende dall’hardware per creare le sottoreti. I computer vengono assegnati a una porta specifica su uno switch e collegati direttamente. Se hanno bisogno di passare a un’altra VLAN, i computer vengono semplicemente scollegati dal vecchio interruttore e ricollegati a quello nuovo.

Il problema è che chiunque può passare da una VLAN a un’altra semplicemente cambiando le porte a cui è connesso. Ciò significa che gli amministratori richiederebbero metodi di sicurezza fisica o dispositivi messi in atto per impedire tali accessi non autorizzati.

VLAN dinamica

Questa è la VLAN che abbiamo appena creato nell’esercizio che abbiamo fatto in precedenza. In questa architettura VLAN, abbiamo VLAN software in cui gli amministratori usano semplicemente la logica per assegnare indirizzi IP o MAC specifici alle rispettive VLAN.

Ciò significa che i dispositivi possono essere spostati in qualsiasi parte dell’azienda e, non appena si connettono alla rete, tornano alle VLAN preassegnate. Non sono necessarie configurazioni aggiuntive.

Se c’è un inconveniente con questo scenario, può essere solo che l’azienda avrebbe bisogno di investire in uno switch intelligente – un VLAN Management Policy Switch (VMPS) – che può essere sul lato costoso rispetto allo switch tradizionale utilizzato in VLAN statiche.

Si può anche tranquillamente presumere che le aziende con pochi computer e un budget IT più piccolo possano scegliere di implementare una VLAN statica mentre quelle con un gran numero di dispositivi e una necessità di maggiore efficienza e sicurezza sarebbe saggio investire in una VLAN dinamica.

Conclusione

Speriamo di aver trovato tutte le informazioni necessarie per imparare su come impostare una VLAN. Speriamo anche che l’esercizio è stato facile da seguire e che ora si può andare a costruire sulla conoscenza che avete acquisito. Perché, anche se si continua a scalare verso l’alto, questi passaggi di base rimangono gli stessi: è sufficiente continuare ad aggiungere hardware e configurazioni alle basi.