Virtual LAN (VLAN) -...
18
INFOCOM Dept. f Antonio Cianfrani Virtual LAN (VLAN) Virtual LAN (VLAN) Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
Transcript of Virtual LAN (VLAN) -...
INFOCOM Dept.
fAntonio Cianfrani
Virtual LAN (VLAN)Virtual LAN (VLAN)
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. VLAN: motivazioni
LAN Ethernet: tutti gli host appartenenti ad una stessa g ppinfrastruttura fisica (switches, hubs, cavi) fanno parte della stessa rete IP
Se bisogna realizzare più reti IP all’interno di uno stesso edifico sono necessarie più infrastrutture fisicheedifico sono necessarie più infrastrutture fisiche
L’introduzione delle VLAN consente di eliminare questa li it i iù ti l i h di id l t limitazione: più reti logiche possono condividere la stessa infrastruttura fisica
Virtual LAN: sottorete IP indipendente che può condividere la stessa rete fisica di altre VLANs
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Vantaggi delle VLAN
Sicurezza
Riduzione dei costi
Limitazione del traffico di broadcast
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. VLAN: configurazione
Per definire più VLANs all’interno di una rete Ethernet bisogna correttamente configurare gli switch della retecorrettamente configurare gli switch della rete
Ogni VLAN è identificata da un numero (VID: 1 - 1005) ed ha un i bl di i di i iproprio blocco di indirizzi
Le VLAN devono essere definite all’interno dello switch
Switch (config)# vlan xSwitch (config-if)# name nome (opzionale)Switch (config-if)# name nome (opzionale)
R t ( fi )# l 10
VLAN 10
Router(config)# vlan 10Router(config-vlan)# name student
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
VLAN 10“student”
INFOCOM Dept. Porte dello Switch
Le porte di uno switch possono essere di due tipi
Porte d’accesso (access port): porte a cui sono connessi solo dispositivi appartenenti ad una VLAN
Porte Trunk: porte su cui possono transitare frame appartenenti a VLAN diverse necessità di differenziare i frame
VLAN 10VLAN 10“ d ”VLAN 10
“student”“student”
VLAN 30“ ”
VLAN 30“guest”
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
“guest” guest
ACCESS PORTTRUNK PORT
INFOCOM Dept. Access Port (1/2)
Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una particolare interfaccia/porta? frame che riceve su una particolare interfaccia/porta?
Le VLAN sono port based lo determina in base alla porta Le VLAN sono port-based lo determina in base alla porta su cui sono stati ricevuti
Bi fi i l di i Bisogna configurare staticamente le porte di accesso in modo da associarle alle VLAN corrette
Router (config)# interface FastEthernet o/xRouter (config-if)# switchport mode access( f g f) p mRouter (config-if)# switchport access vlan y
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Access Port (2/2)
Ad ogni porta di accesso è associata un’unica VLAN
L’unica eccezione si ha nel caso di Voice VLAN
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Tipi di VLANs
Data VLAN: VLAN classica, detta anche User VLAN D f lt VLAN (1)Default VLAN (1)Native VLAN : Trunk portManagement VLAN: per configurare gli switch della rete (99)
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Trunk Port (1/3)
Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una porta trunk? frame che riceve su una porta trunk?
E’ necessario estendere lo standard Ethernet
802.3Q: inserimento di un tag all’interno del frame ethernet contenente il VID (identificativo della VLAN cui (appartiene il frame)
NO TRUNK VLAN 10CON TRUNK
VLAN 10NO TRUNK VLAN 10
VLAN 20VLAN 20
VLAN 30
VLAN 20
VLAN 30
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
VLAN 30 VLAN 30
INFOCOM Dept. Trunk Port (2/3)
Con il termine trunk si intende la connessione punto-punto tra due porte trunk di uno switchtra due porte trunk di uno switch
I frame che attraversano un trunk sono tutti “tagged” ad d ll d f l eccezione di quelli appartenenti ad una specifica VLAN: la
Native VLAN
La Native VLAN è usata per il traffico di controllo
Router (config)# interface FastEthernet o/xRouter (config)# interface FastEthernet o/xRouter (config-if)# switchport mode trunkRouter (config-if)# switchport trunk native vlan 99
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Trunk Port (3/3)
Di default la porta trunk accetta tutte le VLAN.
E’ possibile configurare solo un sottoinsieme di VLAN consentite su un trunk:Router (config-if)# switchport trunk allowed vlan y
VLAN 10R(config)# interface FastEthernet 0/13
VLAN 20 FE 0/13
R(config-if)# switchport mode trunk
R(config-if)# switchport trunk native vlan 99
VLAN 30
( g ) p
R(config-if)# switchport trunk allowed 10-20
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Funzionamento dello switch
Uno switch instrada il traffico in base alla VLAN di appartenenzaappartenenza
Il traffico broadcast ricevuto su una interfaccia di accesso à l ll l f ( k) d l sarà inviato solo sulle altre interfacce (accesso o trunk) del
router su cui è configurata la VLAN in questione
VLAN 10broad
b d
VLAN 20 FE 0/13
broad
FE 0/3FE 0/2
FE 0/1
VLAN 30 FE 0/1, FE 0/2 e FE 0/3: access portFE 0/13 t k t ( ll d 10 20 30)
FE 0/3
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
FE 0/13: trunk port (allowed 10,20,30)
INFOCOM Dept. Gestione delle VLAN (1/2)
Il comando show vlan brief elenca le VLAN configurate e l’associazione alle portel associazione alle porte
Nessuna VLAN configurataconfigurata
VLAN 20 configurata ed configurata ed
associata all’interfaccia
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
FastEthernet 0/18
INFOCOM Dept. Gestione delle VLAN (1/2)
Il comando show interface FastEthernet x/y switchporty pconsente di valutare la modalità di una interfaccia
Access port Trunk port
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. VLAN: messaggi broadcast
La suddivisione in VLAN limita il traffico di broadcastLa suddivisione in VLAN limita il traffico di broadcast
VLAN 10192.168.0.10
VLAN 10192.168.0.13192.168.0.10
VLAN 20
192.168.0.13
VLAN 20VLAN 20192.168.0.11
VLAN 30
VLAN 20192.168.0.14
VLAN 30VLAN 30192.168.0.12
VLAN 30192.168.0.15
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Inter-VLAN routing (1/2)
Quando due host appartenenti a VLAN diverse devono comunicare è necessaria la presenza di un routercomunicare è necessaria la presenza di un router
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. Inter-VLAN routing (2/2)
Uno switch layer 3 consente di non utilizzare il router e di limitare il numero di interfacce utilizzatelimitare il numero di interfacce utilizzateSVI (Switch Virtual Interface): interfaccia logica associata ad una VLANad una VLAN
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
INFOCOM Dept. VLAN Troubleshooting
Possibili problemi di funzionamento di una rete Ethernet con Possibili problemi di funzionamento di una rete Ethernet con VLAN:
N ti VLAN i t hNative VLAN mismatch
Trunk mode mismatch
Incorretti indirizzi IP all’interno delle VLAN
VLAN non consentite (allowed) sui trunk
Reti di calcolatori – Antonio Cianfrani -- A.A. 2009/2010
