// Stai leggendo ...

Hardware

Cosa sono le VLAN ? Sperimentiamone una…

Molto spesso in ambienti aziendali o small business si rende necessario “suddividere” la propria rete in più “sottoinsiemi” indipendenti ed autonomi ricorrendo alla creazione di più VLAN (virtual lan). Skizzo ci guida alla scoperta degli switch gestiti CISCO SLM2008, piccoli “gioiellini” dal costo contenuto, che in più permettono di prioritarizzare alcune tipologie di traffico (ad esempio quello voip) in modo da “cuocere a puntino” la nostra infrastruttura.


Dopo anni di attesa sono riuscito ad “avere tra le mani” 2 switch gestiti (managed) con supporto al VLAN tagging ed ho deciso di giocarci un po per capire meglio cosa e come funzionano.

Gli switch che ho “sotto mano” e che prenderò a riferimento in questo articolo sono 2 Cisco SLM2008 (hardware dal costo piuttosto contenuto).

SLM2008

Caratteristiche principali:
8 porte 10/100/1000Mbit
1 Porta PoE (per alimentare lo switch via cavo di rete)
Supporto per 16 VLAN
Interfaccia WEB

Cos’è una VLAN ?
Le Virtual LAN permettono di creare più reti LAN distinte (e non comunicanti tra loro) in modo da poter separare il traffico di più gruppi di lavoro che utilizzano lo stesso hardware (normalmente uno switch di rete). Questa separazione viene fatta “taggando” ogni pacchetto in transito sul nostro hardware ed instradandolo verso le porte dello switch appropriate.

A cosa può servire ?
Ad esempio è utile in quelle ipotesi in cui si ha un solo cavo di rete svolgente funzioni di “dorsale” tra due luoghi fisici distinti che deve interconnettere più reti LAN distinte tra loro (Vlan 1, Vlan 2, Vlan 3, Vlan 4).

Come si evince chiaramente dalla figura nel mio esempio i 2 switch gestiti instradano tutto il traffico su di un unico cavo per poi suddividerlo in più Vlan locali.

ES. 1 - VLAN

Come mostra la figura si possono associare le porte dello switch ad una ad una: ad esempio la porta 1 dello switch A con la porta 1 dello switch B e così via…

Le Vlan possono essere utilizzate anche per isolare gli Access Point destinati al traffico aziendale dagli hotspot per l’utenza “esterna”, separare fisicamente il traffico VoIP da quello PC… e molto altro!!.

Di seguito allego la configurazione relativa allo schema sopra riportato: la porta 1 è il cavo “dorsale” , mentre le porte da 2 a 5 fanno parte della VLAN 1.

 VLAN 1VLAN 2VLAN 3VLAN 4
VLAN

Qualora si abbia l’esigenza di gestire funzioni di routing tra le diverse VLAN sarà necessario ricorrere ad uno switch con supporto a tale tecnologia, molto più costoso di quelli da me utilizzati, che integra al suo interno un vero e proprio router DHCP con firewall.

Altra caratteristica dei Cisco SLM2008 è la possibilità di impostare regole di QoS (quality of service) in base alla porta utilizzata o al tag proprio dei diversi protocolli.
Nelle mie prove ho fatto ricorso al QOS “Port based” in modo da dare priorità alla VLAN dedicata al VoIP indipendentemente dagli apparecchi ad essa collegati.

Infine in ambienti “mission critical” è possibile aumentare il livello di sicurezza della propria rete filtrando i client in base al MAC address: lo switch fornirà connettività esclusivamente agli indirizzi registrati.
Qualora si desiderasse applicare una politica ancora più stringente è auspicabile abbinare singoli client a predeterminate porte dello switch: ad esempio, sulla porta X si potrà utilizzare solamente il pc con MAC xxx e viceversa questo avrà connettività esclusivamente su tale porta X.

Ciao Skizzo3000

Commenti

commenti


I commenti all'articolo

10 commenti for “Cosa sono le VLAN ? Sperimentiamone una…”

  1. Buongiorno,
    mi scusi ma non ho capito come fare Qos sul voip. grazie

    Commentato da Franco | giugno 19, 2009, 13:50 |
    • secondo me il qos più semplice ed efficace è a livello di porta e vlan. Si crea una vlan x il solo voip e le si da priorità massima nel passaggio nella dorsale. In questo modo la rete voip è cmq separata dalla rete pc e nei tratti comuni (cavi di dorsale) ha la massima priorità quindi se nella rete pc si stanno facendo dei trasferimenti onerosi di banda cmq alla rete vlan del voip viene data tutta la banda richiesta rallentando i pc.
      Questi switch non gestiscono il qos a livello di protocollo ma solo a livello di vlan o a livello di porte. Questo vuol dire che sono utili in quei casi in cui la rete esistente sia molto utilizzata e non si possono stendere cavi dedicati. Se mi dici qual è la tua esigenza vediamo di trovare una soluzione :-)
      Ciao sk3

      Commentato da skizzo3000 | giugno 19, 2009, 16:12 |
      • cio, io non so se chiedendo spiegazioni, do noia o no, ma sono preso da questo problema e a rischio di sembrare maleducato formulo questo quesito:
        in una scuola ho due aule di informatica con una dozzina di pc per aula. in ogni aula c’è un hubbettino con i suoi bei cavi di rete che vanno ai pc…
        due aule due hubbetti. tutti i pc hanno l’IP rilasciato da un solo ed unico DHCP / ADSL router. Ho differenziato i due “workgroup” chiamandoli laboratorio1 e laboratorio2. Tutti i pc delle 2 aule vanno su internet con una sola 20mega telecom business.
        PROBLEMA: i pc delle 2 aule si vedono tra loro e a forza di smanettare si fanno i dispetti, ad esempio cancellandosi i compiti o intere cartelle.
        RISOLUZIONE DEL PROBLEMA: come posso isolare le due lan in modo che non si vedano tra di loro e contemporaneamente possano comunque accedere ad internet?… quanto mi piacerebbe una bella rispostina semplice da applicare al mio problema per eliminare questi stupidi dispetti delle scolaresche. Grazia a chi mi legge, Piero P.S. sono disposto ad offrire “aperitivo e stuzzichini….”

        Commentato da Piero | gennaio 16, 2013, 18:48 |
  2. Non si aprono le immagini con le configurazioni !

    Commentato da nicola | settembre 21, 2009, 14:08 |
  3. Ho appena comperato 2 di questi switch ma pur avendo seguito la configurazione presente nel sito non mi funzionano le vlan !

    Commentato da nicola | settembre 24, 2009, 03:09 |
  4. @nicola
    Che problema ti da ?

    Commentato da skizzo3000 | ottobre 4, 2009, 23:05 |
  5. sono riuscito a farlo andare collegandoli direttamente ma tramite bridge wireless no.Poi riesco a gestirne da web soltanto 1, cosa scomodo se si vogliono successivamente cambiare i parametri.Ho provato pure ad aggiungere un AP con vlan1 tagged ma poi non riesco a vederlo…Grazie per i consigli

    Commentato da Nicola | ottobre 9, 2009, 01:31 |
    • ciao nicola,
      ho revisionato la configurazione ed ora è tutto funzionante al 100%. Sono in attesa di modificare questo articolo per correggerlo.
      Per quanto riguarda la gestione web dello switch… è accessibile solo da una sola VLAN. Chiaro che se questa VLAN è presente in entrambi li siwtch allora riuscirai a gestirli entrambi.

      Ciao Sk3

      Commentato da skizzo3000 | ottobre 25, 2009, 14:25 |
  6. [...] primo articolo era solo una prima veloce spolverata riguardo a cosa solo le VLAN ed un cenno su come implementarne [...]

    Commentato da VLAN – Seconda puntata | Libera il VoIP | | novembre 2, 2009, 13:40 |
  7. Ciao,

    potresti ripristinare la terza immagine (http://www2.skizzo3000.it/mio/vlan1.jpg)?

    Grazie

    Commentato da RimSA | febbraio 5, 2012, 22:41 |

Lascia un commento

Devi essere autenticato per lasciare un commento.