Nel percorso professionale di ogni figura IT, incontrare il concetto di VLAN “rete locale virtuale” ed avere quindi necessità di configurare VLAN è un must, cerchiamo quindi di capirne di più.
La necessità di suddividere la propria rete locale (LAN) in più reti virtuali locali (VLAN) è dovuta a molti fattori, a mio avviso i più importanti sono:
– Implementare scenari di sicurezza più ampi;
– Avere un’organizzazione ed una gestione strutturata della rete locale;
– Fare in modo che la rete sia scalabile per eventuali modifiche e sviluppi futuri dell’infrastruttura;
– Governare un processo di auditing (log) granulare che contribuirà ad un troubleshooting analitico;
È chiaro quindi che l’introduzione di VLAN nella nostra rete locale è fortemente legato ai requisiti sopra condivisi, se nessuno di questi fosse utilizzato o gestito, sarebbe solamente una perdita di tempo implementare le VLAN.
Segmentando a livello logico una LAN in più VLAN andremmo a dividere la rete locale LAN in diversi domini di Broadcast. Per cui solamente gli utenti appartenenti ad una specifica VLAN sarebbero in grado di accedere e gestire informazioni in quella VLAN.
Tipico scenario VLAN:
Configurare Vlan su scenario Cisco
Approfondimenti:
Per realizzare uno scenario VLAN su dispositivi Cisco possiamo prendere in esame uno switch managed Layer 3, sul quale definire e dichiarare le VLAN di cui necessitiamo e successivamente configurare le sue interfacce in modo da associarle a tali VLAN. Per coprire geograficamente la nostra ipotetica sede, collegare lo switch Layer3 agli switch layer 2 (dedicati all’accesso degli host client) e anche su questi ultimi associare le interfacce alle VLAN. Ogni VLAN viene identificata (in modo univoco locale) da un ID che può andare da 1 a 4094 (VLAN ID). Convenzionalmente la VLAN1 è quella dedicata al management degli apparati e alla gestione di protocolli speciali (VLAN di Default). ID che eventualmente può essere modificato.
Esempio:
Ipotizziamo di associare le interfacce del nostro switch (dalla numero 1 alla 8) alla VLAN10 la quale avrà un suo piano di indirizzamento IP. Le interfacce dalla 9 alla 16 associate alla VLAN11, che avrà un piano di indirizzamento diverso e così via.
Per comunicare sulle interfacce 1-8 sarà necessario rispettare il piano di indirizzamento della VLAN10, assegnare quindi agli host collegati su tali interfacce gli indirizzi IP appartenenti a quella rete.
È possibile configurare le interfacce di uno switch specificando due particolari modalità operative: modalità access (detta anche untagged) o modalità trunk (detta anche tagged).
Nel caso di modalità access è possibile assegnare a quella interfaccia solamente una VLAN, mentre con la modalità trunk si abiliterà sull’interfaccia il traffico di dati proveniente da più VLAN che viene separato tramite l’ID delle VLAN.
A scopo didattico uso una semplificazione (non vera in senso assoluto) dicendo che: in una infrastruttura aziendale classica, le interfacce in modalità trunk sono solitamente quelle che collegano tra loro gli switch o tra switch e router o verso particolari server che necessitano di conoscere tutte le VLAN operative in quella rete. Mentre per il collegamento degli host quali: client, stampanti, access point, telefoni IP, server generici, la modalità è quella access.
Configurare Vlan Cisco
In uno switch Cisco alla sua configurazione di fabbrica, tutte le interfacce sono in modalità untagged quindi tutte appartenenti alla VLAN di default.
How-to:
Vediamo i comandi per la configurazione e la gestione delle VLAN.
Operiamo su uno switch nuovo layer 3 quindi con una configurazione di default:
Enable
show vlan
l’output mostra che tutte le interfacce sono abbinate alla VLAN1 di default
Configuriamo ora le VLAN 10,20 e 100 come nello schema di rete sopra, su range di interfacce prese a caso e configuriamo il piano di addressing di queste VLAN.
Dallo Switch CORE (L3)
configure terminal
Vlan 10
Name Administration
int vlan 10
ip address 192.168.10.1 255.255.255.0
no shut
exit
interface range fa0/1-8
switchport mode access
switchport access vlan 10
exit
Vlan 20
Name Operations
int vlan 20
ip address 192.168.20.1 255.255.255.0
no shut
exit
interface range fa0/9-16
switchport mode access
switchport access vlan 20
exit
Vlan 100
Name IT
int vlan 100
ip address 192.168.100.1 255.255.255.0
no shut
exit
interface range fa0/16-24
switchport mode access
switchport access vlan 100
ip routing //per consentire il routing tra le vlan
end
show vlan //mostra le VLAN configurate sullo switch
Show IP int brief
copy running-config startup-config //salva la configurazione
y
Per eliminare una vlan su di un range di interfacce o su singola interfaccia e ri-attribuire la VLAN di default:
conf t
interface range fa0/1-24
no switchport access vlan
exit
Modalità TRUNK
configure terminal
interface range fa0/1-8
switchport mode trunk //imposta l’interfaccia sulla modalità trunk
exit
La modalità trunk consente di default il traffico di tutte le VLAN come setting di default, l’equivalente del comando:
switchport trunk allowed vlan all //consente il traffico su tutte le vlan
Giunti a questo punto, dovremmo collegare gli switch (Access) layer 2 in modalità trunk con il Core Switch Layer 3 e associare le VLAN alle interfacce che necessitiamo in base alla distribuzione della tipologia dei nostri host.
Dagli Switch Access:
Configuriamo la porta di trunk di uno switch access verso lo switch CORE:
configure terminal
interface fa0/24
switchport mode trunk
Configuriamo ad esempio il range di interfacce associandole alla VLAN 10 (Amministrazione):
configure terminal
interface range fa0/1-12
switchport mode access
switchport access vlan 10
exit
Configuriamo ad esempio l'interfaccia fa 13 associandola alla VLAN 20 (Operations)
configure terminal
interface fa0/13
switchport mode access
switchport access vlan 20
exit
Nell’eventualità si voglia modificare la VLAN associata ad una interfaccia, è possibile eseguire i seguenti comandi:
configure terminal
interface fa0/13
switchport mode access
switchport access vlan 10
il comando quindi associa alla porta fa 13, la VLAN 10, eliminando le precedente configurazione che vedeva associata la VLAN20.