Configurare VLAN – Switch Cisco

Nel percorso professionale di ogni figura IT, incontrare il concetto di VLAN “rete locale virtuale” ed avere quindi necessità di configurare VLAN è un must, cerchiamo quindi di capirne di più.
La necessità di suddividere la propria rete locale (LAN) in più reti virtuali locali (VLAN) è dovuta a molti fattori, a mio avviso i più importanti sono:

– Implementare scenari di sicurezza più ampi;

– Avere un’organizzazione ed una gestione strutturata della rete locale;

– Fare in modo che la rete sia scalabile per eventuali modifiche e sviluppi futuri dell’infrastruttura;

– Governare un processo di auditing (log) granulare che contribuirà ad un troubleshooting analitico;

È chiaro quindi che l’introduzione di VLAN nella nostra rete locale è fortemente legato ai requisiti sopra condivisi, se nessuno di questi fosse utilizzato o gestito, sarebbe solamente una perdita di tempo implementare le VLAN.

Segmentando a livello logico una LAN in più VLAN andremmo a dividere la rete locale LAN in diversi domini di Broadcast. Per cui solamente gli utenti appartenenti ad una specifica VLAN sarebbero in grado di accedere e gestire informazioni in quella VLAN.

Tipico scenario VLAN:

Vlan Switch Cisco

Configurare Vlan su scenario Cisco

Approfondimenti:
Per realizzare uno scenario VLAN su dispositivi Cisco possiamo prendere in esame uno switch managed Layer 3, sul quale definire e dichiarare le VLAN di cui necessitiamo e successivamente configurare le sue interfacce in modo da associarle a tali VLAN. Per coprire geograficamente la nostra ipotetica sede, collegare lo switch Layer3 agli switch layer 2 (dedicati all’accesso degli host client) e anche su questi ultimi associare le interfacce alle VLAN. Ogni VLAN viene identificata (in modo univoco locale) da un ID che può andare da 1 a 4094 (VLAN ID). Convenzionalmente la VLAN1 è quella dedicata al management degli apparati e alla gestione di protocolli speciali (VLAN di Default). ID che eventualmente può essere modificato.

Esempio:
Ipotizziamo di associare le interfacce del nostro switch (dalla numero 1 alla 8) alla VLAN10 la quale avrà un suo piano di indirizzamento IP. Le interfacce dalla 9 alla 16 associate alla VLAN11, che avrà un piano di indirizzamento diverso e così via.
Per comunicare sulle interfacce 1-8 sarà necessario rispettare il piano di indirizzamento della VLAN10, assegnare quindi agli host collegati su tali interfacce gli indirizzi IP appartenenti a quella rete.

È possibile configurare le interfacce di uno switch specificando due particolari modalità operative: modalità access (detta anche untagged) o modalità trunk (detta anche tagged).

Nel caso di modalità access è possibile assegnare a quella interfaccia solamente una VLAN, mentre con la modalità trunk si abiliterà sull’interfaccia il traffico di dati proveniente da più VLAN che viene separato tramite l’ID delle VLAN.

A scopo didattico uso una semplificazione (non vera in senso assoluto) dicendo che: in una infrastruttura aziendale classica, le interfacce in modalità trunk sono solitamente quelle che collegano tra loro gli switch o tra switch e router o verso particolari server che necessitano di conoscere tutte le VLAN operative in quella rete. Mentre per il collegamento degli host quali: client, stampanti, access point, telefoni IP, server generici, la modalità è quella access.

Vlan Switch Cisco

Configurare Vlan Cisco

In uno switch Cisco alla sua configurazione di fabbrica, tutte le interfacce sono in modalità untagged quindi tutte appartenenti alla VLAN di default. 

How-to:
Vediamo i comandi per la configurazione e la gestione delle VLAN.
Operiamo su uno switch nuovo layer 3 quindi con una configurazione di default:


Enable

show vlan
Vlan Switch Cisco

l’output mostra che tutte le interfacce sono abbinate alla VLAN1 di default
Configuriamo ora le VLAN 10,20 e 100 come nello schema di rete sopra, su range di interfacce prese a caso e configuriamo il piano di addressing di queste VLAN.

Dallo Switch CORE (L3)

configure terminal
Vlan 10
Name Administration
int vlan 10
ip address 192.168.10.1 255.255.255.0
no shut

exit
interface range fa0/1-8
switchport mode access
switchport access vlan 10
exit

Vlan 20
Name Operations
int vlan 20
ip address 192.168.20.1 255.255.255.0
no shut

exit
interface range fa0/9-16
switchport mode access
switchport access vlan 20
exit

Vlan 100
Name IT
int vlan 100
ip address 192.168.100.1 255.255.255.0
no shut

exit
interface range fa0/16-24
switchport mode access
switchport access vlan 100
ip routing                //per consentire il routing tra le vlan                      
end
show vlan                 //mostra le VLAN configurate sullo switch 

Vlan Switch Cisco

Show IP int brief

Vlan Switch Cisco

copy running-config startup-config //salva la configurazione


Per eliminare una vlan su di un range di interfacce o su singola interfaccia e ri-attribuire la VLAN di default:

conf t

interface range fa0/1-24
no switchport access vlan
exit

Modalità TRUNK

configure terminal
interface range fa0/1-8 
switchport mode trunk //imposta l’interfaccia sulla modalità trunk
exit

La modalità trunk consente di default il traffico di tutte le VLAN come setting di default, l’equivalente del comando:

switchport trunk allowed vlan all  //consente il traffico su tutte le vlan

Giunti a questo punto, dovremmo collegare gli switch (Access) layer 2 in modalità trunk con il Core Switch Layer 3 e associare le VLAN alle interfacce che necessitiamo in base alla distribuzione della tipologia dei nostri host.

Dagli Switch Access:

Configuriamo la porta di trunk di uno switch access verso lo switch CORE:

configure terminal

interface fa0/24 
switchport mode trunk   

Configuriamo ad esempio il range di interfacce associandole alla VLAN 10 (Amministrazione):

c
onfigure terminal

interface range fa0/1-12
switchport mode access
switchport access vlan 10
exit

Configuriamo ad esempio l'interfaccia fa 13 associandola alla VLAN 20 (Operations)
configure terminal
interface fa0/13
switchport mode access
switchport access vlan 20
exit

Nell’eventualità si voglia modificare la VLAN associata ad una interfaccia, è possibile eseguire i seguenti comandi:

configure terminal
interface fa0/13
switchport mode access
switchport access vlan 10

il comando quindi associa alla porta fa 13, la VLAN 10, eliminando le precedente configurazione che vedeva associata la VLAN20.

 

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email
guest
0 Commenti
Inline Feedbacks
View all comments