Vlan (t), 13-10-20

Questa pagina contiene informazioni relative alla lezione sulle VLAN dall'archivio telegram.

All'interno dello stesso dominio di broadcast, si vuole definire una diversa struttura di rete a livello logico. Il fatto che la topologia fisica e la topologia logica coincidano sempre è un forte impedimento "pratico", oltre ad essere un problema a livello di sicurezza. Ad esempio, un'attaccante potrebbe modificare il suo MAC address sorgente per inviare un pacchetto a B (il quale sta normalmente comunicando con A), fingendo di essere lui stesso A, per intercettare il traffico di rete destinato al vero A.

Mediante una VLAN si riescono a creare diverse LAN virtuali basate sullo stesso cablaggio fisico strutturato.

L'idea è quella di assegnare le porte dello switch a delle interfaccie virtuali che permettano la suddivisione logica degli host. In questo modo, solo gli host appartenenti alla stessa VLAN potranno comunicare a livello 2, essendo isolati.

E' anche possibile creare una VLAN "spalmata" su diversi switch: questo implica il fatto che ci sia una connessione cablata tra gli switch che implementano quella VLAN (ovviamente gli switch devono essere in grado di scambiarsi pacchetti). In questo caso, non si deve perdere l'informazione relativa alla VLAN "target" mentre il frame viene mandato da uno switch all'altro!

  • si estende il frame ethernet aggiungendo l'informazione che indica la VLAN destinataria.

Si dice Link di trunk un collegamento tra due switch, che permette la comunicazione tra host che appartengono alla stessa VLAN, ma connessi a switch diversi.

Questa figura dovrebbe rendere l'idea: \(\Downarrow\)

Altro esempio:

Il protocollo 802-1q serve per modificare i frame ethernet, in modo da aggiungere l'informazione necessaria relativa alla VLAN.

Ovviamente questo protocollo è utile nello specifico caso in cui una VLAN sia suddivisa su più switch! A livello locale, gli switch inoltrano i pacchetti agli host connessi alla VLAN senza usare questo protocollo, che risulterebbe superfluo.

Vediamo ora come è fatto il tag caratteristico del protocollo 802-1q.

Esso viene inserito tra l'indirizzo MAC sorgente e il tipo di protocollo all'interno del frame ethernet. E' lungo 4 byte ed è composto da 3 campi:

  1. Tag protocol identifier \(\rightarrow\) specifica la versione, lungo 16 bit. Indica essenzialmente che il frame è taggato, insieme con la versione del protocollo.

  2. Priority \(\rightarrow\) 4 bit di priorità, spesso non vengono popolati.

  3. VlanID \(\rightarrow\) 12 bit di vlan ID, parte più importante.