VLAN

VLAN
Universit
di Palermo

VLAN

LA

Switches
Funzionamento degli switch di layer 2
Ricordiamo che le reti Ethernet con media condiviso che usano gli hub,
molti host sono connessi ad un singolo dominio broadcast e di collisione
Le reti Ethernet con media condiviso operano nel livello 1 di OSI
Le reti switched operano ad un livello 2, 3 o 4
A livello base uno switch opera a livello 2 e opera linstradamento
basandosi sui MAC address
Lo switch inizialmente non conosce dove instradare un pacchetto
con un dato Destination MAC address
Universit
di Palermo

VLAN

LA

Switches (2)
Lo switch man mano che riceve dei pacchetti costruisce una tabella a
due colonne in ogni riga della quale vi il Source MAC address e la
porta attraverso cui stato ricevuto

Quando deve trasmettere un pacchetto verso un dato MAC address

lo switch ricerca il MAC address nella tabella e, se lo trova, pone in
uscita il pacchetto sulla porta corrispondente a quel MAC address
Se nella MAC Address Table non presente quelladdress lo
switch pone il pacchetto in uscita su tutte le porte (flooding)

Universit
di Palermo

VLAN

LA

VLAN
Virtual Local Access Network
Un gruppo di host accomunati da un qualche requirement che
comunicano come se fossero connessi sullo stesso segmento
di network anche se non lo sono
LE VLAN si comportano come reti fisiche anche se non lo sono
La gestione di queste network virtuali viene fatta via software
Si tratta di LAN di tipo switched
Le VLAN operano a livello 2, mentre le subnet IP operano a livello 3
In una LAN che utilizza le VLAN esiste spesso una corrispondenza
biunivoca tra VLAN e subnet IP
Universit
di Palermo

LA

VLAN sketch

Piano 3

Piano 2

Piano 1

Reparto
Ammin.

Universit
di Palermo

VLAN

Reparto
Tecnico

Reparto
Commerc.
5

LA

Tipi di VLAN
4 tipi di VLAN
Port-Based VLAN: Ogni porta di switch configurata con una access list
che specifica lappartenenza ad un insieme di VLAN
MAC-based VLAN: Uno switch configurato con una access list
che accoppia i MAC address con a la VLAN
Protocol-based VLAN: Uno switch configurato con una lista che unisce
i protocolli di layer 3 allappartenenza ad una VLAN
ATM VLAN fanno uso del protocollo LAN Emulation (LANE) per mappare
i pacchetti Ethernet in celle ATM e consegnarli alla loro destinazione
convertendo MAC address Ethernet in un ATM address
Universit
di Palermo

VLAN

LA

Standard VLAN
In pratica con una VLAN si possono mettere in contatto tra loro come se
fossero sulla stessa LAN degli host che si trovano su LAN differenti
Le VLAN non furono previste nel protocollo IEEE 802 originario
Esse sono state introdotte successivamente con lo standard 801.Q
Per quel che riguarda la VLAN Ethernet si fa riferimento a IEEE 802.3ac
che definisce lestensione del formato del frame necessaria
per supportare le etichette (tag) VLAN sulle LAN Ethernet
Non tutte le LAN fanno uso delle tag VLAN e quindi, oltre al valore
delle tag si dovuto definire come specificare lesistenza delle VLAN
Universit
di Palermo

VLAN

LA

IEEE 802.1Q
Meccanismo standard per consentire lesistenza di pi reti bridged che
condividono in modo trasparente gli stessi link fisici senza che vi sia
tra esse scambio di informazione

Lo standard 802.1Q definisce con precisione il concetto di Virtual Lan

o VLAN come LAN switched e quindi basate su un bridging al layer MAC,
suddivise logicamente in rapporto alla funzione, team o applicazione
senza riguardo alla locazione fisica

Sempre lo standard 802.1Q definisce il rapporto tra VLAN e

lo spanning-tree protocol IEEE 802.1D
Universit
di Palermo

VLAN

LA

Field Ether/Type
Il formato del frame Ethernet come definito nella IEEE 802.3 :
8 byte

1 byte

Preamble SFD

6 byte

6 byte

Dest
MAC addr

2 byte

46 1550 byte

4 byte

Payload

FCS

Source
Type
MAC addr Length

Per il field Type/Length vale la convenzione che i valori tra 0 e 1500

indicano luso del formato Ethernet 802.3 originale con un campo Length
mentre i valori A 1536 (H0600) indicano luso del formato DIX con un
campo Type che un identificatore dellUpper Layer Protocol

H0800
H86DD
H0806
.....
Universit
di Palermo

VLAN

IPv4
IPv6
ARP

......
9

LA

Field Ether/type
Lo standard IEEE 802.3ac ha introdotto per consentire la presenza del Q tag
un nuovo field di 2 + 2 byte che precede il field Type/Length
VLAN field
PRE

SFD

DA

SA

Type/Length
802.1Q
TPID

Data

PAD

FCS

Tag Control
Information

802.1Q Tag Protocol ID (TPID) H8100. Quando un frame che contiene questo
valore dichiara di contenere un tag IEEE 802.1Q/802.1P. Questo valore non pu
essere confuso con quello di un field Length/Type

Tag Control
Information
Universit
di Palermo

VLAN

User
Priority

CFI

VLAN ID

3 bit

1 bit

12 bit
10

LA

IEEE 802.3ac
Tag Control Information contiene 3 sub-field:
User Priority di 3 bit presenta il livello di priorit per il frame
(uso definito in IEEE 802.1P)
CFI (Canonical Format Indicator) di 1 bit per indicare
la presenza di un Routing Information Field
CFI sempre posto a 0 dagli gli switch Ethernet,
esiste per compatibilit tra Ethernet e Token Ring
VLAN ID di 12 bit che permette lidentificazione
di 2^12 = 4096 VLAN
Il VLAN ID 0 usato per indicare i priority frames e il valore 4095 (FFF)
riservato, rimangono quindi 4,094 possibili identificatori
VLAN tagging porta la lunghezza massima del frame Ethernet da 1518 a 1522 byte
Universit
di Palermo

VLAN

11

LA

IEEE 802.3ac
Lelemento MAC che riceve il frame legge il valore del reserved type, che si trova
nella posizione in cui normalmente il field Length/Type, e tratta il frame
ricevuto come un frame VLAN
Successivamente
Se lelemento MAC installato nella porta di uno switch, il frame inoltrato
secondo la sua priorit a tutte le porte che sono associate con il VLAN ID
Se lelemento MAC installato in una end station, il VLAN header viene
rimosso e il frame trattato nel modo normale
Il VLAN tagging richiede che tutti i nodi coinvolti in un gruppo VLAN
supportino loption VLAN
Una end station normalmente ignora di far parte di una VLAN e quindi
il VLAN header viene inserito dallo porta dello switch cui essa connessa
Universit
di Palermo

VLAN

12

LA

Utilit
Un esempio dellutilit delle VLAN quello di una istituzione che desidera fornire
una rete logica separata a ciascun dipartimento usando ununica rete di societ
A ciascun dipartimento, anche con sedi geograficamente distanti,
viene assegnata una VLAN unica
Si configurano gli edge switch della rete per inserire un opportuno tag di
VLAN in tutti i frame dati in arrivo da dispositivi in un dato dipartimento
Dopo che i frame sono routed attraverso la rete, la tag di VLAN
eliminata prima che il frame sia inviato ad un dispositivo di
dipartimento che si trova possibilmente in unaltra localit
I router possono essere configurati per instradare nel modo voluto i frame
delle varie VLAN (che sono assegnate a subnet differenti)
In questo modo un dipartimento non pu essere infiltrato e/o spiato da un altro
Universit
di Palermo

VLAN

13

LA

Rete di campus
INTERNET

Dep. 1

Dep. 1

Dep. 2
Dep. 4
Dep. 2

Dep. 3

Universit
di Palermo

VLAN

14

LA

Double tagging
Frequentemente il traffico tra differenti VLAN viene instradato su reti
di Internet Service Provider che a loro volta usano delle proprie VLAN
In questi casi necessario aggiungere alla tag originaria (inner tag)
unaltra tag esterna (outer) fornita dallInternet Service Provider
La tag outer viene per prima seguita dalla inner tag
La outer tag, dovendo essere distinta dalla inner tag, deve essere
differente e la norma specifica per questo caso il valore 88a8
Spesso gli ISP usano valori diversi dallo standard
Universit
di Palermo

VLAN

15

LA

Trunking
Una possibile suddivisione delle linee di telecomunicazioni quella in
access lines e trunk lines
Le prime sono delle risorse indivise usate
per il traffico di un utente (linee di utente) mentre le seconde sono delle
risorse condivise usate per il traffico fra gli autocommutatori

Nelle reti switched i link che connettono un device a uno

switch trasportano il traffico di una VLAN, ma gli switch
devono essere connessi tra loro con dei link che trasportano
il traffico appartenente a pi VLAN differenti
Questi sono link di trunking o trunk lines o trunk
Le trunk lines, trasportando su un singolo link il traffico di pi
VLAN permettono di estendere le VLAN sullintera rete
Universit
di Palermo

VLAN

16

LA

Trunking (2)
Con le VLAN il traffico broadcast o multicast si sviluppa soltanto
nella VLAN pertinente, diminuendo quindi il traffico complessivo
Un fattore molto importante costituito dalla estensione
della rete che viene suddivisa in VLAN
Se questa rete tale che tutti i device sono connessi ad un unico
switch la gestione delle VLAN problema interno allo switch
Differente la situazione se la rete fa capo a pi di uno switch in cui
( la situazione pi frequente) su ogni switch operano le diverse VLAN
In questo caso vi saranno dei link tra gli switch e tra questi e i router
su cui vi sar il traffico di pi VLAN ossia saranno delle trunk lines
Universit
di Palermo

VLAN

17

LA

Trunking (3)
Perch il meccanismo di trunking possa funzionare serve un protocollo
Per consentire la presenza di pacchetti di pi VLAN su un link
necessario poter distinguere i pacchetti delle diverse VLAN
La procedura pi comune quella che permette di distinguere i frame
in base al tag IEEE 802.1Q che unetichetta per le varie VLAN
Esistono anche altri meccanismi come Inter Switch Link (ISL) che
un protocollo proprietario della Cisco e LANE usato nei sistemi ATM
In ambienti multivendor si usa sempre lo standard 802.1Q
Universit
di Palermo

VLAN

18

LA

Trunking (4)
In pratica quindi il trunking viene effettuato tramite una sorta
di incapsulamento (tipicamente IEEE 802.1Q)
Ricordiamo che i frame appartenenti ad una VLAN si propagano
nellambito di quella VLAN
Quindi host appartenenti a VLAN differenti possono comunicare
tra loro soltanto attraverso un router
In altre parole una trunk line che connette uno switch ad un
router consente il routing inter-VLAN
Le interfacce consentono diversi modi di trunking dipendenti dal tipo
di interfaccia (Ethernet, Token ring, etc) e dallO.S. dello switch
Universit
di Palermo

VLAN

19

LA

Trunking (5)
Tratteremo soltanto delle VLAN Ethernet
Le interfacce Ethernet sopportano diversi trunking mode
In ogni modo uninterfaccia ad unestremit di un link punto-punto
e deve operare in modo compatibile con quello dellaltra estremit,
risultato raggiungibile configurando manualmente nello stesso modo
le due estremit o con una negoziazione tre le due estremit
Il Dynamic Trunking Protocol (DTP) un protocollo proprietario
sviluppato da Cisco per la negoziazione del trunking su un link
tra due switch facenti parte di una VLAN e per la negoziazione
del tipo di trunking encapsulation da usare
Attenzione: Non tutti i dispositivi supportano il DTP
Universit
di Palermo

VLAN

20

LA

Trunk mode
La porta di uno switch pu essere impostata in 6 modi
Access - La porta in modo non-trunking permanente
Trunk La porta in modo trunking permanente
Dynamic auto La porta pu accettare di entrare in modo trunk e lo fa se
laltra estremit in modo trunk o dynamic desirable (default)
Dynamic desirable La porta tenta attivamente di entrare in modo trunk e
lo fa se laltra estremit in modo trunk, dynamic auto
o dynamic desirable
Nonegotiate - La porta non tenta in alcun modo di negoziare
Dot1q-tunnel La porta configurata in modo tunnel verso unaltra
porta 802.1Q
Universit
di Palermo

VLAN

21

LA

Encapsulation
Dopo che una porta stata posta in modo trunk bisogna
specificare quale tipo di incapsulamento si vuole
Encapsulation dot1q Incapsulamento 802.1Q
Encapsulation isl Incapsulamento ISL
Encapsulation negotiate Incapsulamento da negoziare
con laltra estremit

Universit
di Palermo

VLAN

22

LA

Native VLAN
Lo standard IEEE 802.1Q introduce il concetto di native VLAN
I frame che appartengono alla native VLAN non vengono
modificati allorch trasmessi su un trunk
In sostanza ai frame della native VLAN, con lincapsulamento
802.1Q, non vengono aggiunti i 4 byte che definiscono la VLAN
Ovviamente pu esistere una sola native VLAN
La native VLAN automaticamente presente
Qualsiasi porta 802.1Q pu avere solo una native VLAN, ma ogni
porta su di un dispositivo pu avere una diversa native VLAN
Universit
di Palermo

VLAN

23

LA

VTP
La configurazione e amministrazione delle VLAN su una rete pu essere
effettuata agendo manualmente su ogni singolo dispositivo o
in modo centralizzato tramite un server e un protocollo opportuno
La procedura manuale pu essere effettuata solo su piccole reti,
diversamente risulta faticosa e provoca facilmente inconsistenze
Il VTP (VLAN Trunking Protocol) un protocollo di Layer 2 per lo
scambio di messaggi che mantiene la consistenza della configurazione
delle VLAN gestendo laggiunta, eliminazione e ridenominazione
delle VLAN su tutta la rete
VTP un protocollo proprietario Cisco
Universit
di Palermo

VLAN

24

LA

VTP (2)
Tre modi di funzionamento dei vari dispositivi:

Server
Client
Transparent

In server mode (default) sono ammesse tutte le variazioni locali e

queste variazioni sono propagate sulla rete
In client mode non possibile effettuare manualmente sul singolo
dispositivo alcuna variazione mentre le si pu tramite un server
In transparent mode la configurazione delle VLAN pu essere
variata localmente ma linformazione non propagata sulla rete,
inoltre il dispositivo si lascia attraversare dai messaggi di update
Universit
di Palermo

VLAN

25

LA

VTP (3)
I server VTP pubblicizzano a tutti gli switch abilitati a VTP
esistenti nel domain VTP le informazioni circa le VLAN
Le informazioni circa la configurazione delle VLAN
conservata dai server VTP in una memoria non volatile

I client VTP conservano le informazioni circa la configurazione

delle VLAN nella loro RAM

Universit
di Palermo

VLAN

26

LA

VTP (4)
In una rete con molti dispositivi se ne configurer uno (o anche due)
come server e tutti gli altri come client
Tutte le variazioni verranno effettuate sul server che le
comunicher a tutti i client
Prima che il sistema possa funzionare necessario definire
un domain VTP
Il server VTP trasmette ogni 5 minuti o ogni volta che si effettua un
cambiamento nel database delle VLAN un advertisement
Universit
di Palermo

VLAN

27

LA

VTP (5)
Un Domain VTP formato da un insieme di switch interconnessi
Tutti gli switches in un domain VTP condividono i parametri delle
VLAN che vengono comunicati usando advertisement VTP
Il confine di un domain VTP costituito da un router
o da uno switch di livello 3
Domain B

Domain A
R-1

Universit
di Palermo

VLAN

28

LA

VTP (6)
Il messaggio di advertisement contiene:
Il domain name VTP
Il configuration revision number

Informazioni
globali

Update identity and update timestamp

Digest MD5
Formato del frame
VLAN ID

Informazioni
specifiche
per ogni VLAN

VLAN name
VLAN type
VLAN state
Informazioni specifiche per la VLAN

Universit
di Palermo

VLAN

29

LA

VTP pruning
Esistono diverse VLAN
ma soltanto la porta x
di S1 e la porta y di S7
sono assegnate alla
VLAN auditing

S7

Lhost connesso a S1
invia un broadcast

Si verifica una
quantit di
traffico inutile
che intasa la rete

p. y

S8

S6

S3

S2

S5
S4

p. x
S1

Universit
di Palermo

VLAN

30

LA

VTP pruning
Il pruning blocca il traffico
flooded non necessario verso
le VLAN sulle porte di trunk
che sono incluse nella
pruning-eligible list
Il pruning aumenta la
banda disponibile nella
rete limitando il traffico
flooded a quei trunk
link che si devono
usare per
raggiungere i
dispositivi di
destinazione
Universit
di Palermo

VLAN

S7

p. y

S8

S6

S3

S2

S5
S4

p. x
S1

31

LA

VTP pruning
Il pruning viene attivato tramite VTP quindi si parla di VTP pruning
Il VTP pruning non funziona in VTP transparent mode

Le VLAN vengono dichiarate pruning-eligible oppure no e solo

quelle dichiarate pruning-eligible sono trattate
Il VTP pruning si applica alle porte di trunk

Universit
di Palermo

VLAN

32

LA

Port mirroring
Lavvento delle reti switched ha comportato un notevole aumento

delle difficolt di monitorare il traffico

Nelle reti basate su hub o su bus basta porre uno sniffer
in ascolto sulla rete ed questo intercetta tutto il traffico
In una rete switched su un link scorre solo il traffico diretto a
quella porta mentre disabilitato ogni traffico bidirezionale
La soluzione normale quella di duplicare il traffico in/out
di una porta su unaltra porta (mirroring)
La porta su cui viene mirrored il traffico deve essere libera
e non ha traffico suo proprio

Universit
di Palermo

VLAN

33

LA

IP & MAC filtering

Negli switch possibile attivare diversi sistema di sicurezza
Possibile basarsi sugli IP address definendo una apposita ACL
La ACL pu essere statica o definita dinamicamente tramite DHCP
Possibile pure effettuare il filtraggio basandosi sui MAC address
Queste procedure di sicurezza sono in pratica molto deboli
perch un host pu facilmente cambiare il suo IP address
come pure il suo MAC address

Universit
di Palermo

VLAN

34

LA

Spanning tree
Negli switch, al fine di evitare la formazione di loop, necessario
definire uno spanning-tree e quindi serve un protocollo apposito
Normalmente si fa uso di STP (Spanning-Tree Protocol) che un
protocollo definito nello standard IEEE 802.1D
STP, oltre a prevenire la formazione di loop,
fornisce la path redundancy
Lo Spanning Tree Protocol un protocollo di livello 2 OSI
STP crea uno spanning tree allinterno di una rete magliata formata
da switch di livello 2, disabilitando i link che non fanno parte dellalbero
e lasciando un unico path attivo tra qualsiasi due nodi della rete
Universit
di Palermo

VLAN

35

LA

Logica di STP
8

36
23
12
16

19

Universit
di Palermo

VLAN

47

36

LA

Funzioni di STP
Elezione di un root bridge
Definizione dei path
Determinazione dei ruoli delle porte
Ciascun bridge ha un suo MAC address
Ciascun bridge ha un suo priority number (configurabile da admin)
Il cosiddetto bridge ID (BID) formato priority number e MAC address
Bridge
priority

MAC
address

2B

6B

BID
Perch STP possa svolgere le sue funzioni serve lo scambio di informazioni
Universit
di Palermo

VLAN

37

LA

Funzioni di STP (2)

Ci viene fatto tramite lo scambio di opportune PDU:
le Bridge Protocol Data Unit (BPDU)

Con le BPDU i bridge si scambiano informazioni circa i

BID e i costi dei diversi path

Le BPDU sono scambiate di default ogni 2 secondi

I bridge trasmettono i frame BPDU usando come source address
il MAC address della porta e come destination address un
multicast address specifico di STP e cio 01:80:C2:00:00:00
Universit
di Palermo

VLAN

38

LA

BPDU
Le parti di una BPDU sono:
Root BID
Path cost to root bridge
Sender BID
Port ID

Universit
di Palermo

VLAN

39

LA

Elezione root
Ogni porta di uno switch ha un suo
ID lungo 16 bit con due parti:
6 bit priority e 10 bit port number

Come root bridge viene scelto quello con il pi basso BID

Il confronto viene effettuato prima sui priority number e dopo sui MAC address
Volendo forzare la scelta di un bridge gli si dar unalta priority

Inizialmente ciascuno switch considera se stesso come il root bridge

Quando uno switch viene connesso alla rete trasmette una BPDU
con il suo BID come root BID
Quando laltro switch riceve la BPDU, confronta la BID che riceve
con la sua (che aveva conservata considerandola come root BID)
Se la nuova root BID ha un valore pi basso, sostituisce quella conservata
Universit
di Palermo

VLAN

40

LA