Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Le VLAN sono una delle più importanti implementazioni degli switches e permettono di raggruppare gli
hosts in modo logico, eliminando così il problema del luogo fisico in cui un dispositivo si trova rispetto agli
altri nella LAN. Tra i vantaggi principali dell’utilizzo di questa tecnologia:
Gestione grazie alla possibilità di raggruppare utenti o dispositivi indipendentemente dalla loro
locazione fisica
Sicurezza, in quanto le VLAN possono essere configurate per comunicare tra loro con rigide regole
(o non comunicare affatto) e quindi isolare il traffico in base all’importanza.
Performance, suddividendo una rete piatta di livello 2 in multipli domini di broadcast si riduce il
traffico non necessario all’ interno della sottorete.
Le VLAN sono definibili anche come domini di Broadcast, in quanto tutti gli hosts di una VLAN, che
dovrebbero appartenere a una stessa sottorete, potranno comunicare solo all’interno della stessa. La
comunicazione tra le VLAN (Inter-Vlan routing) viene delegata ai routers o a multilayer switch (detti anche
layer 3 switch) in grado di eseguire routing a layer 3.
Range normale da 1 a 1005 (la vlan 1 rappresenta la Vlan di default sempre attiva e le vlan da 1002
a 1005 sono riservate per Token Ring e FDDI sempre attive) memorizzate nella flash dello switch
nel file vlan.dat
Range esteso da 1006 a 4094 memorizzate in RAM (running config)
dinamiche configurate per indirizzo MAC tramite l’ interrogazione di un server VMPS (VLAN
Membership Policy Server); una volta che l’utente si sposta, lo switch riconosce il mac address e
automaticamente assegna la nuova porta dell’utente alla VLAN corretta.
Comandi di configurazione, monitoraggio e verifica delle vlan
Una volta creata una VLAN, lo step successivo è quello di assegnare le porte che vogliamo alla VLAN; per
far ciò la procedura è la seguente:
- entrare in configurazione dell'interfaccia
- assegnare la VLAN
esempio: creazione VLAN 5 denominata Manager ed assegnarla alla porta FastEthernet0/1 che collega la
stazione dell’operatore 1
Switch#configure terminal
Switch(config)# vlan 5
Switch(config-vlan)# name Manager
Switch(config-vlan)# exit
Switch(config)# interface FastEthernet0/1
Switch(config-if)# description stazione-operatore-1
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 5
Switch(config-if)# no shutdown
Switch(config-if)# end
Con il seguente comando si ottengono le informazioni su tutte le vlan attive sullo switch e le porte associate
Switch# show vlan brief
Lo switch per inoltrare un frame su un link dot1q esegue il tagging del frame inserendo un identificatore di 4
bytes dopo i campi Destination e Source address per identificare il protocollo di trunking e l’id della Vlan
trasportata; successivamente esegue il calcolo del campo FCS sull’ intero frame per il controllo di errore.
Quando si definisce una porta come trunk questa può essere impostatata in una delle modalità seguenti:
Per disabilitare lo scambio di pacchetti DTP (comando necessario in caso di trunk tra switch cisco e switch
non cisco) e quindi la negoziazione del trunk
Switch(config-if)# switchport nonegotiate
la modalità trunk va poi impostata su entrambi gli switch con il comando Switchport mode trunk
Il seguente comando abilita il trasporto di più VLAN indicando l’ intervallo con il trattino o le singole vlan
separate da virgola es:
Switch(config-if)# switchport trunk allowed vlan 10-50 (tutte le vlan da 10 a 50)
Switch(config-if)# switchport trunk allowed vlan 10,13,14,50 (solo le seguenti:quattro vlan 10,13,14,50)
Il seguente comando aggiunge alla lista delle vlan permesse il trasporto della vlan X
Switch(config-if)# switchport trunk allowed add vlan X
Il seguente comando rimuove dalla lista delle vlan permesse il trasporto della vlan X
Switch(config-if)# switchport trunk allowed remove vlan X
Le informazioni VTP si propagano sulle porte trunk per cui per far arrivare le definizioni di VLAN a tutti gli
switch questi devono essere collegati tra loro con dei collegamenti in trunk.
Dominio VTP
Gli switch che appartengono a uno stesso dominio possono comunicare tra di loro, e lo fanno tramite appositi
messaggi VTP, ovvero dei layer 2 frames inviati esclusivamente su link in trunk e formattati secondo il
trunking protocol in uso (802.1q). Per impostare il dominio il comando da usare è il seguente:
(config)#vtp domain <domain-name>
Sistema di Advertisement
I messaggi di advertisement di VTP vengono inviati dagli switches, su tutte le porte configurate in trunk,
verso un indirizzo multicast, in modo che ogni dispositivo interessato possa riceverli; quindi per far arrivare
le definizioni di VLAN a tutti gli switch questi devono essere collegati tra loro con trunk. La Vlan1 è
configurata di default sui Catalyst e viene utilizzata da VTP per l’ inoltro dei messaggi; è quindi d’obbligo
far “fluire” la VLAN1 su tutti i trunk e, dal punto di vista della sicurezza, è bene non utilizzarla per il traffico
dati e lasciarla invece come zona di traffico per gli advertisement di VTP. Esistono 3 tipi di messaggi VTP:
Summary
Subset
Requests
I messaggi Summary vengono inviati di default ogni 5 minuti da Client e Server, mentre come abbiamo
detto, i Transparent li forwardano come li ricevono. L’advertisement raggiunge un altro switch, questo
matcha dapprima il nome di dominio; stabilito che questo è il proprio guarda il Revision Number; a questo
punto se il numero è più alto di quello contenuto nel proprio database, come già detto, lo switch decide che la
propria configurazione è obsoleta e va aggiornata: per far ciò invia un advertisement Request alla volta
dello Switch che ha lanciato il summary (l’indirizzo del quale legge nel Campo Updater identity del
summary), che a sua volta rimanda un nuovo advertisement, il Subset, contenente informazioni specifiche
sulle VLAN, nome del dominio VTP, revision number, versione usata. Grazie a questo messaggio lo switch
aggiorna i suoi dati di configurazione ed incrementa il proprio Revision Number.
Autenticazione
VTP permette di impostare una password (case-sensitive) utilizzata dall’algoritmo Md5 Digest su tutti gli
switches del dominio VTP. All’interno degli advertisement c’è un campo apposito che contiene il risultato
ottenuto dallo switch origine sul messaggio VTP; questo field viene considerato da ogni membro che esegue
la funzione MD5 con la propria password sul messaggio VTP ricevuto e controlla se il valore ottenuto è
uguale a quello trasportato nel field; in caso affermativo la fonte risulta attendibile. Il comando da dare per
impostare la password è il seguente:
Switch(config)#vtp password password
Pruning
Di default, VTP, inoltra tutto il traffico di tipo broadcast, multicast e unknown (ovvero i frames di cui ancora
lo switch non conosce la destinazione in accordo alla sua MAC address table detta anche CAM) su tutti i
trunk. Si tratta di un vero e proprio spreco di risorse, banda, in quanto il flood che ne deriva non è necessario
o lo è solo in parte. Per questo motivo, Cisco, implementa il Pruning: se una VLAN non è in utilizzo su un
certo trunk, è inutile che venga utilizzata con del traffico inutile. Il Pruning è disabilitato di default e può
essere abilitato per VLAN, sulle VLAN da 2 a 1000. La Vlan1, non è affetta dal pruning. Tutti i devices che
fanno parte del dominio VTP devono supportare il Pruning perché questo possa funzionare. Per abilitarlo
basta inserire tale comando su uno switch in VTP server:
Switch(config)#vtp pruning
Pruning switched on
la Configuration Revision è la 5 (5 modifiche fatte dal quando VTP server si crea il dominio)
Il nome del dominio è mia-rete; la modalità di funzionamento è server; il pruning è disabilitato
l’ indirizzo dello switch che ha fatto l’ ultima modifica è 172.17.99.32 alle 7:28 del 3/1/2013
(Configuration last modified by 172.17.99.31 at 3-1-13 00:07:28)