Virtual LAN (VLAN)

Le VLAN sono una delle più importanti implementazioni degli switches e permettono di raggruppare gli
hosts in modo logico, eliminando così il problema del luogo fisico in cui un dispositivo si trova rispetto agli
altri nella LAN. Tra i vantaggi principali dell’utilizzo di questa tecnologia:

 Gestione grazie alla possibilità di raggruppare utenti o dispositivi indipendentemente dalla loro
locazione fisica
 Sicurezza, in quanto le VLAN possono essere configurate per comunicare tra loro con rigide regole
(o non comunicare affatto) e quindi isolare il traffico in base all’importanza.
 Performance, suddividendo una rete piatta di livello 2 in multipli domini di broadcast si riduce il
traffico non necessario all’ interno della sottorete.

Le VLAN sono definibili anche come domini di Broadcast, in quanto tutti gli hosts di una VLAN, che
dovrebbero appartenere a una stessa sottorete, potranno comunicare solo all’interno della stessa. La
comunicazione tra le VLAN (Inter-Vlan routing) viene delegata ai routers o a multilayer switch (detti anche
layer 3 switch) in grado di eseguire routing a layer 3.

Sugli switch cisco esistono due fasce di VLAN

 Range normale da 1 a 1005 (la vlan 1 rappresenta la Vlan di default sempre attiva e le vlan da 1002
a 1005 sono riservate per Token Ring e FDDI sempre attive) memorizzate nella flash dello switch
nel file vlan.dat
 Range esteso da 1006 a 4094 memorizzate in RAM (running config)

Ci sono diversi tipi di virtual LAN catalogabili come:

 statiche configurate per porta

 dinamiche configurate per indirizzo MAC tramite l’ interrogazione di un server VMPS (VLAN
Membership Policy Server); una volta che l’utente si sposta, lo switch riconosce il mac address e
automaticamente assegna la nuova porta dell’utente alla VLAN corretta.
Comandi di configurazione, monitoraggio e verifica delle vlan

Per configurare una VLAN si utilizzano i seguenti comandi:

Switch# configure terminal

Switch(config)# vlan vlan-id
Switch(config-vlan)# name vlan-name
Switch(config-vlan)# exit

Per cancellare una vlan

Switch# configure terminal
Switch(config)# no vlan vlan-id
Switch(config)# end

Una volta creata una VLAN, lo step successivo è quello di assegnare le porte che vogliamo alla VLAN; per
far ciò la procedura è la seguente:
- entrare in configurazione dell'interfaccia
- assegnare la VLAN

esempio: creazione VLAN 5 denominata Manager ed assegnarla alla porta FastEthernet0/1 che collega la
stazione dell’operatore 1

Switch#configure terminal
Switch(config)# vlan 5
Switch(config-vlan)# name Manager
Switch(config-vlan)# exit
Switch(config)# interface FastEthernet0/1
Switch(config-if)# description stazione-operatore-1
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 5
Switch(config-if)# no shutdown
Switch(config-if)# end

Con il seguente comando si ottengono le informazioni su tutte le vlan attive sullo switch e le porte associate
Switch# show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active Gi1/0/1, Gi1/0/3, Gi1/0/4
5 Manager active Fa1/0/2, Fa1/0/3, Fa1/0/5, Fa1/0/6
11 Reste-test active
100 Rete-laboratorio active Fa1/0/1, Fa1/0/4, Fa1/0/12, Fa1/0/13,
Fa1/0/16, Fa1/0/19, Fa1/0/24, Fa1/0/25
Fa1/0/32, Fa1/0/38, Fa1/0/40, Fa1/0/46
99 Management active Fa1/0/48
 Protocolli di trunking
Il trunking è un metodo per instradare il traffico di più VLAN su un unico link fisico. Viene implementato
tra due o più switch che gestiscono più Virtual LAN, e tra switches e dispositivi di routing, che si occupano
della comunicazione tra le VLAN. Esistono diversi protocolli ma lo standard di riferimento è il protocollo
IEEE 802.1q (detto anche dot1q) che grazie ad operazioni di tagging (marcatura), permette di identificare in
modo univoco a quale VLAN appartengono i frames.

Lo switch per inoltrare un frame su un link dot1q esegue il tagging del frame inserendo un identificatore di 4
bytes dopo i campi Destination e Source address per identificare il protocollo di trunking e l’id della Vlan
trasportata; successivamente esegue il calcolo del campo FCS sull’ intero frame per il controllo di errore.

Quando si definisce una porta come trunk questa può essere impostatata in una delle modalità seguenti:

 on forza la porta in trunk mode

 off forza la porta in non-trunk mode (access mode)
 auto (default) la porta diventa trunk se la porta vicina è on oppure desirable
 desiderable la porta diventa trunk se la porta vicina è on, desirable o auto
 nonegotiate non si invia alla porta vicina alcuna indicazione. Pertanto la porta vicina va configurata
manualmente come trunk (da utilizzare soprattutto per stabilire collegamenti in trunk tra switch cisco
e non cisco)

Di seguito la tabella delle combinazioni possibili:

Comandi di configurazione, monitoraggio e verifica del trunking

Configurazione modalità di trunk: esempio impostare trunk sull’ interfaccia fast 0/1
Switch# configure terminal
Switch(config)# interface FastEthernet0/1

Switch(config-if)# description link di connessione con switch remoto

Per attivare la modalità trunk incondizionata

Switch(config-if)# switchport mode trunk

Per attivare la modalità auto

Switch(config-if)# switchport mode dynamic auto (configurazione di default)
Per attivare la modalità desirable
Switch(config-if)# switchport mode dynamic desirable

Per attivare la modalità access incondizionata

Switch(config-if)# switchport mode access

Per disabilitare lo scambio di pacchetti DTP (comando necessario in caso di trunk tra switch cisco e switch
non cisco) e quindi la negoziazione del trunk
Switch(config-if)# switchport nonegotiate

la modalità trunk va poi impostata su entrambi gli switch con il comando Switchport mode trunk

Trasporto VLAN nel trunk

Il seguente comando abilita il trasporto della sola vlan X; di default il trunking è abilitato per tutte le vlan
Switch(config-if)# switchport trunk allowed vlan X

Il seguente comando abilita il trasporto di più VLAN indicando l’ intervallo con il trattino o le singole vlan
separate da virgola es:
Switch(config-if)# switchport trunk allowed vlan 10-50 (tutte le vlan da 10 a 50)
Switch(config-if)# switchport trunk allowed vlan 10,13,14,50 (solo le seguenti:quattro vlan 10,13,14,50)

Il seguente comando aggiunge alla lista delle vlan permesse il trasporto della vlan X
Switch(config-if)# switchport trunk allowed add vlan X

Il seguente comando rimuove dalla lista delle vlan permesse il trasporto della vlan X
Switch(config-if)# switchport trunk allowed remove vlan X

Il seguente comando definisce la vlan nativa untagged (default vlan 1)

Switch(config-if)# switchport trunk native vlan 99

Visualizzazione stato dei trunk

Il seguente comando visualizza lo stato dei trunk e le vlan trasportate per ogni interfaccia configurata
manualmente o dinamicamente come trunk
Switch# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/3 on 802.1q trunking 1

Port Vlans allowed on trunk

Fa0/1 1-1005
Fa0/3 1-1005

Port Vlans allowed and active in management domain

Fa0/1 1,10,20,30,99
Fa0/3 1,10,20,30,99

Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1,10,20,30,99
Fa0/3 1,10,20,30,99
Il seguente comando mostra la configurazione della sola interfaccia fastethernet 0/1:
 Virtual Trunking Protocol (VTP)
VTP, è un protocollo proprietario Cisco di livello 2 in grado di mantenere e aiutare a risolvere i problemi di
configurazioni delle VLAN in reti di grandi dimensioni, rendendo più agevoli i compiti dell’amministratore
riducendo gli errori umani. Gli switch Cisco utilizzano questo protocollo per scambiarsi informazioni di
configurazione sulle VLAN (riguarda solo i vlan id del range normale da 1 a 1005) mantenendo la
consistenza del database tra i vari dispositivi della rete. I Catalyst con sistema operativo IOS implementano
le versioni 1 (default) e 2 di VTP. Per garantire la compatibilità e la capacità di comunicazione tra i
dispositivi membri di un dominio VTP, essi devono anche “parlare” la stessa versione del protocollo, che va
specificato con questo apposito comando:
(config)#vtp version <number>

Le informazioni VTP si propagano sulle porte trunk per cui per far arrivare le definizioni di VLAN a tutti gli
switch questi devono essere collegati tra loro con dei collegamenti in trunk.

Dominio VTP
Gli switch che appartengono a uno stesso dominio possono comunicare tra di loro, e lo fanno tramite appositi
messaggi VTP, ovvero dei layer 2 frames inviati esclusivamente su link in trunk e formattati secondo il
trunking protocol in uso (802.1q). Per impostare il dominio il comando da usare è il seguente:
(config)#vtp domain <domain-name>

Modalità di funzionamento VTP

Quando si utilizza VTP ogni switch della rete va specificata la modalità di funzionamento che va
configurata con il seguente comando:
Switch(config)# vtp mode <client, server o transparent>

Le modalità possibili sono le seguenti:

 server (condizione di default): nello switch è possibile creare, cancellare o modificare VLAN; il
database delle VLAN viene salvato nella flash nel file vlan.dat.
 client: nello switch non è possibile creare, cancellare o modificare VLAN. Queste informazioni
vengono caricate da un VTP server e tenute in RAM (running config) dallo switch e aggiornate
successivamente in accordo con le modifiche fatte sempre sullo switch che ha il ruolo di VTP server.
 transparent: lo switch non utilizza VTP; inoltra i messaggi VTP agli altri switch client e server ma
ignora le informazioni contenute. Le VLAN vanno configurate in locale come sul server ma non c'è
la propagazione delle informazioni del proprio database delle VLAN che, come nel caso server,
viene salvato nella flash nel file vlan.dat
Revision Number
Come fanno gli switches a sapere se applicare o meno i cambiamenti ricevuti su una porta da un messaggio
VTP inoltrato da un altro switch? I messaggi VTP contengono un campo Revision Number; quando esso
riceve il frame esegue un match tra il numero che ha e quello contenuto nel messaggio. Se il secondo è più
alto, viene considerato più recente e corretto e quindi, la configurazione dev’essere aggiornata. Nel caso
contrario, un revision number più basso, fa sì che il frame VTP venga scartato e la configurazione mantenuta
com’è. Fare attenzione che introdurre in una nuova rete uno switch (sia in modalità VTP server che client)
con un numero di configurazione troppo elevato potrebbe far perdere la configurazione VLAN per tutta la
rete! Ogni nuovo switch è bene che abbia il configuration number azzerato e lo si può fare cambiando il
dominio di appartenenza e rimettendo quello corretto.

Stato di default di uno switch

Per default uno switch è in modalità server senza un dominio definito e con revision number pari a 0; se
questo riceve dei pacchetti VTP da un dominio assume automaticamente il dominio presente.

Sistema di Advertisement
I messaggi di advertisement di VTP vengono inviati dagli switches, su tutte le porte configurate in trunk,
verso un indirizzo multicast, in modo che ogni dispositivo interessato possa riceverli; quindi per far arrivare
le definizioni di VLAN a tutti gli switch questi devono essere collegati tra loro con trunk. La Vlan1 è
configurata di default sui Catalyst e viene utilizzata da VTP per l’ inoltro dei messaggi; è quindi d’obbligo
far “fluire” la VLAN1 su tutti i trunk e, dal punto di vista della sicurezza, è bene non utilizzarla per il traffico
dati e lasciarla invece come zona di traffico per gli advertisement di VTP. Esistono 3 tipi di messaggi VTP:
 Summary
 Subset
 Requests
I messaggi Summary vengono inviati di default ogni 5 minuti da Client e Server, mentre come abbiamo
detto, i Transparent li forwardano come li ricevono. L’advertisement raggiunge un altro switch, questo
matcha dapprima il nome di dominio; stabilito che questo è il proprio guarda il Revision Number; a questo
punto se il numero è più alto di quello contenuto nel proprio database, come già detto, lo switch decide che la
propria configurazione è obsoleta e va aggiornata: per far ciò invia un advertisement Request alla volta
dello Switch che ha lanciato il summary (l’indirizzo del quale legge nel Campo Updater identity del
summary), che a sua volta rimanda un nuovo advertisement, il Subset, contenente informazioni specifiche
sulle VLAN, nome del dominio VTP, revision number, versione usata. Grazie a questo messaggio lo switch
aggiorna i suoi dati di configurazione ed incrementa il proprio Revision Number.
Autenticazione
VTP permette di impostare una password (case-sensitive) utilizzata dall’algoritmo Md5 Digest su tutti gli
switches del dominio VTP. All’interno degli advertisement c’è un campo apposito che contiene il risultato
ottenuto dallo switch origine sul messaggio VTP; questo field viene considerato da ogni membro che esegue
la funzione MD5 con la propria password sul messaggio VTP ricevuto e controlla se il valore ottenuto è
uguale a quello trasportato nel field; in caso affermativo la fonte risulta attendibile. Il comando da dare per
impostare la password è il seguente:
Switch(config)#vtp password password
Pruning
Di default, VTP, inoltra tutto il traffico di tipo broadcast, multicast e unknown (ovvero i frames di cui ancora
lo switch non conosce la destinazione in accordo alla sua MAC address table detta anche CAM) su tutti i
trunk. Si tratta di un vero e proprio spreco di risorse, banda, in quanto il flood che ne deriva non è necessario
o lo è solo in parte. Per questo motivo, Cisco, implementa il Pruning: se una VLAN non è in utilizzo su un
certo trunk, è inutile che venga utilizzata con del traffico inutile. Il Pruning è disabilitato di default e può
essere abilitato per VLAN, sulle VLAN da 2 a 1000. La Vlan1, non è affetta dal pruning. Tutti i devices che
fanno parte del dominio VTP devono supportare il Pruning perché questo possa funzionare. Per abilitarlo
basta inserire tale comando su uno switch in VTP server:
Switch(config)#vtp pruning
Pruning switched on

Comandi di Monitoraggio e verifica

Switch# sh vtp status
VTP Version : 2
Configuration Revision : 5
Maximum VLANs supported locally : 255
Number of existing VLANs : 11
VTP Operating Mode : Server
VTP Domain Name : mia-rete
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x14 0x7D 0x43 0x82 0x58 0x25 0x20 0x8F
Configuration last modified by 172.17.99.31 at 3-1-13 00:07:28
Local updater ID is 172.17.99.32 on interface Vl99 (lowest numbered VLAN interface found)
In questo esempio:
 versione di VTP è la 2 (VTP V2 Mode : Enabled)

 la Configuration Revision è la 5 (5 modifiche fatte dal quando VTP server si crea il dominio)
 Il nome del dominio è mia-rete; la modalità di funzionamento è server; il pruning è disabilitato
 l’ indirizzo dello switch che ha fatto l’ ultima modifica è 172.17.99.32 alle 7:28 del 3/1/2013
(Configuration last modified by 172.17.99.31 at 3-1-13 00:07:28)

 Numero totali di Vlan sono 11 (5 di default sempre attive (1,1002,1003,1004,1005) + 6 aggiunte)