Tag: vlan

Ancora Vlan !!!

VLAN: la guida semplice per segmentare la tua rete (e perché dovresti farlo) ⚠️

Le VLAN (Virtual LAN) ti permettono di raggruppare computer sulla stessa rete fisica ma logicamente separati, come se avessi più reti diverse in un unico cablaggio. Ideale per uffici, scuole o anche per separare IoT e dispositivi personali a casa. Vediamo cosa sono e come funzionano!

Cos’è una VLAN? 🤔

Immagina il tuo switch di rete come un incrocio: tutti i cavi portano al centro. Senza VLAN, tutto quello che viene trasmesso su un collegamento (un “broadcast”) arriva a tutte le porte. Se c’è un dispositivo che manda traffico broadcast troppo spesso, può rallentare la rete per tutti.

Una VLAN crea dei “compartimenti” logici all’interno del tuo switch:

  • Dispositivi in VLAN diverse non si vedono direttamente tra loro (a meno che tu non lo configuri esplicitamente).
  • Broadcast rimangono confinati nella stessa VLAN, riducendo la congestione.

In pratica, più reti virtuali su un unico hardware fisico. 💪

Perché usare le VLAN? ✅

1. Sicurezza e isolamento

  • Separa PC dipendenti da server sensibili o dispositivi IoT.
  • Se una VLAN viene compromessa (es: Wi-Fi per ospiti), il danno è limitato a quella VLAN.

2. Gestione della rete più semplice

  • Raggruppa reparti (Contabilità, Vendite, HR) in VLAN separate.
  • Applica politiche di sicurezza e QoS diverse per ogni gruppo senza cambiare la cablatura.

3. Flessibilità e scalabilità

  • Sposta utenti tra uffici senza ripassare i cavi: basta cambiare l’assegnazione della VLAN al dispositivo o al port.
  • Aggiungi nuovi reparti, ospitati virtualmente (VM) o su server diversi, assegnandoli a nuove VLAN.

4. Ottimizzazione delle risorse di broadcast

  • Riduci il traffico broadcast complessivo, soprattutto in reti grandi.

Come funzionano dietro le quinte? ⚙️

Per far funzionare tutto questo, si usa IEEE 802.1Q, uno standard che aggiunge un “tag” speciale al frame Ethernet:

  • Il tag è un numero di 4 bit (chiamato VLAN ID), compreso tra 0 e 4095.
  • Lo switch guarda questo tag per decidere in quale VLAN mettere il traffico.
  • Dispositivi che non supportano 802.1Q vedono solo le VLAN configurate su di loro (o sul port).

Layer 2 vs Layer 3: cosa cambia?

  • Switch Layer 2 si limitano a fare forwarding in base al tag 802.1Q.
    • Ogni porta può essere assegnata a una o più VLAN.
    • Routing tra VLAN deve essere fatto da un router (o switch layer 3) con interfacce virtuali (SVI – Switch Virtual Interfaces).
  • Switch Layer 3 possono fare routing anche tra VLAN senza bisogno di router esterni.
    • Hanno SVI per ogni VLAN che fungono da router logiche.

Esempio pratico: configurazione base su switch

Prendiamo uno switch Layer 2 con porte 1–4 e 5–8, e vogliamo creare due VLAN: 10 (Uffici) e 20 (Ospiti).

Configurazione tipo:

interface GigabitEthernet0/1
 description Ufficio-PC1
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/2
 description Ufficio-PC2
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/3
 description Ospite-Laptop
 switchport mode access
 switchport access vlan 20

interface GigabitEthernet0/4
 description Ospite-Smartphone
 switchport mode access
 switchport access vlan 20

# VLAN config globale (spesso automatico, ma a volte serve)
vlan database
  range 1006 to 1023 default yes

Con questo:

  • PC1 e PC2 sono nella VLAN 10.
  • Laptop e smartphone in quella degli ospiti.
  • Se un PC della VLAN 10 manda traffico broadcast, lo vedono solo i dispositivi della stessa VLAN.

Riepilogo rapido delle VLAN ⏱️

CaratteristicaDescrizioneVantaggio principale
Cos’èRaggruppamento logico di porte su uno switchIsolamento, sicurezza
Tecnologia chiaveIEEE 802.1Q (tagging)Identifica a quale VLAN appartiene un frame
Broadcast domainRidotto alla singola VLANMeno congestione e miglior performance
Layer 2/3L2 = forwarding; L3 = routing tra VLANFlessibilità nella rete

Possibili insidie e come evitarle 🚧

  • Routing non configurato: se le VLAN devono comunicare, serve un router (o switch layer 3) con SVI.
    • Soluzione: abilita routing inter-VLAN sullo switch o usa un router/firewall per traffico tra VLAN.
  • Porte in VLAN multiple (trunk): possono creare loop o confusione se mal gestite.
    • Soluzione: usa STP/RSTP e configura correttamente le trunk ports (allowed vlan list).
  • Sovrapposizione di ID VLAN: due switch che usano lo stesso ID VLAN per scopi diversi creano conflitti.
    • Soluzione: pianifica bene gli ID VLAN in anticipo e documenta l’uso.

FAQ sulle VLAN ❓

  1. Le VLAN rallentano la rete? No, se ben configurate. Il traffico inter-VLAN (che passa per router/L3) può introdurre latenza, ma il routing interno alle VLAN è veloce.
  2. È possibile avere una VLAN “pubblica” e una privata su un unico switch? Sì: puoi assegnare una VLAN a tutti i port inaccessibili agli ospiti (es: 10), e un’altra solo a pochi port o wireless per gli ospiti (es: 20).
  3. Le VLAN funzionano anche con Wi-Fi? Assolutamente! I punti di accesso (AP) possono essere configurati per assegnare SSID diversi a VLAN diverse, creando reti separate (es: “ospiti” vs “aziendali”).
  4. Serve hardware speciale per usare le VLAN? No; la maggior parte degli switch moderni supporta 802.1Q e VLAN. L’unica cosa che cambia è la configurazione, non l’hardware.

Conclusione ✨

Le VLAN sono uno strumento potente e relativamente semplice per:

  • Migliorare la sicurezza della rete segmentando il traffico.
  • Ottimizzare le performance riducendo i broadcast in eccesso.
  • Aumentare la flessibilità per gestire nuovi dispositivi e reparti senza cambiare la cablatura fisica.