Sistemi e Reti: Esplorazione delle VLAN e dei protocolli Ethernet

VLAN: Reti Locali Virtuali

SISTEMI E RETI 5º ANNO VLAN Definizione di Vlan: Tecnologia basata sullo standard 802.1Q che permette a host appartenenti a segmenti di rete fisicamente distinti di apparire connessi alla stessa rete logica. Logica: definita tramite configurazione software. I vantaggi sono una più semplice gestione della rete e miglioramento di sicurezza poiché il traffico sulle vlan rimane isolato e aumento dell'efficienza. Quindi ci aiuta anche a separare postazioni collegate sulla stessa rete fisica in più reti logiche distinte scollegate tra loro. Il una vlan, gli amministratori di rete hanno il controllo su ogni porta e su ogni risorsa accessibile tramite quella prota. Per la comunicazione tra diverse vlan è necessaria la presenza di un router. àaumento sicurezza.

Comportamento e Vantaggi delle VLAN

Come si comporta una vlan ?: Ciascuna VLAN si comporta come se fosse una rete locale separata dalle altre dove i pacchetti broadcast sono confinati all'interno di essa, cioè la comunicazione a livello 2 è confinata all'interno della VLAN e la connettività tra diverse VLAN può essere realizzata solo a livello 3, attraverso routing. Vantaggi:

• risparmio: sulle stesse strutture fisiche si realizzano nuove VLAN secondo i fabbisogni del momento, con notevole risparmio di tempo e di denaro;
• aumento di prestazioni: il frame non viene propagato verso le destinazioni che non hanno necessità di riceverlo grazie al confinamento del traffico broadcast alle singole VLAN;
• aumento della sicurezza: una utenza può vedere solo il traffico della propria VLAN e non delle altre, anche se condividono lo stesso hardware di connessione;

Assegnando le diverse porte di uno switch ad un gruppo di vlan si ha la flessibilità di aggiungere/togliere utenti da una vlan a prescindere della loro posizione fisica nella rete. Se una vlan cresce troppo in numero di host possiamo facilemnte creare nuove vlan che limitino il consumo di banda.

Concetti di Rete: Broadcast e Dominio di Broadcast

Broadcast: è un metodo di trasmissione di dati in una rete informatica in cui un messaggio viene inviato da un dispositivo a tutti gli altri dispositivi della stessa rete o subnet. In una trasmissione di broadcast, un pacchetto di dati è indirizzato a un indirizzo di broadcast specifico, e tutti i dispositivi che ricevono quel pacchetto possono processarlo, mentre solo il destinatario specificato in un'invio unicast lo elaborerebbe. Definizione di Dominio di Broadcast: parte di rete all'interno della quale diversi host di una stessa subnet comunicano tra di loro senza dover attraversare un router. In altre parole, quando un dispositivo invia un messaggio di broadcast, tutti gli altri dispositivi all'interno dello stesso dominio di broadcast possono riceverlo.

Frame Ethernet: Struttura e Protocolli

Frame Ethernet (livello 2 data-link): a livello fisico i dati vengono trasmessi sotto forma di frame e non packet, che permettono di separare il flusso di dati in unità facilmente controllabili.

Frame Ethernet 802.3

Frame Ethernet 802.3: Composto da DESTINATARIO | MITTENTE | LUNGHEZZA/TIPO | DATI/PAD | FCS

• DESTINATARIO: indirizzo mac di destinazione (48 bit) che può essere: UNICAST indirizzo mac univoco dell' adattatore NIC del destinatario. BROADCAST: tutti i bit a 1. MULTICAST: il primo bit è 1.
• MITTENTE: indirizzo mac di origine: indirizzo univoco della stazione mittente. . LUNGHEZZA/TIPO: due byte che indicano il tipo di pacchetto.
• DATI/PAD: corpo del messaggio (da 46 a 1500 byte di dati). Se i dati sono meno di 46 interviene il PAD (riempitivo) di zeri in modo da arrivare a 46 byte.
• FRAME CHECK SEQUENCE: sequenza di controllo del frame, ovvero 4 byte per controllare l'integrità del frame (tramite CRC-32 calcolato usando il polinomio AUTODIN II (controllo di ridondanza ciclica a 32 bit)) Frame Ethernet 802.3 Destination Source 6 6 Type 2 Data and Pad 46 - 1500 FCS 4

Frame Ethernet 802.1Q

Frame Ethernet 802.1Q: Il protocollo 802.1Q è uno standard definito dall'IEEE per la gestione delle VLAN (Virtual Local Area Networks) in reti Ethernet. Questo protocollo rispetto al 802.3 aggiunge 4 byte al frame ethernet usato dalle vlan aggiunge 4 byte (32 bit): Frame Ethernet 802. 1Q new field DA SA Tag Type / Length Data FCS 6 6 4 2 Up to 1500 4 bytes Tag Control Information (TCT) TPID Priority CFI VID 16 3 1 12 bits Tag Protocol Identifier (Typically 0x8100 (default),0x9100 or 0x9200) 802.1 p priority levels (0 to ) Canonical Format Indicator 0 = canonical MAC Unique VLAN identifier (0 to 4095) 1 = non - canonical MAC 12 bits, 4096 theorical ports

L'ultimo byte (12 bit) permettono di capire la vlan a cui si riferisce. VAN ID= 12 bit, 4096 porte teoriche quindi possiamo avere fino a 4096 vlan diverse, ma alcune riservate e non disponibili:

1. è quella a cui, di default, sono assegnate tutte le porte dello switch;
2. è usata per scopi interni; altri id sono riservati dai singoli costruttori.

Porte Trunk e Access (Tagged e Untagged)

Porte Trunk e Access (tugged e untugged): le porte di uno switch impostate su tugged (trunk) permettono la comunicazione tra due switch, tramite queste porte si trasmette il traffico di tutte le vlan selezionate in configurazione. Quando un frame viene inviato attraverso una porta trunk, il protocollo 802.1Q aggiunge un tag di 4 byte (contenente l'ID VLAN) al frame Ethernet. Le porte untagged (access) permettono la comunicazione tra un host e uno switch, la porta dello switch connessa all'host, in configurazione avrà solo la vlan di cui fa parte quell'host. Es. LIMITARE UTENZA IN ACCESSO A UN SERVER: Le nostre vlan sono: vlan10, vlan20 e vlan30, se dobbiamo garantire accesso ad un server solo a vlan10 e vlan20, colleghiamo lo switch al server tramite porta trunk e in essa selezioniamo la vlan 10 e la vlan20, in questo modo permettiamo la trasmissione solo ai frame di queste vlan e non della vlan30 che rimane esclusa. La stessa cosa può essere fatta per accesso a internet. Ricordiamo che per accesso a internet abbiamo bisogno di un router connesso a uno switch sempre con porta trunk. Sono dette tugged perché sono in grado di interpretare i 4 byte aggiuntivi del frame. Possono identificare a quale VLAN appartiene il frame e inoltrarlo correttamente alle VLAN appropriate. Sono dette untugged perché non sono in grado di interpretare i 4 byte aggiuntivi del frame.

Operazioni di Strip e Tagging

• Quando uno switch riceve un frame da un host tramite una porta access: o Il frame non contiene il tag VLAN (perché gli host non aggiungono i tag) e lo switch lo inoltra direttamente alla VLAN configurata sulla porta access. . Quando uno switch invia un frame a un host tramite una porta access: O Lo switch rimuove (o "strippa") il tag VLAN dal frame prima di inviarlo all'host. L'host riceve quindi il frame senza il tag. . Quando uno switch riceve un frame da un altro switch tramite una porta trunk: o Il frame contiene il tag VLAN. Lo switch utilizza le informazioni nel tag per instradare il frame nella VLAN corretta.
• Quando uno switch invia un frame tramite una porta trunk a un altro switch: o Lo switch aggiunge il tag VLAN al frame, in modo che il dispositivo di destinazione possa interpretare correttamente a quale VLAN appartiene il frame.

Punti di Vista su Tagging e Untagging

Punti di Vista

• Dal punto di vista dello switch: O La porta trunk può vedere e gestire più VLAN grazie ai tag presenti nei frame. o La porta access è limitata a una sola VLAN, e quindi non gestisce tag VLAN.
• Dal punto di vista dell'host:O L'host connesso a una porta access non è consapevole dei tag VLAN e riceve solo il frame Ethernet "pulito", senza tag. VLAN - Le porte Trunk : permettono la comunicazione tra switch o tra altri apparati attivi. Trunk Port Trunk Port VLAN 11 VLAN 11 Switch 1 Switch 2 Switch 3 Trunk Port Trunk Port VLAN 13 VLAN 10 VLAN 10 VLAN 13 VLAN 10 VLAN 11 VLAN 10 VLAN 13

Switching, Forwarding e Routing

1. Switching

• Definizione: Lo switching avviene a livello di collegamento dati (Livello 2 del modello OSI) e riguarda il trasferimento di un datagramma all'interno di uno switch. Un datagramma, o frame, viene trasferito da una porta di ingresso dello switch a una porta di uscita specifica, in base all'indirizzo MAC (Media Access Control) del destinatario.
• Esempio: Se due computer (A e B) sono connessi allo stesso switch e A invia dati a B, lo switch, tramite il processo di switching, esamina l'indirizzo MAC di destinazione e inoltra il frame attraverso la porta che è associata al MAC di B. Questo avviene tutto a livello 2 e rimane all'interno dello switch.
• Obiettivo: Lo scopo dello switching è fornire comunicazione diretta tra dispositivi all'interno della stessa rete, come segmenti di rete locale (LAN). Inoltre, gli switch possono essere configurati per informare di eventuali accessi non autorizzati a risorse di rete. Gli switch possono anche applicare politiche di controllo diversificate per ogni vlan. Possono bloccare o meno alcuni pacchetti, possono far passare tramite porte trunk solo frame di determinate vlan configurate tramite software sulla porta trunk.

2. Forwarding

• Definizione: Il forwarding si riferisce al processo di inoltro di un datagramma (pacchetto di dati) da un dispositivo di rete al successivo nel percorso verso la destinazione. Può avvenire a livello 2 (collegamento dati) o a livello 3 (rete). A differenza dello switching, il forwarding può implicare l'invio del datagramma a un altro dispositivo, come uno switch, un router o un altro nodo di rete, non necessariamente all'interno della stessa rete.
• Esempio: Se un dispositivo (ad esempio, uno switch o un router) riceve un pacchetto da un host e decide di inoltrarlo al prossimo nodo di rete (che potrebbe essere un altro switch, router o host), sta avvenendo il forwarding. Questo processo può continuare fino a quando il pacchetto raggiunge la destinazione finale.
• Obiettivo: Il forwarding consente il movimento di pacchetti lungo un percorso tra reti o dispositivi diversi.

3. Routing

• Definizione: Il routing avviene a livello di rete (Livello 3 del modello OSI) e riguarda il processo decisionale che un router utilizza per determinare il percorso migliore da prendere per inoltrare un pacchetto di dati verso la destinazione finale. Il router utilizza la tabella di routing, che contiene informazioni sulle possibili reti di destinazione e sulle rotte disponibili.
• Esempio: Se un computer A sta inviando un pacchetto a un computer B situato in una rete diversa, il router (dispositivo di livello 3) analizza l'indirizzo IP di destinazione nel pacchetto e consulta la sua tabella di routing per decidere quale sia il miglior percorso per inoltrare quel pacchetto. Il router può quindi inviare il pacchetto al successivo router o dispositivo che lo porterà più vicino alla destinazione.
• Obiettivo: Il routing è essenziale per determinare come i pacchetti di dati si spostano attraverso reti interconnesse, come Internet, e assicurarsi che raggiungano la destinazione giusta anche attraverso percorsi complessi.