Introduzione

Nelle reti informatiche moderne è fondamentale garantire una gestione efficiente, sicura e organizzata del traffico dati. Una delle tecnologie che permette di ottenere questi risultati è la VLAN, acronimo di Virtual Local Area Network.

Si tratta di una rete locale virtuale che consente di suddividere una rete fisica in più segmenti logici indipendenti, anche se tutti i dispositivi si trovano collegati agli stessi apparati di rete. In questo modo è possibile gestire gruppi di utenti o reparti diversi come se fossero su reti fisiche separate.

Caratteristiche e vantaggi

L’utilizzo delle VLAN offre numerosi vantaggi in termini di organizzazione e sicurezza. Separando logicamente il traffico di rete, si evita che i pacchetti destinati a un determinato gruppo vengano ricevuti da altri utenti non autorizzati. Questo isolamento aumenta la sicurezza, poiché i dispositivi appartenenti a VLAN differenti non possono comunicare direttamente senza l’intervento di un router o di uno switch di livello 3. Inoltre, si ottiene una migliore efficienza della rete, grazie alla riduzione del traffico broadcast, e una maggiore flessibilità nella gestione: è possibile modificare la struttura logica della rete senza dover intervenire sulla cablatura fisica.

Configurazione delle porte di rete

Gli switch, dispositivi fondamentali per la gestione delle VLAN, possono configurare le proprie porte in due modalità principali: access e trunk.

• Le porte access appartengono a una sola VLAN e vengono utilizzate per collegare dispositivi finali come computer, stampanti o server.
• Le porte trunk, invece, sono progettate per trasportare contemporaneamente il traffico di più VLAN. In questo caso, i frame Ethernet vengono etichettati con un identificativo (tag) che specifica a quale VLAN appartengono.

Funzionamento e livelli OSI

Le VLAN operano principalmente al livello 2 del modello ISO/OSI, ovvero quello del Data Link, lo stesso livello degli switch Ethernet.

Quando si desidera permettere la comunicazione tra VLAN diverse, entra in gioco anche il livello 3, corrispondente al Network, dove avviene il cosiddetto inter-VLAN routing.

Dispositivi di rete e differenze di funzionamento

Per comprendere il ruolo delle VLAN è utile distinguere tra i diversi dispositivi di rete.

• Un hub, che lavora al livello 1 (Fisico), trasmette i dati in uscita su tutte le porte, risultando inefficiente e poco sicuro.
• Uno switch, che opera al livello 2 (Data Link), è in grado di inviare i pacchetti solo alla porta di destinazione corretta, migliorando notevolmente le prestazioni.
• Infine, il router, dispositivo di livello 3 (Network), permette la comunicazione tra reti diverse, comprese le VLAN, attraverso funzioni di routing.

Il protocollo di tagging IEEE 802.1Q

Quando più VLAN condividono lo stesso collegamento, è necessario un meccanismo che consenta di distinguere i pacchetti appartenenti alle varie reti virtuali. Questo compito è svolto dal protocollo di tagging IEEE 802.1Q, che inserisce all’interno del frame Ethernet un tag VLAN ID (VID).

Grazie a questo identificatore, gli switch sanno a quale VLAN appartiene ogni pacchetto e possono inoltrarlo correttamente solo sulle porte autorizzate.