Una VLAN (Virtual Local Area Network) è utilizzata per creare più domini di broadcast. Per impostazione predefinita, lo switch dispone di un unico dominio di broadcast poiché tutte le porte sono assegnate alla VLAN predefinita, ossia la VLAN 1. Per impostazione predefinita, tutte le porte sono assegnate alla VLAN 1 (in blu). Di conseguenza tutti i tipi di traffico da PC-1 raggiungeranno PC-2. Una broadcast storm su PC-1 influirà sulle prestazioni di PC-2 (Figura 1 (solo in inglese)).
Figura 1. Figura 1: Rappresentazione di una VLAN nella configurazione predefinita.
Lo switch è diviso in due VLAN identificate come VLAN blu e VLAN arancione. PC-1 non sarà in grado di comunicare con PC-2 poiché si trovano in VLAN differenti (Figura 2 (solo in inglese)). Di conseguenza il traffico broadcast da PC-1 sarà raggiungibile per i dispositivi presenti solo nella VLAN blu e non per quelli nella VLAN arancione. È necessario implementare il routing tra le VLAN affinché il traffico da PC-1 raggiunga PC-2, tuttavia il traffico broadcast non raggiungerà PC-2 poiché il routing del traffico avviene nella VLAN e i router bloccano la trasmissione. Figura 2: Rappresentazione di uno switch dopo la creazione di una VLAN
La VLAN consente la segmentazione dello switch in più domini di broadcast. Poiché il traffico broadcast avrà un notevole impatto sulle prestazioni della rete, la VLAN consente di applicare restrizioni per il dominio di broadcast. La VLAN consente anche di applicare restrizioni di accesso. Ad esempio, utilizzando una VLAN è possibile arrestare le comunicazioni di rete tra reparti separati dell'azienda (ad esempio, vendite e produzione).
Un caso di utilizzo reale per la VLAN è descritto di seguito:
Use case-1
La VLAN 10 e la VLAN 20 sono configurate in un PC Dell 8164. Le porte da 1 a 10 sono assegnate alla VLAN 10 e le porte da 11 a 20 sono assegnate alla VLAN 20. Un computer nella VLAN 10 è infettato da un virus e invia traffico broadcast che influisce sulle prestazioni della rete. Dal momento che sono state configurate le VLAN, il traffico broadcast verrà diretto solo ai dispositivi nella VLAN 10 e non verrà inoltrato ai dispositivi nella VLAN 20.
Nel caso di utilizzo precedente, poiché lo switch è stato diviso in più domini di broadcast, i dispositivi nella VLAN 20 sono protetti dal traffico broadcast che potrebbe arrivare tramite la VLAN 10.
Le VLAN sono indicate dagli ID VLAN (VLAN Identifier). Gli ID VLAN sono valori numerici compresi tra 1 e 4096 e sono classificati come mostrato di seguito,
Poiché sono stati assegnati 12 bit per il campo dell'ID VLAN nell'intestazione VLAN 802.1Q, non è possibile estendere l'intervallo di VLAN oltre 4096. Gli ID VLAN 1 e 4096 sono riservati e non possono essere utilizzati per l'inoltro del traffico.
Le seguenti operazioni consentono di creare una VLAN sullo switch
Per impostazione predefinita tutte le porte nella VLAN 1 (Figura 3 (solo in inglese)) mostrano l'output di "show vlan" nello stato predefinito. Per creare una VLAN è necessario utilizzare il comando vlan come mostrato nella (Figura 4 (solo in inglese)). Assegnare un nome alla VLAN è opzionale; se non si assegna un nome alla VLAN, questa avrà un nome generato dal sistema. Se viene creata la VLAN 10, il sistema assegnerà il nome VLAN0010. Assegnare alla VLAN un nome descrittivo per renderne più semplice l'identificazione. La (Figura 4 (solo in inglese)) mostra l'uso del comando name per descrivere una VLAN. Per verificare e visualizzare l'elenco di VLAN presenti nello switch, è possibile utilizzare il comando show vlan come mostrato nella (Figura 5 (solo in inglese)).
Figura 3. Figura 3: Output del comando Show Vlan da una N4032.
Figura 4. Denominazione VLAN 10 come vendite
Figura 5. Figura 5: Output di Show Vlan dopo la creazione della VLAN 10
L'importante operazione finale per la creazione di una VLAN consiste nell'assegnare le porte. Le porte possono essere configurate in modo da contrassegnare o meno le informazioni sulla VLAN. La Figura 6 (solo in inglese) mostra l'assegnazione della porta Tengigabitethernet 1/0/1 alla VLAN 10. La porta è configurata come porta di accesso, pertanto, quando il traffico viene inviato dalla porta alla workstation, lo switch rimuoverà il tag della VLAN e, quando il traffico viene inviato dalla workstation allo switch, la porta inserirà il tag 10 sulla VLAN.
Figura 6. Assegnazione della porta TE1/0/1 a VLAN 10
Gli switch Layer 3 (L3) sono in grado di eseguire il routing. Il routing tra VLAN consiste nel far passare il traffico tra due VLAN differenti. Dal momento che in questo caso per il traffico viene eseguito il routing e non lo switching, il traffico di broadcast non verrà inoltrato tra le VLAN.
L'interfaccia L3 è un'interfaccia logica con ID VLAN. La Figura 7 (solo in inglese) mostra la configurazione dell'interfaccia L3 per la VLAN 10.
Figura 7. Creazione di VLAN interfaccia L3 10
È possibile utilizzare il comando "show ip interface" per visualizzare le interfacce L3 configurate come mostrato nella Figura 8 (solo in inglese).
Figura 8: Output dell' interfaccia di visualizzazione IP
Nota: Le prestazioni di rete possono essere sottoposte a test utilizzando Iperf come a cui si fa riferimento nel modo in cui testare la larghezza di banda di rete disponibile conl'ID dell'interfaccia L3' Iperf '
I sistemi basati su FTOS utilizzano il comando "interface vlan X" (dove X è l'ID VLAN) per creare la VLAN. Il comando "untagged switchport X" (dove X è il numero di porta) viene utilizzato per assegnare una porta alla VLAN. La Figura 9 (solo in inglese) mostra l'output della configurazione di una VLAN da un sistema basato su FTOS.
Figura 9: Figura 9: Configurazione di una VLAN L2 su un sistema FTOS
Le informazioni sulla VLAN sono presenti nel cladding 802.1Q del frame. Un frame viene definito taggato con ID VLAN se contiene le informazioni dell'intestazione 802.1Q. I frame taggati vengono inviati ai dispositivi in grado di comprendere le informazioni sulla VLAN.
Ad esempio, il collegamento tra due switch include frame taggati poiché gli switch sono in grado di riconoscerli, mentre il frame per una workstation non è taggato perché la workstation non li riconosce.
I frame non taggati implicano che le informazioni sulla VLAN vengono rimosse dallo switch prima della trasmissione del frame dalla porta e che il cladding 802.1Q non sia presente.