Cos'è una VLAN e Perché Usarla?

Cos'è una VLAN e Perché Usarla?

Una VLAN (Virtual Local Area Network) è una tecnologia di rete che permette di dividere logicamente una rete fisica in
più reti virtuali isolate, anche se i dispositivi sono connessi allo stesso switch o infrastruttura fisica. In pratica, crea "reti
separate" all'interno di una singola rete, migliorando la sicurezza, la gestione del traffico e l'efficienza. Ad esempio, in
un'azienda, potresti avere una VLAN per il reparto vendite, una per l'amministrazione e una per gli ospiti, in modo che i
dispositivi di un gruppo non possano accedere direttamente a quelli di un altro, riducendo i rischi di attacchi o broadcast
eccessivi.

Le VLAN operano a livello 2 del modello OSI (Data Link Layer) e sono definite dallo standard IEEE 802.1Q. Senza VLAN,
tutti i dispositivi su uno switch formano un unico dominio di broadcast, dove i pacchetti broadcast (come ARP)
raggiungono tutti. Con le VLAN, ogni VLAN è un dominio di broadcast separato.

Come Funzionano le VLAN: Spiegazione Dettagliata

Le VLAN funzionano assegnando un identificatore (VLAN ID o VID) a ciascun frame Ethernet che transita sulla rete.
Questo ID è un numero da 1 a 4094 (con 1-1005 standard e il resto esteso). Ecco i concetti chiave:

 1. Porte Access e Trunk:
         Porte Access: Sono porte su uno switch assegnate a una specifica VLAN. Un dispositivo connesso a una porta
         access (es. un PC) invia frame "untagged" (senza tag VLAN). Lo switch aggiunge il tag VLAN corrispondente
         quando il frame entra nella rete e lo rimuove quando esce verso il dispositivo. Questo rende la VLAN
         trasparente per il dispositivo finale.
         Porte Trunk: Sono porte che trasportano traffico da più VLAN contemporaneamente. Usano il tagging 802.1Q
         per aggiungere un header di 4 byte al frame Ethernet, che include il VLAN ID. Questo permette a switch
         multipli di condividere VLAN su un singolo link fisico (es. tra due switch). La VLAN nativa (di solito VLAN 1) è
         untagged sui trunk.
 2. Tagging e Untagging:
         Quando un frame entra da una porta access, lo switch "tagga" il frame con il VID della VLAN assegnata.
         Sui trunk, i frame taggati viaggiano tra switch.
         All'uscita su una porta access, il tag viene rimosso (untagging).
         Esempio: Immagina due PC, A e B, su VLAN 10, e un PC C su VLAN 20, tutti sullo stesso switch. Un broadcast
         da A raggiunge solo B (stesso dominio), non C. Se A invia a C, serve un router (Layer 3) per il routing inter-
         VLAN.
 3. Domini di Broadcast e Isolamento:
         Ogni VLAN è un broadcast domain isolato: i pacchetti broadcast rimangono all'interno della VLAN.
         Migliora le performance riducendo il traffico inutile e aumenta la sicurezza (es. un virus in una VLAN non si
         propaga facilmente).
         Per comunicare tra VLAN, serve un router o uno switch Layer 3 (con "router on a stick" o SVI - Switch Virtual
         Interface).
 4. Tipi di VLAN:
         Statiche (Port-based): Assegnate manualmente alle porte.
         Dinamiche (VMPS o 802.1X): Basate su MAC address o autenticazione utente.
         Voice VLAN: Per VoIP, spesso configurata separatamente.

Ecco un diagramma di esempio per visualizzare una rete con VLAN:

In questo diagramma, vedi come uno switch fisico è diviso in VLAN multiple, con trunk che connettono a un router per il
traffico inter-VLAN.

Esempio Pratico di Funzionamento: Supponi un ufficio con 10 PC e uno switch. Senza VLAN, un broadcast da un PC
raggiunge tutti, saturando la rete. Con VLAN:

      VLAN 10 (Vendite): Porte 1-5.
      VLAN 20 (Amministrazione): Porte 6-10. Un PC su porta 1 (VLAN 10) invia un frame a un PC su porta 3 (stessa
      VLAN): lo switch forwardinga direttamente. Se invia a porta 7 (VLAN 20): lo switch non forwardinga; serve un
      router configurato con sub-interfacce (es. su un trunk port) per routare tra 192.168.10.0/24 (VLAN 10) e
      192.168.20.0/24 (VLAN 20).

Un altro esempio: In una scuola, VLAN per studenti (con accesso limitato) e insegnanti (accesso completo). Un attacco da
uno studente rimane isolato.

Come Creare le VLAN: Passi Dettagliati con Esempi
La creazione di VLAN avviene tipicamente su switch managed (es. Cisco, TP-Link, Netgear). Userò esempi su Cisco IOS
(comando CLI), comune in ambienti enterprise, ma i principi sono simili altrove. Assumi di avere accesso allo switch via
console o SSH.

Passi Generali:

 1.   Pianifica: Decidi VLAN ID, nomi, porte assegnate e IP subnet. Es. VLAN 10: "Vendite", subnet 192.168.10.0/24.
 2.   Accedi allo Switch: Entra in modalità privilegiata (enable).
 3.   Crea VLAN: Usa comandi per definire VLAN.
 4.   Assegna Porte: Configura porte come access o trunk.
 5.   Configura Trunk (se multi-switch): Per collegare VLAN tra switch.
 6.   Verifica: Controlla con show commands.
 7.   Routing Inter-VLAN (opzionale): Su router o switch L3.

Esempio su Switch Cisco:

Supponi uno switch Cisco Catalyst con IOS. Configuriamo due VLAN: 10 (Vendite) e 20 (Amministrazione).

Switch> enable
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.

! Crea VLAN 10 e 20
Switch(config)# vlan 10
Switch(config-vlan)# name Vendite

Switch(config-vlan)#   exit
Switch(config)# vlan   20
Switch(config-vlan)#   name Amministrazione
Switch(config-vlan)#   exit

! Assegna porte access: Porte 1-5 a VLAN 10, 6-10 a VLAN 20
Switch(config)# interface range FastEthernet0/1 - 5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit

Switch(config)# interface range FastEthernet0/6 - 10
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# exit

! Configura una porta trunk (es. porta 24 per connettere a un altro switch o router)
Switch(config)# interface FastEthernet0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20 ! Permetti solo queste VLAN
Switch(config-if)# switchport trunk native vlan 1     ! VLAN nativa untagged
Switch(config-if)# exit

! Salva configurazione
Switch(config)# end
Switch# write memory

Verifica:

     show vlan brief: Mostra VLAN create e porte assegnate.
     show interfaces trunk: Mostra trunk e VLAN allowed.
     Esempio output per show vlan brief:
     text

     VLAN   Name                               Status      Ports
     ----   --------------------------------   ---------   -----------------------------
     1      default                            active      Fa0/11, Fa0/12, ...
     10     Vendite                            active      Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5
     20     Amministrazione                    active      Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10

Per routing inter-VLAN su un router connesso al trunk:

Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10 ! 802.1Q tagging per VLAN 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit

Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0

Ecco un altro diagramma che illustra la configurazione con trunk e access ports:

Esempio su Switch Non-Cisco (es. TP-Link GUI):

 1.   Accedi all'interfaccia web (es. 192.168.0.1).
 2.   Vai a "Switching" > "VLAN" > "802.1Q VLAN".
 3.   Crea VLAN: Aggiungi VLAN 10, assegna porte 1-5 come "Untagged" (access).
 4.   Per trunk: Assegna porta 24 come "Tagged" per VLAN 10 e 20. Simile ai passi CLI, ma tramite interfaccia grafica.

Considerazioni Avanzate e Problemi Comuni

      Sicurezza: Usa VLAN private (PVLAN) per isolare ulteriormente porte nella stessa VLAN.
      Scalabilità: Fino a 4094 VLAN, ma in pratica limita a poche decine.
      Problemi: Errore comune: Dimenticare di permettere VLAN sui trunk, causando isolamento. O mismatch di VLAN
      nativa.
      Vantaggi: Riduce costi (meno hardware), facilita gestione.