Nascono dal problema di non voler vincolare la topologia fisica e quella logica.
#Ricorda:
- hub - non differenziano nè dominio di collisione nè dominio di broadcast
- switch - differenziano il dominio di collisione ma non il dominio di broadcast
- router - differenziano entrambi
#Nota i requisiti funzionali servono per fare funzionare le cose e vanno rispettati come vincoli imposti. I requisiti non funzionali non alterano il funzionamento del sistema ma sono spesso "utili". I requisiti non funzionali fondamentali dell'informatica sono:
- performance
- sicurezza
#x022 Eg. voglio suddividere il laboratorio in due reti: computer di destra e computer di sinistra. La topologia logica influenzerebbe quella fisica: devono aggiungere uno switch. Con le VLAN si può realizzare con un solo switch: alternativa funzionale alla precedente; si crea un problema non funzionale di sicurezza (e di performance, in quanto il dominio di broadcast si allarga).
Ad esempio, nella figura, i messaggi broadcast ethernet possono essere ricevuti da tutti i dispositivi della rete. Violazione del dominio di broadcast. Un semplice switch porta problematiche di sicurezza: quando un attaccante ha accesso a LV2 può essere molto rischioso.
#Attenzione le VLAN non cercano di risolvere un problema funzionale.
Esistono diverse logiche di assegnazione delle VLAN:
- LV 1 - ogni porta dello switch è associata a una o più VLAN
- LV 2 - mac address del frame
- LV 3/4 - uno sw potrebbe ispezionare l'IP e decidere in base a questo decidere su quali porte inoltrare il frame
Come collego di dispositivi terminali allo switch? ne sono consapevoli?
Usato per segmenti di rete VLAN-unaware. Tagging e untagging sono effettuati dal bridge
La VLAN è trasparente al nodo terminale. Lo sw ne è cosciente, ma non i dispositivi terminali. Scelta preferita per nodi terminali che non supportano le VLAN o che non necessitano di risiedere su più reti.
Tutti i dispositivi connessi sono VLAN-aware
Perché sono necessari i trunk? immagina un router con due IP, appartenenti a due reti - e quindi a due VLAN - differenti. Questo router vuole comunicare su entrambe le reti. Ho uno switch di che fa tagging solo con LV1 (non è in grado di ispezionare IP DST di LV3). Sarà quindi il router a taggare i frame per indicare a quale VLAN il pacchetto è indirizzato.
Estensione del protocollo Ethernet (802.3) che aggiunge all'header il campo type. Protocollo usato sui trunk links.
Il dispositivo terminale inserisce tra il campo SRC MAC e LENGTH un campo a 4 byte chiamato 802.1q header. Il campo più importante è TPID: Tag Protocol ID che, quando posto a 0x8100, permette di identificare il frame come taggato; Il campo VID - VLAN Identifier - conterrà il numero di VLAN (campo a 12 bit che permette ID da 0 a 4095, con i due estremi riservati)
#Nota è una scelta forzata (l'utilizzo del trunk) per il collegamento di un dispositivo terminale che sta su più reti.
Collegamenti misti sulla stessa if di rete.
Ad esempio l'if di un router potrebbe essere configurata contemporaneamente in trunk e access. Quando i frame non sono taggati usa la VLAN di default - attenzione: ne esiste uno solo di default, altrimenti il tag del trunk link.
#Nota vengono anche chiamate VLAN tagged (trunk) e untagged (access)