VLAN: dati e voce nella stessa rete

vlan-mr-serviceQualunque amministratore di rete o sistemista oggi ha a che fare con la configurazione delle VLAN per svariati motivi. La necessità di gestire la zona server in sicurezza limitando l’accesso da specifiche porte dello switch. La necessità di suddividere la rete fra la produzione e l’amministrazione per non avere tutto il traffico broadcast e multicast che intasa i link fra gli switch. O più semplicemente si vuole implementare una soluzione di telefoni IP connessi al sistema telefonico senza intaccare la rete dati già presente in azienda.

Abbiamo precedentemente visto cosa sono e perché si dovrebbero usare le VLAN ma oggi vogliamo entrare più nello specifico di un caso reale che abbiamo seguito ultimamente.

Si tratta di un’azienda che ha al suo interno tre tipologie di utenti più il sistema telefonico IP. In questo scenario partiamo dalla creazione di 4 VLAN separate che segmentano la rete e proteggono ogni sezione vietando l’accesso a livello 2 quindi risultando invisibili gli uni agli altri:

  • VLAN 100 Amministrazione
  • VLAN 200 Produzione
  • VLAN 300 Ospiti
  • VLAN 10 Voce

Replicando la configurazione su tutti gli switch della rete o usando un sistema di provisioning che aggiorna in modo automatico gli apparati come la suite Omnivista 2500 di Alcatel-Lucent è possibile avere ogni utente e ogni porta nella corretta rete VLAN. Oltre a separare a livello 2 le reti questo sistema permette di attivare il primo punto per la sicurezza sicurezza interna.

Infatti se un PC o uno smartphone di un ospite fosse infettato da un virus e cercasse di espandere la propria presenza in rete tramite software o bot automatici, non potrebbe assolutamente danneggiare nessuno che sia al di fuori della propria VLAN. Se pensate che questo cliente ha 35 macchine utensili tutte connesse in rete potete capire quanto sia dannoso fermare il lavoro per un semplice virus arrivato via mail.

DI norma ad ogni VLAN si associa anche un rete IP differente così da poter separare a livello 3 le connessioni che transitano negli switch. Non è di vitale importanza farlo ma se avrete la necessità di far parlare un host della VLAN 100 con uno della VLAN 10 potrete usare le opzioni di routing degli switch per abilitare questo percorso senza diminuire la sicurezza generale della rete.

Assegnazione delle porte alle VLAN. E’ il punto più importante da progettare e da mantenere nel tempo.

La nostra rete è creata e configurata ad-hoc per gestire i diversi servizi interni e le diverse tipologie di utenti. Dobbiamo però decidere come assegnare le singole porte alle diverse reti e VLAN. Ci sono sostanzialmente due modi per farlo:

  • ASSEGANZIONE STATICA
  • ASSEGANZIONE DINAMICA

Statica: come è facile intuire si configura ogni singola porta nella VLAN corretta per ogni switch e da quel momento qualunque dispositivo sarà connesso entrerà nella rete con il VLAN TAG predisposto sulla porta. Questo è il primo metodo sviluppato nei vari prodotti e ancora oggi viene usato per tutti quei dispositivi che non possono taggare i pacchetti in modo autonomo come i server, pc datati, smartphone.

Dinamica: questa metodologia aiuta gli amministratori di rete a creare regole che in base al filtro applicato assegnano una porta ad una VLAN rispetto ad un’altra. In questo caso non andremo a dire che la porta 3 è nella VLAN 100 ma sarà il traffico che passa su quella porta a far scattare il filtro che assegnerà la porta 3 sempre alla VLAN 100. Questa metodologia di assegnazione è ottima per i telefoni IP, le video camere IP, le stampanti e gli Access Point. Si ha anche la possibilità di spostare utenze da una porta ad un’altra mantenendo la configurazione corretta.

Magari non lo sapete ma tutti i sistemi che vengono connessi ad una rete o accesi per la prima volta usano una specifica VLAN di default che ci permette di parlare senza dover configurare nulla. La VLAN 1 infatti è la vlan di default che i costruttori configurano di base nei prodotti. Ogni porta di uno switch è configurata e assegnata alla VLAN 1 e questo ci permette di essere operativi da subito.

Ricordatevi sempre di usare le VLAN per segmentare la vostra rete, progettate e realizzate reti sicure a partire dal livello 2 in modo da non trovarvi un giorno con un’azienda che non riesce più a parlare con l’esterno o peggio ancora sotto attacco dai più noti sistemi di intrusione Ransomware di oggi.