VLAN come configurarle e perché

VLANOggi vogliamo parlare di un aspetto del networking che spesso viene sottovalutato o ritenuto solo per grandi realtà e professionisti specializzati. Le VLAN. Le VLAN non sono altro che un semplice, veloce e sicuro mezzo per segmentare la nostra rete e mettere in sicurezza i dispositivi che più ci interessano senza dover per questo usare indirizzi IP diversi.

Se lavorate nel mondo del networking vi sarete sicuramente imbattuti in termini come VLAN ID, VLAN TAG o VLAN TRUNK e molti di vuoi forse saranno anche stati dissuasi dal capire come e perché usarle. Partiamo dal principio. Le VLAN sono un tecnologia standard usata da tutti i produttori di switch e apparati di rete attivi come router e access point creata per aggiungere una piccola parte di bit ad ogni pacchetto che viaggia in rete. Questa parte di bit aggiuntivi prende il nome di TAG o ID e serve a definire un gruppo omogeneo di apparati.

L’ID non è altro che un numero che va da 1 a 4096 ogni numero identifica una VLAN e di default chi appartiene ad una VLAN non può parlare con chi non fa parte dello stesso gruppo. Come standard ogni apparato di rete appartiene di default alla VLAN 1 quindi il vostro PC, il vostro smartphone e tablet, la vostra telecamera IP, il citofono SIP sono tutti parte dello stesso gruppo e possono così parlare fra di loro.

Di conseguenza tutti gli apparati di rete che permettono la comunicazione fra dispositivi come gli switch i router e gli access point fanno anch’essi parte della VLAN 1. Ecco perché se acquistate un router o uno switch e vi collegate senza fare nessuna configurazione sarete in grado di lavorare.

Abbiamo detto che in automatico tutti gli apparati attivi e i dispositivi usano la VLAN 1 e sono immediatamente connessi fra di loro vediamo quindi come si configurano VLAN diverse e soprattuto chi le gestisce in rete.

CONFIGURAZIONE

Le VLAN vengono gestite al livello 2 dello stack ISO/OSI o TCP/IP di conseguenza la configurazione principale sarà fatta proprio negli switch di rete a cui saranno collegati i dispositivi. Abbiamo detto che le VLAN servono a segmentare una rete e questo nella pratica significa che fisicamente andiamo a dire ad uno switch che le porte 1 – 2 – 3 appartengono alla VLAN 2 mentre tutte le altre rimangono come di default nella VLAN 1. Gli apparati che collegheremo sulle porte 1 – 2 – 3 potranno parlare solo fra di loro e non vedranno in nessun caso altri dispositivi connessi sullo stesso switch o su altri. Viceversa vale la stessa teoria, un pc connesso alla porta 7 dello switch non saprà dell’esistenza di un server che è connesso sulla 2 perché appartenenti a due VLAN diverse.

In questo caso si dice che stiamo TAGGANDO staticamente le porte di uno switch ed in pratica la parte intelligente e di gestione è tutta centralizzata sul nostro apparato di rete. I dispositivi che si connettono ad una porta non devono fare altro che inviare i propri pacchetti, sarà poi lo switch a prendersi in carico l’aggiunta dell’ID e la verifica di chi appartiene ad un gruppo, quindi ad un specifica VLAN, e chi no. Questo è un classico esempio di configurazione in cui i dispositivi che andremo ad usare in rete sono dei PC o dei server, perché la gestione delle VLAN su un sistema operativo è spesso complessa e difficoltosa, si sceglie così di gestire tutto centralmente per aumentare la manutenzione e la sicurezza.

Un’altra opzione per la gestione delle VLAN è il VLAN TAG DINAMICO o MOBILE. In questo caso diciamo allo switch che potrà accettare sulle sue porte le VLAN 2 – 3 a prescindere da quale porta riceva i pacchetti. Il dispositivo che si connette ad una porta dovrà lui TAGGARE i propri pacchetti e lo switch non farà altro che controllare se il tag fa parte di una delle VLAN presenti nella sua configurazione e continuerà e farlo parlare con le porte appartenenti allo stesso gruppo.

Questa configurazione è più veloce e mantenibile nel tempo ma presuppone l’uso di dispositivi configurabili come telefoni IP, telecamere, stampanti di rete etc. Nella configurazione dello switch vedremo che le porte saranno assegnate alla VLAN di riferimento solo quando riceveranno i primi pacchetti dal dispositivo. Non dovremo ricordarci di connettere una stampante alla porta 13 per farla funzionare con l’ufficio acquisti.

PERCHE’ USARLE

Usare le VLAN è un’ottima pratica per difendersi da problemi di rete, attacchi di virus, errori di configurazione degli endpoint e soprattutto per decidere a priori chi può parlare con chi senza configurare IP diversi in rete. Facciamo l’esempio di un’azienda che ha 25 postazioni PC, 3 stampanti di rete, 3 access point e 2 telecamere. Usare le VLAN ci permette di suddividere la rete in base ad esempio agli uffici. L’ufficio amministrazione avrà il suo access point e la sua stampante e potrà parlare e vedere solo i propri PC. Se all’interno della VLAN dedicata un computer risulterà infetto da un virus questo potrà causare danni solo agli appartenenti della VLAN perché tutti gli altri PC in rete non saranno visibili e quindi immediatamente immuni a qualsiasi attacco.

La stessa azienda offre anche il wifi libero ai propri ospiti e configurando una VLAN dedicata sugli access point chi si collegherà su uno specifico SSID sarà automaticamente taggato e potrà vedere solo quello che avremo deciso a priori, molto spesso infatti un accesso Guest può solamente navigare verso internet, anche se si cercasse di sfogliare la rete interna non si vedrebbe nulla.

Deve essere chiarò però che se abbiamo più switch la configurazione deve essere uguale in ognuno di essi e che le porte che collegheremo fra uno e l’altro dovranno far passare tutte le VLAN presenti in rete, si parla quindi di configurare dei VLAN TRUNK che vedremo in un altro post. Stessa cosa vale per i router che gestiranno la connessione verso internet. Se il nostro PC fa parte della VLAN 10 il router dovrà poter accettare i pacchetti anche dalla VLAN 10 oltre che dalla VLAN di default 1 altrimenti non potremo uscire verso il mondo esterno.

CONCLUSIONE

Ci sono molti altri aspetti che dovrebbero farvi decidere di usare le VLAN anche nelle vostre reti ma crediamo che questi siano i principali. Nella nostra esperienza abbiamo visto che una rete ben segmentata tramite le VLAN aumenta la sicurezza e in caso di problema è molto più semplice capire dove si trova e come isolarlo.

Se vi servono informazioni aggiuntive siamo come sempre a disposizione.