Che cos’è una VLAN e come funziona?
Una VLAN è una sottorete logica di dispositivi in un dominio di broadcast che viene partizionata da switch di rete e/o software di gestione della rete per agire come una LAN distinta. Gli switch che supportano le VLAN offrono ai gestori di rete la possibilità di creare segmenti di rete virtuale flessibili indipendenti dalla topologia fisica cablata o wireless sottostante.
Le VLAN operano a Livello 2 (livello di collegamento dati) o a Livello 3 (livello di rete), a seconda del design della rete. Diversi protocolli di rete diversi supportano le VLAN, in particolare Ethernet e Wi-Fi.
Quali sono i vantaggi delle VLAN?
Le VLAN offrono numerosi vantaggi. Quello principale è che i dispositivi possono essere spostati da una VLAN all’altra senza che i gestori di rete debbano ricablare la rete. Un altro vantaggio è che le VLAN aiutano le organizzazioni a superare i colli di bottiglia riducendo il traffico di Livello 2, oltre ad aumentare la sicurezza limitando i dispositivi in grado di accedere a una determinata VLAN.
Le VLAN possono essere utilizzate anche per isolare i gruppi di utenti. Ad esempio, è possibile creare una VLAN per fornire l’accesso guest su una rete Wi-Fi, isolando appaltatori e altre terze parti a una sottorete con risorse limitate. Oppure, un gestore di rete potrebbe creare una VLAN per un particolare dipartimento come le risorse umane.
La storia delle VLAN
Le VLAN esistono da decenni e sono state inventate nel 1984 da W. David Sincoskie, ex ingegnere informatico dei Bell Labs specializzato in telefonia IP. Il problema che Sincoskie dovette affrontare era che Ethernet è un mezzo di trasmissione in cui il segnale dell’host viene trasmesso a tutti i dispositivi in rete, che quindi devono elaborare i frame ricevuti, rilevanti o meno per il dispositivo. Ciò si traduce in un elevato sovraccarico della CPU per dispositivo e in un intasamento della rete con traffico non necessario. Inoltre, all’epoca, non esisteva un modo provato per collegare più reti Ethernet. L’instradamento IP era una possibile soluzione ma era lento e costoso.
Sincoskie cercò un’alternativa economica e veloce con un basso sovraccarico della CPU, che lo portò al cosiddetto transparent bridging, una tecnica per il collegamento di due o più anelli di una rete Token Ring oppure di due o più segmenti di una rete Ethernet. Sfortunatamente, questo approccio creò nuovi problemi, dal momento che trasformava gli switch centrali in colli di bottiglia che limitavano la scalabilità.
Sincoskie inventò allora le VLAN per superare questo problema. I suoi concetti furono inclusi negli standard Ethernet, come IEEE 802.1Q nel 1998, che delineava il concetto di VLAN Ethernet. Le aggiunte successive allo standard (IEEE 802.1ad IEEE 802.1ah) hanno portato a meccanismi per facilitare il bridging e migliorare la scalabilità.
Come funzionano le VLAN?
Senza VLAN, i problemi associati alla progettazione delle reti (congestione, sovraccarico della CPU elevato, scarsa sicurezza) possono metastatizzare rapidamente perché le apparecchiature dell’infrastruttura Ethernet, come hub e router, consentono ai gestori di rete di creare reti interconnesse composte da più LAN fisicamente separate. Ad esempio, un’azienda può disporre di una LAN separata per ciascun reparto e collegarle insieme con hub collegati a uno switch Ethernet centralizzato.
Tradizionalmente, le VLAN sono definite a livello di porta di uno switch Ethernet. Gli switch offrono il vantaggio di consentire il partizionamento della rete interconnessa in domini più piccoli, ma poiché si tratta ancora di domini di broadcast, lo switch funge da collo di bottiglia che limita la capacità complessiva.
Le VLAN offrono ai gestori di rete la possibilità di creare domini virtuali che raggruppano dispositivi che comunicano frequentemente tra loro, riducendo la congestione e il sovraccarico della CPU e migliorando al contempo la sicurezza limitando il numero di dispositivi che possono accedere a una determinata VLAN. Per gestire il traffico che va da una VLAN all’altra, la maggior parte delle reti è progettata per trasferire quel traffico ai router.
Tramite il software di gestione della rete, a ogni dispositivo in una VLAN viene dato un ID VLAN e il device è assegnato a un gruppo VLAN. Ciò significa che i dispositivi possono trovarsi in una qualsiasi delle LAN fisiche collegate allo switch, ma possono essere segmentati e isolati in un gruppo VLAN che funziona come se fosse una LAN connessa fisicamente.
Per spostare un dispositivo da una VLAN a un’altra, un amministratore di rete sposta semplicemente il dispositivo su una porta diversa sullo switch o lo assegna a una nuova VLAN tramite un software di gestione della rete, a seconda del design della rete stessa.
VLAN statiche e dinamiche
Le VLAN statiche sono configurate manualmente e basate su porte, con ciascuna porta su uno switch che rappresenta una VLAN. In una VLAN statica, quando un dispositivo si connette a una porta, viene assegnato automaticamente a quel gruppo VLAN.
Al contrario, le VLAN dinamiche (a volte denominate VLAN MAC-based) si basano su un policy server che mantiene un database di indirizzi MAC e la VLAN appropriata per tutti i dispositivi in rete. Il policy server fornisce la mappatura da VLAN a MAC, che consente agli utenti di spostarsi all’interno di una rete e connettersi a qualsiasi switch pur mantenendo la configurazione VLAN appropriata.
Le VLAN dinamiche sono estremamente flessibili, ma lo svantaggio è che il mantenimento continuo del policy server per l’attuale mappatura da VLAN a MAC richiede un sovraccarico manuale eccessivo e poco pratico per la maggior parte delle organizzazioni.
Nuovi usi per le VLAN
Negli anni 2000, il data center è diventato il fulcro della tendenza alla virtualizzazione. Con la virtualizzazione di server, storage e desktop, i concetti VLAN tradizionali sono stati aggiornati per supportare reti più complesse. Come ha spiegato l’analista di Forrester Research Robert Whiteley, “L’architettura di rete futura deve essere in sintonia con la virtualizzazione di server, storage e desktop”.
Per supportare gli ambienti virtualizzati, le reti hanno iniziato a perdere i confini netti tra il core e l’edge, una tendenza che oggi non mostra segni di rallentamento. Di conseguenza, le VLAN possono essere utilizzate in nuovi modi. Ad esempio, gli switch di Livello 2 possono passare macchine virtuali (VM) da un data center all’altro, mantenendole sulla stessa VLAN.
Che cos’è una VXLAN?
Poiché sempre più risorse IT vengono virtualizzate, containerizzate e spostate nel cloud, la virtualizzazione della rete ha dovuto evolversi per stare al passo. Mentre le VLAN tradizionali continueranno a essere utilizzate per gestire le risorse locali e per casi d’uso come le reti guest Wi-Fi, le grandi reti su scala cloud richiedono tecnologie più recenti, come le VXLAN.
Le reti 802.11Q tradizionali sono in grado di supportare poco più di 4.000 VLAN, ma nei data center virtualizzati questo non è sufficiente. Il problema è che ogni VM richiede un indirizzo IP e MAC indipendente, cosa che agli apparati di rete non appare come VM multi-tenant su un server, ma piuttosto come un numero esponenzialmente maggiore di singoli server.
Con la tecnologia VLAN tradizionale non è possibile facilitare migrazioni dinamiche di VM e stabilire l’isolamento in ambienti multi-tenant, che possono includere decine di migliaia di tenant o più in grandi data center cloud. Per superare questo nuovo collo di bottiglia, Cisco, VMware e Arista Networks hanno collaborato per creare il nuovo standard VXLAN con lo scopo di gestire il traffico su scala cloud.
Le VXLAN si basano sulla tecnologia di incapsulamento per isolare diverse LAN virtuali, creando un tunnel logico che unisce i dispositivi sulla VXLAN attraverso l’incapsulamento MAC-in-UDP. Questa tecnica crea un overlay di rete di Livello 2 sul Livello 3 incapsulando i pacchetti Ethernet in pacchetti IP. In altre parole, a ciascun pacchetto di Livello 2 viene assegnata un’intestazione VXLAN, che viene quindi incapsulata in un pacchetto IP UDP che viene trasmesso sulla rete di Livello 3.
I pacchetti incapsulati della VXLAN vengono instradati sulla rete proprio come i pacchetti IP e gli switch compatibili con VXLAN possono supportare fino a 16 milioni di VLAN. Per facilitare le migrazioni dinamiche delle VM, le VXLAN creano un tunnel virtuale tra due switch di Livello 2, trasformando la rete IP sottostante in una rete di Livello 2. Pertanto, le macchine virtuali possono spostarsi ovunque ma apparire all’infrastruttura come se si trovassero all’interno della stessa VLAN.
Con la continua evoluzione della tecnologia di virtualizzazione, le linee di confine tra VLAN, VXLAN e tecnologie LAN e WLAN virtuali adiacenti, come SDN e SD-WAN, sono destinati a confondersi sempre di più. Se le tendenze attuali dovessero reggere, le capacità delle VLAN saranno sempre più assorbite in altre tecnologie di rete definite dal software, poiché le reti virtuali di ogni tipo continuano a spostarsi dalle configurazioni manuali verso quelle basate su policy.