In una rete locale (LAN), possono essere collegati una miriade di dispositivi diversi: computer, server, punti di accesso Wi-Fi, telefoni VoIP, telecamere di sorveglianza, ecc. e tutti con uno specifico scopo. Per permettere che tutto funzioni più agevolmente senza problemi, è conveniente configurare delle VLAN, ovvero delle LAN virtuali dove organizzare all’interno di ognuna un singolo servizio e/o applicazione, per esempio:
- Voce , VoiceOverIP
- dati
- sicurezza , esempio TVCC, allarmi ecc…
- controllo accessi
- controllo ambientale
- IoT
- Illuminaizone
- Automazione in generale Smart Building
Dal momento che tecnicamente non esistono fisicamente, le LAN virtuali (VLAN) che si comportano essenzialmente come LAN fisicamente separate e consentono la separazione del traffico in base alla funzione, sono un po’ più mistificanti, specialmente per installatori e tecnici che sono abituati a occuparsi solo dell’infrastruttura fisica.
Diamo un’occhiata più da vicino al motivo per cui abbiamo le VLAN e in che modo possono influire sulla risoluzione dei problemi di un impianto di cavi.
Qual è lo scopo delle VLAN e perché ne abbiamo bisogno?
Qualsiasi ambiente LAN tipico include un’ampia gamma di dispositivi e sistemi informatici che hanno tutti uno scopo specifico. Alcuni dispositivi possono essere specifici per l’applicazione:
Voce
Dati
Sicurezza
Controllo di accesso
Illuminazione
Automazione degli edifici, ecc.
mentre altri dispositivi LAN possono essere specifici per funzione:
Contabilità
I saldi
Ingegneria
Risorse umane
Ospiti, ecc.
Tutti i dispositivi e i sistemi che si collegano a una LAN possono essere posizionati ovunque all’interno di una struttura, ma ciò non significa che dovrebbero essere tutti in grado di comunicare tra loro e avere lo stesso utilizzo e le stesse autorizzazioni.
Se tutti i dispositivi su una LAN hanno la capacità di comunicare tra loro, vedere il traffico reciproco e accedere agli stessi sistemi, si creano potenziali problemi di sicurezza interna (immagina che tutti gli addetti alle vendite abbiano accesso ai sistemi di contabilità o risorse umane). Significa anche che tutti i dispositivi risiedono sullo stesso dominio di trasmissione. Ciò significa che ogni dispositivo all’interno del dominio riceve traffico di trasmissione, che è una capacità intrinseca di tutte le LAN per la pubblicità e la scoperta delle risorse. Il fatto che tutti i dispositivi risiedano nello stesso dominio di trasmissione può portare a congestione della rete e prestazioni ridotte, oltre a rendere la rete suscettibile ad attacchi di negazione del servizio distribuiti e altre violazioni della sicurezza informatica.
Ovviamente, ha senso separare vari dispositivi e sistemi LAN in reti più piccole in modo da prevenire questi problemi fornendo una migliore gestione della rete in un mondo digitale in cui nuovi sistemi e applicazioni sono costantemente online. Sebbene la segregazione possa essere realizzata fisicamente suddividendo una LAN in sottoreti fisiche più piccole, ciò richiede più switch, router, punti di accesso e infrastrutture, che sono altamente inefficienti, ingestibili e costose.
Pensaci. Ha davvero senso avere interruttori separati in una sala telecomunicazioni o più punti di accesso Wi-Fi per ogni sistema e funzione all’interno di un dato spazio? E cosa fai se un dispositivo o un sistema ha bisogno di spostarsi in uno spazio completamente nuovo? Questo è il motivo per cui abbiamo bisogno di VLAN.
In sintesi, lo scopo delle VLAN e il motivo per cui ne abbiamo bisogno è fornire segmentazione per la sicurezza, la gestione della rete e la scalabilità, riducendo significativamente il traffico di trasmissione e la congestione sulla rete.
Come funzionano le VLAN?
Le VLAN sono generalmente stabilite a livello di collegamento dati di livello 2 del modello OSI, ma possono anche essere abilitate a livello di rete di livello 3 per il routing tra VLAN (abilitando il traffico da una VLAN a un’altra). La maggior parte degli switch oggi è compatibile con VLAN e le VLAN sono configurate tramite un software switch che consente ai gestori di rete di assegnare porte switch specifiche a VLAN specifiche utilizzando tag VLAN. Il numero di VLAN che possono essere stabilite su uno switch specifico dipende dallo switch ma in base allo standard IEEE 802.1Q che definisce il tagging VLAN per i frame Ethernet, il numero di VLAN Layer 2 sulla rete non può superare 4.096. Non entreremo nei dettagli qui, ma dovremmo anche sottolineare che le porte switch possono essere configurate come porte di accesso che appartengono a una singola VLAN o come porte trunk che supportano più VLAN.
Le VLAN possono essere assegnate in base a interfaccia, indirizzo MAC, indirizzo IP, protocolli o una combinazione di questi. Ciò consente a un’organizzazione di configurarli nel modo migliore per le loro esigenze specifiche, ad esempio in base all’utente o alla funzione aziendale. A sua volta, questo facilita la gestione e la flessibilità della rete poiché i dispositivi e i sistemi possono essere posizionati fisicamente ovunque e spostati all’interno di una struttura rimanendo sulla stessa VLAN. La sicurezza è migliorata poiché solo i dispositivi e i sistemi sulla stessa VLAN possono comunicare tra loro. Il flusso del traffico è migliorato perché ogni VLAN è il proprio dominio di trasmissione: le trasmissioni inviate da un dispositivo in un dominio non vengono inoltrate ai dispositivi in un altro. Le VLAN supportano anche la scalabilità: man mano che la rete cresce, la creazione di più VLAN aumenta il numero di domini ma mantiene le loro dimensioni più piccole per mantenere le prestazioni della rete e prevenire la congestione.
In sintesi, le VLAN funzionano assegnando porte switch specifiche a una VLAN, che è una configurazione eseguita tramite il software dello switch su switch compatibili con VLAN.
Come risolvere i problemi delle VLAN
Quando sorgono problemi, la risoluzione dei problemi dell’impianto di cavi è in genere il primo passo poiché è lì che si verifica la maggior parte dei problemi. La mancanza di continuità o le scarse prestazioni di rete sono spesso il risultato di terminazioni improprie, danni, componenti scadenti o aggiornamenti di rete non supportati dall’impianto di cablaggio. Questi problemi sono facilmente identificabili tramite wiremap e test di qualificazione, ma se tutto passa, è possibile che il problema abbia a che fare con un’assegnazione VLAN errata. Se un dispositivo o un sistema è assegnato alla VLAN sbagliata, non sarà in grado di inviare traffico ad altri dispositivi su quella VLAN. Anche le configurazioni errate sullo switch, come la mancanza di una porta associata a una particolare VLAN, possono causare l’interruzione della VLAN.
Il modo migliore per prevenire assegnazioni VLAN errate è mantenere la documentazione adeguata.
Gli switch di rete utilizzano il protocollo di rilevamento del livello di collegamento (LLDP) o il protocollo di rilevamento Cisco (CDP) basato su standard che consentono loro di rilevare i dispositivi connessi e pubblicizzare le loro capacità. LinkIQ ha la capacità di ricevere pacchetti del protocollo di rilevamento da uno switch per un determinato collegamento per mostrare la VLAN a cui è assegnato il collegamento. Indicherà anche il nome e la descrizione dello switch, l’ID della porta e le velocità pubblicizzate. Sul touchscreen basato sui gesti di LinkIQ, che occupa quasi l’intera superficie dello strumento e consente di visualizzare facilmente grandi quantità di informazioni, le velocità non pubblicizzate dall’interruttore sono disattivate. Questo può anche aiutare a indicare se hai usato la giusta velocità durante la qualificazione dell’impianto via cavo.