Vlan, trunk e VTP

Come detto precedentemente gli switch forniscono (di default) un solo dominio di broadcast (in ambito IOS Cisco il termine che indica il

dominio di broadcast VLAN - Virtual Lan), che di default la vlan 1. Gli switches offrono la possibilit di configurare ulteriori Vlan e di

assegnare ogni singola porta ad una specifica Vlan. Cisco consiglia di utilizzare la VLAN 1 solo per il management degli apparati, e di

utilizzare le successive le reti di produzione (come best practice si tende a far coindidere ogni vlan con una network IP).

Si noti anche che le vlan configurate su uno switch sono completamente separate a livello 2 quindi un broadcast generato in una VLAN

sar forwardato solo alle porte appartenenti a quella stessa VLAN. Il routing tra Vlan diverse sempre demandato ad un router esterno

(come discusso nella sezione L'Intervlan routing).

Esistono 2 modi di implementare le VLAN: static VLAN e dynamic VLAN:

STATIC VLAN: vengono configurate manualmente da un amministratore, che assegna le porte degli switch alle VLAN previste (e

precedentemente configurate). Una volta che lutente si sposta nell'ufficio (collegandosi quindi ad un altro switch della rete),

lamministratore dovr configurare la nuova porta nella vlan corretta (sconsigliato in reti con frequenti spostamenti).

DYNAMIC VLAN: prevedono un database che contenga lassociazione tra mac-address e vlan (cio lelenco dei macaddress che

appartengono ad ogni VLAN). Una volta che lutente si sposta, lo switch riconosce il mac address e automaticamente assegna la nuova

porta dellutente all VLAN corretta. Richiede l'utilizzo di server VMPS (vlan management policy server), che per non oggetto del corso

CCNA.

Sui catalyst Cisco si possono configurare 4094 Vlan (da 1 a 4094) ma ogni porta pu appartenere ad una sola VLAN.In realt gli switch

moderni possono permettere di configurare una seconda VLAN su una porta access. Questa viene detta VOICE VLAN ed utilizzata per

gli ip phone (il funzionamento e la configurazione degli switches per supportare il Voip non sono oggetto del corso CCNA.

Da notare che le vlan da 1 a 1005 sono dette normal-range vlan. Le vlan da 1006 a 4094 sono dette extended-range vlan. In un dominio

VTP possono essere configurate solo le normal-range vlan. Sui VTP transparent switches si possono configurare tutte (lo scopo ed il

funzionamento del protocollo VTP sar analizzato pi avanti in questa sessione.

TRUNKING: Spesso le Vlan si estendono su diversi switches, che realizzano una grande Lan (chiamata switch fabric), per questo si rende

necessario prevedere delle connessioni tra gli switches atti a trasportare il traffico broadcasto o unicast tra hosts della stessa Vlan. Le

soluzioni possibili sono essenzialmente 2 (descritte dalle figure seguenti):

La soluzione descritta nella figura precedente prevede una connessione per ogni Vlan; risulta immediatamente evidente come la soluzione

sia poco scalabile (se fossero presenti 10 o 20 vlan sarebbe impossibile usare una porta/link per ogni Vlan).

Questa seconda soluzione ovviamente pi scalabile in quanto permette di far transitare il traffico di molte o tutte le Vlan su un solo link

e perch se si aggiunge una nuova vlan non va effettuata alcuna operazione a livello di connettivit interswitch (nell'esempio precedente

qualcuno avrebbe dovuto configurare e collegare un nuovo link tra gli switches).

Sugli switches Cisco i trunk possono essere configurati manualmente o negoziati automaticamente tra gli switches tramite protocollo,

proprietario Cisco, DTP (dynamic trunking protocol). Questo protocollo permette agli switches di realizzare automaticamente un trunk se

le porte ne hanno la potenzialit). Esistono 5 modalit di lavoro del DTP (chiamati switchport mode) che definiscono il comportamento

della porta in ambito trunk:

switchport mode access: Pone la porta in modalit access, la associa ad una VLAN (porte utente)

switchport mode trunk : Pone la porta in modalit trunk senza condizioni

switchport mode dynamic auto : La porta diventer trunk se dall'altro lato del link c' una porta desirable o trunk

switchport mode dynamic desirable : La porta tenter continuamente di diventare trunk. Ci riuscir se dall'altro lato c' una porta

trunk o auto.

switchport mode nonegotiate : La porta non tenter mai di diventare trunk, lo far se dall'altro lato del link c' una porta trunk

TAGGING: L'implementazione delle Vlan ha reso necessario l'utilizzo di un metodo per marcare e riconoscere la vlan a cui appartiene ogni

frame (dato che le Vlan possono anche, anzi spesso sono, estese su diversi switch appartenenti alla stessa Lan): il frame tagging

consiste proprio nellassegnare ad ogni frame un ID (detto VLAN ID o color).

Una volta che uno switch riceve la frame, verifica per prima cosa il VLAN ID, poi verifica la filter table. Se ci sono porte trunk per quella

VLAN forwarda la frame completa di vlan ID sulla porta trunk. Se ha porte access per quella VLAN, elimina il VLAN ID e consegna la frame

a quelle porte access.

Ci sono 2 metodi di trunking: ISL (proprietario CISCO) e DOT.1Q (standard IEEE802.1Q), tali protocolli eseguono la medesime funzioni

ma con le seguenti differenze:

Lo standard DOT1.Q utilizza un tag di 4 byte nell'header Ethernet (dato che l'header viene modificato, l'FCS della frame viene

ricalcolato).

Lo standard ISL (inter switch link) encapsula la frame originale con un nuovo header (di 26 byte) ed un nuovo trailer (di 4 byte).

Lo standard DOT1.Q introduce il concetto di VLAN nativa, di solito la VLAN 1 (comunque la stessa utilizzata per il management).

Le frame appartenenti a questa VLAN non vengono modificate con il VLAN ID; tale VLAN sempre permessa nelle porte trunk, le

frame ricevute dalle porte trunk che non presentano VLAN ID vengono consegnate alla VLAN 1.

VLAN TRUNKING PROTOCOL: un protocollo proprietario Cisco che permette di aggiungere, rimuovere o rinominare le VLAN su un solo

switch e di aggiornare automaticamente tutti gli altri della rete. Questo pu essere un forte vantaggio su reti composte da molti switch

(senza VTP l'amministratore deve configurare le nuove vlan su tutti gli switches e su tutti i trunk.

Tutti gli switches della rete devono appartenere allo stesso VTP domain. Il primo passo definire il VTP DOMAIN NAME su tutti gli

switch.

Almeno uno switch della rete deve essere configurato come VTP SERVER.

Il VTP server lunico punto dove si possono aggiungere, rimuovere, rinominare le vlan. Le info relative alle VLAN vengono

salvati nella NVRAM (in particolare nel Vlan Database).

Il vtp server passer le info relative alle vlan tramite VTP advertisement. I VTP advertisement (gli annunci del VTP) viaggiano solo

sulle porte trunk.

Gli switches configurati come VTP client inoltrano i vtp advertisement ricevuti dal vtp server sulle proprie porte trunk ed imparano

le info delle vlan dai vtp advertisement. Non salvano le info relative alle VLAN nella NVRAM, ma solo nella RAM (tali info verranno

perse in caso di reload).

Gli switches configurati come VTP trasparent inoltrano i vtp advertisement ricevuti dal vtp server sulle proprie porte trunk ma non

imparano le info delle vlan dai vtp advertisement. Non salvano le info relative alle VLAN nella NVRAM ne nella RAM. Su questi

switches si possono aggiungere, rimuovere, rinominare le VLAN ma tali modifiche avranno senso solo localmente.

I comandi per configuare il vtp sono i seguenti:

conf t

vlan : accedo al VLAN DATABASE

vtp mode (client, server, trasparent) : definisco la modalit di lavoro

vtp domain DOMINIO : definisco il nome del dominio

vtp v2-mode : definisco la versione di VTP (1,2 o 3).

vtp password XXX

Si verifica con show vtp status (fornisce tutte le info sulla configurazione) e show vtp statistics (fornisce le info sui VTP

Advertisement scambiati).

Prima di configurare le VLAN bene definire uno switch come server e gli altri come trasparent o client. Se abbiamo 2 server (il nostro e

uno lasciato server per errore) ed il secondo ha un revision number pi alto, questo aggiorner il VLAN Database del nostro (cancellando

di fatto tutte le vlan configurate).

VTP (Virtual Trunking Protocol) pruning:questa funzione (disabilitata di default) permette di inviare i broadcast sui trunk solo verso

switch che necessitano di queste info. Ci significa che se c' un broadcast per la VLAN5 e sullo switch B non presente nessuna porta

access per questa VLAN, il broadcast non verr inviato sul trunk verso lo switch B. Questo permette di salvare banda. Da configurazione

VLAN si usa il comando vtp pruning .

CONFIGURARE VLAN E TRUNK: Data la rete descritta nella figura seguente riporteremo le configurazioni necessarie sullo switch. Il

primo passo la configurazione globale delle Vlan e l'assegnazione delle Vlan alle porte (per comodit riportata solo la conf di SwitchA in

quanto per questo particolare esempio quella di SwitchB identica).

!

conf t

vlan 2

name vendite

!

!

conf t

vlan 3

name amministrazione

!

conf t

!Int fast 0/1

Switchport mode access

Switchport access vlan 2

!

Int fast 0/2

Switchport mode access

Switchport access vlan 3

!

Le porte 0/1 di entrambi gli switches apparterranno alla vlan vendite ( o vlan 2), mentre l2 porta 0/2 apparterranno alla vlan

amministrazione (o vlan 3).

Il secondo passo sar quello di configurare il trunk tra i 2 switches (anche in questo caso riportata solo la configurazione di Switch A in

quanto quella di Switch B identica).

!

conf t

!

Int fa0/3

Switchport mode trunk (per switch tipo il 2960 che gestiscono solo dot1.q)

switchport trunk allowed vlan X (abilita il trunking per la vlan X, di defualt abilitato per tutte le vlan)

switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)

!

conf t

!

Int fa0/3

switchport trunk encapsulation dot1q/isl (per switch tipo il 3560 che gestiscono sia isl che dot1q)

switchport trunk allowed vlan X (abilita il trunking per la vlan X, di default abilitato per tutte le vlan)

switchport trunk allowed vlan remove X (disabilita il trunking per la vlan X)

Switchport mode trunk

!

A questo punto i Pc della Vlan 2 potranno pingarsi tra di loro (tecnicamente possono raggiungersi tramite pacchetti unicast) ma non

potranno pingare i Pc della Vlan 3 (e viceversa). Per mettere in comunicazione le 2 Vlan serve un router, come descritto nella sezione

seguente L'Intervlan routing.