|
rete locale virtuale
(Virtual Local Area Network)
|
Un singolo dominio di broadcast allÆinterno di una rete fisica creato per
regolare il traffico, per aumentare la sicurezza e per semplificare le
operazioni di gestione. I suoi confini variano a seconda di come vengono
configurato gli switch che compongono la rete. Le VLAN si comportano a
tutti gli effetti come reti separate, isolate lÆuna dallÆaltra per ragioni
di sicurezza, di gestione e di contenimento del traffico (incluso quello
dei broadcast). Un nodo può tuttavia appartenere a più VLAN contemporaneame
nte e quindi costituire una risorsa condivisa. LÆassegnazione di una
macchina a una particolare VLAN avviene in base allÆindirizzo fisico della
macchina medesima, ai protocolli che questa dovrà ricevere oppure al tipo
di applicazioni in cui dovrà essere coinvolta. La VLAN può riunire in un
singolo gruppo di lavoro persone sparse per tutta lÆazienda.
Bridge e switch regolano il traffico unicamente sulla base dellÆindirizzo
di destinazione e che lasciano passare quelle trame che non hanno un
destinatario conosciuto oppure che sono destinate a più nodi
contemporaneamente: multicast e broadcast. Finché la rete ha dimensioni
contenute (come nella maggior parte dei casi) questo è più che
sufficiente, ma in LAN di grandi dimensioni serve un controllo più severo
sul broadcasting e anche sulla diffusione indiscriminata di trame a
stazioni non conosciute. Molti switch moderni riescono a costruire LAN
virtuali (VLAN), cioè insiemi di macchine che si comportano come se
fossero reti separate (quindi non condividono i broadcast) e che possono
essere composte da macchine collegate a uno o più switch, comunque
distribuite allÆinterno dellÆazienda. Riunire questi utenti in gruppi di
lavoro presenta il vantaggio di confinare il flusso dei dati così che non
esca dalla cerchia di coloro che ne hanno effettivamente bisogno, facilita
la gestione del traffico e della rete, e permette in ogni caso di avere
risorse condivise tra due o più VLAN, evitando gli inconvenienti di
unÆeffettiva separazione fisica tra le LAN: rigidità di riconfigurazione
e difficoltà a condividere risorse comuni.
Una rete Ethernet rappresenta al proprio interno un singolo dominio di
collisione, cioè qualsiasi pacchetto trasmesso viene ricevuto da tutti e
chiunque trasmetta in contemporanea a un altro genera una collisione che
viene propagata a tutti i nodi del segmento. LÆuso di ripetitori (hub)
consente di ampliare le dimensioni fisiche della rete, aggiungendo altri
segmenti che tuttavia rimangono un singolo dominio di collisione e perciò
arrivano rapidamente a saturare la propria capacità trasmissiva.
LÆinserimento di un bridge o di uno switch tra due segmenti permette di
creare diversi domini di collisione, riducendo il traffico spurio e
aumentando lÆefficienza dellÆimpianto nel suo complesso. Un ulteriore
aumento di efficienza è possibile suddividendo i domini di broadcasting. E
questo ha efficacia su qualsiasi tipo di LAN, poiché laddove le collisioni
sono unicamente una prerogativa delle reti Ethernet, lÆeccesso di
broadcasting affligge allo stesso modo anche Token Ring, FDDI e qualsiasi
altra tecnologia.
La costruzione di una VLAN passa per lÆassegnazione delle porte di uno
switch. Ad esempio le porte 2, 4 e 6 potrebbero far parte della VLAN
numero uno e le porte 3, 4 e 8 appartenere alla VLAN numero due. La porta
4, comune a entrambe, sarebbe magari quella di un server condiviso. Il
gruppo di lavoro può essere liberamente disperso allÆinterno
dellÆazienda, ma ciò nonostante conservare la propria identità. Inoltre i
singoli membri manterranno lÆaffiliazione alla VLAN indipendentemente dai
propri spostamenti fisici, come quando la persona trasloca di ufficio
oppure usa il portatile passando da una stanza allÆaltra.
Il primo elemento centrale è di nuovo lo switch, senza di esso il concetto
di VLAN non potrebbe nemmeno esistere. Il raggruppamento non avviene a
livello fisico, poiché la struttura interna dello switch non viene
modificata e non viene nemmeno cambiata la disposizione delle connessioni
fisiche (il doppino) sulle sue porte. Quel che cambia è il modo il cui le
trame sono inoltrate sulla rete e il modo in cui queste sono filtrate così
che non si propaghino allÆesterno del gruppo di lavoro.
Le due tecniche primarie in questo ambito sono il packet filtering
(filtraggio dei pacchetti) e la packet identification (idendificazione del
pacchetto). Nel primo caso si esamina ciascun pacchetto in arrivo per
vedere se possiede le caratteristiche idonee per essere spedito su una
data porta. I parametri di filtro vengono definiti in una tabella
allÆinterno dello switch e possono agire sia sullÆindirizzo fisico
contenuto nella trama (bloccando broadcast e multicast e qualsiasi
pacchetto indirizzato a una macchina non elencata nel gruppo) sia sul
contenuto interno di questa, cioè riconoscendo un tipo di traffico da un
altro (potrebbe esserci una VLAN per la videoconferenza e una diversa VLAN
per lÆaccesso al server aziendale). Lo svantaggio del filtro è che
rallenta le operazioni di switching. Infatti bisogna soffermarsi a
esaminare la trama.
La tecnica dÆidentificazione del pacchetto (detta anche packet tagging -
etichettare il pacchetto) è invece relativamente nuova e consiste
nellÆaggiungere una speciale etichetta allÆinizio della trama prima di
farla proseguire allÆinterno del tessuto di commutazione che compone la
VLAN (switching fabric). Qualsiasi switch che la riceve deve semplicemente
leggerne lÆidentificatore e decidere come comportarsi. Prima che la trama
esca dallÆultimo switch e venga consegnata al destinatario, lÆetichetta
viene rimossa così da ricostruire il formato originale. In questo caso la
commutazione è rapida, ma possono esistere problemi nel collegare switch
di produttori diversi poiché non tutti ancora aderiscono allo stesso
standard per la costruzione dellÆetichetta. Un documento ufficiale in
materia è stato pubblicato nel 1992 e dallÆIEEE con il numero 802.10 e
definisce unÆaggiunta alla trama che va posizionata tra la parte
riservata allÆindirizzo fisico (MAC address) e la parte riservata ai
dati.
Qualunque sia la tecnologia impiegata, la VLAN ha il beneficio di
costruire una separazione arbitraria tra diversi nodi senza alterare la
natura di questi ultimi o delle applicazioni che vi funzionano sopra.
Tutto avviene allÆinterno degli switch che compongono lÆossatura della
rete (il tessuto di commutazione o switching fabric).
|
|