|
rete locale virtuale
(Virtual Local Area Network)
|
Un singolo dominio di broadcast allÆinterno di una rete fisica creato per regolare il traffico, per aumentare la sicurezza e per semplificare le operazioni di gestione. I suoi confini variano a seconda di come vengono configurato gli switch che compongono la rete. Le VLAN si comportano a tutti gli effetti come reti separate, isolate lÆuna dallÆaltra per ragioni di sicurezza, di gestione e di contenimento del traffico (incluso quello dei broadcast). Un nodo può tuttavia appartenere a più VLAN contemporaneamente e quindi costituire una risorsa condivisa. LÆassegnazione di una macchina a una particolare VLAN avviene in base allÆindirizzo fisico della macchina medesima, ai protocolli che questa dovrà ricevere oppure al tipo di applicazioni in cui dovrà essere coinvolta. La VLAN può riunire in un singolo gruppo di lavoro persone sparse per tutta lÆazienda.
Bridge e switch regolano il traffico unicamente sulla base dellÆindirizzo di destinazione e che lasciano passare quelle trame che non hanno un destinatario conosciuto oppure che sono destinate a più nodi contemporaneamente: multicast e broadcast. Finché la rete ha dimensioni contenute (come nella maggior parte dei casi) questo è più che sufficiente, ma in LAN di grandi dimensioni serve un controllo più severo sul broadcasting e anche sulla diffusione indiscriminata di trame a stazioni non conosciute. Molti switch moderni riescono a costruire LAN virtuali (VLAN), cioè insiemi di macchine che si comportano come se fossero reti separate (quindi non condividono i broadcast) e che possono essere composte da macchine collegate a uno o più switch, comunque distribuite allÆinterno dellÆazienda. Riunire questi utenti in gruppi di lavoro presenta il vantaggio di confinare il flusso dei dati così che non esca dalla cerchia di coloro che ne hanno effettivamente bisogno, facilita la gestione
del traffico e della rete, e permette in ogni caso di avere risorse condivise tra due o più VLAN, evitando gli inconvenienti di unÆeffettiva separazione fisica tra le LAN: rigidità di riconfigurazione e difficoltà a condividere risorse comuni.
Una rete Ethernet rappresenta al proprio interno un singolo dominio di collisione, cioè qualsiasi pacchetto trasmesso viene ricevuto da tutti e chiunque trasmetta in contemporanea a un altro genera una collisione che viene propagata a tutti i nodi del segmento. LÆuso di ripetitori (hub) consente di ampliare le dimensioni fisiche della rete, aggiungendo altri segmenti che tuttavia rimangono un singolo dominio di collisione e perciò arrivano rapidamente a saturare la propria capacità trasmissiva. LÆinserimento di un bridge o di uno switch tra due segmenti permette di creare diversi domini di collisione, riducendo il traffico spurio e aumentando lÆefficienza dellÆimpianto nel suo complesso. Un ulteriore aumento di efficienza è possibile suddividendo i domini di broadcasting. E questo ha efficacia su qualsiasi tipo di LAN, poiché laddove le collisioni sono unicamente una prerogativa delle reti Ethernet, lÆeccesso di broadcasting affligge allo stesso modo anche Token Ring, FDDI e
qualsiasi altra tecnologia.
La costruzione di una VLAN passa per lÆassegnazione delle porte di uno switch. Ad esempio le porte 2, 4 e 6 potrebbero far parte della VLAN numero uno e le porte 3, 4 e 8 appartenere alla VLAN numero due. La porta 4, comune a entrambe, sarebbe magari quella di un server condiviso. Il gruppo di lavoro può essere liberamente disperso allÆinterno dellÆazienda, ma ciò nonostante conservare la propria identità. Inoltre i singoli membri manterranno lÆaffiliazione alla VLAN indipendentemente dai propri spostamenti fisici, come quando la persona trasloca di ufficio oppure usa il portatile passando da una stanza allÆaltra.
Il primo elemento centrale è di nuovo lo switch, senza di esso il concetto di VLAN non potrebbe nemmeno esistere. Il raggruppamento non avviene a livello fisico, poiché la struttura interna dello switch non viene modificata e non viene nemmeno cambiata la disposizione delle connessioni fisiche (il doppino) sulle sue porte. Quel che cambia è il modo il cui le trame sono inoltrate sulla rete e il modo in cui queste sono filtrate così che non si propaghino allÆesterno del gruppo di lavoro.
Le due tecniche primarie in questo ambito sono il packet filtering (filtraggio dei pacchetti) e la packet identification (idendificazione del pacchetto). Nel primo caso si esamina ciascun pacchetto in arrivo per vedere se possiede le caratteristiche idonee per essere spedito su una data porta. I parametri di filtro vengono definiti in una tabella allÆinterno dello switch e possono agire sia sullÆindirizzo fisico contenuto nella trama (bloccando broadcast e multicast e qualsiasi pacchetto indirizzato a una macchina non elencata nel gruppo) sia sul contenuto interno di questa, cioè riconoscendo un tipo di traffico da un altro (potrebbe esserci una VLAN per la videoconferenza e una diversa VLAN per lÆaccesso al server aziendale). Lo svantaggio del filtro è che rallenta le operazioni di switching. Infatti bisogna soffermarsi a esaminare la trama.
La tecnica dÆidentificazione del pacchetto (detta anche packet tagging - etichettare il pacchetto) è invece relativamente nuova e consiste nellÆaggiungere una speciale etichetta allÆinizio della trama prima di farla proseguire allÆinterno del tessuto di commutazione che compone la VLAN (switching fabric). Qualsiasi switch che la riceve deve semplicemente leggerne lÆidentificatore e decidere come comportarsi. Prima che la trama esca dallÆultimo switch e venga consegnata al destinatario, lÆetichetta viene rimossa così da ricostruire il formato originale. In questo caso la commutazione è rapida, ma possono esistere problemi nel collegare switch di produttori diversi poiché non tutti ancora aderiscono allo stesso standard per la costruzione dellÆetichetta. Un documento ufficiale in materia è stato pubblicato nel 1992 e dallÆIEEE con il numero 802.10 e definisce unÆaggiunta alla trama che va posizionata tra la parte riservata allÆindirizzo fisico (MAC address) e la parte
riservata ai dati.
Qualunque sia la tecnologia impiegata, la VLAN ha il beneficio di costruire una separazione arbitraria tra diversi nodi senza alterare la natura di questi ultimi o delle applicazioni che vi funzionano sopra. Tutto avviene allÆinterno degli switch che compongono lÆossatura della rete (il tessuto di commutazione o switching fabric).
|
|