Interconnessione VLAN: routing tra reti virtuali

Mauro Scalante
Può 31, 2023
11: 56 am
Non ci sono commenti

L'interconnessione VLAN si riferisce al processo di creazione della comunicazione tra diverse reti virtuali (VLAN) in un'infrastruttura di rete. Le VLAN sono segmenti logici di una rete fisica che consentono agli amministratori di dividere la rete in gruppi logici più piccoli per migliorare la sicurezza, la gestione e le prestazioni della rete.

Alla fine dell'articolo troverai un piccolo test quello ti permetterà valutare le conoscenze acquisite in questa lettura

Vai a Prova

Quando vengono create VLAN separate, per impostazione predefinita non possono comunicare direttamente tra loro. Tuttavia, in molte situazioni, è necessario consentire la comunicazione tra diverse VLAN per condividere risorse o consentire agli utenti di accedere a servizi specifici su altre reti virtuali. Questo è dove il instradamento tra VLAN.

Il routing inter-VLAN consente al traffico di spostarsi tra diverse VLAN utilizzando a dispositivo di instradamento o un interruttore di livello 3 che ha capacità di routing. Questi dispositivi fungono da ponti tra le VLAN e consentono loro di comunicare tra loro.

Modi per implementare il routing

I modi principali per implementare il routing tra VLAN sono:

1. Routing con un router esterno

In questa configurazione, ciascuna VLAN è connessa alla propria interfaccia sul router. Quando un pacchetto di dati deve essere inviato da una VLAN a un'altra, viene inviato al router, che poi lo inoltra alla VLAN di destinazione. Questa tecnica è semplice ed efficace, ma può essere inefficiente se sono presenti molte VLAN, poiché richiede un'interfaccia separata per ciascuna.

2. Routing al cambio di livello 3

In questa configurazione, l'instradamento viene eseguito all'interno dello switch, che può comprendere e manipolare i pacchetti a livello di rete. Questo tipo di switch dispone di più interfacce virtuali Layer 3, una per ciascuna VLAN, che consentono di instradare tra di loro. Questa tecnica è più efficiente del routing con un router esterno, ma richiede hardware più sofisticato e costoso.

3. Routing con un trunk (Router-on-a-stick)

In questa configurazione, viene utilizzata una singola interfaccia fisica su un router per gestire il traffico da più VLAN. Le VLAN vengono differenziate utilizzando i tag VLAN (802.1Q) sui pacchetti di dati. Questa tecnica è più efficiente dell'instradamento con un router esterno in termini di utilizzo dell'interfaccia, ma può essere limitata dalla quantità di larghezza di banda disponibile sull'interfaccia trunk.

Passaggi essenziali

Quando si configura il routing tra VLAN, è necessario eseguire diversi passaggi:

1. Configurazione VLAN

Innanzitutto vengono create singole VLAN sugli switch o sui dispositivi di rete. Ogni VLAN è configurata con un ID univoco e a ciascuna VLAN vengono assegnate porte specifiche.

2. Configurazione delle interfacce di routing

Sul dispositivo di routing o sullo switch Layer 3 è necessario configurare le interfacce che si collegheranno a ciascuna VLAN. Queste interfacce sono configurate con indirizzi IP appartenenti alle sottoreti di ciascuna VLAN.

3. Configurazione della tabella di routing

Vengono configurati percorsi statici o viene utilizzato un protocollo di routing dinamico per consentire al dispositivo di routing di sapere come raggiungere le sottoreti di ciascuna VLAN.

4. Definizione di politiche di accesso

È possibile applicare elenchi di controllo degli accessi (ACL) per controllare quale traffico è consentito o bloccato tra le VLAN. Ciò fornisce un ulteriore livello di sicurezza e controllo.

Una volta completati questi passaggi, le VLAN saranno interconnesse e potranno comunicare tra loro tramite dispositivo di instradamento o interruttore di livello 3. Il dispositivo di routing esaminerà le informazioni di destinazione dei pacchetti e li instraderà alla VLAN di destinazione corrispondente.

È importante notare che il routing tra VLAN può avere un impatto sulle prestazioni della rete poiché comporta un'ulteriore elaborazione dei pacchetti e può generare traffico aggiuntivo sulla rete.

Pertanto, è importante progettare attentamente la configurazione del routing e considerare la larghezza di banda e le risorse disponibili per garantire prestazioni di rete ottimali.

Router o switch di livello 3

La scelta tra l'utilizzo di un router o di uno switch Layer 3 per l'instradamento tra VLAN dipenderà da diversi fattori, tra cui la dimensione della rete, il volume del traffico, le risorse disponibili e le esigenze specifiche dell'organizzazione.

Ecco alcune considerazioni che possono aiutarti a prendere una decisione:

1. Prestazioni

Gli switch di livello 3 sono in genere più veloci dei router per il routing, poiché l'hardware dello switch è progettato per gestire il routing dei pacchetti ad alta velocità. Ciò può essere particolarmente importante su reti con una grande quantità di traffico inter-VLAN.

2. Costo

Gli switch Layer 3 sono in genere più costosi dei router a causa del loro hardware specializzato. Pertanto, se il budget è una considerazione importante, un router potrebbe rappresentare un’opzione più conveniente.

3. scalabilità

Se è previsto che la rete cresca in termini di dimensioni e complessità, uno switch di livello 3 potrebbe rappresentare un'opzione più scalabile. Gli switch di livello 3 possono gestire un gran numero di VLAN e fornire routing inter-VLAN senza la necessità di interfacce fisiche aggiuntive come richiesto da un router.

4. Funzionalità avanzate

I router in genere offrono una gamma più ampia di funzionalità avanzate rispetto agli switch Layer 3. Queste possono includere il supporto per una gamma più ampia di protocolli di routing, funzionalità firewall, VPN e altre funzionalità di sicurezza.

5. Facilità di configurazione e gestione

Gli switch di livello 3 sono in genere più facili da configurare e gestire per il routing inter-VLAN rispetto ai router. Questo perché puoi configurare più interfacce VLAN su un singolo dispositivo invece di dover gestire più interfacce fisiche su un router.

In sintesi, la scelta tra un router e uno switch Layer 3 per il routing inter-VLAN dipenderà dalle esigenze specifiche della tua rete. Entrambe le opzioni presentano vantaggi e svantaggi e l’opzione migliore varierà da situazione a situazione.

Router e switch di livello 3

Di seguito, riportiamo una tabella comparativa che evidenzia alcuni vantaggi offerti da entrambi router come interruttori di livello 3 per il routing tra VLAN in una rete:

	router	Interruttore di livello 3
Performance	Velocità di routing tipicamente più lente rispetto agli switch Layer 3	Prestazioni elevate, in grado di eseguire percorsi ad alta velocità
Costo	Generalmente più economico	Generalmente più costoso a causa dell'hardware specializzato
scalabilità	Potrebbe essere limitato dal numero di interfacce fisiche disponibili	Molto scalabile, può gestire un gran numero di VLAN
Funzionalità avanzate	Supporto per un'ampia gamma di protocolli di routing, firewall, VPN, tra gli altri	Principalmente limitato al routing, sebbene alcuni modelli possano includere funzionalità avanzate
Configurazione e gestione	Può essere più complicato a causa della necessità di gestire più interfacce fisiche	Configurazione e gestione più semplici grazie alle interfacce VLAN virtuali

Implementazione del routing VLAN in RouterOS

Di seguito è riportato un esempio di come configurare il routing inter-VLAN su un router MikroTik. Ciò presuppone che tu abbia già due VLAN configurate (VLAN 10 e VLAN 20) sulla porta ether2 e desideri configurare il routing tra di loro.

Questo è un semplice esempio e potrebbe essere necessario modificare i comandi per adattarli alle esigenze specifiche della tua rete.

Innanzitutto, dovremo assegnare gli indirizzi IP a ciascuna VLAN. Questi indirizzi fungeranno da gateway predefinito per ciascuna VLAN. Supponiamo di utilizzare 192.168.10.1/24 per VLAN 10 e 192.168.20.1/24 per VLAN 20:

				
					/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20

2. Successivamente, abiliteremo il routing tra le VLAN. MikroTik lo fa automaticamente attraverso la sua capacità di routing di livello 3:

				
					/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1

3. Infine, se desideri che anche le VLAN possano accedere a Internet, dovrai configurare un percorso predefinito attraverso il tuo gateway Internet. Supponiamo che il tuo gateway Internet sia 192.168.1.1:

				
					/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1

L'aggiunta di regole firewall per controllare il traffico tra VLAN su un router MikroTik può aiutare a migliorare la sicurezza della rete. Ecco un esempio di come potresti farlo.

Supponiamo di voler bloccare tutto il traffico dalla VLAN 10 alla VLAN 20, ma consentire il traffico nella direzione opposta. Per prima cosa dovrai identificare le reti corrispondenti alle tue VLAN (ad esempio 192.168.10.0/24 per VLAN 10 e 192.168.20.0/24 per VLAN 20), poi potrai utilizzare i seguenti comandi:

				
					/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept

Questi comandi creeranno due regole firewall:

La prima regola bloccherà tutto il traffico dalla VLAN 10 alla VLAN 20 (ovvero, tutti i pacchetti originati dalla rete 192.168.10.0/24 e destinati alla rete 192.168.20.0/24 verranno eliminati).
La seconda regola consentirà il traffico dalla VLAN 20 alla VLAN 10 (ovvero verranno accettati tutti i pacchetti originati dalla rete 192.168.20.0/24 e destinati alla rete 192.168.10.0/24).

Questo è un esempio molto semplice. Le regole del firewall possono essere molto più complesse e specifiche a seconda delle esigenze di sicurezza. Ad esempio, potresti voler bloccare o consentire solo determinati tipi di traffico (ad esempio HTTP, SSH, ecc.) oppure potresti voler bloccare o consentire il traffico da/verso determinati indirizzi IP specifici.