Mi capita spesso di incontrare colleghi in difficoltà nell'uso di switch managed, nel momento in cui devono gestire le VLAN e configurarle su più switch. I dubbi riguardano in particolare i concetti seguenti:
- porte tagged
- porte untagged
- Default e Native VLAN
- PVID
Per quanto riguarda il concetto di VLAN, rimando all'articolo "VLAN: le LAN virtuali". Una volta chiari i concetti generali, è importante memorizzare questi ulteriori dettagli:
- Ogni VLAN ha un solo ed unico identificativo numerico, VID o VLAN ID, il cui valore va da 1 a 4094. In sostanza è il numero che identifica la VLAN.
- Per quanto riguarda gli switch, le porte possono essere untagged member o tagged member di una VLAN.
- Nella terminologia Cisco, una porta untagged è semplicemente una Access Port, mentre le porte tagged sono quelle di Trunk.
- Una porta può essere untagged per una sola VLAN (access port assegnata a quella sola VLAN), oppure tagged per diverse VLAN (ossia trunk).
Modalità VLAN per le interfacce dello switch
In base al tipo di switch, è possibile configurare le porte in una delle modalità seguenti:
- General - l'interfaccia supporta tutte le funzioni definite nelle specifiche IEEE 802.1q e può essere tagged o untagged member di una o più VLAN.
- Access o untagged - in questa modalità l'interfaccia può essere untagged member di una sola VLAN. Access Port o Untagged Port sono definizioni equivalenti. I pacchetti che attraversano una porta untagged (o access) sono privi del tag VLAN. Infatti sulle porte untagged sono collegati PC e dispositivi che nulla sanno delle VLAN.
- · Trunk o tagged - l'interfaccia è tagged member di una o più VLAN. Una porta tagged è in grado di ricevere pacchetti "taggati", e su queste porte possono essere collegati solo dispositivi in grado di interpretare i VLAN tag, come switch, router e firewall compatibili con il protocollo 802.1q.
Cosa succede se un pacchetto con tag VLAN n entra su una porta untagged? Semplice, il pacchetto viene scartato.
Cosa succede se un pacchetto privo di VLAN tag entra su una porta untagged? Viene classificato in base al PVID (Port VLAN Identifier) di quella porta, cioè se quella porta è untagged per la VLAN n, il pacchetto sarà classificato come appartenente alla VLAN n e potrà essere inoltrato solo sulle porte untagged e tagged per quella VLAN.
Cosa succede se un pacchetto con tag VLAN n arriva su una porta tagged? Se quella porta è tagged VLAN n, viene fatto passare, altrimenti viene scartato. Una volta che il pacchetto entra su una porta tagged, può andare solo sulle porte tagged e untagged della stessa VLAN n; se il pacchetto esce esce da una porta untagged sarà privato del tag VLAN, se esce da una porta tagged (trunk) rimarrà taggato come VLAN n.
Port VLAN ID
E' l'identificativo della VLAN utilizzato per classificare un pacchetto non taggato che entra nello switch. C'è corrispondenza tra PVID e le porte access o untagged: se una porta è impostata come access o untagged member della VLAN n, allora il PVID di quella porta è "n". Pertanto il pacchetto che entra in quella porta sarà classificato come appartenente alla VLAN n.
Default VLAN e Native VLAN
La Default VLAN ha le caratteristiche seguenti:
- esiste sempre e non può essere eliminata
- esiste perchè lo switch ha bisogno di almeno una VLAN a cui assegnare le sue porte; inoltre è utilizzata per protocolli speciali quali CDP, VTP, PAgP, e DTP;
- inizialmente, tutte le porte sono untagged member della VLAN di default
- a meno di modifiche, la VLAN di default ha ID 1
- l'ID della VLAN di default può essere cambiato
- se una porta non è più membro di alcuna VLAN, automaticamente diventa untagged member della VLAN di default (una porta non appartiene più a una determinata VLAN quando è rimossa dalla VLAN stessa, oppure se quella VLAN viene eliminata)
La Native VLAN invece riguarda solo i collegamenti in trunk fra switch. Default VLAN e Native VLAN causano spesso confusione... proverò a chiarire questi due concetti. Quando la porta di uno switch è configurata in trunk, oppure è tagged member per una o più VLAN, i pacchetti in transito per quella porta saranno inoltrati lasciando inalterato il loro VLAN TAG. Se però i pacchetti sono privi di tag, saranno assegnati alla Native VLAN. In maniera predefinita, la Native VLAN coincide con la Default VLAN, quindi si può affermare che i pacchetti privi di tag, in transito su una porta di trunk, saranno assegnati alla Default VLAN.
Alcuni switch permettono di modificare la Native VLAN (esempio Cisco Catalyst), altri non la mostrano nemmeno (esempio Cisco Managed serie 500), e rendono possibile modificare solo l'ID della VLAN di Default.