Un singolo dominio di broadcast all'interno di una rete fisica creato
per regolare il traffico, per aumentare la sicurezza e per semplificare
le operazioni di gestione. I suoi confini variano a seconda di come vengono
configurato gli switch che compongono la rete. Le VLAN si comportano a
tutti gli effetti come reti separate, isolate l'una dall'altra per ragioni
di sicurezza, di gestione e di contenimento del traffico (incluso quello
dei broadcast). Un nodo può tuttavia appartenere a più VLAN contemporaneame
nte e quindi costituire una risorsa condivisa. L'assegnazione di una macchina
a una particolare VLAN avviene in base all'indirizzo fisico della macchina
medesima, ai protocolli che questa dovrà ricevere oppure al tipo di applicazioni
in cui dovrà essere coinvolta. La VLAN può riunire in un singolo gruppo
di lavoro persone sparse per tutta l'azienda. Bridge e switch regolano
il traffico unicamente sulla base dell'indirizzo di destinazione e che
lasciano passare quelle trame che non hanno un destinatario conosciuto
oppure che sono destinate a più nodi contemporaneamente: multicast e broadcast.
Finché la rete ha dimensioni contenute (come nella maggior parte dei casi)
questo è più che sufficiente, ma in LAN di grandi dimensioni serve un
controllo più severo sul broadcasting e anche sulla diffusione indiscriminata
di trame a stazioni non conosciute. Molti switch moderni riescono a costruire
LAN virtuali (VLAN), cioè insiemi di macchine che si comportano come se
fossero reti separate (quindi non condividono i broadcast) e che possono
essere composte da macchine collegate a uno o più switch, comunque distribuite
all'interno dell'azienda. Riunire questi utenti in gruppi di lavoro presenta
il vantaggio di confinare il flusso dei dati così che non esca dalla cerchia
di coloro che ne hanno effettivamente bisogno, facilita la gestione del
traffico e della rete, e permette in ogni caso di avere risorse condivise
tra due o più VLAN, evitando gli inconvenienti di un'effettiva separazione
fisica tra le LAN: rigidità di riconfigurazione e difficoltà a condividere
risorse comuni. Una rete Ethernet rappresenta al proprio interno un singolo
dominio di collisione, cioè qualsiasi pacchetto trasmesso viene ricevuto
da tutti e chiunque trasmetta in contemporanea a un altro genera una collisione
che viene propagata a tutti i nodi del segmento. L'uso di ripetitori (hub)
consente di ampliare le dimensioni fisiche della rete, aggiungendo altri
segmenti che tuttavia rimangono un singolo dominio di collisione e perciò
arrivano rapidamente a saturare la propria capacità trasmissiva. L'inserimento
di un bridge o di uno switch tra due segmenti permette di creare diversi
domini di collisione, riducendo il traffico spurio e aumentando l'efficienza
dell'impianto nel suo complesso. Un ulteriore aumento di efficienza è
possibile suddividendo i domini di broadcasting. E questo ha efficacia
su qualsiasi tipo di LAN, poiché laddove le collisioni sono unicamente
una prerogativa delle reti Ethernet, l'eccesso di broadcasting affligge
allo stesso modo anche Token Ring, FDDI e qualsiasi altra tecnologia.
La costruzione di una VLAN passa per l'assegnazione delle porte di uno
switch. Ad esempio le porte 2, 4 e 6 potrebbero far parte della VLAN numero
uno e le porte 3, 4 e 8 appartenere alla VLAN numero due. La porta 4,
comune a entrambe, sarebbe magari quella di un server condiviso. Il gruppo
di lavoro può essere liberamente disperso all'interno dell'azienda, ma
ciò nonostante conservare la propria identità. Inoltre i singoli membri
manterranno l'affiliazione alla VLAN indipendentemente dai propri spostamenti
fisici, come quando la persona trasloca di ufficio oppure usa il portatile
passando da una stanza all'altra. Il primo elemento centrale è di nuovo
lo switch, senza di esso il concetto di VLAN non potrebbe nemmeno esistere.
Il raggruppamento non avviene a livello fisico, poiché la struttura interna
dello switch non viene modificata e non viene nemmeno cambiata la disposizione
delle connessioni fisiche (il doppino) sulle sue porte. Quel che cambia
è il modo il cui le trame sono inoltrate sulla rete e il modo in cui queste
sono filtrate così che non si propaghino all'esterno del gruppo di lavoro.
Le due tecniche primarie in questo ambito sono il packet filtering (filtraggio
dei pacchetti) e la packet identification (idendificazione del pacchetto).
Nel primo caso si esamina ciascun pacchetto in arrivo per vedere se possiede
le caratteristiche idonee per essere spedito su una data porta. I parametri
di filtro vengono definiti in una tabella all'interno dello switch e possono
agire sia sull'indirizzo fisico contenuto nella trama (bloccando broadcast
e multicast e qualsiasi pacchetto indirizzato a una macchina non elencata
nel gruppo) sia sul contenuto interno di questa, cioè riconoscendo un
tipo di traffico da un altro (potrebbe esserci una VLAN per la videoconferenza
e una diversa VLAN per l'accesso al server aziendale). Lo svantaggio del
filtro è che rallenta le operazioni di switching. Infatti bisogna soffermarsi
a esaminare la trama. La tecnica d'identificazione del pacchetto (detta
anche packet tagging - etichettare il pacchetto) è invece relativamente
nuova e consiste nell'aggiungere una speciale etichetta all'inizio della
trama prima di farla proseguire all'interno del tessuto di commutazione
che compone la VLAN (switching fabric). Qualsiasi switch che la riceve
deve semplicemente leggerne l'identificatore e decidere come comportarsi.
Prima che la trama esca dall'ultimo switch e venga consegnata al destinatario,
l'etichetta viene rimossa così da ricostruire il formato originale. In
questo caso la commutazione è rapida, ma possono esistere problemi nel
collegare switch di produttori diversi poiché non tutti ancora aderiscono
allo stesso standard per la costruzione dell'etichetta. Un documento ufficiale
in materia è stato pubblicato nel 1992 e dall'IEEE con il numero 802.10
e definisce un'aggiunta alla trama che va posizionata tra la parte riservata
all'indirizzo fisico (MAC address) e la parte riservata ai dati. Qualunque
sia la tecnologia impiegata, la VLAN ha il beneficio di costruire una
separazione arbitraria tra diversi nodi senza alterare la natura di questi
ultimi o delle applicazioni che vi funzionano sopra. Tutto avviene all'interno
degli switch che compongono l'ossatura della rete (il tessuto di commutazione
o switching fabric).
|
Segnala errore sito
