Gentile forum, nello studio della CCENT un dubbio mi assale:
Ho appena finito di studiare il subnetting, rispetto ad una virtual lan io potrei utilizzare tale metodo per suddividere domini di broadcast.
Effettuando il subnetting, che motivo avrei di creare delle vlans (a parte il fatto che uno lavora a livello 2 l'altro al livello 3)?
Chiedo scusa se ho detto una castroneria ma vorrei comprendere questo mio atroce dubbio.
Saluti a tutti.
Marcello
Dubbi atroci!!!
Moderatore: Federico.Lagni
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
Grazie per la risposta, ma a questo punto il vantaggio delle vlans si tradurrebbe in che cosa?rain3 ha scritto:Generalmente ad ogni vlan coincide una rete o sottorete , le cose vanno di pari passo .
A livello 2 per la vlan a livello 3 per la rete o sottorete .
visto che posso dividere il dominio di broadcast con delle sottoreti.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ridurre la propagazione del broadcast a L2, sicurezza della rete (anche se uno configura un PC per l'altra sottorete non riesce ad accedere hai computer di quella VLAN), ottimizzazione del traffico.guybrush77 ha scritto:Grazie per la risposta, ma a questo punto il vantaggio delle vlans si tradurrebbe in che cosa?rain3 ha scritto:Generalmente ad ogni vlan coincide una rete o sottorete , le cose vanno di pari passo .
A livello 2 per la vlan a livello 3 per la rete o sottorete .
visto che posso dividere il dominio di broadcast con delle sottoreti.
Questi sono solo alcuni esempi che mi sono venuti in mente.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
Grazie della risposta. Gentilissimopaolomat75 ha scritto:Ridurre la propagazione del broadcast a L2, sicurezza della rete (anche se uno configura un PC per l'altra sottorete non riesce ad accedere hai computer di quella VLAN), ottimizzazione del traffico.guybrush77 ha scritto:Grazie per la risposta, ma a questo punto il vantaggio delle vlans si tradurrebbe in che cosa?rain3 ha scritto:Generalmente ad ogni vlan coincide una rete o sottorete , le cose vanno di pari passo .
A livello 2 per la vlan a livello 3 per la rete o sottorete .
visto che posso dividere il dominio di broadcast con delle sottoreti.
Questi sono solo alcuni esempi che mi sono venuti in mente.
Paolo
- rain3
- Network Emperor
- Messaggi: 266
- Iscritto il: gio 31 lug , 2008 4:55 pm
- Località: Battipaglia (SA)
Dalle domande da te poste dovresti considerare la revisione dell'argomento per avere più chiaro l'argomento , senza offeso è solo un consiglio ; all'esame troverai un bel po' di domande sul subnetting e le virtual lan.
CCNA 640-802
CCNP SWITCH 642-813
CCNP SWITCH 642-813
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
Grazie del consiglio, dovrò rivedere un pò di cose non solo le Vlans. Il concetto è chiaro, ora ho avuto conferma che se volessi solo creare più domini di broadcast posso farlo con il subnetting a livello 3 senza configurare le Vlans.rain3 ha scritto:Dalle domande da te poste dovresti considerare la revisione dell'argomento per avere più chiaro l'argomento , senza offeso è solo un consiglio ; all'esame troverai un bel po' di domande sul subnetting e le virtual lan.
Grazie a tutti.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Assolutamente no. Il dominio di broadcast si riferisce a livello datalink (L2), perciò puoi farlo solo con le VLAN.guybrush77 ha scritto: Il concetto è chiaro, ora ho avuto conferma che se volessi solo creare più domini di broadcast posso farlo con il subnetting a livello 3 senza configurare le Vlans.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
Perdonatemi, ma il concetto non mi è chiaro, se io volessi creare 4 subnet ovviamente attaccando il tutto ad uno switch, lo switch inoltra un broadcast a prescindere dalla subnet poichè agisce al livello mac address giusto?
-
- Cisco pathologically enlightened user
- Messaggi: 202
- Iscritto il: ven 23 gen , 2009 7:31 pm
No, non lo inoltra. Lo inoltra solo sulle porte associate alla stessa vlan dove il broadcast è nato. Ovvero il broadcast resta confinato nel dominio di broadcast (si chiama così per questo!)
Effettivamente devi rivederti un po' tutto l'argomento da quanto leggo. Senza offesa!
Effettivamente devi rivederti un po' tutto l'argomento da quanto leggo. Senza offesa!
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
E chi si offende, anzi, sono qui per imparare e ringraziarvi.Dagoth ha scritto:No, non lo inoltra. Lo inoltra solo sulle porte associate alla stessa vlan dove il broadcast è nato. Ovvero il broadcast resta confinato nel dominio di broadcast (si chiama così per questo!)
Effettivamente devi rivederti un po' tutto l'argomento da quanto leggo. Senza offesa!
-
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Cercherò di farti capire, almeno spero, il + possibile.
Con ethernet affinchè due host possano comunicare, devono essere noti i mac address di entrambi. Un host per conoscere il mac address di un altro host prima guarda nella sua tabella di arp e se lì non lo trova fa una richiesta arp, che è un broadcast.
Supponi ora di avere degli host collegati ad un hub, che come sai, questo manco sa cosa sono le vlan e per lui tutti gli host possono comunicare. Quando l'host A fa una richiesta arp per conoscere il mac di B, tutti gli host, a prescindere dalla subnet a cui appartengono ricevono l'arp. (In realtà con un hub tutti i frame arrivano a tutti, non solo i broadscast o i multicast). Un qualsiasi host che riceve una richiesta arp, la processa perchè la sua NIC è in ascolto sul mac address FF.FF.FF.FF.FF (mac address di un broedcast). In questo caso è chiaro che tutti gli host, sia quelli sulla subnet di A che gli altri processano questo traffico e quindi in sostanza perdono inutilmente del tempo. E' poi lo stack TCP/IP che vede che la richiesta arriva da un'altra rete e quindi la cestina.
Da quanto sopra esposto puoi capire perchè una vlan è detta dominio di broadcast, perchè sia utile confinare tutti gli host di una stessa subnet in una vlan e quindi perchè Paolo ti scrisse:
Ridurre la propagazione del broadcast a L2
Supponi ora di avere i tuoi host correttamente separati su due vlan e che l'host A che ovviamente a borda ha winzoz, sia infettato da un virus e questo cerchi di infettare quanti + host possibile nella sua rete. E' chiaro che ora gli host dell' altra rete non risentono di questo attacco. ecco perchè la vlan è un primo strumento per il controllo della sicurezza.
A proposito di sicurezza, ti racconto un fatto che mi successe tempo fa e proprio grazie al fatto di avere la rete divisa in vlan siamo riusci ad isolare e fermare il problema.
Una mattina entro in ufficio e dopo un po' cominciano ad arrivare telefonate di cendo che i pc non andavano + in rete, non riuscivano a prendere un indirizo ip , solo i pc a cui non era ancora scaduta la lease potevano comunicare, Inoltre, chi si occupava del dhcp ci disse che questi aveva rilasciato già tutti gli ip e quindi ignorava tutte le richieste. Per fartela breve, era stata installata da parte dell'ufficio competente, una nuova stampante di rete multifunzione ed evidentemente questa aveva a bordo un software bacato il quale continuava a fare richieste dhcp con mac address a caso e quindi si era beccato tutti gli ip che il dhcp rilasciava. Grazie al fatto di avere suddiviso i piani degli stabili in vlan separati, solo gli host nella vlan della stampante furono interessati, tutti gli altri no.
Spero di averti chiarito un po' le idee.
Ciao
Con ethernet affinchè due host possano comunicare, devono essere noti i mac address di entrambi. Un host per conoscere il mac address di un altro host prima guarda nella sua tabella di arp e se lì non lo trova fa una richiesta arp, che è un broadcast.
Supponi ora di avere degli host collegati ad un hub, che come sai, questo manco sa cosa sono le vlan e per lui tutti gli host possono comunicare. Quando l'host A fa una richiesta arp per conoscere il mac di B, tutti gli host, a prescindere dalla subnet a cui appartengono ricevono l'arp. (In realtà con un hub tutti i frame arrivano a tutti, non solo i broadscast o i multicast). Un qualsiasi host che riceve una richiesta arp, la processa perchè la sua NIC è in ascolto sul mac address FF.FF.FF.FF.FF (mac address di un broedcast). In questo caso è chiaro che tutti gli host, sia quelli sulla subnet di A che gli altri processano questo traffico e quindi in sostanza perdono inutilmente del tempo. E' poi lo stack TCP/IP che vede che la richiesta arriva da un'altra rete e quindi la cestina.
Da quanto sopra esposto puoi capire perchè una vlan è detta dominio di broadcast, perchè sia utile confinare tutti gli host di una stessa subnet in una vlan e quindi perchè Paolo ti scrisse:
Ridurre la propagazione del broadcast a L2
Supponi ora di avere i tuoi host correttamente separati su due vlan e che l'host A che ovviamente a borda ha winzoz, sia infettato da un virus e questo cerchi di infettare quanti + host possibile nella sua rete. E' chiaro che ora gli host dell' altra rete non risentono di questo attacco. ecco perchè la vlan è un primo strumento per il controllo della sicurezza.
A proposito di sicurezza, ti racconto un fatto che mi successe tempo fa e proprio grazie al fatto di avere la rete divisa in vlan siamo riusci ad isolare e fermare il problema.
Una mattina entro in ufficio e dopo un po' cominciano ad arrivare telefonate di cendo che i pc non andavano + in rete, non riuscivano a prendere un indirizo ip , solo i pc a cui non era ancora scaduta la lease potevano comunicare, Inoltre, chi si occupava del dhcp ci disse che questi aveva rilasciato già tutti gli ip e quindi ignorava tutte le richieste. Per fartela breve, era stata installata da parte dell'ufficio competente, una nuova stampante di rete multifunzione ed evidentemente questa aveva a bordo un software bacato il quale continuava a fare richieste dhcp con mac address a caso e quindi si era beccato tutti gli ip che il dhcp rilasciava. Grazie al fatto di avere suddiviso i piani degli stabili in vlan separati, solo gli host nella vlan della stampante furono interessati, tutti gli altri no.
Spero di averti chiarito un po' le idee.
Ciao
CCNA Security,CCDP, CCNP R&S
-
- n00b
- Messaggi: 21
- Iscritto il: lun 16 set , 2013 9:50 am
Chiarissimo il concetto, grazie davvero. Grazie a questo forum che mi è d'aiuto per approfondire i concetti che non mi sono chiari.
-
- n00b
- Messaggi: 22
- Iscritto il: lun 16 apr , 2012 8:28 pm
Un altro ampio utilizzo che si fa delle VLAN è quello legato all'uso dei telefoni VOIP. E' proprio grazie alle VLAN che è possibile collegare un PC in cascata ad un telefono VOIP, poiché consentono di gestire voce e dati tramite su sotto-reti separate. Forse questo va al di fuori della CCENT ma a mio parere è uno degli utilizzi più comuni che si fa delle VLAN.