VLAN — NetLab Academy

1/8

🏷️ VLAN — Visualizzazione Interattiva

Vedi come le VLAN segmentano la rete sullo stesso switch fisico

🔀

Switch 2960 — 8 Porte

3 VLAN configurate — clicca una porta per i dettagli

VLAN 10 — Ufficio

VLAN 20 — Server

VLAN 30 — Guest

Trunk

🔒 Perché le VLAN Isolano il Traffico

Senza VLAN, un broadcast su una porta raggiunge TUTTE le altre porte dello switch. Con le VLAN, il broadcast resta confinato nella propria VLAN.

❌ Senza VLAN

PC1 manda un broadcast → tutti i PC della rete lo ricevono (ufficio, server, guest). Spreco di banda, nessuna sicurezza, un unico broadcast domain.

✅ Con VLAN

PC1 (VLAN 10) manda un broadcast → solo i PC nella VLAN 10 lo ricevono. Server (VLAN 20) e Guest (VLAN 30) non lo vedono. Segmentazione senza router aggiuntivi!

📊 Confronto: Senza VLAN vs Con VLAN

Caratteristica	Senza VLAN	Con VLAN
Broadcast Domain	1 (tutto lo switch)	1 per VLAN
Sicurezza	Tutti vedono tutto	Traffico isolato per VLAN
Performance	Broadcast ovunque → lento	Broadcast confinato → veloce
Gestione	Flat — difficile da organizzare	Logica — per reparto/funzione
Comunicazione tra gruppi	Automatica (stesso broadcast domain)	Serve un router (inter-VLAN routing)
Costo	Nessuno switch aggiuntivo	Nessun costo aggiuntivo (stessa infrastruttura fisica)

📦 802.1Q — VLAN Tagging

Come il frame Ethernet viene modificato per trasportare informazioni VLAN

🏷️ Il Tag 802.1Q — 4 Byte dentro il Frame

Quando un frame attraversa un link trunk, lo switch inserisce un tag di 4 byte tra il MAC sorgente e il campo Type/Length. Questo tag contiene il VLAN ID.

DST MAC6B

SRC MAC6B

🏷️ 802.1Q TAG4 byte (inserito)

Type2B

Payload46-1500B

FCS4B

🔬 Struttura del Tag 802.1Q (4 byte)

TPID — Tag Protocol Identifier (16 bit)

Valore fisso: 0x8100. Dice al destinatario: "questo frame ha un tag VLAN". Se il ricevente non supporta 802.1Q, scarta il frame.

TCI — Tag Control Information (16 bit)

PCP (3 bit): Priority Code Point — per QoS (0-7).
DEI (1 bit): Drop Eligible Indicator.
VID (12 bit): VLAN ID — da 0 a 4095. Range usabile: 1-4094.

💡 12 bit per il VLAN ID = 2¹² = 4096 valori possibili. VLAN 0 e 4095 sono riservate → range effettivo: 1-4094. VLAN 1 è la default (mai usarla per il management!). Range esteso: 1006-4094.

🔌 Access Port vs Trunk Port

🖥️ Access Port

Appartiene a una sola VLAN. Il dispositivo collegato non sa di essere in una VLAN — lo switch aggiunge/rimuove il tag automaticamente.

Comandi:
switchport mode access
switchport access vlan 10

🔀 Trunk Port

Trasporta frame di più VLAN contemporaneamente. Ogni frame ha il tag 802.1Q con il VLAN ID. Usato tra switch ↔ switch e switch ↔ router.

Comandi:
switchport mode trunk
switchport trunk allowed vlan 10,20,30

⚠️ Native VLAN

La Native VLAN è la VLAN i cui frame non vengono taggati su un trunk. Di default è VLAN 1. I frame senza tag che arrivano su un trunk vengono assegnati alla Native VLAN.

⚠️ Rischio Sicurezza

Se la native VLAN non è la stessa su entrambi i lati del trunk → Native VLAN mismatch. I frame finiscono nella VLAN sbagliata! STP genera warning. Possibile VLAN hopping attack.

✅ Best Practice

Cambia la native VLAN da VLAN 1 a una VLAN inutilizzata (es. VLAN 999). Assicurati che sia uguale su entrambi i lati del trunk.
switchport trunk native vlan 999

🌐 Inter-VLAN Routing

Le VLAN sono broadcast domain separati → per comunicare tra VLAN serve un router o uno switch Layer 3. Tre metodi:

❌ Legacy: Router con interfacce fisiche

1 interfaccia del router per ogni VLAN. Costoso, non scalabile. Nessuno lo usa più.

🔧 Router-on-a-Stick

1 interfaccia fisica + sub-interface per ogni VLAN. Il trunk porta tutto al router. Economico ma il router è il bottleneck.

✅ Switch Layer 3 (SVI)

Lo switch fa routing in hardware (ASIC). Velocissimo. Una SVI per ogni VLAN. Metodo consigliato.

💡 Router-on-a-Stick è il metodo più chiesto all'esame CCNA. Il router ha una sola interfaccia fisica (es. Gi0/0) con più sub-interface (Gi0/0.10, Gi0/0.20) ognuna con encapsulation dot1Q e un IP nella subnet della VLAN.

💻 Lab VLAN

2 lab pratici per padroneggiare le VLAN

🏷️

Lab 1 — VLAN Base

Facile ~15 minuti

Crea VLAN 10 e 20 su uno switch, assegna le porte in access mode, verifica l'isolamento tra VLAN con ping.

Obiettivi:
▸ Creare VLAN 10 (Ufficio) e VLAN 20 (Server)
▸ Assegnare porte Fa0/1-3 alla VLAN 10
▸ Assegnare porte Fa0/4-6 alla VLAN 20
▸ Verificare con show vlan brief
▸ Testare isolamento: ping tra VLAN fallisce

🔀

Lab 2 — Trunking & Inter-VLAN

Medio ~25 minuti

2 Switch + 1 Router. Configura trunk 802.1Q, poi router-on-a-stick con sub-interface per far comunicare le VLAN.

14 Obiettivi:
▸ VLAN 10 e 20 su entrambi gli switch
▸ Access ports su SW1 e SW2
▸ Trunk 802.1Q SW1↔SW2 e SW1↔R1
▸ Router-on-a-Stick: sub-interface con encapsulation dot1Q
▸ Ping stessa VLAN via trunk + ping inter-VLAN via router

🔒

Lab disponibili con Pro

I lab CLI interattivi ti permettono di configurare VLAN, trunk e inter-VLAN routing direttamente nel browser.

✓ 2 lab VLAN

✓ 40+ lab totali

✓ Quiz di verifica

✓ Esame simulato

❓ Quiz — VLAN

10 domande per testare le tue conoscenze sulle VLAN

🔒

Quiz disponibile con Pro

10 domande a risposta multipla sulle VLAN con spiegazioni dettagliate per ogni risposta.

✓ 10 domande VLAN

✓ Spiegazioni dettagliate

✓ Punteggio e feedback