Scuola Politecnica e delle Scienze di Base

Corso di Laurea in Ingegneria Informatica

Elaborato finale in Reti di Calcolatori

Simulazione di VLAN in Cisco Packet Tracer

Anno Accademico 2014/2015

Candidato:

Riccardo Fusco

matr. N46000636
A mia madre e mio padre,
che mi hanno permesso di vivere uno dei giorni più belli della mia vita,
a Serena che mi ha insegnato a non abbattermi di fronte all'ennesimo ostacolo,
e a tutti gli amici con cui ho condiviso questo bellissimo percorso.
Indice

Indice .................................................................................................................................................. III

Introduzione alle VLAN ...................................................................................................................... 4
Capitolo 1: Cisco Packet Tracer........................................................................................................... 5
1.1 Un primo sguardo al software .................................................................................................... 5
1.1.1 Un semplice esempio ..................................................................................................... 8
Capitolo 2: Simulazione di VLAN in Cisco Packet Tracer ............................................................... 12
2.1 Le basi delle Vlan .................................................................................................................... 16
2.1.1 Configurazione con interfaccia grafica ............................................................................. 16
2.1.2 Configurazione con interfaccia a linea di comando .......................................................... 18
2.2 Il trunking di Vlan .................................................................................................................... 21
2.2.1 Configurazione con interfaccia grafica ............................................................................. 22
2.2.2 Lo standard IEEE 802.1Q ................................................................................................. 22
2.2.3 Configurazione con interfaccia a linea di comando .......................................................... 24
2.3 Il routing di Vlan ...................................................................................................................... 26
2.3.1 Configurazione del Router ................................................................................................ 28
Capitolo 3: La sicurezza nelle VLAN ................................................................................................ 31
3.1 Configurazioni di sicurezza per i dispositivi............................................................................ 31
3.1.1 Esempio pratico con dispositivi Cisco .............................................................................. 32
Conclusioni ........................................................................................................................................ 33
Indice immagini ................................................................................................................................. 34
Bibliografia ........................................................................................................................................ 35
Introduzione alle VLAN

Oggigiorno, quasi tutte le aziende possiedono una rete informatica al loro interno che, con

il passare del tempo, diventa sempre più estesa e complessa, ma è proprio questa grossa

estensione che può portare a numerosi problemi, quali l’elevato traffico di multicast e

broadcast, la necessità di fare routing tre le sottoreti ip, per non parlare dei problemi legati

alla sicurezza informatica.

Grazie alle Lan virtuali, o anche dette vlan, evitiamo la realizzazione di reti parallele, e

possiamo utilizzare un’unica infrastruttura fisica. Inoltre possiamo definire più sottoreti

logiche separate.

Possiamo separare completamente le reti tramite l’uso delle vlan, evitando la

comunicazione tra di loro, oppure possiamo connettere più vlan tramite un router o uno

switch di terzo livello.

Le Vlan (Virtual Local Area Network) sono una tecnologia che permette di separare i

domini di broadcast.

Per iniziare, verrà mostrato il software Cisco per la simulazione delle reti informatiche,

successivamente utilizzando quest’ultimo verranno mostrati vari esempi di configurazioni

di reti utilizzando le vlan. In conclusione vedremo una serie di accorgimenti mirati a

rendere più sicuri i nostri dispositivi da attacchi informatici.

4
Capitolo 1. Cisco Packet Tracer

Capitolo 1: Cisco Packet Tracer

Cisco Packet Tracer è un software didattico distribuito liberamente agli studenti ed

istruttori del programma Cisco Networking Academy.

E’ usato per la simulazione di reti, per facilitare e migliorare l’apprendimento del

Networking. Esso consente di creare delle topologie composte da dispositivi di rete

generici oppure dispositivi Cisco.

Permette di simulare l’interfaccia a riga di commando CLI (Command Line Interface) del

Sistema operativo Cisco IOS presente in tutti i dispositivi Cisco, oppure configurare gli

apparati di rete usando la semplice GUI (Grafic User Interface).

Tra le funzioni più importanti del software c’è quella di ispezionare in real-time lo stato di

tutti i dispositivi utilizzati nella rete e il formato di ciascun pacchetto inviato sulla rete.

1.1 Un primo sguardo al software

Esaminiamo le funzionalità di base di questo software.

Nella figura sottostante (Figura 1.1), possiamo vedere come si presenta il software Cisco

Packet Tracer al primo avvio.

5
Capitolo 1. Cisco Packet Tracer

Figura 1.1 - Schermata principale di Cisco Packet Tracer

Nel riquadro in basso a sinistra è possibile selezionare i dispositivi da aggiungere alla

nostra rete che vogliamo simulare, PT (Packet Tracer) ci permette di scegliere tra:

Routers, Switches, Hubs, Wireless Devices ecc..

Una volta selezionata una categoria nel riquadro accanto verranno visualizzati tutti i
modelli disponibili. Ad esempio, se selezioniamo la categoria switch, di lato appariranno

parte dei dispositivi switch Cisco realmente esistenti, ma anche il generico switch.

Una volta sistemati i dispositivi sul nostro workspace, possiamo passare al collegamento

di questi dispositivi, scegliendo il collegamento più appropriato.

PT mette a disposizione diversi tipi di cablaggi, come il classico cavo ethernet, la fibra, il

cavo incrociato, coassiale ecc.. Per semplicità è disponibile anche la modalità Smart

Connection che seleziona in modo automatico il cavo e le interfacce da connettere.

Una volta creato un collegamento tra due dispositivi, appariranno due led di segnalazione,

6
Capitolo 1. Cisco Packet Tracer

alle rispettive estremità del cavo. Questi led segnaleranno che la porta a cui è connesso il

cavo funziona (led verde) oppure non funziona (led rosso).

Nella barra laterale destra di PT, sono disponibili alcuni comandi fondamentali, (partendo

dall’alto):

Lo strumento Select, che permette di selezionare uno o più elementi del workpace, ad

esempio per spostarli, eliminarli o altro.

Lo strumento Move Layout che permette di spostare tutto il layout nella posizione che

desideriamo.

Lo strumento Place note, che risulta molto utile, nel caso vogliamo aggiungere commenti

o note sul nostro workspace, come indirizzi ip, nomi di reti o altro.

Lo strumento Delete, che permette di eliminare qualsiasi elemento nel workspace,

semplicemente cliccandoci sopra.

Lo strumento Inspect, utile per visualizzare le info, di un dispositivo cliccandoci sopra.

Lo strumento Draw Polygon, che ci viene in aiuto per inserire in una forma geometrica

come un quadrato, un cerchio o altro, parte dei dispositivi, e quindi delineare alcune zone,

come ad esempio dividere due gruppi di lavoro.

Una delle parti più interessanti di PT sono le due modalità: Realtime e Simulation.

Di default all’avvio del software ci troviamo in modalità Realtime, la differenza tra le due

è che nella modalità Realtime, tutto quello che facciamo avviene in tempo reale, come se

stessimo operando nella vita reale, ovvero, tutti i dispositivi risponderanno in tempo reale
a tutte le richieste che noi gli facciamo, come ad esempio quando effettuiamo una richiesta

di ping da linea di comando.

L’altra modalità, la Simulation, è molto utile per lo studio delle reti. Infatti grazie a questa

modalità possiamo vedere nel dettaglio qual è il percorso dei pacchetti e come vengono

processati in modo dettagliato. Accedendo a questa modalità, appare un nuovo riquadro, il

Simulation Panel. In questo pannello possiamo vedere la lista degli eventi, che si andrà a

riempire ogni volta che il nostro pacchetto si sposerà da un punto all’altro, possiamo

selezionare da uno a più di 30 protocolli da visualizzare.

7
Capitolo 1. Cisco Packet Tracer

Ed infine i classici pulsanti di play control, per avviare, fermare o resettare la nostra

simulazione e gestirne la velocità. Il viaggio delle pdu sarà visualizzato come un’icona a

forma di lettera che si muoverà da un dispositivo all’altro tramite i collegamenti che

abbiamo instaurato in precedenza. Cliccando sulla lettera possiamo visualizzare

informazioni ancora più dettagliate della pdu come i livelli dell’Osi model a cui ci

troviamo e il formato delle pdu.

1.1.1 Un semplice esempio

Ma vediamo un esempio base di utilizzo di PT:

Creiamo una semplice rete (Figura 1.3), costituita da due pc desktop chiamati

rispettivamente PC0 e PC1, collegati tramite cavo ethernet ad uno switch Cisco 2950

come quelli mostrati nella figura sottostante (Figura 1.2).

Figura 1.2 - Switch Cisco serie 2960

8
Capitolo 1. Cisco Packet Tracer

Figura 1.3 - Configurazione di due pc collegati ad uno switch

Per prima cosa configuriamo gli indirizzi ip statici dei due pc, tramite l’interfaccia grafica.

Clicchiamo sull’icona del PC, spostiamoci nella scheda desktop ed andiamo su Ip

configuration.

Assegniamo gli indirizzi ip come in tabella 1.1:

PC PC0 PC1

Indirizzo IP 192.168.1.10 192.168.1.20

Subnet mask 255.255.255.0 255.255.255.0

Tabella 1.1 - Indirizzi per le due macchine

9
Capitolo 1. Cisco Packet Tracer

Fatto questo, per verificare se i due pc sono in ascolto e che tutto è stato configurato a

dovere effettuiamo un semplice ping dal PC0 al PC1.

Per fare questo andiamo sempre nella scheda desktop del PC0 e spostiamoci su Command

Prompt, che è proprio un simulatore del classico Prompt dei comandi di MS Windows

(Figura 1.4).

Quindi digitiamo il comando:

ping 192.168.1.20

Figura 1.4 - Simulazione del comando ping dal cmd

10
Capitolo 1. Cisco Packet Tracer

Adesso vediamo come fare la stessa cosa in modalità Simulation usando Add simple pdu.

Nello specifico quando digitiamo il comando ping nella shell viene generato un pacchetto

IP con all’interno incapsulato un messaggio ICMP Echo Request. Mentre il dispositivo che

riceve un messaggio di tipo Echo Request risponde al mittente con un messaggio ICMP

Echo Replay.

Quindi spostiamoci in modalità Simulation, e deselezioniamo tutti i protocolli lasciando

solo quello che a noi interessa ovvero ICMP. Supponendo di voler simulare un ping dal

PC0 al PC1, usiamo lo strumento Add simple pdu e clicchiamo prima sul PC0 e poi sul

PC1 e lanciamo la simulazione cliccando su Play.

11
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

Capitolo 2: Simulazione di VLAN in Cisco Packet Tracer

Come già accennato nel capitolo precedente, vogliamo vedere come, partendo da una

configurazione con un unico dominio di broadcast (Figura 2.1) in cui sono presenti pc

appartenenti al gruppo professori e al gruppo segreteria,

Figura 2.1 - Configurazione di una rete con un unico dominio di broadcast

12
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

possiamo creare più domini di broadcast, sulla stessa rete fisica (Figura 2.2).

Figura 2.2 - Separazione dei domini di broadcast (Vlan Intra-Switch)

In modo tale che, se il PC1 decide di mandare un ping in broadcast, nella sua rete

Segreteria, questo resti confinato solo nell’area di colore Azzurro. Senza l’uso delle

VLAN noi saremmo obbligati ad acquistare più switch per separare le reti, invece grazie

alle VLAN possiamo separare più reti usando un solo switch. In questo caso specifico si

parlerà di vlan intra-switch.

Ma osserviamo meglio la situazione, facendo un semplice esempio pratico.

13
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

Supponiamo di trovarci in un edificio scolastico di due piani (Figura 2.3). Al piano terra

troviamo la rete Segreteria visibile nel riquadro azzurro, mentre al primo piano la rete

Professori visibile nel riquadro rosa. Nel caso non utilizzassimo le VLAN ci troveremmo

in una situazione del genere:

Figura 2.3 - Separazione dei domini usando due switch

In tal caso abbiamo due switch, lo switch0 per il piano terra che serve la rete Segreteria, e

lo switch1 per il primo piano che serve la rete Professori. In questo caso abbiamo due

domini di broadcast, poiché abbiamo due switch.

Ma il problema può sorgere quando il professore con PC3 al primo piano, si debba

spostare temporaneamente al piano terra. In questo caso, se non utilizzassimo le VLAN,

l’unica soluzione sarebbe quella di spostare il PC3 al piano terra, e collegare quest’ultimo

allo switch1 del primo piano tramite un lungo cavo che dal piano terra arrivi allo switch1

14
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

del primo piano. Come possiamo immaginare, questa modifica fisica, può essere piuttosto

complessa e costosa. Stesso problema si presenta se il professore del PC3 cambia

semplicemente ufficio.

Grazie alle VLAN questo ostacolo può essere superato, collegando il PC3 del professore

allo switch0 della rete segreteria, collegare i due switch tra di loro con un semplice cavo

incrociato, configurare il software degli switch (Figura 2.4) per creare due reti VLAN, e

definire i PC che appartengono alle due VLAN, anche se sono connessi a switch differenti.

Figura 2.4 - Collegamento tra i due switch

15
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

2.1 Le basi delle Vlan

Ma adesso vediamo un primo esempio di creazioni di reti VLAN tramite PT.

Prendiamo in considerazione sempre l’esempio dell’edificio scolastico. Ma questa volta

supponiamo di avere tre livelli. Al piano terra, abbiamo sempre la rete Segreteria visibile

nel riquadro Azzurro, al primo piano abbiamo la rete Amministrazione visibile nel

riquadro rosso, mentre all’ultimo piano abbiamo la rete Laboratorio visibile nel riquadro

verde. Tutti i pc sono connessi ad un unico switch Cisco Castalyst 2950 situato al primo

piano dell’edificio.

2.1.1 Configurazione con interfaccia grafica

Adesso vediamo come configurare il tutto per via software. Per prima cosa, impostiamo

gli indirizzi ip statici ad ogni macchina, come mostrato in precedenza seguendo la tabella:

PC Indirizzo IP Subnet mask

PC0 192.168.1.10 255.255.255.0

PC1 192.168.1.20 255.255.255.0

PC2 192.168.1.30 255.255.255.0

PC3 192.168.1.40 255.255.255.0

PC4 192.168.1.50 255.255.255.0

Tabella 2.1 - Indirizzi delle macchine in esempio

Seguendo la figura, andiamo su PC1 della rete segreteria, andiamo nella scheda Desktop e

poi su Prompt dei comandi.

Iniziamo descrivendo la procedura usando la GUI, quindi, andiamo nello Switch e creiamo
16
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

tre VLAN, una per ogni rete, andiamo nella scheda Config e poi sul Vlan Database nella

colonna a sinistra. In Figura 2.5, un esempio reale della web interface di uno switch serie

2960.

Figura 2.5 - Interfaccia web dello switch Cisco 2960

Chiamiamo la Vlan Segreteria, ed assegniamole il numero 10 e clicchiamo su Add.

Facciamo la stessa cosa per le altre due Vlan.

Alla fine per verificare la corretta creazione delle tre Vlan, andiamo nello Switch su

config, e spostiamoci in Vlan Database, qui vedremo le 3 Vlan appena create.

Da notare che nel database ci saranno altre Vlan che non possiamo eliminare, tra cui la

Vlan default a cui appartengono tutti i pc, se non configurato diversamente.

Adesso dobbiamo assegnare le porte dello switch alle varie Vlan appena create. Quindi

sapendo che alle porte 1 e 2 dello switch sono connessi PC1 e PC2 della rete Segreteria,

iniziamo a definire queste porte nella Vlan Segreteria. Quindi sempre nella scheda Config,

17
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

andiamo su FastEthernet 0/1, dove il numero 0 indica il numero dello slot che nello switch

in questione è 0, mentre l’altro numero indica il numero della porta, che per questo switch

varia da 1 a 24. Lasciamo la modalità access mode, ma cambiamo la Vlan, da quella di

default 1, a quella 10 corrispondente alla Vlan Segreteria. In questo modo abbiamo

stabilito che nello switch, il pc connesso alla porta 0/1, apparterrà alla Vlan Segreteria. La

stessa procedura, andrà ripetuta per tutte e 3 le reti Vlan create. Quindi in sostanza stiamo

definendo, per ogni vlan, quali porte dello switch dedicare.

2.1.2 Configurazione con interfaccia a linea di comando

Vediamo adesso come ripetere la stessa procedura, usando l’interfaccia a linea di comando

con Cisco IOS.

Clicchiamo sullo switch ed andiamo nella scheda CLI. Diamo invio, e digitiamo:

enable

configure terminal

vlan 10

name Segreteria

exit

Il comando enable mi permette di entrare in modalità esecuzione, mentre con configure

terminal entro nella modalità esecuzione privilegiata.

Con vlan 10, definiamo una Vlan con id 10 e con name le assegnamo il nome Segreteria.

Digitiamo exit per uscire dalla configurazione della vlan 10, poiché quei comandi

appartengono solo a quella vlan 10. Ripetiamo la stessa procedura per creare le altre due

Vlan. Adesso, per visualizzare il database delle Vlan, andiamo nella riga di comando e

semplicemente dalla modalità amministratore digitiamo l’istruzione:

show vlan brief

18
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

Questo comando ci permette di visualizzare lo stato di tutte le Vlan, e come risultato

avremo in output una tabella, in cui possiamo vedere:

il numero delle varie Vlan, il loro nome, lo stato e le porte associate.

Per il momento possiamo notare che come Vlan abbiamo la Vlan default, a cui sono

assegnate tutte le 24 porte di tipo fast ethernet dello switch, più le due porte gigabit. Le tre

Vlan che abbiamo appena creato, ma a cui non abbiamo assegnato ancora nessuna porta, e

le altre quattro Vlan presenti di default.

Adesso non ci resta che assegnare alle varie Vlan il numero di porte. Seguendo sempre la

configurazione in Figura, andiamo nello switch, spostiamoci nella CLI e digitiamo:

enable

configure teminal

interface FastEthernet 0/1

switchport access vlan 10

exit

Quindi, entrati in configuration mode, non abbiamo fatto altro che spostarci

sull’interfaccia FastEthernet 0/1 dello switch, ed assegnare quella specifica porta alla Vlan

numero 10. In tal modo, qualsiasi pc collegato fisicamente a quella interfaccia, apparterrà

alla Vlan numero 10, ovvero la Vlan Segreteria.

Se adesso digitassimo il comando:

show vlan brief

Potremmo vedere in output che l’interfaccia FastEthernet 0/1 dello switch non è più

assegnata alla vlan 1, ovvero quella di default, ma bensì alla nostra nuova vlan 10, ovvero

la Vlan Segreteria. L’operazione va ripetuta per tutte e tre le Vlan, assegnando ad ognuna

il rispettivo range di porte.

Finita la configurazione delle Vlan sullo switch, possiamo effettuare un semplice test,

19
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

usando il comando ping.

Ad esempio, se proviamo a pingare dal PC1 della Vlan 10 Segreteria il PC2, sempre

appartenente alla Vlan 10 Segreteria, otteniamo una Replay, questo perché i due pc si

trovano nella stessa Vlan.

Caso differente se il PC1 tenta di contattare tramite il comando ping il PC3 della Vlan 20

Amministrazione, come risultato possiamo vedere che non abbiamo risposta, come nel

caso precedente, per il semplice fatto che il PC3 non fa parte della Vlan 10 Segreteria, ma

bensì della Vlan 20 Amministrazione, anche se hanno lo stesso network address

192.168.1.X.

20
Figura 2.6 - Riepilogo dei comandi IOS
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

2.2 Il trunking di Vlan

Adesso analizziamo un esempio più complesso, consideriamo una rete di una media

azienda informatica che fornisce servizi di web-house. La rete è suddivisa su due livelli.

Al piano terra abbiamo la Segreteria, i Programmatori, e i Grafici, mentre al primo piano

abbiamo altri Programmatori e Grafici (Figura 2.7).

In questo esempio, utilizziamo due switch Cisco Catalyst 2960, uno situato al piano terra

chiamato switch0 e l’altro situato al primo piano chiamato switch1.

Figura 2.7 - Configurazione tramite trunking (Vlan Inter-Switch)

21
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

2.2.1 Configurazione con interfaccia grafica

Procediamo come nell’esempio precedente, nella configurazione di 3 Vlan, nello

specifico: la vlan 10 per la Segreteria, la vlan 20 per i Programmatori e la vlan 30 per i

Grafici.

Ed infine configuriamo tutti i pc con ip statici, ma stavolta usando diversi network

address.

Usiamo la rete 192.168.1.0/24 per la Segreteria, la rete 192.168.2.0/24 per i

Programmatori e la rete 192.168.3.0/24 per i Grafici.

Adesso dobbiamo collegare i due switch tra di loro, ma come?

Avendo tre Vlan con pc sparsi sia al piano terra che al primo piano, la soluzione più

semplice è quella di collegare i due switch del piano terra e del primo piano con tre cavi,

uno per ogni Vlan creata. Questo però in termini di costi è molto oneroso, infatti se

abbiamo 10 Vlan dovremmo utilizzare 10 cavi per ogni Vlan, ed inoltre occupare 10 porte

dello switch. Per evitare tutto questo, una soluzione molto più comoda è quella di

utilizzare un unico cavo crossover per collegare i due switch e specificare via software

che, su quell’unico cavo, viaggeranno le informazioni di tutte e tre le Vlan da noi create.

Gli switch, prima di inviare un frame su quel collegamento, inseriranno un tag al suo

interno per specificare a quale delle tre Vlan è destinato. Tutto questo è gestito dai

cosiddetti protocolli di trunking e in questo caso si parlerà di vlan inter-switch.

2.2.2 Lo standard IEEE 802.1Q

Il protocollo più comunemente utilizzato è IEEE 802.1q, ma esistono anche altri protocolli

proprietari come quello di casa Cisco chiamato Vlan Trunking Protocol (VTP).

Quindi questi protocolli permettono a più Vlan di condividere lo stesso collegamento

fisico senza perdere informazioni.

Il protocollo 802.1q aggiunge 4 byte nel frame Ethernet. Di cui i primi 2 byte riguardano il

tag protocol identifier o anche detto TPID, mentre i successivi 2 byte riguardano il tag

control information TCI ovvero il cosiddetto VLAN Tag.

Quest’ultimo è suddiviso in più campi (Figura 2.8):

22
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

user_priority : grande 3 bit, è utilizzato per specificare il livello di priorità della frame.

CFI : grande 1 bit che indica se i MAC address nella frame sono in forma canonica.

VID : grande 12 bit che indica l’ID delle VLAN.

L’intervallo dell’ID per le Vlan varia da 0-4094, dove ID 0 è il valore di default, ed è

usato se non si desidera nessuna Vlan, mentre ID 4095 corrisponde a tutte le Vlan.

Figura 2.8 - Struttura della frame 802.1Q

Ma vediamo adesso come si configura il tutto tramite PT. Riprendendo l’esempio

precedente, colleghiamo i due switch con un unico ethernet incrociato o anche detto

crossover, tramite le due porte gigabit dei due switch. Fatto ciò non ci resta che specificare

per via software ai due switch che quel cavo verrà usato per il trunking.

Quindi, come in precedenza, facciamo vedere come effettuare questo passaggio prima per
GUI. Andiamo sullo switch del piano terra, spostiamoci nella scheda config e

selezioniamo la porta gigabit 1/1. Questa porta può essere di access se è usata per

collegare gli host oppure di trunk se usata per gli uplink tra diversi switch o tra switch e

router. Allora dal menu a tendina cambiamo la modalità da Access a Trunk, mentre

accanto selezioniamo tutte le Vlan che vogliamo che comunichino su questo canale in

trunking mode. Nel nostro caso selezioniamo tutte e tre le Vlan. Ma volendo possiamo

anche non selezionarle tutte nel caso volessimo che una Vlan resti confinata sul piano in

cui si trovi. La stessa cosa andrà ripetuta anche per lo switch situato al primo piano.

23
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

Le frame 802.1q viaggeranno solo sulle porte trunk, infatti quando la frame abbandona il

trunk lo switch eliminerà il tag vlan e il formato ritorna ad essere quello della classica

ethernet. Quindi i vari pc non saranno mai a conoscenza delle Vlan.

2.2.3 Configurazione con interfaccia a linea di comando

Adesso vediamo come effettuare le stesse operazioni in CLI.

Selezioniamo lo switch al piano terra e spostiamoci sull’interfaccia a linea di comando e

digitiamo:

enable

configure teminal

interface GigabitEthernet 0/1

shutdown

switchport mode trunk

switchport trunk allowed vlan none

switchport trunk allowed vlan add 10

switchport trunk allowed vlan add 20

switchport trunk allowed vlan add 30

no shutdown

exit

Quindi, per prima cosa, spegniamo l’interfaccia Gigabit 0/1, successivamente la

impostiamo sulla modalità trunk. Adesso, come prima cosa, con il comando none vietiamo

a tutte le Vlan esistenti nel database di usare quel canale, poi dopo con il comando add

diamo accesso a quel canale alle sole Vlan che ci interessano ovvero la Vlan Segreteria

(10), quella Programmatori (20) e quella Grafici (30). Infine riattiviamo di nuovo

l’interfaccia con il comando no shutdown.

Con questi comandi abbiamo impostato la modalità trunk sulla porta gigabitethernet 0/1

dello switch al piano terra. Adesso dobbiamo ripetere la stessa operazione sullo switch del

24
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

primo piano.

Infine, per verificare il tutto possiamo lanciare il comando:

show interface trunk

che permette di visualizzare tutte le informazioni sulle interfacce trunk.

Figura 2.9 – Riepilogo dei comandi IOS

25
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

2.3 Il routing di Vlan

Ma come possono due Vlan distinte comunicare tra di loro? Per risolvere questo problema

dobbiamo parlare del routing inter Vlan. Siccome le Vlan operano su domini di broadcast

distinti dobbiamo trovare una soluzione a livello 3.

Anche in questo caso possiamo avere più soluzioni. Se prendiamo come riferimento

l’esempio precedente possiamo aggiungere un router (Figura 2.10)

Figura 2.10 - Router Cisco serie 2900

26
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

nella nostra configurazione e collegarlo ad uno dei due switch. Siccome in questo caso le

Vlan sono tre, dobbiamo avere tre interfacce per il router e tre interfacce per lo switch

disponibili. Ma come abbiamo visto prima, questa soluzione si può rivelare molto

inefficiente nel caso di molte Vlan, ovvero è poco scalare ed è molto costosa.

Per ovviare a questo problema utilizziamo il router on a stick (Figura 2.11).

Figura 2.11 - Configurazione con routing

Un’altra soluzione, forse la più comoda, è quella di sostituire uno dei due switch con uno

switch multilayer o anche detto switch di livello 3 che può essere visto come l’unione di

uno switch e di un router. Ma analizziamo la prima soluzione.

Quindi abbiamo detto che con il router on a stick possiamo gestire tutto il traffico delle tre

Vlan su un unico cavo diritto.

27
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

2.3.1 Configurazione del Router

Adesso vediamo come configurare il tutto. Per prima cosa impostiamo il gateway su tutti i

pc delle varie Vlan. Per convenzione impostiamo gli ip come da tabella:

Numero Vlan Indirizzo Gateway

Vlan 10 192.168.10.254

Vlan 20 192.168.20.254

Vlan 30 192.168.30.254

Tabella 2.2 - Indirizzi gateway per le vlan

Adesso posizioniamoci sul router, che nel nostro caso è un Cisco 2911, e posizioniamoci

sull’interfaccia a linea di comando. Quello che dobbiamo fare è creare tre sotto interfacce

della GigabitEthernet 0/0 in modo che su quella singola interfaccia viaggi il traffico delle

nostre tre Vlan.

enable

configure terminal

interface GigabitEthernet 0/0

no shutdown

exit

interface GigabitEthernet 0/0.10

encapsulation dot1Q 10

ip address 192.168.10.254 255.255.255.0

exit

Quindi, per prima cosa, ci siamo posizionati sull’interfaccia GigabitEthernet 0/0, con il

comando no shutdown accendiamo l’interfaccia. Successivamente definiamo la sotto

interfaccia .10 per la vlan 10, specificando il protocollo 802.1q e l’ip del gateway con la

28
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

sua subnet mask. Adesso questa stessa operazione andrà ripetuta per le altre due vlan

creando le sottointerfacce .20 per la vlan 20 e .30 per la vlan 30 ed assegnando gli ip

riportati in tabella.

Siccome il router è collegato allo switch, su quest’ultimo dobbiamo specificare che

l’interfaccia GigabitEthernet 1/2 dello switch (poiché quella 1/1 è stata utilizzata per

collegare lo switch del piano terra) dovrà essere impostata su trunk mode, come visto

nell’esempio precedente.

Per verificare che il router sia stato configurato correttamente possiamo lanciare in

modalità esecuzione il comando:

show ip route

In output avremo la tabella di routing e nello specifico possiamo vedere che possiede tutte

le reti che noi abbiamo specificato in precedenza.

Quindi questa volta effettuiamo un ping dal PCX della rete Uffici al PCXX della rete

Segreteria: non avremo più un timeout, ma bensì una risposta, perché il router farà il

giusto instradamento.

Se volessimo fare una prova con PT dell’esempio precedente in modalità Simultation

vedremmo che il pacchetto viaggia dal PCX allo switch del primo piano. Lo switch, una

volta ricevuto il pacchetto lo invierà al router e quest’ultimo lo rimanderà di nuovo allo

switch che lo consegnerà al PCXX.

29
Capitolo 2. Simulazione di VLAN in Cisco Packet Tracer

Figura 2.12 – Riepilogo dei comandi IOS

30
Capitolo 3. La sicurezza nelle VLAN

Capitolo 3: La sicurezza nelle VLAN

Gli accessi non autorizzati sulle macchine che contengono dati sensibili di aziende e

persone, rappresentano oggigiorno un grave problema che con il passare del tempo diventa

sempre più complesso e difficile da arginare.

La crescita delle connessioni ad internet per aziende e privati ha fatto crescere in maniera

esponenziale il numero di macchine disponibili in rete aumentando però anche il numero

di macchine esposte al rischio di attacchi informatici da parte di malintenzionati.

Ed è per questo che dobbiamo sempre tenere sotto controllo i nostri sistemi informatici

effettuando aggiornamenti del software e configurando le macchine in maniera ottimale.

3.1 Configurazioni di sicurezza per i dispositivi

Vediamo alcuni accorgimenti di sicurezza mirati a proteggere le nostre Vlan gestite da

apparati Cisco.

Per prima cosa potremmo impostare delle credenziali di accesso alla CLI per i nostri

dispositivi. Iniziamo con il configurare quelle per l’accesso alla console:

configure terminal

username admin privilege 15 secret p@ssword

line console 0

login local

password p@ss

exec-timeout 60 0

31
Capitolo 3. La sicurezza nelle VLAN

Con questo codice abbiamo definito le credenziali dell’utente admin così da proteggerci

anche da attacchi informatici di tipo brute-force. Inoltre, per una maggiore sicurezza,

abbiamo impostato il timeout della sessione in modo che nessuna persona possa prendere

il controllo di una postazione lasciata incustodita.

3.1.1 Esempio pratico con dispositivi Cisco

Adesso vediamo come configurare le credenziali di accesso per gli accessi tramite le

virtual terminal line (VTY) che avvengono in genere tramite Telent o SSH:

line vty 0 15

password P@ss

login local

exec-timeout 60 0

transport preferred ssh

access-class 115 in

access-linst 115 remark Accesso Ristretto

access-list 115 permit ip host 5.5.5.5 any

access-list 115 permint ip 192.168.1.0 0.0.0.255 any

Con questi comandi abbiamo definito le credenziali di accesso anche per le vty, inoltre

abbiamo impostato come metodo di collegamento preferito l’SSH. Abbiamo scelto l’SSH

poiché le trasmissioni che avvengono tramite Telent sono in chiaro e quindi qualsiasi

malintenzionato potrebbe sniffare il traffico sulla rete usando programmi di sniffing come

Wireshark intercettando ad esempio le credenziali di accesso.

Infine è stata aggiunta una lista ristretta di ip che possono effettuare l’accesso.

Altri metodi di sicurezza per le vlan sono stati impostati anche in precedenza come il

Pruning (potatura), ovvero abbiamo consentito ad ogni link l’accesso alle sole Vlan

interessate.

32
Conclusioni

Le Vlan sono un ottimo mezzo per suddividere una Lan di grosse dimensioni in

sottoinsiemi più piccoli e facilmente gestibili. Come abbiamo visto in precedenza, il

broadcasting genera collisioni sulla rete locale, obbligando tutti i dispositivi a gestire il

pacchetto ricevuto.

Ed è per questo motivo che utilizzando le Vlan si possono suddividere le aree di broadcast

migliorando le prestazioni generali della rete locale, pur mantenendo lo stesso cablaggio

strutturale iniziale.

Tutto questo porta con sé vari vantaggi, primo su tutti quello della sicurezza, infatti è

possibile separare completamente due reti Vlan evitando ogni possibile comunicazione tra

le due. Altro vantaggio, come abbiamo visto nel capitolo 2, è quello economico, infatti,

grazie alle Vlan, è possibile ridurre il numero di dispositivi di rete, permettendo per

esempio ad un unico switch di gestire più sottoreti, ottenendo quindi un’amministrazione

più semplice ed economica.

33
Indice immagini

1.1 Schermata principale di Cisco Packet Tracer 6

1.2 Switch Cisco serie 2960 8

1.3 Configurazione di due pc collegati ad uno switch 9

1.4 Simulazione del comando ping dal cmd 10

2.1 Configurazione di una rete con un unico dominio di broadcast 12

2.2 Separazione dei domini di broadcast (Vlan Intra-Switch) 13

2.3 Separazione dei domini usando due switch 14

2.4 Collegamento tra i due switch 15

2.5 Interfaccia web dello switch Cisco 2960 17

2.6 Riepilogo dei comandi IOS 20

2.7 Configurazione tramite trunking (Vlan Inter-Switch) 21

2.8 Struttura della frame 802.1Q 23

2.9 Riepilogo dei comandi IOS 25

2.10 Router Cisco serie 2900 26

2.11 Configurazione con routing 27

2.12 Riepilogo dei comandi IOS 30

34
Bibliografia
[1] James F. Kurose - Keith W. Ross, Reti di calcolatori e internet, Pearson, 2014,

454-458.

[2] IEEE 802.1Q, http://standards.ieee.org/getieee802/download/802.1Q-2005.pdf,

28/03/06.
[3] Cisco IOS Reference, http://www.cisco.com/c/en/us/td/docs/ios/.../cf_book.html,

2015

[4] Le VLAN, https://www.youtube.com/channel/UCXIjjE5kQ5GI6gh4V8fXeFw,

15/07/2015

[5] VLANs and Trunks, https://www.youtube.com/watch?v=aBOzFa6ioLw,

18/07/2015

35