PDA

Visualizza la versione completa : Switch che implementa la VLan


dops
23-09-2006, 10:49
Ciao, la mia domanda è semplice:
A cosa serve in realtà una virtual lan? giusto a separare i client collegati allo switch in workgroup o domini diversi? che necessità c'è quindi di creare una vlan quando se si implementa questa per una questione di sicurezza, è altrettanto possibile farlo con un controller di dominio o cmq settando i permessi?
Le Vlan viste in questo senso.. non rischiano di confondere le idee o cmq di rendere meno lineare la struttura di una rete?
mah.. io certe invenzioni continuo a non capirle! :stordita:

Ah.. e poi dove dovrei andare ad implementare una virtual lan.. su uno switch??!! ma siamo matti??!!

EOF
24-09-2006, 16:18
Ciao dops, ecco qui tutte le risposte:
http://it.wikipedia.org/wiki/VLAN (http://)
Wikipedia è sempre un ottimo strumento quando si vogliono dettagli concisi e specifici.
Ciao :)
EOF

dops
24-09-2006, 17:48
si certo, ma se ho chiesto qui è perchè volevo delle risposte da qualcuno che ne aveva perchè ha anche isperienze in merito.. wikipedia non posso interrogarlo :D

billiejoex
25-09-2006, 11:55
A cosa serve in realtà una virtual lan?
Molto alla buona: serve a separare diversi segmenti di rete e applicare a questi diversi livelli di policing, routing e quant'altro.
Puoi avere, ad esempio, una vlan costituita dal primo gruppo avente gli host:
A, B, C
...una secondo gruppo costituito dagli host:
D, E, F
...ed un terzo gruppo costituito dagli host
G, H, I
...tutti connessi fisicamente al medesimo dispositivo e decidere che il gruppo 1 potrà raggiungere il gruppo 3, mentre il gruppo 2 no.
Strutture di questo tipo tornano estremamente utili in ambiti aziendali, sopratutto quelli aventi un elevato numero di host al loro interno.


che necessità c'è quindi di creare una vlan quando se si implementa questa per una questione di sicurezza, è altrettanto possibile farlo con un controller di dominio o cmq settando i permessi?
No: un dominio non c'entra nulla con una vlan, lavora ad un livello totalmente differente e adempie a tutt'altri scopi. Forse hai erroneamente associato vlan e dominio in quanto in entrambi i casi si parla di "gruppi di lavoro", ma quello di vlan si riferisce ad un livello di rete (layer 2 e 3) mentre quello di un dominio o di un workgroup si riferisce ad un livello applicazione molto più superiore.
Insomma: cavoli e merende.

dops
25-09-2006, 12:09
aspè aspè.. non mi fraintendere.. non ho messo sullo stesso livello le due cose.. sà cos'è un gruppo di lavoro o un dominio.. io dicevo semplicemente che se lo scopo di una vlan, come dall'esempio che mi facevi tu, sarebbe quello di non far raggiungere gli utenti del primo gruppo, quelli del terzo gruppo, la stessa cosa la si puà fare senza per forza implementare una vlan su uno switch ma semplicemente facendo restare tutti gli utenti su un unico dominio o wg e settando i vari permessi

billiejoex
25-09-2006, 12:18
No, non puoi fare una cosa del genere a livello di rete cambiando semplicemente workgroup.
Tu dall'host 10.0.0.1 facente parte del wg "MSHOME" puoi tranquillamente raggiungere (ad esempio pingare) l'host 10.0.0.5 del wg "OFFICE", giusto per dire.
Questo perchè stanno sui medesimi segmenti di rete.

dops
25-09-2006, 12:23
Originariamente inviato da billiejoex
No, non puoi fare una cosa del genere a livello di rete cambiando semplicemente workgroup.
Tu dall'host 10.0.0.1 facente parte del wg "MSHOME" puoi tranquillamente raggiungere (ad esempio pingare) l'host 10.0.0.5 del wg "OFFICE", giusto per dire.
Questo perchè stanno sui medesimi segmenti di rete.
bhè e qual'è il problema.. lo pingo.. ma posso anche non farlo pingare.. posso anche non farglielo raggiungere..

prometeus
25-09-2006, 12:43
bhè e qual'è il problema.. lo pingo.. ma posso anche non farlo pingare.. posso anche non farglielo raggiungere..

E come faresti? Inibendo l'uso del comando ping?


A cosa serve in realtà una virtual lan? giusto a separare i client collegati allo switch in workgroup o domini diversi?


Le VLAN agiscono a layer 2. I domini/wg agiscono nei layer più alti che per definizione ignorano quello che c'è sotto. Quindi i modi di agire sono profondamenti differenti.

dops
25-09-2006, 15:18
Originariamente inviato da prometeus
E come faresti? Inibendo l'uso del comando ping?




Le VLAN agiscono a layer 2. I domini/wg agiscono nei layer più alti che per definizione ignorano quello che c'è sotto. Quindi i modi di agire sono profondamenti differenti.
ma lo sò che sono differenti.. come farei? anche agendo sul firewall.. insomma, io credo che implementare delle reti virtuali su uno switch sia una cosa angosciosa e di difficile manutenzione.. immaginate 10 reti su uno switch + la rete locale.. è un casino enorme.. e poi come li gestisci i pc di quella rete virtuale.. secondo me è una cosa che non adrebbe mai fatta.. poi ovviamente posso anche sbagliarmi..

WebWalker
26-09-2006, 16:45
Ciao a tutti... ti pongo un quesito che forse può farti capire il grande privilegio che ti può dare uno switch layer 2/3

immagina di essere una società che ha un edificio di 3 piani, con una infrasrtuttura di rete di sua prorpietà. Immagina anche che ora devi affittare 2 dei tre piani a due società esterne.

Ovviamente gli offrirai anche la gestione della rete.

Cosa fai li metti su tre domini differenti ?
Direi di no... io li isolerei a livello 2 e 3 dello stack osi in modo che non gestisco le autorizzazioni e gli accessi via software (come nel tuo caso con una GPO di active directory od una autorizzazione suuna cartella codivisa/NTFS) perchè il software può avere dei buchi, ma blocco i singoli pachetti che sono indirizzati verso degli host non autorizzati.

In questa maniera isolo i diversi gruppo di computer e server senza permettere ad un pirla qualunque di bucarmi il server aziendale, oltre al fatto che posso utilizzare la stessa ret senza acquistare differenti switch per ogni Vlan, terzo tutti possono utilizzare lo stesso accesso ad internet senza avere un router ed un firewall per ogni segmento di rete.

Risparmi soldi, tempo, e rotture di scatole.

Loading