Diventare Sistemista – Parte 2: Switch e Segmentazione della Rete con le VLAN

Pubblicato il da

Una rete ben progettata non è solo questione di collegamenti fisici, ma anche (e soprattutto) di organizzazione logica. In questo articolo approfondiremo il concetto di VLAN (Virtual LAN) e il ruolo centrale degli switch nella creazione di reti aziendali efficienti, sicure e scalabili.

Cosa sono le VLAN?

Una VLAN (Virtual Local Area Network) è una suddivisione logica della rete all’interno di uno stesso switch fisico. In pratica, consente di separare il traffico di diversi gruppi di lavoro (reparti, dispositivi, ambienti) come se fossero su switch diversi, pur utilizzando la stessa infrastruttura.

Esempio semplice:

  • VLAN 10 → Ufficio Amministrazione
  • VLAN 20 → Reparto Tecnico
  • VLAN 30 → Stampanti
  • VLAN 99 → Management IT

Questi gruppi non possono comunicare direttamente tra loro, a meno che un router (o firewall layer 3) non gestisca il traffico tra VLAN diverse (Inter-VLAN Routing).

Gli switch e le porte tagged/untagged (e l’uso di VLAN dinamiche)

Quando si usano le VLAN, ogni porta dello switch può essere configurata per gestire il traffico in modi diversi. Comprendere le differenze tra Access, Tagged e Trunk è fondamentale:

  • Access (untagged): la porta accetta traffico non taggato e lo associa automaticamente a una VLAN specifica. È utilizzata per collegare dispositivi finali (PC, stampanti, telefoni IP) che non sono a conoscenza delle VLAN.
    • Esempio: un PC collegato a una porta Access sulla VLAN 10 riceverà traffico non taggato, ma lo switch saprà che appartiene a quella VLAN.
  • Tagged (802.1Q): il traffico in uscita da questa porta viene marcato (taggato) con l’ID della VLAN a cui appartiene. È usato quando un dispositivo deve gestire più VLAN, come nel caso di collegamento tra switch o tra switch e router/firewall.
  • Trunk: è una configurazione che consente alla porta di trasportare traffico di più VLAN taggate. Serve per collegare dispositivi che devono riconoscere e gestire più VLAN, come pfSense, switch secondari o access point configurati per più SSID.
    • Esempio: una porta trunk collega uno switch a pfSense, e trasporta i pacchetti delle VLAN 10, 20, 30 e 70, ognuno con il proprio tag VLAN.

Opzionale – VLAN dinamiche (MAC-based VLAN) Alcuni switch di fascia media e alta permettono anche l’associazione delle VLAN tramite indirizzo MAC. In questo caso, non importa a quale porta è collegato il dispositivo: sarà lo switch a riconoscere il suo MAC e assegnargli dinamicamente la VLAN corretta.

  • Utile in ambienti flessibili o dove si spostano frequentemente i dispositivi
  • Richiede uno switch con supporto a MAC-based VLAN e una tabella di assegnazione
  • Può essere gestito anche da server RADIUS in scenari più avanzati

Questa funzione è opzionale, ma può migliorare la gestione delle reti dinamiche o BYOD (Bring Your Own Device).

Quando si usano le VLAN, ogni porta dello switch può essere configurata per gestire il traffico in modi diversi. Comprendere le differenze tra Access, Tagged e Trunk è fondamentale:

  • Access (untagged): la porta accetta traffico non taggato e lo associa automaticamente a una VLAN specifica. È utilizzata per collegare dispositivi finali (PC, stampanti, telefoni IP) che non sono a conoscenza delle VLAN.
    • Esempio: un PC collegato a una porta Access sulla VLAN 10 riceverà traffico non taggato, ma lo switch saprà che appartiene a quella VLAN.
  • Tagged (802.1Q): il traffico in uscita da questa porta viene marcato (taggato) con l’ID della VLAN a cui appartiene. È usato quando un dispositivo deve gestire più VLAN, come nel caso di collegamento tra switch o tra switch e router/firewall.
  • Trunk: è una configurazione che consente alla porta di trasportare traffico di più VLAN taggate. Serve per collegare dispositivi che devono riconoscere e gestire più VLAN, come pfSense, switch secondari o access point configurati per più SSID.
    • Esempio: una porta trunk collega uno switch a pfSense, e trasporta i pacchetti delle VLAN 10, 20, 30 e 70, ognuno con il proprio tag VLAN.

Per far funzionare le VLAN, è necessario uno switch managed (gestibile). Ogni porta dello switch può essere configurata in modalità:

  • Access (untagged): collegata a un dispositivo finale (PC, stampante) e associata a una sola VLAN
  • Trunk (tagged): trasporta traffico da più VLAN contemporaneamente, solitamente tra switch o verso un router/firewall

Esempio:

  • Porta 1 (Access) → VLAN 10 → collegata a un PC dell’amministrazione
  • Porta 24 (Trunk) → Tagged VLAN 10, 20, 30 → collega lo switch a pfSense

Esempio di configurazione VLAN su pfSense e Switch (48 porte)

Supponiamo di avere uno switch managed a 48 porte, e vogliamo suddividere la rete per reparti nel modo seguente:

  • Porte 1–10: VLAN 10 → Ufficio Amministrazione
  • Porte 11–14: VLAN 20 → Help Desk
  • Porte 15–20: VLAN 70 → Access Point Wi-Fi
  • Porte 21–30: VLAN 30 → Reparto IT
  • Porte 31–40: VLAN 40 → Operativo/Produzione
  • Porte 41–44: VLAN 99 → per pfSense (trunk), accesso completo alla rete
  • Porte 45–46: VLAN 50 → collegamento a Host (Hypervisor)
  • Porte 47–48: VLAN 60 → collegamento a NAS/Datastore

Configurazione sullo switch:

  1. Accedi alla sezione VLAN (802.1Q) del tuo switch.
  2. Crea le VLAN:
    • VLAN 10 → Amministrazione
    • VLAN 20 → Help Desk
    • VLAN 30 → Reparto IT
    • VLAN 40 → Produzione
    • VLAN 50 → Hypervisor
    • VLAN 60 → Datastore
    • VLAN 70 → Wi-Fi Access Point
    • VLAN 99 → Trunk Management / pfSense
  3. Configura le porte:
    • Porte 1–10: Access, VLAN 10
    • Porte 11–14: Access, VLAN 20 (Help Desk)
  • Porte 15–20: Access, VLAN 70 (Access Point Wi-Fi)
    • Porte 21–30: Access, VLAN 30
    • Porte 31–40: Access, VLAN 40
    • Porte 41–44: Trunk, VLANs 10–60 taggate + VLAN 99
    • Porte 45–46: Access, VLAN 50
    • Porte 47–48: Access, VLAN 60

Le porte trunk (41–44) vanno collegate a pfSense e/o ad altri switch per permettere l’instradamento tra VLAN.

Procedi poi con la creazione delle VLAN in pfSense come già indicato nei passaggi successivi.

Prima di configurare pfSense, è fondamentale impostare correttamente le VLAN sullo switch managed.

Esempio di configurazione su switch TP-Link o Netgear (tramite GUI):

  1. Accedi al pannello di gestione dello switch via browser.
  2. Vai nella sezione “802.1Q VLAN” o “Advanced → VLAN Configuration”
  3. Crea le VLAN:
    • VLAN ID 10, Nome: Amministrazione
    • VLAN ID 20, Nome: Tecnici
    • VLAN ID 30, Nome: Stampanti
  4. Configura le porte:
    • Porta 1: Access VLAN 10 (PC amministrazione)
    • Porta 2: Access VLAN 20 (PC tecnico)
    • Porta 3: Access VLAN 30 (stampante di rete)
    • Porta 24: Trunk VLAN 10, 20, 30 → collegata al pfSense (porta trunk)

Nota: la porta trunk deve accettare pacchetti taggati, mentre le porte access devono essere untagged nella VLAN di riferimento e disabilitate per le altre.

Dopo la configurazione dello switch, puoi procedere con la configurazione su pfSense come descritto sotto.

Supponiamo di avere:

  • pfSense installato su un host con interfaccia fisica em0
  • Switch configurato con VLAN 10 (Admin), 20 (Tecnici), 30 (Stampanti)

1. Crea le VLAN in pfSense: Vai su:

Interfaces → Assignments → VLANs → Add

  • VLAN 10 → Parent: em0 → VLAN Tag: 10
  • VLAN 20 → Parent: em0 → VLAN Tag: 20
  • VLAN 30 → Parent: em0 → VLAN Tag: 30

2. Assegna IP a ogni VLAN: Interfaces → Assign → Aggiungi interfacce (OPT1, OPT2, OPT3)

  • OPT1 (VLAN10) → 192.168.10.1/24
  • OPT2 (VLAN20) → 192.168.20.1/24
  • OPT3 (VLAN30) → 192.168.30.1/24

3. Regole firewall per separare o permettere traffico

  • VLAN 10 può accedere a Internet ma non a VLAN 20
  • VLAN 20 può accedere a tutto
  • VLAN 30 solo verso stampanti e nessun accesso Internet

Applicazioni pratiche delle VLAN

Le VLAN permettono di:

  • Separare reparti aziendali senza creare reti fisiche distinte
  • Limitare la propagazione dei broadcast (migliorando performance)
  • Aumentare la sicurezza (isolare dispositivi, server, stampanti)
  • Gestire meglio le policy di accesso via firewall

Scenario reale:

  • VLAN 10: utenti standard
  • VLAN 20: server
  • VLAN 30: guest Wi-Fi (isolata, solo uscita Internet)
  • VLAN 40: videosorveglianza (accesso solo da VLAN 99)

Conclusione

Capire il funzionamento delle VLAN e saperle configurare è una competenza essenziale per ogni sistemista. L’uso combinato di switch managed e firewall/router permette di creare una rete strutturata, segmentata e sicura.

Nel prossimo articolo parleremo della virtualizzazione: come gestire server e sistemi operativi in ambienti on-premise e cloud (VMware, Proxmox, KVM, ecc.).