Guida completa alle Virtual LAN per la maturità 2026: dal tagging IEEE 802.1Q alla configurazione di trunk e access port. Scopri come segmentare le reti senza cablare nuovi switch, con schemi pratici per l'orale.
Perché le VLAN hanno rivoluzionato le reti (e la tua maturità)
Immagina un ufficio con cento computer: marketing, contabilità e sviluppatori tutti collegati allo stesso switch. Senza separazione logica, un virus che colpisce il reparto marketing contagia immediatamente i server finanziari. Qui entrano in gioco le VLAN (Virtual Local Area Network).
Nate nel 1998 con lo standard IEEE 802.1Q, le VLAN permettono di segmentare una rete fisica in più reti logiche senza tirare un solo metro di cavo in più. È come avere switch separati che in realtà sono lo stesso hardware. Per la maturità, questo argomento è fondamentale: collega il livello Data Link del modello ISO/OSI alla sicurezza informatica, e spesso i commessi ti chiedono proprio: "Come faresti a isolare i reparti senza comprare nuovi dispositivi?"
Scopri altri appunti essenziali per la maturità e preparati all'orale con idee chiare.
Cosa sono esattamente le VLAN: la teoria che devi sapere
Una VLAN è un dominio di broadcast logico creato all'interno di una o più switch indipendentemente dalla topologia fisica. In termini semplici: prendi una porta dello switch, le assegni un numero (l'ID VLAN), e magicamente quel computer parlerà solo con chi fa parte dello stesso numero.
Il vantaggio principale? Riduzione del traffico broadcast. In una rete flat (tutti insieme), i broadcast frame invadono ogni dispositivo. Con le VLAN, il broadcast resta confinato. Ma c'è di più: sicurezza, flessibilità e riduzione dei costi.
Le tre regole d'oro delle VLAN
- Segmentazione logica: separazione dei gruppi di lavoro senza vincoli fisici
- Isolamento del traffico: i frame non passano da una VLAN all'altra senza un router (o switch Layer 3)
- Flessibilità amministrativa: spostare un utente tra reparti significa solo cambiare una configurazione software, non spostare cavi
Una VLAN è come avere diversi appartamenti nello stesso palazzo: condividono l'infrastruttura, ma hanno porte separate e non si vedono l'un l'altro senza passare dal portone (il router).
Tipologie di VLAN: statiche, dinamiche e quella "pericolosa"
Non tutte le VLAN sono uguali. Al tuo orale, devi saper distinguere tra quelle che configuri manualmente e quelle "intelligenti". E attenzione: c'è una VLAN che tutti usano ma nessuno dovrebbe lasciare attiva.
VLAN statiche (port-based)
La modalità più comune. Tu, amministratore, assegni fisicamente una porta dello switch a una VLAN specifica. Se il computer di Mario si sposta dall'ufficio 1 all'ufficio 5, e le porte sono configurate diversamente, Mario finisce in un'altra VLAN o perde la connessione. È semplice, sicuro, e quello che farai al 90% dei casi nei laboratori.
VLAN dinamiche
- MAC-based: lo switch riconosce l'indirizzo MAC del dispositivo e lo assegna automaticamente alla VLAN corretta, indipendentemente dalla porta fisica. Utile per laptop mobili, ma pesante da gestire su grandi scale.
- Protocol-based: filtraggio basato sul tipo di protocollo (IPv4 vs IPv6) o applicazione. Meno comune.
- Voice VLAN: dedicata ai telefoni IP. Separare voce e dati è cruciale per la Qualità del Servizio (QoS).
La VLAN 1: il default che mette a rischio la rete
Ecco il trucco che pochi studenti conoscono: tutti gli switch Cisco (e non solo) hanno la VLAN 1 come default. Tutte le porte appartengono a questa VLAN nativamente. Il problema? È la prima che un attacker cerca. Best practice: sposta la management VLAN su un numero diverso (es. 999) e disabilita completamente la VLAN 1 sulle porte non utilizzate.
IEEE 802.1Q: il segreto del tagging (e quei 4 byte che cambiano tutto)
Come fa uno switch a capire a quale VLAN appartiene un pacchetto che arriva? Qui entra in gioco lo standard IEEE 802.1Q. Quando un frame Ethernet attraversa un trunk (un collegamento tra switch), viene modificato: vengono aggiunti 4 byte di intestazione subito dopo l'indirizzo MAC sorgente.
Analizziamo la struttura del Tag:
| Campo | Dimensione | Descrizione |
|---|---|---|
| TPID | 2 byte | Tag Protocol Identifier: sempre 0x8100 per identificare il frame tagged |
| PCP | 3 bit | Priority Code Point: priorità 802.1p per QoS (0-7) |
| DEI | 1 bit | Drop Eligible Indicator: se scartare in caso di congestione |
| VID | 12 bit | VLAN Identifier: il numero della VLAN (1-4094) |
12 bit per l'ID significano 4096 valori possibili (da 0 a 4095). Ma attenzione: 0 e 4095 sono riservati, quindi hai a disposizione teoricamente 4094 VLAN. Nella pratica, i vecchi switch supportavano meno, ma oggi gli standard moderni gestiscono l'intero range.
Native VLAN: l'eccezione che conferma la regola
C'è un'eccezione importante: la Native VLAN. I frame appartenenti a questa VLAN attraversano il trunk senza tag (untagged). Questo serve per la compatibilità con dispositivi che non supportano 802.1Q. Di default è la VLAN 1, ma deve essere uguale su entrambi i lati del trunk, altrimenti succede il disastro: VLAN mismatch, con frame che finiscono nella VLAN sbagliata.
Trucco per l'orale: se ti chiedono perché due switch non comunicano nonostante il cavo funzioni, controlla che la Native VLAN sia identica su entrambe le porte trunk!
Trunk vs Access: come si configurano le porte
Qui si gioca la partita. Le porte di uno switch possono operare in due modalità fondamentali quando parliamo di VLAN: Access e Trunk. Confondere le due è l'errore più comune degli studenti (e anche di qualche tecnico, diciamocelo).
Porta Access
Collega endpoint: computer, stampanti, server. Caratteristiche:
- Appartiene a una sola VLAN (può essere solo untagged)
- Se riceve un frame tagged, lo scarta (a meno di configurazioni avanzate)
- Se invia un frame, lo trasmette senza tag
Configurazione tipica (Cisco IOS):interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
Porta Trunk
Collega infrastrutture: switch-to-switch, switch-to-router (router-on-a-stick). Caratteristiche:
- Trasporta multiple VLAN contemporaneamente
- I frame sono taggati con l'ID VLAN (eccetto la Native)
- Richiede configurazione esplicita per sicurezza
Attenzione al DTP (Dynamic Trunking Protocol): è quel protocollo Cisco che negozia automaticamente se una porta debba essere access o trunk. Disabilitalo sempre in ambienti di produzione (comando switchport nonegotiate), altrimenti un attaccante può fingere di essere uno switch e ottenere accesso a tutte le VLAN.
Inter-VLAN Routing: come fanno a parlare due VLAN diverse?
Ecco la domanda trappola: "Se le VLAN isolano, come fa la contabilità a usare il server in VLAN 10?"
Servono due approcci:
- Router-on-a-stick: un router con un'unica interfaccia fisica collegata a una porta trunk. L'interfaccia logica (subinterface) gestisce il routing tra VLAN. Economico ma collo di bottiglia.
- Switch Layer 3: switch con capacità di routing (come gli Switch Multilayer Cisco). Hanno le SVI (Switched Virtual Interfaces), interfacce virtuali che fungono da gateway per ogni VLAN. Più performante, è lo standard moderno.
VTP e PVLAN: quando la rete cresce (e si complica)
Gestire manualmente VLAN su 50 switch è un incubo. Entra in gioco il VTP (VLAN Trunking Protocol). Ma attenzione: è potente ma pericoloso.
VTP: il buono, il brutto e il cattivo
VTP propaga le informazioni sulle VLAN tra switch tramite i trunk. Modalità:
- Server: crea, modifica, cancella VLAN e invia annunci VTP
- Client: riceve aggiornamenti ma non può modificare localmente
- Transparent: inoltra i messaggi VTP ma non applica le modifiche (ha il proprio database VLAN)
La trappola della revision number: se colleghi uno switch vecchio con numero di revisione alto, sovrascrive tutto il database VLAN della rete, cancellando VLAN esistenti. Resetta sempre la revisione prima di aggiungere switch usati (vtp mode transparent poi vtp mode server).
VTPv3 (l'ultima versione) è più sicura: supporta VLAN private, autenticazione, e non accetta aggiornamenti da switch con numero di revisione maggiore se non autorizzati.
Private VLAN (PVLAN): sicurezza estrema
In un data center, vuoi che i server web parlino col firewall ma non tra loro (prevenire lateral movement). Le PVLAN creano sotto-gruppi:
- Promiscuous port: parla con tutti (il gateway)
- Isolated port: parla solo con le promiscuous
- Community port: parla con la propria community e le promiscuous
Schema mnemonico: le VLAN in 60 secondi
Per ripetere all'ultimo minuto prima dell'orale:
- Access Port = Untagged = Endpoint = Una VLAN sola
- Trunk Port = Tagged = Switch-to-Switch = Molte VLAN + Native untagged
- 802.1Q = 4 byte di tag = 12 bit VID = 4094 VLAN disponibili
- Inter-VLAN = Serve router (fisico o L3 switch) = Default gateway per VLAN
- VTP = Sincronizza VLAN = Attenzione al numero di revisione
- Sicurezza = Cambia VLAN 1 = Disabilita DTP = Usa port-security
Domanda bonus commissario: "Perché non usare solo subnet invece di VLAN?"
Risposta: le subnet operano a Livello 3 (IP), le VLAN a Livello 2 (Data Link). Senza VLAN, un broadcast ARP attraversa tutta la rete fisica consumando banda. Le VLAN bloccano il broadcast a livello di switch, indipendentemente dall'indirizzamento IP.
Collegamenti interdisciplinari per l'orale
Le VLAN sono l'anello di congiunzione perfetto tra tecnica e organizzazione aziendale:
- Informatica - Sicurezza: Segmentazione reti, principio del最小特权 (least privilege), compliance GDPR (isolamento dati sensibili)
- Sistemi e Reti - ISO/OSI: Operano al Livello 2 (Data Link), incapsulamento MAC, differenza con routing Livello 3
- Economia Aziendale: Costi CAPEX ridotti (un solo switch invece di tre), flessibilità organizzativa, Business Continuity (spostamento uffici senza modifiche hardware)
- Scienze della Comunicazione: QoS (Quality of Service) nelle Voice VLAN, prioritizzazione traffico VoIP su dati
Se il tuo colloquio parte dal cablaggio strutturato, puoi parlare di come le VLAN permettano la convergenza (dati, voce, video sulla stessa infrastruttura fisica).
Pronto per metterti alla prova? Testa le tue conoscenze con il Quiz Maturità AI o prova una Simulazione Orale AI per esercitarti con domande specifiche su reti e VLAN.
FAQ: le domande più frequenti all'orale
Qual è la differenza tra VLAN e Subnet?
Una VLAN è una separazione fisica/logica a livello 2 (switch), una subnet è una separazione logica a livello 3 (IP/Router). Solitamente esiste una corrispondenza 1:1 (una subnet per VLAN), ma sono concetti distinti: puoi avere più subnet nella stessa VLAN (sconsigliato) o tecnologie che virtualizzano entrambi i livelli.
Quante VLAN posso creare al massimo?
Teoricamente 4094 (da 1 a 4094), perché l'ID VLAN usa 12 bit (2^12 = 4096), con 0 e 4095 riservati. Nella pratica, switch di fascia entry-level supportano meno VLAN attive contemporaneamente (spesso 64 o 256), mentre gli enterprise switch gestiscono il range completo.
Perché la VLAN 1 è considerata insicura?
È la VLAN di default su tutti gli switch. Se un attaccante si collega a una porta non configurata, entra automaticamente in VLAN 1. Inoltre, il control traffic (CDP, VTP, DTP) spesso passa per VLAN 1 anche se la riconfiguri come Native. Best practice: spostare la gestione su VLAN diversa e disabilitare VLAN 1 sulle porte user.
Che differenza c'è tra porta Access e Trunk?
Una porta Access appartiene a una sola VLAN e trasporta frame untagged (per endpoint). Una porta Trunk trasporta frame di multiple VLAN con tag 802.1Q (per collegamenti tra switch), più la Native VLAN untagged.
Posso far comunicare due VLAN senza un router?
No, a meno di non usare uno switch Layer 3 (multilayer) che include funzionalità di routing. In assenza di un dispositivo di routing (fisico o integrato), le VLAN rimangono isolate a livello 3. Esistono tecniche di "VLAN hopping" per aggirare questa regola, ma sono attacchi, non configurazioni legittime.
