Nel panorama del networking, la segmentazione della rete tramite VLAN (Virtual Local Area Network) è fondamentale per garantire performance e sicurezza. Tuttavia, la corretta implementazione delle VLAN dipende dalla comprensione su come le porte degli switch gestiscono il traffico. Vediamo le principali differenze.
Access Port
Una Access Port è un’interfaccia di rete su uno switch configurata per appartenere a una singola VLAN specifica. È il punto di ingresso standard per i dispositivi finali che non sono “consapevoli” dell’esistenza delle VLAN. Le caratteristiche fondamentali sono:
- Associazione Statica: la porta viene assegnata manualmente a una VLAN (es. VLAN 10 per l’ufficio “Marketing”). Tutto il traffico che entra da quella porta viene trattato come parte di quella rete virtuale
- Traffico “Untagged”: i dispositivi finali (PC, stampanti, console) inviano frame Ethernet standard senza tag. Quando il frame entra nello switch, quest’ultimo gli assegna internamente l’ID della VLAN configurata sulla porta
- Rimozione del Tag in uscita: Quando lo switch invia dati verso il dispositivo finale tramite una porta access, rimuove qualsiasi etichetta VLAN, poiché il dispositivo finale non saprebbe come interpretarla
L’utilizzo tipico di una Access Port è per il collegamento di computer, stampanti di rete e server qualora non siano configurati con schede di rete che supportano il tagging.
Le Access Port aumentano la sicurezza perché impediscono a un utente malintenzionato di “saltare” da una VLAN all’altra semplicemente cambiando le impostazioni del proprio PC.
Per configurare una porta su uno switch Cisco in modalità access assegnandola ad una determinata VLAN, si utilizzano i seguenti comandi
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
spanning-tree portfastNella riga 2 viene forzata la porta in modalità Access, mentre nella riga 3 viene assegnata la porta alla VLAN 10.
Trunk Port
Una porta Trunk è un collegamento fisico su uno switch configurato per trasportare il traffico di più VLAN contemporaneamente attraverso un singolo cavo. Viene utilizzata principalmente per connettere tra loro i nodi dell’infrastruttura, come due switch o uno switch e un router.
Per evitare che i dati di diverse reti virtuali si mescolino, la porta trunk utilizza un sistema di “etichettatura” chiamato VLAN Tagging. Questi i componenti chiave:
- Native VLAN: è l’unica VLAN il cui traffico transita sul trunk senza tag (untagged). Di default è solitamente la VLAN 1. Se uno switch riceve un frame senza tag su una porta trunk, lo assegna automaticamente alla VLAN nativa
- Allowed VLANs: per sicurezza e gestione della banda, è possibile definire una lista specifica di VLAN autorizzate a transitare sul trunk, bloccando tutte le altre
Per configurare una porta su uno switch Cisco in modalità trunk, si utilizzano i seguenti comandi
interface GigabitEthernet0/2
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20Nella riga 2 viene forzata la porta in modalità Trunk, nella riga 3 viene cambiata la VLAN nativa, mentre nella riga 4 viene permesso il traffico solo su VLAN specifiche.
Conclusione
La scelta tra Access e Trunk non è solo una questione di connettività, ma di design della sicurezza. Mentre la porta Access delimita il perimetro dell’utente, il Trunk costituisce il backbone della rete: entrambi richiedono una configurazione rigorosa per evitare che la flessibilità delle VLAN diventi una vulnerabilità.
