Ripasso rapido: Switching – CCNA

Cosa devi sapere davvero

Lo switching è uno dei blocchi più importanti della certificazione CCNA. Riguarda il funzionamento degli switch Ethernet, la segmentazione con VLAN, i collegamenti trunk, la prevenzione dei loop con STP, l’aggregazione dei link con EtherChannel e diversi controlli di sicurezza Layer 2.

Per CCNA devi capire non solo le definizioni, ma anche il motivo per cui questi meccanismi esistono: separare il traffico, ridurre i domini di broadcast, evitare loop, migliorare affidabilità e controllare l’accesso alla rete.

Concetti chiave

• Switch Layer 2: inoltra frame Ethernet usando la MAC address table.
• MAC address table: associa indirizzi MAC alle porte dello switch.
• VLAN: separa logicamente una rete Layer 2 in più domini di broadcast.
• Access port: porta assegnata a una sola VLAN.
• Trunk port: porta che trasporta traffico di più VLAN usando tagging 802.1Q.
• Native VLAN: VLAN non taggata su un trunk 802.1Q.
• STP: protocollo che previene loop Layer 2 bloccando percorsi ridondanti.
• Root bridge: switch di riferimento scelto da STP.
• EtherChannel: aggrega più link fisici in un unico link logico.
• Port security: limita quali MAC address possono usare una porta.
• DHCP snooping: protegge da server DHCP non autorizzati.
• DAI: Dynamic ARP Inspection, protegge da attacchi ARP spoofing.

Differenze da non confondere

Concetto	Significato principale
Access port	Porta per una sola VLAN
Trunk port	Porta che trasporta più VLAN
VLAN	Dominio di broadcast logico
Native VLAN	VLAN non taggata su trunk
MAC table	Tabella usata dallo switch per inoltrare frame
STP	Previene loop Layer 2
Root bridge	Switch centrale nella topologia STP
EtherChannel	Aggrega più link fisici
Port security	Limita MAC address su una porta
DHCP snooping	Blocca DHCP non autorizzati
DAI	Protegge da ARP spoofing

Come funziona uno switch

Uno switch Ethernet inoltra frame in base agli indirizzi MAC.

Quando riceve un frame, lo switch legge:

• MAC sorgente;
• MAC destinazione;
• porta di ingresso;
• VLAN associata.

Lo switch impara il MAC sorgente e lo inserisce nella MAC address table. Se conosce la porta associata al MAC destinazione, inoltra il frame solo su quella porta. Se non lo conosce, effettua flooding nella VLAN corretta.

Per CCNA devi ricordare che uno switch non inoltra in base agli indirizzi IP quando lavora come switch Layer 2. Il forwarding Layer 2 si basa sugli indirizzi MAC.

VLAN

Una VLAN separa logicamente una rete Layer 2. Ogni VLAN rappresenta un dominio di broadcast separato.

Esempio:

• VLAN 10 = utenti;
• VLAN 20 = server;
• VLAN 30 = voice;
• VLAN 99 = management.

Il vantaggio delle VLAN è che permettono di separare il traffico senza dover avere switch fisici separati per ogni rete.

Le VLAN aiutano a:

• ridurre il traffico broadcast;
• separare reparti o servizi;
• migliorare sicurezza e organizzazione;
• applicare policy diverse;
• facilitare troubleshooting e gestione.

Access port

Una access port appartiene normalmente a una sola VLAN. È usata per collegare dispositivi finali come PC, stampanti, telefoni IP o endpoint.

Esempio concettuale:

• una porta collegata a un PC può essere access nella VLAN 10;
• una porta collegata a una stampante può essere access nella VLAN 20.

Una porta access non trasporta normalmente tag VLAN verso il dispositivo finale.

Trunk port

Una trunk port trasporta traffico di più VLAN tra switch, router, firewall o altri dispositivi di rete.

Il trunk usa normalmente lo standard IEEE 802.1Q, che aggiunge un tag al frame Ethernet per indicare a quale VLAN appartiene.

Esempi tipici di trunk:

• switch verso switch;
• switch verso router per router-on-a-stick;
• switch verso firewall;
• switch verso hypervisor;
• switch verso access point che gestisce più SSID/VLAN.

Per CCNA devi sapere distinguere chiaramente access port e trunk port.

Native VLAN

La native VLAN è la VLAN che viaggia senza tag su un trunk 802.1Q.

Questo concetto è spesso presente nei quiz perché può creare problemi di sicurezza o configurazione se non è coerente tra i due lati del trunk.

Best practice comuni:

• evitare di usare la VLAN 1 come native VLAN;
• usare una VLAN non utilizzata per la native VLAN;
• mantenere la native VLAN uguale sui due lati del trunk;
• non usare la native VLAN per traffico utente importante.

Inter-VLAN routing

Le VLAN separano il traffico Layer 2. Per far comunicare dispositivi in VLAN diverse serve routing.

Le soluzioni più comuni sono:

• router-on-a-stick;
• switch Layer 3 con SVI;
• firewall o router che instrada tra VLAN.

Esempio:

• un PC in VLAN 10 non comunica direttamente con un server in VLAN 20;
• serve un dispositivo Layer 3 che faccia routing tra le VLAN.

Per CCNA è importante ricordare che lo switch Layer 2 separa le VLAN, ma il routing tra VLAN richiede funzionalità Layer 3.

STP

STP, Spanning Tree Protocol, serve a prevenire loop Layer 2.

I loop Layer 2 sono pericolosi perché Ethernet non ha un TTL come IP. Un loop può generare:

• broadcast storm;
• duplicazione dei frame;
• instabilità della MAC address table;
• rete lenta o completamente inutilizzabile.

STP crea una topologia logica senza loop bloccando alcuni percorsi ridondanti. I link ridondanti restano utili perché possono diventare attivi in caso di guasto.

Root bridge

Il root bridge è lo switch di riferimento nella topologia STP.

STP sceglie il root bridge in base al Bridge ID, composto principalmente da:

• bridge priority;
• MAC address.

Vince il Bridge ID più basso.

Per controllare la topologia STP, spesso si imposta manualmente la priority dello switch che si vuole rendere root bridge.

Porte STP

In CCNA devi conoscere almeno il significato generale dei ruoli principali:

• Root port: porta migliore verso il root bridge.
• Designated port: porta che inoltra traffico su un segmento.
• Blocked/alternate port: porta bloccata per prevenire loop.

Il punto importante non è memorizzare ogni dettaglio avanzato, ma capire che STP decide quali porte inoltrano e quali vengono bloccate per evitare loop.

EtherChannel

EtherChannel permette di combinare più link fisici in un unico link logico.

Vantaggi:

• maggiore banda aggregata;
• ridondanza;
• migliore utilizzo dei link;
• STP vede il bundle come un solo collegamento logico.

EtherChannel può essere configurato:

• staticamente;
• con PAgP;
• con LACP.

Per CCNA devi ricordare che i link membri devono avere configurazioni coerenti: velocità, duplex, VLAN, trunk/access mode e parametri compatibili.

Port security

Port security limita quali MAC address possono usare una porta dello switch.

Può essere utile per impedire che dispositivi non autorizzati vengano collegati a porte access.

Può usare:

• MAC statici;
• MAC dinamici;
• sticky MAC address.

Le azioni tipiche in caso di violazione includono:

• protect;
• restrict;
• shutdown.

Nei quiz CCNA, shutdown è spesso il comportamento predefinito più severo: la porta può andare in err-disabled.

DHCP snooping

DHCP snooping protegge la rete da server DHCP non autorizzati.

Il concetto chiave è la distinzione tra:

• porte trusted;
• porte untrusted.

Le porte verso server DHCP legittimi o uplink controllati possono essere trusted. Le porte verso utenti finali normalmente restano untrusted.

DHCP snooping può bloccare risposte DHCP provenienti da porte non autorizzate.

Dynamic ARP Inspection

Dynamic ARP Inspection, o DAI, aiuta a proteggere da ARP spoofing e ARP poisoning.

DAI controlla i messaggi ARP e verifica che siano coerenti con informazioni attendibili, spesso derivate dalla tabella di DHCP snooping.

Il punto chiave è che DHCP snooping e DAI lavorano spesso insieme: DHCP snooping costruisce una base di fiducia, DAI la usa per validare ARP.

Errori comuni nei quiz

• Confondere access port e trunk port.
• Pensare che una VLAN permetta automaticamente comunicazione con altre VLAN.
• Dimenticare che per comunicare tra VLAN serve routing.
• Confondere native VLAN e management VLAN.
• Pensare che STP aumenti la velocità della rete.
• Dimenticare che STP serve a prevenire loop.
• Pensare che EtherChannel sia solo ridondanza e non anche aggregazione logica.
• Configurare EtherChannel con parametri incoerenti tra le porte.
• Confondere port security con ACL.
• Pensare che DHCP snooping blocchi tutti i DHCP, anche quelli legittimi.
• Dimenticare che DAI protegge da attacchi ARP, non da tutti gli attacchi Layer 2.

Mini scenario d’esame

Una azienda ha due switch collegati con più link fisici. Senza un meccanismo di protezione, la topologia può creare loop Layer 2 e causare broadcast storm. La soluzione principale per prevenire loop è usare STP.

Se invece l’obiettivo è usare più link fisici come un unico collegamento logico aumentando banda e ridondanza, la soluzione più adatta è EtherChannel.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• come uno switch usa la MAC address table;
• cosa significa VLAN;
• la differenza tra access port e trunk port;
• a cosa serve la native VLAN;
• perché serve routing tra VLAN diverse;
• perché STP previene loop Layer 2;
• cosa significa root bridge;
• a cosa serve EtherChannel;
• perché le porte EtherChannel devono avere configurazioni coerenti;
• cosa fa port security;
• a cosa serve DHCP snooping;
• perché DAI protegge da ARP spoofing.