Il modello gerarchico delle LAN aziendali
Una LAN piccola — quella di casa o di un’aula — si progetta in modo intuitivo: colleghi tutto a uno switch, finisce lì. Ma quando la rete cresce — centinaia di host, più piani, più edifici — la topologia piatta diventa ingestibile. Il traffico esplode, un guasto si propaga ovunque, non riesci a isolare i problemi.
La risposta industriale è il modello gerarchico a tre livelli, sviluppato originariamente da Cisco e poi adottato come riferimento de facto nella progettazione enterprise.
I tre livelli
| Livello | Nome | Funzione principale | Hardware tipico |
|---|---|---|---|
L3 | Core | Backbone ad alta velocità — instrada il traffico tra i blocchi Distribution con latenza minima | Switch L3 ad alte prestazioni, router |
L2 | Distribution | Aggregazione, routing tra VLAN, policy (ACL, QoS), confine tra L2 e L3 | Switch L3 mid-range |
L1/L2 | Access | Connessione degli end-device (PC, VoIP, AP), porta per porta | Switch L2 economici, con PoE |
┌─────────────┐
│ CORE L3 │ ← backbone, full-mesh o anello
│ Switch A │
└──────┬──────┘
┌─────────┴─────────┐
┌────┴────┐ ┌────┴────┐
│ DISTR. │ │ DISTR. │ ← aggregazione + routing
│ Sw-B │ │ Sw-C │
└────┬────┘ └────┬────┘
┌────┴────┐ ┌────┴────┐
│ ACCESS │ │ ACCESS │ ← connessione end-device
│ Sw-D │ │ Sw-E │
└────┬────┘ └────┬────┘
PC AP VoIP PC AP VoIP
Nelle LAN medio-piccole (singolo edificio) il livello Core viene spesso eliminato e i due switch Distribution svolgono anche da backbone. Si parla di modello collapsed core.
Perché la gerarchia scala meglio della topologia piatta
In una rete piatta ogni switch è connesso a tutti gli altri: aggiungere un nuovo switch richiede N nuovi link. Nel modello gerarchico ogni Access switch si connette solo al proprio Distribution: il numero di link cresce linearmente, non quadraticamente. Inoltre i problemi restano confinati al blocco dove si verificano.
Il problema dei loop a livello 2
La ridondanza è indispensabile: se un link o uno switch si guasta, la rete deve continuare a funzionare. La soluzione naturale è aggiungere link paralleli tra gli switch. Ma questo crea un problema devastante: i loop di livello 2.
Cosa succede senza protezione dai loop
Ethernet non ha un campo TTL (che a livello 3 fa scartare i pacchetti dopo N hop). Un frame broadcast che entra in un loop rimbalza all’infinito tra gli switch. In secondi:
I frame broadcast si moltiplicano esponenzialmente fino a saturare completamente la banda. La rete diventa inutilizzabile in pochi secondi.
Lo stesso frame arriva su porte diverse: lo switch aggiorna continuamente la CAM table con mapping contraddittori. Il forwarding diventa casuale.
Due switch A e B connessi con due cavi paralleli. PC-1 invia un ARP broadcast. A lo manda su entrambi i link verso B. B lo rimanda indietro. A lo rimanda a B di nuovo. In meno di un secondo i frame occupano il 100% della banda su entrambi i link. CPU degli switch al 100%. Rete morta.
Spanning Tree Protocol (STP) — IEEE 802.1D
Lo Spanning Tree Protocol, standardizzato da IEEE come 802.1D nel 1990, è la soluzione classica al problema dei loop: blocca logicamente i link ridondanti, mantenendo un unico percorso attivo tra ogni coppia di switch. Se il link attivo cade, STP riattiva quello bloccato.
Tre passi: elezione, costo, stati
1 — Elezione del Root Bridge
Ogni switch ha un Bridge ID = priorità (16 bit, default 32768) + MAC address (48 bit). Lo switch con il Bridge ID più basso diventa Root Bridge — il “centro” dell’albero logico. Tutti i percorsi vengono calcolati in funzione della distanza dal Root Bridge.
Bridge ID = Priorità (2B) + MAC Address (6B)La priorità è configurabile in multipli di 4096. MAC più basso rompe i pareggi. In Cisco:
spanning-tree vlan 1 priority 4096 per eleggere un bridge specifico.2 — Calcolo del percorso: Root Path Cost
Ogni porta ha un path cost inversamente proporzionale alla banda del link. Ogni switch calcola il percorso a costo minimo verso il Root Bridge e sceglie la sua Root Port (la porta più vicina al root).
| Velocità link | STP Cost (802.1D) | RSTP Cost (802.1w) |
|---|---|---|
| 10 Mbps | 100 | 2.000.000 |
| 100 Mbps | 19 | 200.000 |
| 1 Gbps | 4 | 20.000 |
| 10 Gbps | 2 | 2.000 |
| 100 Gbps | 1 | 200 |
3 — Stati delle porte STP
Ogni porta passa attraverso stati ben definiti prima di poter inoltrare dati:
| Stato | Dati | BPDU | MAC learning | Durata (default) |
|---|---|---|---|---|
| Blocking | ❌ | ✅ (riceve) | ❌ | 20 s (Max Age) |
| Listening | ❌ | ✅ | ❌ | 15 s (Forward Delay) |
| Learning | ❌ | ✅ | ✅ | 15 s (Forward Delay) |
| Forwarding | ✅ | ✅ | ✅ | — |
| Disabled | ❌ | ❌ | ❌ | — |
Con 802.1D, dopo un guasto la rete impiega fino a 50 secondi per riconvergersi (20s Max Age + 15s Listening + 15s Learning). Inaccettabile per applicazioni real-time. Questa è la principale ragione per cui STP è stato sostituito da RSTP.
BPDU — Bridge Protocol Data Unit
Gli switch si scambiano messaggi speciali chiamati BPDU (Bridge Protocol Data Unit) ogni 2 secondi (Hello Time). Le BPDU contengono: Root Bridge ID, Root Path Cost, Bridge ID mittente, porta mittente. Attraverso lo scambio di BPDU gli switch costruiscono l’albero logico e rilevano guasti.
Ruoli delle porte nell’albero STP
| Ruolo porta | Descrizione |
|---|---|
| Root Port (RP) | Porta con il percorso a costo minimo verso il Root Bridge. Ogni switch non-root ne ha esattamente una. |
| Designated Port (DP) | Porta che invia le BPDU sul segmento con il costo più basso. Il Root Bridge ha tutte le porte designated. |
| Blocked Port | Porta non designated: non forwarda dati ma ascolta BPDU per rilevare cambiamenti. |
RSTP — Rapid Spanning Tree Protocol (802.1w)
IEEE 802.1w (RSTP) è il successore moderno di STP. Riduce il tempo di convergenza da ~50 secondi a meno di 1 secondo attraverso un meccanismo di negoziazione diretta tra switch adiacenti, senza aspettare timer.
Le differenze principali rispetto a 802.1D:
- 5 stati (Blocking, Listening, Learning, Forwarding, Disabled)
- Convergenza ~50 s
- Timer-based (dipende da Max Age, Forward Delay)
- Nessun concetto di edge port
- 3 stati effettivi (Discarding, Learning, Forwarding)
- Convergenza < 1 s su link punto-punto
- Proposal/Agreement tra switch adiacenti
- Edge port: porta verso end-device, forwarding immediato (=PortFast)
EtherChannel — aggregazione di link
Una soluzione alternativa alla ridondanza tramite STP è l’EtherChannel (standard IEEE 802.3ad — LACP): unire più link fisici paralleli in un unico link logico ad alta banda. STP vede il bundle come un singolo link, quindi nessun blocco.
| Caratteristica | EtherChannel | STP ridondante |
|---|---|---|
| Link ridondanti attivi | ✅ tutti attivi | ❌ uno bloccato |
| Banda effettiva | N × banda | 1 × banda |
| Failover | Millisecondi | Secondi (RSTP) / ~50s (STP) |
| Complessità configurazione | Media | Bassa |
Usa RSTP (o MSTP) su tutta la rete come protezione base. Aggiungi EtherChannel tra Distribution e Core per massimizzare banda e ridurre convergenza. Configura PortFast (edge port RSTP) su tutte le porte Access verso end-device: eviti 30 secondi di attesa ad ogni accensione di un PC.
- Il modello gerarchico Core / Distribution / Access garantisce scalabilità, ridondanza e facilità di gestione nelle LAN enterprise.
- I loop di livello 2 (broadcast storm, MAC instability) sono la conseguenza diretta di link ridondanti senza protezione.
- STP 802.1D blocca logicamente i link ridondanti tramite elezione Root Bridge, calcolo Root Path Cost e gestione degli stati delle porte.
- RSTP 802.1w sostituisce STP con convergenza <1s grazie al meccanismo Proposal/Agreement e alle edge port.
- EtherChannel (LACP) aggrega più link fisici in uno logico: tutti i link restano attivi, raddoppiando (o triplicando) la banda disponibile.