Články
VLAN - Virtual Local Area Network
O vytváření a konfiguraci VLAN na Cisco zařízeních, stejně jako o Dynamic Trunk Protocolu a VLAN Trunking Protocolu si můžete přečíst v článku Cisco IOS 7 - konfigurace VLAN, VTP.
Co je to VLAN
Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě. Druhým důležitým pojmem, který bude více vysvětlen později, je trunk. Jako trunk označujeme port, který je zařazen do více VLAN.
Jednoduše řečeno pomocí VLAN můžeme dosáhnout stejného efektu, jako když máme skupinu zařízení připojených do jednoho (několika propojených) switche a druhou skupinu do jiného (jiných) switche. Jsou to dvě nezávislé sítě, které spolu nemohou komunikovat (jsou fyzicky odděleny). Pomocí VLAN můžeme takovéto dvě sítě vytvořit na jednom (nebo několika propojených) switchi.
V praxi samozřejmě často potřebujeme komunikaci mezi těmito sítěmi. S VLAN můžeme pracovat stejně jako s normálními sítěmi. Tedy použít mezi nimi jakýkoliv způsob routování. Často se dnes využívá L3 switch (switch, který funguje na třetí vrstvě OSI) pro inter-VLAN routing - směrování mezi VLAN.
Níže uvádím klasický obrázek, který se používá pro vysvětlení VLAN. Máme dvě patra, na každém patře je switch, switche jsou propojeny páteří s trunkem. Chceme propojit zařízení do dvou nezávislých skupin (modrá - VLAN10 a červená VLAN20). Pomocí VLAN je to takto jednoduché. Tradiční technikou bychom museli mít switche oddělené a každou skupinu (modrou a červenou) propojit do jednoho switche, což by byl problém, protože jsou na různých patrech.
Pro podrobné pochopení VLAN je třeba rozumět základům sítí a jejich segmentování (dělení na subnety - podsítě).
Počítačová síť - WAN, LAN
Počítačová síť vznikne ve chvíli, kdy dva (někdy se říká minimálně tři) nebo více počítačů propojíme dohromady pomocí telekomunikačního systému za účelem sdílení zdrojů. Sítě se dále dělí podle řady parametrů na LAN, WAN, WLAN, MAN apod. V tuto chvíli nás zajímá lokální počítačová síť - LAN (Local Area Network), která se vyznačuje tím, že počítače jsou propojeny na menším geografickém území (tedy v rámci firmy, budovy, místnosti, atp.). Pro LAN se nejčastěji používá technologie Ethernet s protokolem TCP/IP a pro WAN (Wide Area Network - propojení jednotlivých LAN) technologie Frame Relay.
Podsíť - subnet
TCP/IP protokol používá pro adresování zařízení IP adresy. Těchto adres je určitý rozsah, který se pro praktické použití (směrování, přidělování adres organizacím, broadcasty) dělí na menší hierarchické části, kterým se říká subnety (podsítě).
Zařízení mohou přímo komunikovat pouze s dalšími zařízeními, která jsou ve stejném subnetu. Se zařízeními z jiných subnetů komunikují typicky přes jednu adresu - gateway (bránu), která provádí routování.
Oddělení sítí
Jak jsem uvedl výše, pokud použijeme různé subnety, tak spolu zařízení nemohou komunikovat. Není to však úplně pravda, rozhodně nedojde k oddělení těchto zařízení. Pokud jsou totiž připojena na stejné médium, propojena do stejného hubu (pracuje na 1. vrstvě OSI) nebo switche (pracuje na 2. vrstvě OSI). Tak komunikace dorazí z jednoho zařízení na druhé, i když jsou v jiném subnetu. Zařízení však bude tuto komunikaci ignorovat. Je to proto, že hub (posílá všude) ani switch (používá MAC adresy) se nedívá na IP adresy procházející komunikace. Proto se dá tato komunikace zachytávat a odposlouchávat. Pokud tedy chceme mít oddělené sítě, tak musíme použít oddělené switche.
Kdežto použitím VLAN dojde k tomu, že komunikace se posílá pouze na porty, které jsou zařazeny do stejné VLANy. Záleží tedy sice na softwaru switche, ale dá se říct, že se jedná o fyzické oddělení. Existují nějaké metody útoky na VLAN (proniknutí do jiné VLAN), ale při dobře nastavené síti by mělo být vše bezpečné.
Subnety a VLANy
Z výše uvedeného také plyne to, že pro různé VLANy bychom měli používat různé subnety. Pokud chceme mezi těmito VLANami routovat, tak je to nutné, stejně jako v případě, kdy chceme využít některé speciální funkce na switchi.
Proč vznikly VLANy
Technologie VLAN začala vznikat kolem roku 1995, ale zprvu se jednalo o různá proprietární řešení. V praxi se však více rozšířili až před několika lety a to hlavně ve středních a velkých firmách, přestože již delší dobu existuje standard.
Hlavní důvody proč vznikly VLAN byly asi tyto:
- seskupování uživatelů v síti podle skupin či oddělení nebo podle služeb místo podle fyzického umístění a oddělení komunikace mezi těmito skupinami
- snížení broadcastů v síti, které začaly být problémem již před několika lety
- zmenšení kolizních domén v době, kdy se nepoužívaly switche, ale třeba huby
Idea pro logické seskupování uživatelů, která se uvádí v řadě materiálů, a tedy vytváření VLAN je
- podle organizační struktury - pokud je většina komunikace v rámci oddělení, kde jsou vlastní tiskárny, file servery, atd. a mezi jednotlivými odděleními není komunikace, pouze pár služeb (mail) je společných pro všechny
- podle služeb - do VLAN se seskupují pracovníci, kteří využívají stejné služby (účetnictví, DB, atd.)
Původní důvody již dnes často nejsou aktuální nebo se z praxe změnily názory. Jak se používají VLANy dnes, jinak řečeno, jaký je jejich hlavní přínos, uvádím v další kapitole.
Jaké jsou praktické výhody VLAN
- snížení broadcastů - hlavní výhodou VLAN je vytvoření více, ale menších, broadcastových domén. Tedy zlepšení výkonu sítě snížením provozu (traffic).
- zjednodušená správa - k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení)
- zvýšení zabezpečení - oddělení komunikace do speciální VLANy, kam není jiný přístup. Toho se dá samozřejmě dosáhnout použitím samostatných switchů, ale často se toto uvádí jako bonus VLAN.
- oddělení speciálního provozu - dnes se používá řada provozu, který nemusí být propojen do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňoval běžný provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí. Navíc VLANy můžeme použít spolu s QoSem pro zaručení kvality komunikace (obsazení pásma).
- snížení HW - samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů).
Jak se zařazuje komunikace do VLAN
Přiřazení do VLANy se nastavuje typicky na switchi (pouze v některých speciálních případech přichází označená komunikace přes trunk z jiného zařízení). Na switchích, které podporují VLANy, vždy existuje alespoň jedna VLAN. Jedná se o defaultní VLAN číslo 1, kterou není možno smazat či vypnout. Pokud nenastavíme jinak, tak jsou všechny porty (tedy veškerá komunikace) zařazeny do VLAN 1.
Pro zařazení komunikace do VLANy existují čtyři základní metody, ale v praxi je nejvíce využívána možnost první - zařazení dle portu.
1. podle portu
Port switche je ručně a napevno zařazen (nakonfigurován) do určité VLANy. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLANy. To znamená, že pokud do portu připojíme další switch, tak všechny zařízení připojená k němu budou v jedné VLANě. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém switchi. Jednoduše se spravuje a je přehledné.
2. podle MAC adresy
Rámce(port) se zařadí do VLANy podle zdrojové MAC adresy. Musíme tedy spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLANou. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLANy. Switch musí vyhledávat v tabulce MAC adres.
Jsou zde dvě možnosti, jak tato metoda může fungovat. Buď se podle MAC adresy prvního rámce nastaví zařazení portu do VLANy a toto nastavení zůstane, dokud se port nevypne. Nebo se každý rámec zařazuje samostatně do VLANy podle MAC adresy. Toto řešení je velmi náročné na výkon.
Cisco má řešení zvané VLAN Membership Policy Server (VMPS), pro které je třeba speciální server, který spravuje tabulky MAC adres. Navíc se při této metodě zařazuje port do VLANy, takže pokud je do něj připojeno více zařízení (max. 20), musí být všechny ve stejné VLAN.
3. podle protokolu = podle informace z 3. vrstvy
Tato metoda určuje zařazení podle protokolu přenášeného paketu. Například oddělíme IP provoz od AppleTalk. Nebo zařazujeme podle IP adresy či rozsahu. V praxi není příliš rozšířené. Zařízení musí mít napevno definovanou IP adresu a switch se musí dívat do třetí vrstvy (normálně funguje na druhé), znamená to zpomalení.
4. podle autentizace
Ověří se uživatel nebo zařízení pomocí protokolu IEEE 802.1x a podle informací se automaticky umístí do VLANy. Je to primárně bezpečnostní metoda, které řídí přístup do sítě (NAC), ale po rozšíření slouží i pro VLANy. Je to zajímavá metoda proto, že je velmi univerzální. Nezáleží ani na fyzickém zařízení ani na místě zapojení. RADIUS server, který ověřuje identitu uživatele, obsahuje také mapovaní uživatelů na VLANy a tuto informaci zašle po úspěšné autentizaci. U této metody je možné nastavení, že v případě, kdy není uživatel autentizován, tak je zařazen do speciální hostovské VLANy.
U Cisco switchů může být port single-host, kdy je možno připojit pouze jedno zařízení nebo multiple-host, kdy sice může být do portu připojeno více zařízení, ale ve chvíli, kdy se první autentizuje, tak je port autentizovaný (a zařazený do VLANy) a komunikovat mohou všechna zařízení.
Jak funguje komunikace v rámci VLAN
V praxi máme dvě situace, kdy se při komunikaci řeší příslušnost k VLANě. Je to při komunikaci v rámci jednoho switche nebo při komunikaci mezi několika switchi.
VLANy na jednom switchi
Při komunikaci ve VLANách v rámci jednoho switche je to jednoduché. Switch si v operační paměti udržuje informace, do které VLANy patří daná komunikace (port), a v rámci switche povoluje pouze správné směrování. V tomto případě máme jednotlivé porty zařazeny do jedné VLANy a to buď staticky, nebo dynamicky, jak bylo řečeno výše (možnosti 2,3,4). Cisco těmto portům říká access port (přístupový port).
VLANY mezi více switchi
Složitější situace nastává, když chceme, aby se informace o zařazení do VLANy neztratila při přechodu na jiný switch, tedy abychom v celé naší síti mohli využít stejné VLANy a nezáleželo, do kterého switche je zařízení připojeno. Navíc chceme, aby tato metoda fungovala i mezi switchi různých výrobců. To byl ze začátku problém a používali se různé metody. Například, když zařazujeme komunikaci podle MAC adresy, tak můžeme tabulku přiřazení mít na všech switchích. Cisco vytvořilo svoji metodu ISL, která zapouzdřuje celý rámec, ale funguje pouze na Cisco zařízeních. Také můžeme propojit dva access porty na dvou switchích, zařadit je do stejné VLANy a přeneseme potřebné informace. To je ale velmi nepraktické.
Naštěstí vznikl standard IEEE 802.1q, který využívá značkování rámců. Označuje se komunikace jen ve chvíli, kdy je to třeba. Takže dokud probíhá v rámci jednoho switche a připojených zařízení, tak se nic nepřidává. Teprve, když chceme poslat komunikaci dalšímu switchi (či podobnému zařízení), tak ji označíme. Odchozí komunikace se taguje na portu, kterému se říká trunk port. Tento port přenáší více (vybraných) VLAN a aby je mohl odlišit, tak je označuje. Spoji dvou trunk portů se říká trunk nebo trunk link.
IEEE 802.1q tagging
Protokolu IEEE 802.1q se říká také trunking protokol nebo dot1q tagging. Jedná se o standardizovanou metodu, kterou podporují všechny moderní switche s podporou VLAN. Funguje na principu tzv. tagování. Vezmeme originální rámec, jeho hlavičku rozšíříme o 4B informací, z nichž první je značka, že se jedná o protokol 802.1q (hodnota 0x8100). Dále následuje priorita dle protokolu 802.1p, příznak, zda je MAC adresa v kanonickém tvaru a poslední je číslo VLANy.
Protože se změnila data, je třeba přepočítat kontrolní součet na konci rámce.
Originální rámec
| 6B | 6B | 2B | 64 až 1500B | 4B |
| cílová adresa (DA) | zdrojová adresa (SA) | typ nebo délka | data | kontrolní součet (FCS) |
Upravený rámec pomocí 802.1q
| 6B | 6B | 4B | 2B | 64 až 1500B | 4B |
| cílová adresa (DA) | zdrojová adresa (SA) | 802.1q tag | typ nebo délka | data | kontrolní součet (FCS) |
Tvar 802.1q tagu
| 2B | 3b | 1b | 12b |
| 0x8100 | priorita (802.1p) | Canonical Format Indicator (CFI) | VLAN ID |
| Tag Protocol ID (TPID) 2B | Tag Control Information (TCI) 2B | ||
Native VLAN je termín spojený s protokolem 802.1q. Nastavuje se na trunk portu, u Cisco prvků musíme nativní VLANu vždy nastavit a to shodně na obou stranách trunku. Provoz, který je zařazen do native VLAN se při přenosu netaguje (zůstává nezměněn) a příchozí provoz, který není tagovaný se zařazuje do native VLAN. Často se jako native VLAN nastavuje management VLAN. Důsledkem také je, že pokud se na trunk port dostane nějaký rámec, který nemá tag, tak je zařazen do nativní VLANy. Jinak řečeno, pokud do portu, který je nakonfigurován jako trunk, připojíme normální stanici (která nepodporuje trunk), tak bude komunikovat v této VLANě. V praxi můžeme využít tuto vlastnost třeba u zapojení, kdy je připojen IP telefon a za ním PC. Native VLAN nastavíme stejně jako VLAN pro PC, potom pokud se odpojí telefon a PC se připojí přímo, tak jeho komunikace stále funguje.
Cisco ISL encapsulation
ISL znamená Inter-Switch Link, tedy spoj mezi switchi. Cisco vytvořilo svůj protokol ještě v době, kdy neexistoval standard. ISL má výhodu, že funguje nejen pro protokol IP, ale i pro jiné. Stejně jako 802.1q podporuje prioritizaci.
Bohužel se jedná o proprietární metodu, kterou používá pouze Cisco a v dnešní době ji nalezneme pouze na switchích vyšší řady (třeba Catalyst 3750). Princip funkce je takový, že se celý rámec zabalí (encapsulate) do nové hlavičky a kontrolního součtu. Z toho plyne nevýhoda, že se více zvětšuje komunikace, každý rámec je o 30B větší.
| 26B | 4B | |
| ISL header | encapsulation frame (originální rámec) | kontrolní součet (FCS) |
Další využití trunků
V dnešní době nemusíme používat trunk pouze pro propojení switchů, ale velice účinně jej využít i pro připojení serverů, které potřebujeme mít připojené do více sítí. Operační systém Linux podporuje protokol 802.1q již v jádře, pro Windows potřebujeme ovladač pro síťovou kartu s podporou VLAN (například Intel). Na síťové kartě pak nakonfigurujeme VLANy, které zde přichází, a pro každou se vytvoří virtuální síťové spojení, které můžeme používat jako běžnou síťovku. Ušetříme tím fyzické síťové karty na serveru, i když se snižuje propustnost. Použít to můžeme třeba na firewallu nebo hostovském serveru pro virtuály. Na druhou stranu je třeba se vždy zamyslet, zda je toto to správné řešení a neexistuje něco jednoduššího (například, abychom DHCP server nepřipojovali do každé routované podsítě, když můžeme využít DHCP relay agenta).
Routing mezi VLANy
Tradiční routing vypadá tak, že máme několik oddělených sítí a chceme mezi nimi umožnit nějakou komunikaci. Následující obrázek představuje tři samostatné switche propojené pomocí routeru. Může se jednat například o firemní servery a dvě oddělení, které k nim chceme připojit, ale nechceme, aby mohla komunikovat mezi sebou.
Pokud využíváme VLANy, můžeme se k nim chovat stejně jako k normálním podsítím. Na switchi můžeme jednotlivé VLANy, které chceme routovat, vyvést do samostatných access portů a ty připojit k routeru.
To je však zbytečné plýtvání a výhodnější je použít mezi routrem a switchem trunk. Také můžeme místo klasického routeru využít L3 switch, který je rychlejší.
U Cisco L3 switchů provedeme inter-VLAN routing jednoduše tak, že zapneme routování a na ty VLANy, které mají mezi sebou routovat, nastavíme IP adresu.
Související články:
Počítačové sítě - Computer networks
- OSI model [05.03.2007 08:09]
- Počítačové sítě a jejich typy [09.07.2007 15:32]
- VLAN - Virtual Local Area Network [02.06.2007 15:54] právě čtete
- Počítačové sítě - základní topologie [30.07.2007 14:47]
- Ethernet - CSMA/CD, kolizní doména, duplex [03.08.2007 12:40]
- TCP/IP - model, encapsulace, paket vs. rámec [16.08.2007 16:43]
- TCP/IP - metody vysílání dat [02.09.2007 15:05]
- TCP/IP - adresy, masky, subnety a výpočty [05.09.2007 14:53]
- TCP/IP - navázání a ukončení spojení [13.09.2007 16:10]
- TCP/IP a ethernet - cesta v síti, aktivní síťové prvky [17.09.2007 10:22]
- TCP/IP - Routing - směrování [21.09.2007 15:34]
- TCP/IP - nalezení MAC adresy k IP - ARP [25.09.2007 17:35]
- Počítačové sítě - Computer Networks [30.09.2007 13:28]
- DNS (Domain Name System) zaměřeno na Microsoft [26.11.2007 14:26]
- Wake on LAN - lokální i vzdálený subnet [10.08.2008 20:42]
- TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
- TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
- Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
- Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
- Výstavba moderní sítě [28.04.2010 14:41]
- Cisco Network Design - Enterprise Architecture [24.09.2010 13:47]
- VPN 1 - IPsec VPN a Cisco [10.04.2011 19:59]
Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.
Komentáře
Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí.
Nějak tomuto nerozumím - ono může být více VLAN na jednom portu switche?
Co se myslí tím rozdělením komunikace v telefonu?
Díky
odpověď na [1]Michal: Ano na jednom portu switche může být více VLAN. Tento port musí být nastaven právě jako trunk. Pak k němu můžete přiřadit třeba VLAN 1,2,8. Používá se ke komunikaci mezi switchi právě proto aby jste nemusel z jednoho switche do druhého vést komunikaci každé VLAN po separátním kabelu. U té telefonie by muselo jít o takový telefon, který podporuje VLANY. Pokud by jste pak vedl 2 VLANy jedním kabelem do telefonu, tak ten by si vzal pro sebe komunikaci např. z VLAN1 a druhé VLAN (2) by si nevšímal a pustil by ji dál např k počítači. Muselo by jít o takový IP telefon, který má možnost na sebe počítač připojit (je jich hodně).
odpověď na [1]Michal: Tak asi jsem ten celý princip nepopsal dobře, když to z toho není jasné
. Zkusím ten článek znovu projít a kdyžtak upravit. Navíc mám připraven popis nějakých základních pojmů jako subneting apod., takže to brzy doplním.
Jinak joshik to vysvětluje přesně, díky. Dá se to brát tak, že u řady telefonů je malý switch s podporou VLAN, jeden port je trunk (do switche), jeden port nastaven do VLANy pro telefonii (a do něj je připojen telefon) a poslední port je výstupní (do něj se připojí PC) a ten je nastaven do VLANy klasické.
odpověď na [2]joshik: aha - to jsem netušil, že takové IP telefony jsou .... já mám doma jen Sipuru 1001 :)
Teď už je mi to jasné
Je možné mít VLAN1 s rozsahem 192.168.3.0/24 a VLAN2 s rozsahem 192.168.1.0/24 na jednom switchi?
odpověď na [5]pavel: Ano, to je přesně správné použití VLAN, dva různé subnety ve dvou VLANach. A princip VLAN je právě to, že je máme na jednom switchi.
Pěkně napsaný článek.
Jen mám trochu malý problém - VLANy se pohybují na linkové vrstvě RM OSI a v článku je použito jednou paket podruhé zase rámec. Myslím, že to může být trochu matoucí.
odpověď na [7]Sulla: Děkuji za tuto správnou připomínku. Již jsem to opravil, téměř všude mělo být použito rámec. Je to problém, že lidé (a já také) často používají spíše označení paket a to pro vše. Přitom to co putuje sítí a má fyzickou adresu (MAC) je rámec, kdežto paket je zapouzdřený uvnitř rámce a v hlavičce má IP adresu. Už mám o tomto tématu napsaný článek, ale ještě jsem jej zde nezveřejnil. Na tento problém jsem narazil právě u psaní tohoto článku a v návaznosti prostudoval řadu literatury (ale již neopravil tento text).
Este doplnim ze aj PC podporuju VLANy - presnejsie povedane tagovane VLANy. Cize mozes urobit take, ze na switchi nastavis port ako trunk s VLAN 5 a 7 a jednym kablom pojde do PC. A PC (so specialnymi drivermi win alebo podporovou vlan v linux kerneli) si z toho urobi 2 virtualne "kable", kazdy s inou IP adresou a v inej VLAN. Ked je port ako trunk, tak pakety idu tagovane, maju v sebe napisane ktorej VLAN patria. A rovnako PC ked posiela paket tak podla zdrojovej IP vie cez ktoru VLAN ma ist a da mu prislusny tag.
Inac netagovane VLANy su pre PC neviditelne, jemu pride normalny paket, takze ani nevie je vo VLAN alebo nie.
odpověď na [9]Marki: Samozřejmě, podpora IEEE 802.1q není problém i na jiných zařízeních než switch. Na MS platformě je problém, že není podpora v OS, ale pomocí ovladačů síťové karty. Používám to na řadě síťových karet od Intelu, kde to funguje velmi dobře. Jiní výrobci uvádí podporu 802.1q, ale v konfiguraci ovladače chybí možnosti pro vytváření virtuálních síťových adaptérů (dle VLAN).
Protože se změnili data, je třeba přepočítat kontrolní součet na konci rámce.
- prosím změnila data nebo ..jsme změnili data...
ale můžeme nastavit, aby se informace tagovali.
- tagovaly
Jinak je to celkem dobrý článek. Nebylo by nějaké info i o double taggingu? Kdy je možno, jak to funguje apod.? (podpora např.- switche na bázi Marvell chipů)
Díky
odpověď na [11]Martin: Děkuji za korekturu.
Snažím se psát články pouze o věcech, s kterými mám praktickou zkušenost. Double tagging je asi něco jako 802.1q tuneling, tedy přenos infa o VLANech přes cizí síť. To podporují i Cisco switche, ale já s tím nikdy nepracoval.
Ahoj, jsem scela prekvapen timto webem, respektive obsahem. Je naprosto uzasny, najdu zde vetsinou toho co presne hledam. Mam takovy problem, a protoze ve svem okoli jiz dlouho nekoho hledam a nenachazim - poprosim o pomoc zde:
Mam wifi sit, vcelku nemalou
... pouzivam vesmes bud CISCO switche nebo nynejsi 3com(huawei - ci jak se ti plagiatori jmenovali) - no konecne k problemu ci k dotazu:
Dokazi diky VLANu oddelit jeden subnet ? myslim ze scela jiste ano, problem pro mne vznika ve chvili kdy na tom subnetu mam JEDEN router ktery je pro onen subnen i DHCP serverem. takze i kdyz udelam trunk a navedu jej do onoho routeru tak nevim jak dale :( . Router je HP ML350 distro SLackware.
odpověď na [13]Georgo: Ahoj, díky za pochvalná slova
.
Nepochopil jsem pořádně tvůj problém. Jestli se to nějak týká i toho WiFi? Tam můžeš udělat různé WLANy, které budou zakončeny v různých VLANách (každá VLAN má svůj subnet, který musí být unikátní). Pokud chceš ty VLANy (subnety) mezi sebou (nebo třeba do inetu) spojit, tak všechny musíš připojit do toho routeru (třeba přes ten trunk). Každá VLAN na tom routeru, pak musí mít IP adresu (jako že ten router má několik IP v každé VLANě). No a na routeru se nakonfiguruje DHCP pro ty VLANy, kde chceš aby fungovalo.
odpověď na [14]Samuraj: aha, tak to muj problem neresi v tom pripade.Potrebuji ve skratce toto: mam subnet 192.168.100.0/23 a pozadavek je takovy aby se ucastnici mezi sebou nevideli !! Takze neco resim pomoci Port protected, ale ne vse tak lze... takze me napada .. hmmm .. ACL ? na ip adresu ? bylo by to reseni ?
odpověď na [15]georgo: Hm, tak to je něco úplně jiného. Nikdy jsem nic takového neřešil, ale myslím, že na to právě je Protected Port. Pomocí ACL to přímo řešit nejde, protože ACL funguje na Layer 3, ale komunikace v rámci jednoho subnetu je Layer 2. Protected Port zabraňuje přímé komunikaci (L2) a dovoluje využít pouze routování (L3).
odpověď na [16]Samuraj: takze... Protected Port neni spatna vec, ale umi jen "jednu skupinu". Uz se mi tak nejak podarilo pomoci ACL nastavit filtrovani na IP adresu - zda se ze to funguje bezvadne - musim jeste par veci poodladit.
Super stránky, díky za informace
Dobrá práce. Opravdu. Díky
Jsi frajer, pěkná práce
Dobrý den,
chválím pěkný článek a vlastně celý web. Jen tak dál!
S přáním hezkých Vánoc
Kryštof
Dobrý den,
přidávám se k lidem, kteří chválí článek, ale i celý web...
Opravdu pěkná práce
Ahoj, chtěl bych se zeptat je možné propojit na L2 switchi(3com 4210) dvě vlany(myslím fyzicky kabelem)? Nyní mám na switchi nastavenou rychlost portu pres Qos a do portu zapojený druhý switch pro klienty. Toho bych se rád zbavil, ale potřebuji zachovat omezení rychlosti, díky.
odpověď na [23]Tomáš: Nevím, jestli to chápu. Pokud mám na switchi dva porty v různých VLANách a spojím je patch kabelem, tak komunikace bude moci směrovat mezi nimi. Samozřejmě otázka je adresování.
odpověď na [24]Samuraj: Díky, vlany by používaly stejný subnet, v podstatě potřebuji dosáhnout toho, aby se vlany chovaly stejně jako, když spojím dva "hloupé" switche za pár stovek.
Ahoj, super web kde jsem ziskal spoustu informaci, ale neni mi jasna furt jedna vec.
Mam router cisco s 2portama a cisco 2960(switch 1) a z nej pripojenej dalsi 2960(switch 2).Do switch 2 se pripojuji pomoci Radius serveru NAP w2k8, a ten mi podle splnenych kriterii prideluje VLAN, pocad mi to funguje a je mi to jasny.
Takze nesplnim kriterium dostanu VLAN 2 na switchi 2.Informace o VLAN se mi prenesla pomoci toho ze jsem zapnul na propojeni switch 1 a switch 2 TRUNK.Takze VLAN mam i na switch 2(ktery vede primo do routeru) a ted mi neni jasne.Mam svuj VLAN (ktery je omezen) ale jak ho proroutuju?Potrebuji ho pustit do VLAN 1 (kde mam DHCP,DC atd).2960 neumi PVLAN (coz by podle tvych clanku melo byt reseni)?
Router ma oba dva porty obsazene Internim a wan routingem, je reseni prepnout LAN do trunk?
odpověď na [26]Michal: No úplně nechápu. Když dostanete VLAN2 v případě neúspěchu, tak ji chcete mít routovanou s VLAN1, kterou dostanete v případě korektní autentizace? To pak celý nemá smysl ne?
Každopádně jasně. LAN port na routeru (pokud to podporuje) nastavte na trunk (stejně jako mezi switch1 a 2) a do jednotlivých VLAN dejte IP adresy, pak to bude router vše routovat mezi sebou. Pokud chcete nějaká omezení, tak je potřeba použít ACL.
odpověď na [27]Samuraj: Dekuji za odpoved.Je to ted jen pro moje pochopeni a hrani si s tim, jinak samozrejme jak rikate nemelo by to smysl.Zatim si s tim hraju a premyslim, jak to zavest do praxe.
Jeste jednou diky.
jeste mam dotaz stale tomu nerozumim asi tak jak bych mel.Snazim se si s tim hrat, ale nechapu to.
mam router to je gateway za nim mam nekolik cisco switch kdyz si na tom jednom udelam vlan 2 tak se pripojenim do portu kde je nakonfigurovana tato vlan do ni dostanu, a chapu, ze mam urcitej subnet(ktery jsem priradit te VLAN) ale jaka je sance videt ty ostatni PC z VLAN 1, pokud treba chci mit urcity pristup k nejakym?Kde to musim delat?Zkusil jsem na routeru nastavit trunk na LAN portu, ale na tom portu neexistuje prikaz switchport.
Proste mi jde o to jak si z toho VLAN 2 nejak zprovoznit neco(treba jeden server) nebo celou VLAN 1.
To prece nejak jit musi nebo se pletu?
Dekuj za odpoved.Nebo nasmerovani nekam
odpověď na [29]Michal: Mezi dvěma VLANama se napřímo (pomocí switche) komunikovat nedá, v tom je fce VLAN. Musí se routovat přes router (nebo L3 switch), aby spolu mohli komunikovat.
Ve vašem případě potřebujete dostat VLAN1 i VLAN2 na router, na routeru jim nastavit IP adresu a tu použít na stanicích jako GW v dané VLANě. Na switchi, který je spojený s routerem, nastavte trunk. A na routeru zkuste (pokud je použitý interface f0/0):
(config)#interface fastethernet 0/0.1
(config-if)#encapsulation dot1q 1
(config-if)#ip address (ip z rozsahu VLAN 1)
(config)#interface fastethernet 0/0.2
(config-if)#encapsulation dot1q 2
(config-if)#ip address (ip z rozsahu VLAN 2)
Kdyžtak napište, jaký máte router a jakou verzi IOSu.
ted jsem na to presne narazil a snazil jsem se to udelat, ale narazim na to ze router nezna encapsulation, skoncim zde.
KARLOV(config)#in f0/0.2
KARLOV(config-subif)#encapsulation do1q 2
^
% Invalid input detected at '^' marker.
KARLOV#show ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.3(9), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 14-May-04 14:37 by dchih
Image text-base: 0x80008098, data-base: 0x80CC08C4
ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
KARLOV uptime is 2 weeks, 3 days, 10 hours, 26 minutes
System returned to ROM by power-on
System image file is "flash:c2600-i-mz.123-9.bin"
cisco 2621 (MPC860) processor (revision 0x102) with 28672K/4096K bytes of memory.
Processor board ID JAD044701U7 (2437599394)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102
odpověď na [31]Michal: Nemám s routery moc zkušeností, ale podle všech informací na netu by to mělo chodit. Nefunguje to už bez toho určení encapsulace?
Jinak třeba http://www.dslreports.com/forum/remark,16786607 to používají i s podobnou verzí IOSu.
Nějak mi nedochází jedna věc. Když nám nakonfigurovaný Cisco switch s VLAN interface, uvidím při výpisu "show interface" jako první právě všechny interface VLAN.
Výpis obsahuje i údaje o trafiku (input/output paket/bytes). V monitoringu (Cacti) když porovnávám tento provoz s provozem jednotlivých portů a uplinků, tak jsou na interface VLAN velice nízké hodnoty.
Co to tedy vlastně ukazuje za provoz ?
odpověď na [33]alex: Je třeba si uvědomit, co je to VLAN SVI. Je to L3 interface, takže ne všechna komunikace, která vstupuje na port v dané VLANě, také vstupuje do SVI. Spíše naopak.
Dobrý den,našel by se někdo ochotný kdo by mi pomohl vytvořit vlan na D-link DAP-1353.
Výrobce udává že lze dvě sítě vytvořené přes MSSID oddělit.
Potřebuji zpřístupnit internet pro veřejnost, a dále zachovat síť privátní pro pracovníky.
Mnohokrát děkuji
Díky za skvělý web
Dotaz začátečníka: Jaký je rozdíl mezi acces portem a trunk portem?
Dík
Pokud jsem to dobře pochopil tak acces port lze zařadit pouze do jedné Vlan?
Pro WAN se používá Frame Relay? Použité technologie u WANů se za prvé různí (takže není jen jedna) a za druhé je teď podle mě nejrozšířenější ATM.
Ahoj,
jak udělat aby jeden DHCP server přiděloval dva různé rozsahy, jinak zamaskované do dvou Vlan. Lze to nějak řešit?
Nebo si pomoci pomocí virtuálních sítí přímo na serveru DHCP?
Pokud je udělán trunk s obou sítí a portu switche primo na DHCP server adresy se přidělují z obou oborů náhodně, podle přicházejících požadavků klietů.
Děkuji
odpověď na [39]Michal: Ten dotaz je hodně zmateně napsaný.
Každopádně je běžnou vlastností DHCP, že přiděluje adresy do více LAN (potažmo VLAN), záleží na nastavených poolech. Podle toho, z jakého interfacu (do jakého subnetu patří) přijde požadavek na adresu, tak z odpovídajícího poolu ji DHCP server přidělí.
Řešit se to může VLANami nebo několik síťovými interfacy (každý adaptér musí mít nastavenu IP adresu).
Zdravím, Vmware ESXi podporuje 802.1q, takže síťovku z ESXi hostu připojím do trunku switche (jsou zde 3 Vlany), pak tedy do daného esxi hostu přivedu tyto 3 Vlany (každý ma vlan id). V ESXi pak na virtuálním switchi (nebo na portgroup) nastavím vlan id a daný vswitch (nebo portgroup) bude zpracovávat jen ten provoz kde jsou shodné vlan id? díky za odpověď
odpověď na [41]Tomeš: Zhruba tak, na virtuálním switchi přidám port groupy, kterým nastavím jednu VLANu. K port group pak přiřadím server a je to, může jen do dané VLANy (bez tagování).
Mám switch 3com 2928 na serveru winXP s realtek rtl8139 a potřebuji několik (4 a víc) oddělených skupin a společný internet.
Lze použít tento swich? díky za odpověď
Zdravím,
moc děkuji za perfektní článek a vlastně celý web. Je to srozumitelně vysvětlené i pro začátečníky jako jsem já, což je super.
Tento článek mi suprově pomohl při zpracování maturitní otázky
Ještě jednou děkuji a přeji hodně chuti do dalšího psaní
Dakujem za vysvetlenie. Prajem veľa uspechov.
Muj dotaz zni, je mozne mit na jednom Cisco routeru (C876) toto:
Vlan1 : subnet 192.168.0.1 - 192.168.0.63
Vlan2 : subnet 192.168.0.64 - 192.168.0.255
nedari se mi to s hlaskou spatne masky.. diky za radu
odpověď na [46]Pikolik: První část jde 192.168.0.0/26, ale to druhé nejde, jakou by to mělo masku? Šlo by 192.168.0.128/25.
Zdravím,
snažím se zprovoznit wifi síť pro učitele a žáky pomocí VLAN. Situace je taková:
AP Netgear WG103 podporující VLAN
- ssid ucitel VLAN2
- ssid student VLAN3
AP jsou připojeny do switche Netgear GS724TP, každý z nich do portu, který má nastaven trunk na VLAN2 a VLAN3 (označeny jako tagged)
Upload učitelské sítě 192.168.1.0/24 do portu switche nastaveného jako untagged pro VLAN2, žákovské sítě 192.168.0.0/24 do portu switche nastaveného jako untagged pro VLAN3.
Podle toho, jak jsem pochopil VLAN bych čekal, že po připojení na učitelskou síť by měl klient dostat IP adresu z DHCP serveru učitelské sítě a obdobně pro studenskou síť. Bohužel se tak neděje a pokus o připojení skončí na neúspěšném načítání síťové adresy.
Díky za každou radu, trochu v tom plavu.
odpověď na [48]semada:
Odpovím si sám
Stačilo na uplink portech nastavit stejný PVID jako VLAN.