EN 
11.09.2024 WELCOME IN MY WORLD

This website is originally written in the Czech language. Only part of the content is machine (AI) translated into English. The translation may not be exact and may contain errors.

Tento článek si můžete zobrazit v originální české verzi. You can view this article in the original Czech version.
VLAN - Virtual Local Area Network

VLAN - Virtual Local Area Network

| Petr Bouška - Samuraj |
The eighth part of the series on computer networks. VLAN, or Virtual Local Area Network, is a common technology these days that brings a number of advantages. I think that all medium-sized and larger companies use VLAN technology, and it can be interesting for small companies as well. VLANs are used to logically divide the network without being tied to physical division. In the article, I try to describe everything necessary to understand what VLAN is, what are the advantages and methods of deployment.
displayed: 249 322x (249 299 CZ, 23 EN) | Comments [83]

You can read about creating and configuring VLANs on Cisco devices, as well as Dynamic Trunk Protocol and VLAN Trunking Protocol in the article Cisco IOS 7 - VLAN configuration, VTP.

What is VLAN

Virtual LAN is used for logically dividing a network independently of its physical arrangement. We can segment our network into smaller networks within the physical structure of the original network. Another important concept, which will be explained later, is the trunk. A trunk refers to a port that is assigned to multiple VLANs.

Simply put, VLANs allow us to achieve the same effect as having one group of devices connected to one (or several connected) switch and another group to a different (or other) switch. These are two independent networks that cannot communicate with each other (they are physically separated). VLANs allow us to create such two networks on one (or several connected) switch.

In practice, however, we often need communication between these networks. VLANs can be handled like normal networks, meaning we can use any routing method between them. Today, L3 switches (switches that operate at the third layer of the OSI model) are commonly used for inter-VLAN routing - routing between VLANs.

Below is a classic diagram commonly used to explain VLANs. We have two floors, each with a switch, and the switches are connected by a trunk backbone. We want to connect devices into two independent groups (blue - VLAN10 and red - VLAN20). With VLANs, this is simple. Traditionally, we would need separate switches and connect each group (blue and red) to one switch, which would be problematic since they are on different floors.

VLAN princip

To fully understand VLANs, it is necessary to understand the basics of networks and their segmentation (dividing into subnets).

Computer Network - WAN, LAN

A computer network is formed when two (sometimes it is said at least three) or more computers are connected together using a telecommunications system for resource sharing. Networks are further divided based on a variety of parameters into LAN, WAN, WLAN, MAN, etc. At this point, we are interested in the local area network - LAN (Local Area Network), characterized by computers connected within a smaller geographical area (i.e., within a company, building, room, etc.). For LAN, the most commonly used technology is Ethernet with the TCP/IP protocol, and for WAN (Wide Area Network - connecting individual LANs), the technology used is Frame Relay.

Subnet

The TCP/IP protocol uses IP addresses for device addressing. These addresses are within a certain range, which for practical purposes (routing, address allocation to organizations, broadcasting) are divided into smaller hierarchical parts called subnets.

Devices can only communicate directly with other devices that are in the same subnet. They typically communicate with devices in other subnets through one address - the gateway, which handles routing.

Network Separation

As mentioned above, if we use different subnets, the devices cannot communicate with each other. However, this is not entirely true; it does not fully isolate these devices. If they are connected to the same medium, connected to the same hub (working at the 1st layer of the OSI model) or switch (working at the 2nd layer of the OSI model), communication will reach from one device to another, even if they are in different subnets. However, the device will ignore this communication. This happens because a hub (which broadcasts everywhere) or a switch (which uses MAC addresses) does not look at the IP addresses in the communication. Therefore, this communication can be intercepted and eavesdropped on. If we want fully separated networks, we need to use separate switches.

On the other hand, by using VLANs, communication is only sent to the ports that are included in the same VLAN. While this depends on the switch software, it can be said that it acts as physical separation. There are some attack methods on VLANs (breaching into another VLAN), but with a well-configured network, everything should be secure.

Subnets and VLANs

From the above, it also follows that different subnets should be used for different VLANs. If we want to route between these VLANs, it is necessary, just as it is when we want to utilize certain special features on the switch.

Why VLANs were created

The VLAN technology started to emerge around 1995, but at first, these were various proprietary solutions. In practice, they became more widespread only a few years ago, mainly in medium and large companies, despite the existence of a standard for quite some time.

The main reasons why VLANs were created are probably these:

  • Grouping users in a network based on groups or departments, or based on services rather than physical location, and isolating communication between these groups
  • Reducing broadcasts in the network, which became a problem several years ago
  • Reducing collision domains at a time when switches were not used, but rather hubs

The idea of logical user grouping, mentioned in many materials, and thus creating VLANs is

  • By organizational structure - if most communication occurs within a department where there are dedicated printers, file servers, etc., and there is no communication between departments, only a few services (such as email) are shared among all
  • By services - employees who use the same services (accounting, DB, etc.) are grouped into VLANs

The original reasons are often no longer relevant today, or practices have changed. How VLANs are used today, in other words, what their main benefits are, is outlined in the next chapter.

What are the practical benefits of VLANs

  • Reducing broadcasts - the main advantage of VLANs is the creation of more but smaller broadcast domains, thus improving network performance by reducing traffic.
  • Simplified management - moving a device to a different network only requires reconfiguring its VLAN assignment, so the administrator configures the software (VLAN assignment) instead of the hardware (physical reconnection).
  • Increased security - isolating communication into a special VLAN, where no other access is available. This can, of course, be achieved by using separate switches, but it is often cited as a VLAN bonus.
  • Segregating special traffic - today, there is a lot of traffic that does not need to be connected to the entire network but still needs to be accessible in various locations, and we also don't want it to impact regular traffic. An example is IP telephony, communication between access points in centrally managed environments, and management (securing administrative access to devices). For example, in IP telephony, where VLAN use is common, a single outlet suffices to bring VLAN for telephony and VLAN for network access, and the phone separates the communication. Moreover, VLANs can be used in conjunction with QoS to ensure communication quality (bandwidth reservation).
  • Reducing hardware - of course, the required number of ports does not decrease (except for special cases like IP telephony), but since different subnets can be on the same switch, we can utilize it better (for example, connecting three devices does not require a special switch that has at least 8 ports).

How Communication is Assigned to VLAN

Assignment to a VLAN is typically configured on a switch (only in some special cases does tagged communication come through a trunk from another device). On switches that support VLANs, there is always at least one VLAN. This is the default VLAN number 1, which cannot be deleted or disabled. If we do not configure otherwise, all ports (and thus all communication) are assigned to VLAN 1.

There are four basic methods for assigning communication to a VLAN, but in practice, the first option - assignment by port - is most commonly used.

1. By Port

The switch port is manually and permanently assigned (configured) to a specific VLAN. All communication coming through this port falls into the assigned VLAN. This means that if we connect another switch to this port, all devices connected to it will be in the same VLAN. This is the fastest and most commonly used solution. There is no need to evaluate anything for VLAN assignment. The definition of VLAN assignment is local to each switch. It is simple to manage and easy to understand.

2. By MAC Address

Frames (ports) are assigned to a VLAN based on the source MAC address. We must therefore manage a table with a list of MAC addresses for each device along with the VLAN. The advantage is that this is a dynamic assignment, so if we move the device to another port, it is automatically assigned to the correct VLAN. The switch has to look up the MAC addresses in the table.

There are two ways this method can work. Either the port is assigned to a VLAN based on the MAC address of the first frame, and this setting remains until the port is turned off. Or each frame is individually assigned to a VLAN based on the MAC address. This solution is very performance-intensive.

Cisco has a solution called the VLAN Membership Policy Server (VMPS), which requires a special server to manage the MAC address tables. Additionally, with this method, the port is assigned to a VLAN, so if more than one device (up to a maximum of 20) is connected to the port, they must all be in the same VLAN.

3. By Protocol = By Information from Layer 3

This method assigns based on the protocol of the transmitted packet. For example, we can separate IP traffic from AppleTalk. Or assign by IP address or range. In practice, this is not widely used. The device must have a fixed IP address, and the switch has to look at the third layer (it normally operates at the second layer), which slows things down.

4. By Authentication

The user or device is authenticated using the IEEE 802.1x protocol, and based on the information, it is automatically placed into a VLAN. This is primarily a security method that controls network access (NAC), but it also serves for VLANs after expansion. This method is interesting because it is very versatile. It does not depend on the physical device or the location of the connection. The RADIUS server, which verifies the user's identity, also contains the mapping of users to VLANs and sends this information after successful authentication. With this method, it is possible to configure that if the user is not authenticated, they are placed into a special guest VLAN.

On Cisco switches, a port can be either single-host, where only one device can be connected, or multiple-host, where more devices can be connected to the port, but as soon as the first device authenticates, the port is authenticated (and assigned to a VLAN), and all devices can communicate.

How Communication Works Within a VLAN

In practice, there are two situations where VLAN assignment is handled during communication. This is during communication within a single switch or communication between multiple switches.

VLANs on a Single Switch

When communicating within a single switch, it is simple. The switch maintains information in its operational memory about which VLAN the communication (port) belongs to, and within the switch, it only allows the correct routing. In this case, individual ports are assigned to one VLAN, either statically or dynamically, as mentioned above (options 2, 3, 4). Cisco refers to these ports as access ports.

VLANs Between Multiple Switches

The situation becomes more complicated when we want to ensure that the VLAN assignment is not lost when transitioning to another switch, allowing us to use the same VLANs across our entire network, regardless of which switch the device is connected to. Additionally, we want this method to work between switches from different manufacturers. This was initially a problem, and different methods were used. For example, when assigning communication based on MAC addresses, the assignment table can be present on all switches. Cisco created its own ISL method, which encapsulates the entire frame, but it only works on Cisco devices. We can also connect two access ports on two switches, assign them to the same VLAN, and transfer the necessary information. However, this is very impractical.

Fortunately, the IEEE 802.1q standard was developed, which uses frame tagging. Communication is tagged only when necessary. So as long as it occurs within a single switch and connected devices, nothing is added. It is only when we want to send communication to another switch (or a similar device) that it is tagged. Outgoing communication is tagged on the port, which is called a trunk port. This port carries multiple (selected) VLANs, and to differentiate them, they are tagged. The link between two trunk ports is called a trunk or a trunk link.

IEEE 802.1q Tagging

The IEEE 802.1q protocol is also known as the trunking protocol or dot1q tagging. It is a standardized method supported by all modern switches with VLAN support. It works on the principle of tagging. We take the original frame and extend its header with 4B of information, the first of which is a tag indicating that it is an 802.1q protocol (value 0x8100). This is followed by priority according to the 802.1p protocol, a flag indicating whether the MAC address is in canonical format, and finally, the VLAN number.

Since the data has changed, the checksum at the end of the frame needs to be recalculated.

Original Frame

6B 6B 2B 64 to 1500B 4B
destination address (DA) source address (SA) type or length data frame check sequence (FCS)

Modified frame using 802.1q

6B 6B 4B 2B 64 to 1500B 4B
destination address (DA) source address (SA) 802.1q tag type or length data frame check sequence (FCS)

Structure of 802.1q tag

2B 3b 1b 12b
0x8100 priority (802.1p) Canonical Format Indicator (CFI) VLAN ID
Tag Protocol ID (TPID) 2B Tag Control Information (TCI) 2B

Native VLAN is a term associated with the 802.1q protocol. It is configured on the trunk port, and on Cisco devices, the native VLAN must always be set the same on both sides of the trunk. Traffic assigned to the native VLAN is not tagged during transmission (it remains unchanged), and incoming untagged traffic is assigned to the native VLAN. Management VLAN is often configured as the native VLAN. Consequently, if an untagged frame reaches the trunk port, it is placed into the native VLAN. In other words, if a normal station (which does not support trunking) is connected to a port configured as a trunk, it will communicate in this VLAN. In practice, this feature can be used in setups where an IP phone is connected with a PC behind it. The native VLAN is configured to match the PC's VLAN, so if the phone is disconnected and the PC is directly connected, communication still works.

Cisco ISL Encapsulation

ISL stands for Inter-Switch Link, which is a link between switches. Cisco developed its protocol back when no standard existed. ISL has the advantage of working not only for the IP protocol but also for others. Like 802.1q, it supports prioritization.

Unfortunately, it is a proprietary method used only by Cisco, and nowadays it is found only on higher-end switches (like the Catalyst 3750). The principle is that the entire frame is encapsulated into a new header and frame check sequence. The downside is that this increases the size of the communication, with each frame being 30B larger.

26B   4B
ISL header encapsulation frame (original frame) frame check sequence (FCS)

Additional Uses of Trunks

Nowadays, we do not need to use trunks solely for connecting switches, but they can also be effectively utilized for connecting servers that need to be linked to multiple networks. The Linux operating system supports the 802.1q protocol directly in the kernel, while for Windows, we need a network card driver that supports VLANs (such as Intel). On the network card, we configure the VLANs that are coming in, and a virtual network interface is created for each VLAN, which can be used like a regular network card. This saves physical network cards on the server, though it does reduce throughput. This setup can be used for a firewall or a host server for virtual machines. However, it is important to always consider if this is the best solution or if there is a simpler alternative (for example, instead of connecting a DHCP server to every routed subnet, we could use a DHCP relay agent).

Routing Between VLANs

Traditional routing typically involves having several separate networks and enabling communication between them. The following diagram shows three independent switches connected via a router. This could represent, for example, corporate servers and two departments that need access to them but should not communicate with each other.

Routování v LAN

If we use VLANs, we can treat them the same as normal subnets. On the switch, we can route specific VLANs by connecting them to individual access ports and then linking those to the router.

Routování mezi VLAN 1

However, this method is wasteful, and it is more efficient to use a trunk between the router and the switch. Alternatively, we can replace the traditional router with an L3 switch, which is faster.

Routování mezi VLAN 2 Routování mezi VLAN 3

On Cisco L3 switches, inter-VLAN routing is easily configured by enabling routing and assigning an IP address to the VLANs that need to route between each other.

Author:

Related articles:

Computer networks

This series covers the basics of computer networking. Important practical aspects that everyone interested in networking should know are briefly described. It contains some of the most widely read articles on this site. It is used for teaching in schools.

If you want write something about this article use comments.

Comments
  1. [1] Michal

    Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí.

    Nějak tomuto nerozumím - ono může být více VLAN na jednom portu switche?

    Co se myslí tím rozdělením komunikace v telefonu?

    Díky

    Saturday, 02.06.2007 23:39 | answer
  2. [2] joshik

    respond to [1]Michal: Ano na jednom portu switche může být více VLAN. Tento port musí být nastaven právě jako trunk. Pak k němu můžete přiřadit třeba VLAN 1,2,8. Používá se ke komunikaci mezi switchi právě proto aby jste nemusel z jednoho switche do druhého vést komunikaci každé VLAN po separátním kabelu. U té telefonie by muselo jít o takový telefon, který podporuje VLANY. Pokud by jste pak vedl 2 VLANy jedním kabelem do telefonu, tak ten by si vzal pro sebe komunikaci např. z VLAN1 a druhé VLAN (2) by si nevšímal a pustil by ji dál např k počítači. Muselo by jít o takový IP telefon, který má možnost na sebe počítač připojit (je jich hodně).

    Sunday, 03.06.2007 11:49 | answer
  3. [3] Samuraj

    respond to [1]Michal: Tak asi jsem ten celý princip nepopsal dobře, když to z toho není jasné :-(. Zkusím ten článek znovu projít a kdyžtak upravit. Navíc mám připraven popis nějakých základních pojmů jako subneting apod., takže to brzy doplním.

    Jinak joshik to vysvětluje přesně, díky. Dá se to brát tak, že u řady telefonů je malý switch s podporou VLAN, jeden port je trunk (do switche), jeden port nastaven do VLANy pro telefonii (a do něj je připojen telefon) a poslední port je výstupní (do něj se připojí PC) a ten je nastaven do VLANy klasické.

    Monday, 04.06.2007 14:14 | answer
  4. [4] Michal

    respond to [2]joshik: aha - to jsem netušil, že takové IP telefony jsou .... já mám doma jen Sipuru 1001 :)

    Teď už je mi to jasné ;-)

    Monday, 04.06.2007 15:15 | answer
  5. [5] pavel

    Je možné mít VLAN1 s rozsahem 192.168.3.0/24 a VLAN2 s rozsahem 192.168.1.0/24 na jednom switchi?

    Tuesday, 12.06.2007 16:40 | answer
  6. [6] Samuraj

    respond to [5]pavel: Ano, to je přesně správné použití VLAN, dva různé subnety ve dvou VLANach. A princip VLAN je právě to, že je máme na jednom switchi.

    Wednesday, 13.06.2007 08:41 | answer
  7. [7] Sulla

    Pěkně napsaný článek. ;-) Jen mám trochu malý problém - VLANy se pohybují na linkové vrstvě RM OSI a v článku je použito jednou paket podruhé zase rámec. Myslím, že to může být trochu matoucí.

    Thursday, 05.07.2007 11:26 | answer
  8. [8] Samuraj

    respond to [7]Sulla: Děkuji za tuto správnou připomínku. Již jsem to opravil, téměř všude mělo být použito rámec. Je to problém, že lidé (a já také) často používají spíše označení paket a to pro vše. Přitom to co putuje sítí a má fyzickou adresu (MAC) je rámec, kdežto paket je zapouzdřený uvnitř rámce a v hlavičce má IP adresu. Už mám o tomto tématu napsaný článek, ale ještě jsem jej zde nezveřejnil. Na tento problém jsem narazil právě u psaní tohoto článku a v návaznosti prostudoval řadu literatury (ale již neopravil tento text).

    Monday, 09.07.2007 10:24 | answer
  9. [9] Marki

    Este doplnim ze aj PC podporuju VLANy - presnejsie povedane tagovane VLANy. Cize mozes urobit take, ze na switchi nastavis port ako trunk s VLAN 5 a 7 a jednym kablom pojde do PC. A PC (so specialnymi drivermi win alebo podporovou vlan v linux kerneli) si z toho urobi 2 virtualne "kable", kazdy s inou IP adresou a v inej VLAN. Ked je port ako trunk, tak pakety idu tagovane, maju v sebe napisane ktorej VLAN patria. A rovnako PC ked posiela paket tak podla zdrojovej IP vie cez ktoru VLAN ma ist a da mu prislusny tag.

    Inac netagovane VLANy su pre PC neviditelne, jemu pride normalny paket, takze ani nevie je vo VLAN alebo nie.

    Thursday, 06.09.2007 17:53 | answer
  10. [10] Samuraj

    respond to [9]Marki: Samozřejmě, podpora IEEE 802.1q není problém i na jiných zařízeních než switch. Na MS platformě je problém, že není podpora v OS, ale pomocí ovladačů síťové karty. Používám to na řadě síťových karet od Intelu, kde to funguje velmi dobře. Jiní výrobci uvádí podporu 802.1q, ale v konfiguraci ovladače chybí možnosti pro vytváření virtuálních síťových adaptérů (dle VLAN).

    Friday, 07.09.2007 14:41 | answer
  11. [11] Martin

    Protože se změnili data, je třeba přepočítat kontrolní součet na konci rámce.

    - prosím změnila data nebo ..jsme změnili data...

    ale můžeme nastavit, aby se informace tagovali.

    - tagovaly

    Jinak je to celkem dobrý článek. Nebylo by nějaké info i o double taggingu? Kdy je možno, jak to funguje apod.? (podpora např.- switche na bázi Marvell chipů)

    Díky

    Thursday, 15.11.2007 08:17 | answer
  12. [12] Samuraj

    respond to [11]Martin: Děkuji za korekturu.

    Snažím se psát články pouze o věcech, s kterými mám praktickou zkušenost. Double tagging je asi něco jako 802.1q tuneling, tedy přenos infa o VLANech přes cizí síť. To podporují i Cisco switche, ale já s tím nikdy nepracoval.

    Thursday, 15.11.2007 08:44 | answer
  13. [13] Georgo

    Ahoj, jsem scela prekvapen timto webem, respektive obsahem. Je naprosto uzasny, najdu zde vetsinou toho co presne hledam. Mam takovy problem, a protoze ve svem okoli jiz dlouho nekoho hledam a nenachazim - poprosim o pomoc zde:

    Mam wifi sit, vcelku nemalou :-) ... pouzivam vesmes bud CISCO switche nebo nynejsi 3com(huawei - ci jak se ti plagiatori jmenovali) - no konecne k problemu ci k dotazu:

    Dokazi diky VLANu oddelit jeden subnet ? myslim ze scela jiste ano, problem pro mne vznika ve chvili kdy na tom subnetu mam JEDEN router ktery je pro onen subnen i DHCP serverem. takze i kdyz udelam trunk a navedu jej do onoho routeru tak nevim jak dale :( . Router je HP ML350 distro SLackware.

    Saturday, 01.12.2007 01:02 | answer
  14. [14] Samuraj

    respond to [13]Georgo: Ahoj, díky za pochvalná slova :-).

    Nepochopil jsem pořádně tvůj problém. Jestli se to nějak týká i toho WiFi? Tam můžeš udělat různé WLANy, které budou zakončeny v různých VLANách (každá VLAN má svůj subnet, který musí být unikátní). Pokud chceš ty VLANy (subnety) mezi sebou (nebo třeba do inetu) spojit, tak všechny musíš připojit do toho routeru (třeba přes ten trunk). Každá VLAN na tom routeru, pak musí mít IP adresu (jako že ten router má několik IP v každé VLANě). No a na routeru se nakonfiguruje DHCP pro ty VLANy, kde chceš aby fungovalo.

    Saturday, 01.12.2007 13:42 | answer
  15. [15] georgo

    respond to [14]Samuraj: aha, tak to muj problem neresi v tom pripade.Potrebuji ve skratce toto: mam subnet 192.168.100.0/23 a pozadavek je takovy aby se ucastnici mezi sebou nevideli !! Takze neco resim pomoci Port protected, ale ne vse tak lze... takze me napada .. hmmm .. ACL ? na ip adresu ? bylo by to reseni ?

    Saturday, 01.12.2007 15:03 | answer
  16. [16] Samuraj

    respond to [15]georgo: Hm, tak to je něco úplně jiného. Nikdy jsem nic takového neřešil, ale myslím, že na to právě je Protected Port. Pomocí ACL to přímo řešit nejde, protože ACL funguje na Layer 3, ale komunikace v rámci jednoho subnetu je Layer 2. Protected Port zabraňuje přímé komunikaci (L2) a dovoluje využít pouze routování (L3).

    Saturday, 01.12.2007 18:21 | answer
  17. [17] Georgo

    respond to [16]Samuraj: takze... Protected Port neni spatna vec, ale umi jen "jednu skupinu". Uz se mi tak nejak podarilo pomoci ACL nastavit filtrovani na IP adresu - zda se ze to funguje bezvadne - musim jeste par veci poodladit.

    Saturday, 01.12.2007 20:38 | answer
  18. [18] Jirka

    Super stránky, díky za informace :-)

    Wednesday, 13.02.2008 13:16 | answer
  19. [19] Láďa

    Dobrá práce. Opravdu. Díky:-)

    Tuesday, 15.04.2008 12:50 | answer
  20. [20] Zdena

    Jsi frajer, pěkná práce

    Tuesday, 08.07.2008 23:03 | answer
  21. [21] Kryštof

    Dobrý den,

    chválím pěkný článek a vlastně celý web. Jen tak dál!

    S přáním hezkých Vánoc

    Kryštof

    Monday, 22.12.2008 13:48 | answer
  22. [22] Tomáš

    Dobrý den,

    přidávám se k lidem, kteří chválí článek, ale i celý web...

    Opravdu pěkná práce

    Wednesday, 13.05.2009 18:36 | answer
  23. [23] Tomáš

    Ahoj, chtěl bych se zeptat je možné propojit na L2 switchi(3com 4210) dvě vlany(myslím fyzicky kabelem)? Nyní mám na switchi nastavenou rychlost portu pres Qos a do portu zapojený druhý switch pro klienty. Toho bych se rád zbavil, ale potřebuji zachovat omezení rychlosti, díky.

    Thursday, 15.10.2009 22:11 | answer
  24. [24] Samuraj

    respond to [23]Tomáš: Nevím, jestli to chápu. Pokud mám na switchi dva porty v různých VLANách a spojím je patch kabelem, tak komunikace bude moci směrovat mezi nimi. Samozřejmě otázka je adresování.

    Friday, 16.10.2009 08:35 | answer
  25. [25] Tomáš

    respond to [24]Samuraj: Díky, vlany by používaly stejný subnet, v podstatě potřebuji dosáhnout toho, aby se vlany chovaly stejně jako, když spojím dva "hloupé" switche za pár stovek.

    Friday, 16.10.2009 09:36 | answer
  26. [26] Michal

    Ahoj, super web kde jsem ziskal spoustu informaci, ale neni mi jasna furt jedna vec.

    Mam router cisco s 2portama a cisco 2960(switch 1) a z nej pripojenej dalsi 2960(switch 2).Do switch 2 se pripojuji pomoci Radius serveru NAP w2k8, a ten mi podle splnenych kriterii prideluje VLAN, pocad mi to funguje a je mi to jasny.

    Takze nesplnim kriterium dostanu VLAN 2 na switchi 2.Informace o VLAN se mi prenesla pomoci toho ze jsem zapnul na propojeni switch 1 a switch 2 TRUNK.Takze VLAN mam i na switch 2(ktery vede primo do routeru) a ted mi neni jasne.Mam svuj VLAN (ktery je omezen) ale jak ho proroutuju?Potrebuji ho pustit do VLAN 1 (kde mam DHCP,DC atd).2960 neumi PVLAN (coz by podle tvych clanku melo byt reseni)?

    Router ma oba dva porty obsazene Internim a wan routingem, je reseni prepnout LAN do trunk?

    Friday, 16.10.2009 12:48 | answer
  27. [27] Samuraj

    respond to [26]Michal: No úplně nechápu. Když dostanete VLAN2 v případě neúspěchu, tak ji chcete mít routovanou s VLAN1, kterou dostanete v případě korektní autentizace? To pak celý nemá smysl ne?

    Každopádně jasně. LAN port na routeru (pokud to podporuje) nastavte na trunk (stejně jako mezi switch1 a 2) a do jednotlivých VLAN dejte IP adresy, pak to bude router vše routovat mezi sebou. Pokud chcete nějaká omezení, tak je potřeba použít ACL.

    Friday, 16.10.2009 15:09 | answer
  28. [28] Michal

    respond to [27]Samuraj: Dekuji za odpoved.Je to ted jen pro moje pochopeni a hrani si s tim, jinak samozrejme jak rikate nemelo by to smysl.Zatim si s tim hraju a premyslim, jak to zavest do praxe.

    Jeste jednou diky.

    Friday, 16.10.2009 17:11 | answer
  29. [29] Michal

    jeste mam dotaz stale tomu nerozumim asi tak jak bych mel.Snazim se si s tim hrat, ale nechapu to.

    mam router to je gateway za nim mam nekolik cisco switch kdyz si na tom jednom udelam vlan 2 tak se pripojenim do portu kde je nakonfigurovana tato vlan do ni dostanu, a chapu, ze mam urcitej subnet(ktery jsem priradit te VLAN) ale jaka je sance videt ty ostatni PC z VLAN 1, pokud treba chci mit urcity pristup k nejakym?Kde to musim delat?Zkusil jsem na routeru nastavit trunk na LAN portu, ale na tom portu neexistuje prikaz switchport.

    Proste mi jde o to jak si z toho VLAN 2 nejak zprovoznit neco(treba jeden server) nebo celou VLAN 1.

    To prece nejak jit musi nebo se pletu?

    Dekuj za odpoved.Nebo nasmerovani nekam

    Saturday, 17.10.2009 19:24 | answer
  30. [30] Samuraj

    respond to [29]Michal: Mezi dvěma VLANama se napřímo (pomocí switche) komunikovat nedá, v tom je fce VLAN. Musí se routovat přes router (nebo L3 switch), aby spolu mohli komunikovat.

    Ve vašem případě potřebujete dostat VLAN1 i VLAN2 na router, na routeru jim nastavit IP adresu a tu použít na stanicích jako GW v dané VLANě. Na switchi, který je spojený s routerem, nastavte trunk. A na routeru zkuste (pokud je použitý interface f0/0):

    (config)#interface fastethernet 0/0.1

    (config-if)#encapsulation dot1q 1

    (config-if)#ip address (ip z rozsahu VLAN 1)

    (config)#interface fastethernet 0/0.2

    (config-if)#encapsulation dot1q 2

    (config-if)#ip address (ip z rozsahu VLAN 2)

    Kdyžtak napište, jaký máte router a jakou verzi IOSu.

    Saturday, 17.10.2009 20:05 | answer
  31. [31] Michal

    ted jsem na to presne narazil a snazil jsem se to udelat, ale narazim na to ze router nezna encapsulation, skoncim zde.

    KARLOV(config)#in f0/0.2

    KARLOV(config-subif)#encapsulation do1q 2

    ^

    % Invalid input detected at '^' marker.

    KARLOV#show ver

    Cisco Internetwork Operating System Software

    IOS (tm) C2600 Software (C2600-I-M), Version 12.3(9), RELEASE SOFTWARE (fc2)

    Copyright (c) 1986-2004 by cisco Systems, Inc.

    Compiled Fri 14-May-04 14:37 by dchih

    Image text-base: 0x80008098, data-base: 0x80CC08C4

    ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

    KARLOV uptime is 2 weeks, 3 days, 10 hours, 26 minutes

    System returned to ROM by power-on

    System image file is "flash:c2600-i-mz.123-9.bin"

    cisco 2621 (MPC860) processor (revision 0x102) with 28672K/4096K bytes of memory.

    Processor board ID JAD044701U7 (2437599394)

    M860 processor: part number 0, mask 49

    Bridging software.

    X.25 software, Version 3.0.0.

    2 FastEthernet/IEEE 802.3 interface(s)

    32K bytes of non-volatile configuration memory.

    8192K bytes of processor board System flash (Read/Write)

    Configuration register is 0x2102

    Saturday, 17.10.2009 20:46 | answer
  32. [32] Samuraj

    respond to [31]Michal: Nemám s routery moc zkušeností, ale podle všech informací na netu by to mělo chodit. Nefunguje to už bez toho určení encapsulace?

    Jinak třeba http://www.dslreports.com/forum/remark,16786607 to používají i s podobnou verzí IOSu.

    Sunday, 18.10.2009 11:41 | answer
  33. [33] alex

    Nějak mi nedochází jedna věc. Když nám nakonfigurovaný Cisco switch s VLAN interface, uvidím při výpisu "show interface" jako první právě všechny interface VLAN.

    Výpis obsahuje i údaje o trafiku (input/output paket/bytes). V monitoringu (Cacti) když porovnávám tento provoz s provozem jednotlivých portů a uplinků, tak jsou na interface VLAN velice nízké hodnoty.

    Co to tedy vlastně ukazuje za provoz ?

    :-O

    Monday, 07.12.2009 15:09 | answer
  34. [34] Samuraj

    respond to [33]alex: Je třeba si uvědomit, co je to VLAN SVI. Je to L3 interface, takže ne všechna komunikace, která vstupuje na port v dané VLANě, také vstupuje do SVI. Spíše naopak.

    Monday, 07.12.2009 15:59 | answer
  35. [35] KarloS

    Dobrý den,našel by se někdo ochotný kdo by mi pomohl vytvořit vlan na D-link DAP-1353.

    Výrobce udává že lze dvě sítě vytvořené přes MSSID oddělit.

    Potřebuji zpřístupnit internet pro veřejnost, a dále zachovat síť privátní pro pracovníky.

    Mnohokrát děkuji

    Thursday, 20.05.2010 22:32 | answer
  36. [36] Pavel S.

    Díky za skvělý web:-)

    Dotaz začátečníka: Jaký je rozdíl mezi acces portem a trunk portem?

    Dík

    Thursday, 05.08.2010 14:33 | answer
  37. [37] Pavel S

    Pokud jsem to dobře pochopil tak acces port lze zařadit pouze do jedné Vlan?

    Thursday, 05.08.2010 14:45 | answer
  38. [38] nejsemzprahy

    Pro WAN se používá Frame Relay? Použité technologie u WANů se za prvé různí (takže není jen jedna) a za druhé je teď podle mě nejrozšířenější ATM.

    Thursday, 05.08.2010 14:47 | answer
  39. [39] Michal

    Ahoj,

    jak udělat aby jeden DHCP server přiděloval dva různé rozsahy, jinak zamaskované do dvou Vlan. Lze to nějak řešit?

    Nebo si pomoci pomocí virtuálních sítí přímo na serveru DHCP?

    Pokud je udělán trunk s obou sítí a portu switche primo na DHCP server adresy se přidělují z obou oborů náhodně, podle přicházejících požadavků klietů.

    Děkuji

    Friday, 29.10.2010 18:06 | answer
  40. [40] Samuraj

    respond to [39]Michal: Ten dotaz je hodně zmateně napsaný.

    Každopádně je běžnou vlastností DHCP, že přiděluje adresy do více LAN (potažmo VLAN), záleží na nastavených poolech. Podle toho, z jakého interfacu (do jakého subnetu patří) přijde požadavek na adresu, tak z odpovídajícího poolu ji DHCP server přidělí.

    Řešit se to může VLANami nebo několik síťovými interfacy (každý adaptér musí mít nastavenu IP adresu).

    Saturday, 30.10.2010 11:49 | answer
  41. [41] Tomeš

    Zdravím, Vmware ESXi podporuje 802.1q, takže síťovku z ESXi hostu připojím do trunku switche (jsou zde 3 Vlany), pak tedy do daného esxi hostu přivedu tyto 3 Vlany (každý ma vlan id). V ESXi pak na virtuálním switchi (nebo na portgroup) nastavím vlan id a daný vswitch (nebo portgroup) bude zpracovávat jen ten provoz kde jsou shodné vlan id? díky za odpověď

    Saturday, 06.11.2010 11:00 | answer
  42. [42] Samuraj

    respond to [41]Tomeš: Zhruba tak, na virtuálním switchi přidám port groupy, kterým nastavím jednu VLANu. K port group pak přiřadím server a je to, může jen do dané VLANy (bez tagování).

    Sunday, 07.11.2010 14:48 | answer
  43. [43] Pavel

    Mám switch 3com 2928 na serveru winXP s realtek rtl8139 a potřebuji několik (4 a víc) oddělených skupin a společný internet.

    Lze použít tento swich? díky za odpověď

    Thursday, 20.01.2011 21:47 | answer
  44. [44] Jack

    Zdravím,

    moc děkuji za perfektní článek a vlastně celý web. Je to srozumitelně vysvětlené i pro začátečníky jako jsem já, což je super.

    Tento článek mi suprově pomohl při zpracování maturitní otázky :-)

    Ještě jednou děkuji a přeji hodně chuti do dalšího psaní ;-)

    Saturday, 07.05.2011 20:01 | answer
  45. [45] Ludo

    Dakujem za vysvetlenie. Prajem veľa uspechov.

    Tuesday, 17.05.2011 13:54 | answer
  46. [46] Pikolik

    Muj dotaz zni, je mozne mit na jednom Cisco routeru (C876) toto:

    Vlan1 : subnet 192.168.0.1 - 192.168.0.63

    Vlan2 : subnet 192.168.0.64 - 192.168.0.255

    nedari se mi to s hlaskou spatne masky.. diky za radu

    Tuesday, 18.10.2011 16:42 | answer
  47. [47] Samuraj

    respond to [46]Pikolik: První část jde 192.168.0.0/26, ale to druhé nejde, jakou by to mělo masku? Šlo by 192.168.0.128/25.

    Thursday, 20.10.2011 10:29 | answer
  48. [48] semada

    Zdravím,

    snažím se zprovoznit wifi síť pro učitele a žáky pomocí VLAN. Situace je taková:

    AP Netgear WG103 podporující VLAN

    - ssid ucitel VLAN2

    - ssid student VLAN3

    AP jsou připojeny do switche Netgear GS724TP, každý z nich do portu, který má nastaven trunk na VLAN2 a VLAN3 (označeny jako tagged)

    Upload učitelské sítě 192.168.1.0/24 do portu switche nastaveného jako untagged pro VLAN2, žákovské sítě 192.168.0.0/24 do portu switche nastaveného jako untagged pro VLAN3.

    Podle toho, jak jsem pochopil VLAN bych čekal, že po připojení na učitelskou síť by měl klient dostat IP adresu z DHCP serveru učitelské sítě a obdobně pro studenskou síť. Bohužel se tak neděje a pokus o připojení skončí na neúspěšném načítání síťové adresy.

    Díky za každou radu, trochu v tom plavu.

    Friday, 11.11.2011 10:26 | answer
  49. [49] semada

    respond to [48]semada:

    Odpovím si sám :-)

    Stačilo na uplink portech nastavit stejný PVID jako VLAN.

    Friday, 11.11.2011 12:02 | answer
  50. [50] Joest

    Zdravím, děkuji za výnorně napsaný článek. Měl bych jeden dotaz ohledně konkrétního propojení. V síti máme linux router (PC s Debianem) a na něm nastavené konkrétní adresy vnitřní sítě na jedné LAN kartě (3 brány), která je propojena do hlavního switche. V tuto chvíli zde žádná VLAN neběží a veškerá PC jsou zapojena do jednoho velikého segmentu. Snažíme se nyní o rozdělení sítě za switchem do jednotlivých VLAN (pro omezení broadcast stormů a vzájemné oddělení viditelnosti stanic, jež jsou připojena za porty switche). Mám ale takový věcný a prekérní dotaz. Používáme v síti veřejné IP adresy (3 x plný C rozsah), jež jsou napevno nastaveny na uživatelských PC. Potíž je v tom že za jednotlivými porty switche se ty adresy prolínají (jedná se o desítky PC). Dá se i v tomto případě, kdy není síť rozdělená do jednotlivých subnetů, provozovat VLAN za účelem výše popsaných výhod (omezení broadcast stormů a vzájemné oddělení viditelnosti stanic na jednotlivých AP jež jsou připojena za porty switche)? Sjednocení adres je momentálně neproveditelné - běh na dlouhou trať. Obávám se že nikoli, ale pro jistotu se ptám zde a prosím o radu. Pokud by to však bylo realizovatelné, je reálné nastavit třeba každý port jako jinou VLAN a hlavní propojku do linux serveru (k bránám) nějak tak, aby přidělovala bránu všem VLANám a nastavit tento port na switchi jako Trunk? Asi hloupost, že? Nějaké řešení? Díky za něj a hezký den!

    Wednesday, 25.04.2012 13:17 | answer
  51. [51] Samuraj

    respond to [50]Joest: Nějak jsem nepochopil ten popis. Na tom Linux routeru máte bez použití VLAN využity na jednom interfacu 3 adresy gatewaye? Stejně tak jsem nepochopil, jak se vám mohou prolínat IP adresy. Na jednom portu switche máte více PC? A různá PC mají stejné IP adresy?

    Když pominu výše uvedené. Můžu udělat trunk port, spojit na Linux server, který VLANy bez problémů podporuje. Ten server bude mít adresy ve více subnetech a ve všech pracovat (a routovat).

    Thursday, 26.04.2012 11:20 | answer
  52. [52] Joest

    Já osobně nejsem bohužel správcem toho daného linux serveru, nicméně je to jak popisujete. Když samozřejmě pominu vstupní interface s hlavní konektivitou do linuxu (eth0), pak na druhém interface (eth1) je nastaveno celkem 5 bran (5 x plný C rozsah adres, z toho máme na linuxu 3 brány pro 3 rozsahy veřejných IP od našeho providera, jež pak nastavujeme napevno uživatelům v síti do jejich PC). To, že se adresy prolínají bylo myšleno tak, že za hlavním switchem, který ej napojen právě k eth1 linuxu je napojena jedna velká síť, kde jsou využívány různě ty uvedené IP adresy (některé veřejné, veřejné IP z různých rozsahů, jiné IP adresy NATové, apod.). Dotaz pak zní, jestli je možné nastavit VLAN s trunk portem k linuxu a linux samotný tak, aby za svitchem byly odděleny jednotlivé porty (za nimi jednotliví uživatelé) a zároveň linux routoval a poskytoval funkci brány v každé VLAN na switchi. Tak trošku mě to ale vede k názoru, tak jak se do té představy "zakousávám", že takové řešení by stejně asi nic pozitivního nepřineslo...že pokud nejsou rozděleny subnety do jednotlivých portů switche, je to vůbec asi celé zbytečné to takto dělat. jaký an to máte názor? A díky předem za rychlou odpověď :-)

    Thursday, 26.04.2012 13:46 | answer
  53. [53] šěr

    ;-);-);-);-);-);-);-);-);-);-):-Orewhs

    Tuesday, 29.05.2012 13:12 | answer
  54. [54] feták

    :-([/link][link][/link][/strong][strong][link];-)[strong][/strong]:-([em][/em]:-);-);-)

    Tuesday, 29.05.2012 13:13 | answer
  55. [55] feták

    :-O:-O:-O:-O:-O:-O;-);-);-);-):-):-):-):-):-);-);-);-);-);-);-):-O:-O:-O:-O:-O:-O

    Tuesday, 29.05.2012 13:14 | answer
  56. [56] mana.dunka

    respond to [55]feták: bjczfgýko

    respond to [2]joshik: kundooooo

    Tuesday, 29.05.2012 13:16 | answer
  57. [57] j

    2Joest: Da se to, dokonce to je presne v clanku popisovano.

    Samozrejme, pokud mas jeden switch s vlanama a na jeho porte ti visi dalsi, ktery to neumi, tak ti vsichni jeho klienti padnou do jedny vlany - pokud pouzijes nastaveni podle portu. Jak je v clanecku, muzes pouzit trebas MAC adresu, pak je ti jedno jak daleko klient je. Samozrejme tim neomezis broadcasty na podrizenem switchi - na jeho urovni se klienti z ruznych vlanu uvidi (pokud taky neumi vlan). Pokud do chces oddelit uplne, potrebujes aby vlany umely vsecny prvky mezi klientem a routerem.

    Trunkem to pak posles routeru pro kterej se to bude chovat tak, ze ma na eth1 N ruznych oddelenych siti, mezi kterejma muze (ale nemusi) routovat. V tucnakovi se to to bude jevit nejspis jako eth1:0, eth1:1 ... tedy samostatny eth porty se vsim vsudy.

    Tuesday, 26.06.2012 14:17 | answer
  58. [58] Zdenek59

    Dobrý den. Musí být VLANA pro VOIP tagovaná ?

    Monday, 16.07.2012 10:25 | answer
  59. [59] Samuraj

    respond to [58]Zdenek59: Na takto položenou otázku mohu odpovědět. Nemusí.

    Wednesday, 18.07.2012 13:52 | answer
  60. [60] guest

    Dostal jsem úkol ve škole : Konfigurace VLAN na L2 switchi s managmentem (teoretická prace + příklady ) Má někdo nějaký nápad na příklady ?? díky za odpověd´...

    Friday, 16.11.2012 12:09 | answer
  61. [61] Lubomír

    Pochvala za velmi užitečné články a hlavně výborné "učitelské" vysvětlení problematiky.

    Tuesday, 08.01.2013 08:37 | answer
  62. [62] Lukáš

    Dobrý večer, dovolil bych si jednu pravopisnou korekturu.

    "Proč vznikly VLANy

    Technologie VLAN začala vznikat kolem roku 1995, ale zprvu se jednalo o různá proprietární řešení. V praxi se však více rozšířili až před několika lety a to hlavně ve středních a velkých firmách..."

    V Případě, že se hovoří o VLANách -> "rozšířily".

    S pozdravem, Lukáš.

    Wednesday, 09.01.2013 02:10 | answer
  63. [63] patejl

    Dobry vecer,

    super clanek, mel bych jeden orisek, je to na delsi popis.

    Mam firewall se tremi interface.

    int1. - untrust zona - z netu

    int2. - DMZ - Cisco SF200 s VLAN a nekolika servery s verejnymi adresami.

    int3. - trust zona - vnitrni sit, Cisco exp500 s VLAN, PC, VoIP atd.

    Na Cisco SF200 v DMZ je nastaveno nekolik VLAN pro ruzne servery z duvodu zamezeni moznosti komunikace mezi servery.

    Pro komunikaci do trusted zony je jeden port jako trunk prochazejici pres int2 na FW na int3 a dale na trunk port v dalsim Cisco SW.

    Tohle funguje OK.

    Problem je komunikace pres FW do DMZ z Untrusted zony. Prichazeji netagovane frame a projdou pres int1 a int2 na FW na trunk port SF200. Ten je samozrejme zahodi protoze jsou netagovane.

    Resenim by bylo udelat sub-interface na FW pro kazdou VLAN ale ty by se musely adresovat, coz sezere drahocenne verejne IP adresy. Honit to pres NAT je taky problem protoze ne vsechny sluzby to prekousou.

    Je jeste nejake jine elegantni reseni ?

    Diky a Zdravim, Patejl

    Friday, 01.03.2013 19:26 | answer
  64. [64] Druid

    Ahoj je možné že laciné switche umí VLAN, ale neumí Trunk port, jak se pak propojí dovedou sítě do jiného místa ?

    Tuesday, 03.03.2015 11:16 | answer
  65. [65] Samuraj

    respond to [64]Druid: Já nikdy nepracoval se switchem, který neuměl trunk. Ale pokud má pouze access porty, tak je jediná možnost spojit s jiným switchem tolika porty, kolik VLAN chceme přenést.

    Thursday, 05.03.2015 15:49 | answer
  66. [66] Geban

    Zdravím, potřebuji poradit s VLAN. Máme podnikovou síť s několika podsítěmi a komunikace mezi nimi je dělaná routováním. Vznikl požadavek do naší sítě pustit jinou firmu, ale nesmí se zařízení obou firem navzájem vidět. VLAN je asi ideální volba, ale narazil jsem na jeden problém. Vytvořím VLAN pro naší firmu a pro cizí firmu. Co se týče naší firmy tak bych rád, aby byla komunikace mezi subnety nadále routovaná. VLAN cizí firmy potřebuji protlačit mezi dvěma routery na jiné místo v podniku, ale né routováním. (mám pocit, že kdybych to udělal routováním, tak se obě VLANy uvidí) Lze tu jednu VLAN protlačit těma dvěma roterama tak, abych nenarušil routování té původní sítě a zároveň aby se ty routry chovali jako switche pro tu VLAN té cizí firmy? Doufám, že jsem dotaz formuloval dostatečně jasně. :-) Díky.

    Tuesday, 05.04.2016 15:14 | answer
  67. [67] Kraken

    Zdravím, díky za úžasný web se spoustou informací. Přesto prosím o radu. Mám na switchi 2 VLANy (1-default a 2). Přes trunk port je tlačím na wifi AP (s pouze native VLAN), na nemž visí PC s virtuálkou. Potřebuju, aby PC vidělo na VLAN1 a virtuálka na VLAN2. Zatím se nedaří - PC na VLAN1 vidí, ale virtuálka na VLAN2 ne. Zahazuje AP rámce VLAN2? Musí být na AP také definované obě VLAN? Pokud to udělám, chce po mě AP definovat jedno SSID pro native VLAN a druhé SSID pro VLAN2. To ale kvůli virtuálce nejde. Obě VLANy by se měly přenášet přes jedno SSID. Jde to vůbec nějak udělat? Díky.

    Saturday, 08.10.2016 23:15 | answer
  68. [68] Samuraj

    respond to [67]Kraken: Nejsem si jist, že úplně chápu ten popis. Ale podle mých znalostí není možné připojit jedno SSID do dvou různých sítí (VLAN). SSID se páruje s jednou VLAN. Jinak se to musí řešit nějakým routováním.

    Monday, 10.10.2016 23:08 | answer
  69. [69] Kraken

    respond to [68]Samuraj: OK, jde o to, že ta virtuálka (VirtualBox) komunikuje do sítě přes síťový bridge na wifi rozhraní PC, čili PC i VM jedou přes jediné SSID na AP. AP je připojený na trunk port switche. Jak na AP udělat, aby rozlišil komunikaci z PC na VLAN1 a z VM na VLAN2?

    Friday, 21.10.2016 08:26 | answer
  70. [70] Flowtec

    Zrovna u Cisco switchů při použití telefonu a pc zapojených do jednoho portu nemusí být port jako trunk a přesto na něm můžou být 2 VLANy. Port lze nastavit jako klasický access a k tomu se přidá "switchport voice vlan /číslo voice vlany/" a máme 2 vlany na portu. Podmínkou pro správné fungování je zapnutý CDP protokol (defaultně je).

    Wednesday, 29.03.2017 16:26 | answer
  71. [71] Ben

    Samuraji, díky za Tvoje články, hodně informací jsem čerpal zrovna odtud. Zítra mám absolutorium a uvidíme, kolik jsem si zapamatoval.

    Monday, 12.06.2017 17:45 | answer
  72. [72] Martin

    Dobrý den, je to úžasný web, opravdu díky.

    Mám dotaz. Jde nastavit na jedné VLAN několik sítí?

    Např. na VLAN 1 by byly sítě 192.168.0.0/24 a 192.168.2.0/24 ?

    Díky

    Friday, 13.04.2018 14:53 | answer
  73. [73] Samuraj

    respond to [72]Martin: Teoreticky v tom není žádný problém. VLANa je něco jako skupina fyzických switchů, tam si můžu dělat adresování jak chci. Pokud to chci ale nějak routovat a propojit s jinými VLAN, tak je to již složitější. Obecně se doporučuje pro každou VLAN jeden adresní rozsah.

    Friday, 13.04.2018 18:54 | answer
  74. [74] Milan

    Ahojte, problematike VLAN sa venujem už roky a dobre to poznám. Riešim ale v jednej firme malý spor s kolegom. Totiž tam z finančných dôvodov sme pristúpili k tomu, že za manažovateľným Cisco switchom sme pustili na jednom porte VOIP VLAN ako tagged a počítačovú VLAN ako untagged. Na tom porte je viacero malých nemanažovateľných switchov v kaskádach vedľa seba a aj za sebou. Na nich sú telefóny, ktoré sú nastavené tak, že si majú vziať tagged voice VLAN a počítače si zase berú svoju untagged sieť.

    Kolega hovorí, že keďťe malý switch nepozná 802.1Q, prepne sa do stavu HUB, začne posielať všetko tagované všade a zabije mi sieť.

    Ja si to ale nemyslím, nakoľko keďže nerieši tagy, zdroj a cieľ má jasný, čiže nie je dôvod na to, aby ostreľoval všetko.

    Kde je podľa vás pravda?

    Thursday, 21.02.2019 13:55 | answer
  75. [75] Petr Zavoral

    Dobrý den, chtěl bych se zeptat, protože mi to z článku není 100% patrné.

    Chtěl bych se zeptat na dva příklady propojení Cisco switchu:

    1) Mezi dvěma swicthema chci přenášet pouze jednu VLANU takže u výstupního switche nastavím: acces untaged

    A u druhého switche nastavím taky acces untaged..?

    2)- zde jsem trošku zmaten: Mezi dvěma Cisco swicthema chci přenášet více VLAN např..: VLAN ID: 10,20,30. Takže u prvního výstupního switche nastavím na ty dané VLANy trunk tagged...? (Zde si nejsem jistý právě jestli tagged nebo untagged)

    A u druhého switche nastavím to stejné tedy: trunk tagged..?

    Děkuji.

    Tuesday, 16.04.2019 19:18 | answer
  76. [76] Samuraj

    respond to [75]Petr Zavoral: Když mluvíme o Cisco switchích, tak nikdy nemluvíme o tagged nebo untagged. Pokud je mód Access, tak se nepřidává tag, pokud jde o Trunk, tak se přidává (až na Native VLAN).

    1) na obou stranách access

    2) na obou stranách trunk

    Každopádně obě strany musí být vždy nastaveny stejně, jinak to nebude fungovat.

    Wednesday, 17.04.2019 06:54 | answer
  77. [77] Adam

    Ahoj,

    už pár let mě mé hledání odpovědí na síťové problémy vždy zavede na Tvé stránky a musím Ti tedy poděkovat, protože vesměs je to zde všechno vysvětlené dostatečně polopatě a člověk si z toho i něc oodnese :-)

    Takže Díky Ti!

    Friday, 29.01.2021 09:55 | answer
  78. [78] lucky

    Perfetkní článek, učím se z něj na maturitu, díky moc! ;-)

    Monday, 31.05.2021 09:37 | answer
  79. [79] vladimír

    Dobrý den všem, potřeboval bych poradit co dělám špatně. Mám Cisco switch WC-C3560CX-12PD-S.Mám vytvořené dvě vlany, každé přiřazené 4 porty a každé přidělená ip adresa(192.168.10.1 a 192.168.20.1 255.255.255.0).Zapnutý ip routing. Když pingnu z počítače na vlan1 se statickou ip 192.168.10.10 255.255.255.0 vých.brána 192.168.10.1 tak dopingnu na vlan1, vlan2, ale na druhé pc s adresou 192.168.20.10 ne, opačně stejně. V Cisco pacet tracer ta konfigurace funguje.Dík za pomoc

    Tuesday, 22.02.2022 11:02 | answer
  80. [80] zoly

    Dobrý deň, potreboval by som radu. Mám router Cisco a switche SGE2010. Sú tam nastavené rôzne VLANY. Napr. 102,103. A ja by som potreboval na jednom porte mať prístup k dvom VLAN. To znamená, že jeden počítač by bol vo VLANe aj 102 a aj 103. Je to možné?

    Thursday, 18.08.2022 09:26 | answer
  81. [81] Samuraj

    respond to [80]zoly: To je přesně popsáno v tomto článku, využívá se k tomu Trunk.

    Thursday, 18.08.2022 09:50 | answer
  82. [82] zoly

    respond to [81]Samuraj: Port je nastavený na Trunk. Join VLAN to Port je nastavený na 103U a 102T. Na PC je VLANa 103, ale k počítačom na 102 sa nepripojím a ani opačne. Nemusí VLAN byť nastavená aj na PC?

    Thursday, 18.08.2022 11:46 | answer
  83. [83] zoly

    Takže som na to prišiel ;-). Problém bol v tom, že za tým manažovateľným portom bolo AP a až z AP som mal pripojené PC. Ak som AP nahradil switchom alebo to zapojil na priamo do portu všetko bolo OK. Fungujú VLANy aj na karte Realtek a testoval som to aj v Hyper V. Všetko OK ;-)

    Friday, 19.08.2022 09:37 | answer
Add comment

Insert tag: strong em link

Insert Smiley: :-) ;-) :-( :-O

Help:
  • maximum length of comment is 2000 characters
  • HTML tags are not allowed (they will be removed), you can use only the special tags listed above the input field
  • new line (ENTER) ends paragraph and start new one
  • when you respond to a comment, put the original comment number in squar brackets at the beginning of the paragraph (line)