Що таке VLAN?



VLAN - це термін, що означає віртуальну локальну мережу. Під "Віртуальним" це не фізичний сегмент мережі, а сегмент логічної мережі.

Приклад A



Фізичний сегмент мережі може бути двома комутаторами Ethernet з різними мережами, що працюють на кожному з них.

Приклад B



Логічний сегмент мережі або "VLAN" може бути одним комутатором Ethernet, налаштованим для декількох мереж.


Який сенс використання VLAN?



У сучасних мережевих середовищах багато локальних мереж (локальних мереж) масштабуються дуже великими. У хороших мережевих практиках потрібно розділити домен мовлення на більш дрібні частини або декілька локальних мереж. Ви також можете розділити мережу, щоб фільтрувати трафік між двома для цілей безпеки, якщо у вас є, наприклад, різні відділи, такі як облік і продаж. Продажі можуть знадобитися для доступу до певних типів систем у мережі бухгалтерії, але не всі вони.


приклад:



Давайте скажемо, у вас є велика будівля з двома відділами, бухгалтерський облік і продаж. Облік у користувачів 125, а у продажу - користувачі 200. Ви можете надати кожному підрозділу єдину IP-підмережу класу C, що дозволяє приймати до кожної адреси 254. Це було б більш ніж достатньо для підтримки клієнтів у кожній групі. У вас є єдиний комутатор Ethernet з достатньою щільністю портів для підтримки всіх користувачів 325, а потім і комутатора VLAN і Inter-Vlan маршрутизації. Можна створити VLAN 1 для продажів і VLAN 2 для обліку. Потім просто знайдіть порти, до яких підключені користувачі, і встановіть VLAN порту на відповідний відділ.

Тепер у вас є сегментація підрозділів, але зараз немає можливості спілкуватися, тому що навіть якщо вони підключені до одного фізичного пристрою, вони розділені різними логічними сегментами або VLAN. Саме тут і починається маршрутизація Inter-VLAN. Вам потрібно налаштувати внутрішній маршрутизатор комутатора таким чином, щоб він міг направляти дані між двома логічними сегментами або VLAN. У більшості випадків внутрішній маршрутизатор також має певні функції безпеки, такі як ACL Cisco (списки контролю доступу). Зазвичай можна вказати адреси джерела та призначення, мережі та протокольні порти для вхідного та вихідного трафіку.

Іноді ви маєте кілька будівель у ситуації MAN (Metropolitan Area Network) або просто кілька поверхів у локальній мережі (LAN). У цій ситуації вам потрібно буде встановити інтерфейси висхідної лінії зв'язку між декількома комутаторами Ethernet і "магістральною" інформацією про VLAN через ці посилання по протоколу VTP (Virtual Trunking Protocol).

Як правило, у середовищі VTP ви маєте основний перемикач або кореневий комутатор, який запускає VTP в режимі сервера. (ПРИМІТКА: існує кілька версій VTP) Підключений до "Root" ви маєте перемикачі доступу, що працюють у режимі клієнта або прозорого VTP. Посилання між "коренем" і "клієнтами" будуть налаштовані як "транки" для передачі інформації про VTP і трафіку для декількох мереж VLAN. Після встановлення зв'язків VTP Server оновлює Клієнтів усією інформацією про VLAN, про яку він знає. На цьому етапі ви можете налаштувати порти на клієнтських комутаторах з цими VLAN, і дані для цих VLAN будуть перетинати магістралі у відповідній віртуальній локальній мережі.

Звичайно, це дуже просте пояснення, я не взяв до уваги надмірність і STP (протокол Spanning Tree) для простоти.