VLAN (Virtual Local Area Network, виртуальная локальная сеть) — позволяет создать логическую топологию сети, не зависящую от физической.
VLAN позволяет объединить в сеть хосты, подключенные в разные коммутаторы, отделить друг от друга устройства, подключенные к одному коммутатору, или разделить Wi-Fi на корпоративный и гостевой.
Для примера возьмем сеть из одного коммутатора и 4 ПК.
Fin1 — 192.168.0.10/24
Fin2 — 192.168.0.11/24
Buh1 — 192.168.0.12/24
Buh2 — 192.168.0.13/24
Представим, что 2 ПК принадлежат финансовому отделу и 2 ПК бухгалтерии.
В нашей сети будет 2 vlan.
VLAN2 — финансовый отдел
VLAN3 — бухгалтерия
Выполним на коммутаторе
enable
conf t
vlan 2
name finance
exit
vlan 3
name buhgalteriya
exit
Мы создали вланы и дали им имена. Теперь настроим интерфейсы.
В нашем случае eth0/0, eth0/1 — vlan2, eth0/2, eth0/3 — vlan3.
int e0/0
switchport mode access
Данной командой мы переводим порт в режим access (порт доступа). В этом режиме порт будет пропускать через себя информацию только для назначенного vlan. Остальные будут игнорироваться.
Назначаем влан на порт.
switchport access vlan 2
Также настраиваем остальные, для каждого порта свой влан по схеме выше.
int e0/2
switchport mode access
switchport access vlan 3
Проверяем
show vlanВидим, какие порты относятся к каким влан. Проверим.
С ПК 192.168.0.10 сделаем пинг на ПК 192.168.0.11.
Пинг проходит.
С ПК 192.168.0.10 сделаем пинг на ПК 192.168.0.12.
Пинг не проходит.
Сейчас мы настраивали всего 4 порта, но в реальной работе конфигурировать приходится гораздо больше. Давайте расширим нашу сеть.
Добавим по 2 ПК в каждый отдел.
Fin3 — 192.168.0.13
Fin3 — 192.168.0.14
Buh3 — 192.168.0.15
Buh4 — 192.168.0.16
Немного переподключим наши ПК чтобы удобнее было демонстрировать настройку сразу нескольких портов. На картинке ниже новая схема, к какому порту подключен какой ПК.
Настроим сразу несколько портов.
int range e0/0-3
switchport mode access
switchport access vlan 2
Делаем аналогично для другой группы портов и vlan3.
Проверяем с помощью show vlan
Проверяем пинг с 192.168.0.10 до 192.168.0.14. Пинг проходит.
Проверяем пинг с 192.168.0.10 до 192.168.0.16. Пинг не проходит.
Рассмотрим работу портов trunk (магистральный порт). В этом режиме порт пропускает через себя трафик нескольких vlan. Магистральными являются порты, соединяющие коммутаторы между собой.
Расширим нашу сеть и добавим еще один коммутатор.
Представим что коммутатор S1 находится на первом этаже, а коммутатор S2 на втором.
Часть сотрудников финансового отдела и бухгалтерии сидит на первом этаже и подключены в первый коммутатор, а часть соответственно на втором и подключены в S2. Их трафик не должен пересекаться между собой, но сотрудники одного отдела должны видеть друг друга. Для этого нам необходимо настроить транковые порты.
Настроим по инструкции выше вланы на коммутаторе S2, также как делали на S1, согласно схеме и проверим что пинги проходят между одним отделом и не проходят между разными.
Коммутатор S1
e0/0, e0/1 — vlan 2
e1/2, e1/3 — vlan 3
Коммутатор S2
e0/0, e0/1 — vlan 2
e1/2, e1/3 — vlan 3
Далее настроим trunk порты. Напомню, через access порт проходит трафик одного vlan, через trunk порт трафик нескольких vlan.
На коммутаторе S1 переключим порт e3/3 в режим транк и добавим на него наши вланы.
int e3/3
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,3
Делаем тоже самое на коммутаторе S2 (порт e3/3 — транковый). Проверяем.
show interfaces trunk
Проверим пинги.
Сделаем пинг с ПК Fin1 до ПК Fin4 и с ПК Buh1 до ПК Buh4.
Пинг проходит.
Проверим пинги между отделами с разных этажей.
Пинг не проходит.
Таким образом благодаря VLAN мы смогли разделить трафик между двух отделов и полностью изолировать сети друг от друга, что во-первых сделает сеть немного безопаснее, а во-вторых, увеличит производительность, так как благодаря VLAN мы разделяем сеть на отдельные широковещательные домены, что в свою очередь уменьшит широковещательный трафик внутри сети и снизит нагрузку на коммутаторы.