VLAN Tutorial . Concepte si configurare

Ma feresc de multe ori de a face articole despre tehnologii care sunt cunoscute pe scara larga , dar realizez ca incepatorilor in networking le este de multe ori greu de inteles ce e cu Vlan-urile. Dupa parearea mea partea de VLAN-uri este unul dintre cele mai “curate” si usor de inteles concepte. Ma uitam la nivel de CCIE la recapitularea configurarii si trobleshooting-ului pe VLAN-uri , ramane aproape neschimbat fata de ce invatati in CCNA deci prea multe de spus nu sunt la capitolul acesta dar incerc sa acopar dintr-o suflare tot ce tine de Vlan-uri , de la concepte la configurare.

Ce sunt VLAN-urile ?

Termenul de VLAN vine de fapt de la Virtual Local Area Network si fara sa complic tehnic explicatia este o tehnologie care separa un switch in mai multe switch-uri “virtuale”, complet separate la nivel logic.

Importanta VLAN-urilor

Gruparea logica a userilor . 

Ce inteleg prin asta ? Pot grupa departamentul de contabilitate , pot crea un VLAN special pentru imprimante , un vlan de servere , un vlan pentru wireless s.a.m.d

Segmentarea domeniilor de broadcast.

Toata lumea din networking stim cat de pacatos e broadcastul, practic fiecare calculator dintr-o retea cand face un broadcast , acele pachete se propaga in intreaga retea . In cazul VLAN-urilor,broadcast-ul nu este propagat intre VLAN-uri ,un broadcast facut de un calculator din vlan-ul de servere niciodata nu va ajunge in alt vlan , ci va ajunge DOAR la device-urile atasate in vlan-ul server.

Control al device-urilor :

Avand segmentarea facuta pe grupuri , ne este mult mai usor de gestionat reteaua , de exemplu fiecare VLAN poate sa aiba setarile proprii de securitate. Cel mai bun exemplu ce imi vine in minte este din practica. De multe ori intalnesc la clienti un scenariu : doua SSID-uri de wireless , unul pentru angajati iar altul pentru vizitatori. Normal ca vizitatorii vor fi intr-un vlan ultra izolat de infrastructura clientului si va avea doar access doar spre internet si anumite setari DHCP, iar VLAN-ul de wireless pentru angajari va avea alt DHCP, si setari de securitate adaptate pentru nevoile de bussines a firmei respective.

Quality of service

Posibilitatea ca prioritizarea traficului sa fie facuta per VLAN, de exemplu traficul ce origineaza din VLAN-ul de VOIP sa fie marcat ca avand prioritate fata de traficul din VLAN-ul de wireless.Foarte important :

Comunicarea intre VLAN-uri se poate face doar folosind un Router sau switch Layer 3. Doua PC-uri din VLAN-uri diferite NU pot comunica intre ele fara un router sau switch L3.Fiecare VLAN are nevoie de subnet propriu :

De exemplu :

Vlan 10 (Tehnic) – Network 192.168.1.0Vlan 20 (Contabilitate) Network 192.168.2.0

Un port de access dintr-un switch poate sa fie doar intr-un VLAN. Am auzit in decursul vietii aberatii de genu : ” Portul asta il vreau si in VLAN 10 si in 20 ”

Hai sa ne uitam la poza de mai jos : cum spuneam un port poate sa fie doar intr-un singur VLAN,dar avand pe switch-uri vlan 10 si 20 in ce VLAN bagam porturile ce leaga direct switch-urile ?

Ei bine porturile de mai sus vor fi niste porturi speciale , smechere , ele vor fi asa numitele porturi de TRUNK.Porturile de TRUNK sunt porturile care transporta mai multe VLAN-uri. Implicit un TRUNK transporta toate VLAN-urile.Un port de TRUNK foloseste protocolul 802.1q pentru a marca frame-urile (layer 2 remember ? ) cu un “tag” pentru a fi transportate intre switch-uri.Ceea ce spun aici nu se contrazice cu ce spuneam mai sus ca un port poate sa fie intr-un singur VLAN. Porturile de trunk nu sunt menite pentru a fi conectate la end-device-uri ca si PC-uri . Se folosesc in principal pentru a transporta VLAN-uri pe uplink-uri catre celelalte switch-uri.

Considerente de design si best practice.

Daca va aflati in ipostaza fericita sa aveti o infrastructura complexa , pe layere de Core – Distribution si Access , Cisco recomanda ca sa nu transportati VLAN-urile peste CORE. Izolati VLAN-urile pe cat posibil pe “distribution block”Pentru a exemplifica avem poza de mai jos.