Sieć VLAN (ang. Virtual LAN) jest to mechanizm pozwalający administratorom dzielić sieć lokalną na mniejsze logiczne sieci, do których należą komputery znajdujące się w fizycznie różnych lokalizacjach (np. na różnych piętrach).
Wyobraźmy sobie szkolną sieć komputerową, do której dostęp maja trzy grupy użytkowników: administracja, nauczyciele oraz uczniowie. Każda z tych grup ma inne uprawnienia oraz dostęp do różnych zasobów sieci. W jaki sposób zorganizować sieć, aby dokonać pogrupowania użytkowników w zależności od tych uprawnień czy dostępu do zasobów? Można podłączyć komputery grupy administracyjnej do jednego przełącznika, nauczycielskiej do drugiego, uczniowskiej do trzeciego. Proste, prawda? Tak, pod warunkiem, że na danym piętrze znajdują się tylko komputery jednej grupy, np. na parterze (gdzie znajduje się pierwszy przełącznik) znajdują się tylko komputery administracji, na I piętrze (gdzie znajduje się drugi przełącznik) są tylko komputery nauczycielskie, a na II piętrze (gdzie znajduje się trzeci przełącznik) znajdują się tylko komputery uczniowskie. Niestety, z taką sytuacją prawie nigdy się nie spotkamy, ponieważ zazwyczaj jest tak, że na danym piętrze występują użytkownicy należący do różnych grup, a ich komputery podłączone są do tego samego przełącznika. Wówczas zastosować możemy podział sieci lokalnej na mniejsze, logiczne obszary (sieci VLAN).
Poniższy rysunek obrazuje nam sytuację, o której mówiłem, a mianowicie sieć, w której mamy 3 grupy użytkowników, których komputery podłączone są do różnych przełączników.
Jak widać, na każdym piętrze, do tych samych przełączników podłączone są komputery różnych grup użytkowników (pracownie to komputery uczniowskie, sale to komputery nauczycielskie, a pozostałe to komputery administracji). W takiej sytuacji, aby pogrupować komputery zastosujemy opisany wyżej sposób, czyli stworzymy wirtualne sieci LAN. Wówczas, logiczny podział takiej sieci wyglądał będzie następująco:
Schemat takiego podziału będzie przedstawiał się nastepująco:
- Komputery w pracowniach należeć będą do sieci VLAN o nazwie uczniowie
- Komputery w salach należeć będą do sieci VLAN o nazwie nauczyciele
- Komputery pracowników administracji należeć będą do sieci VLAN o nazwie administracja.
Tyle teorii… Przejdźmy teraz do konfiguracji urządzeń.
Zanim jednak to zrobimy powinniśmy nadać sieciom wirtualnym identyfikator i zaprojektować dla nich adresację IP. Aby zadania dodatkowo nie komplikować, proponuje przyjąć następujące zasady:
- VLAN uczniowie będzie miał przypisany identyfikator 10 (może być inny z zakresu 2-1001, nie ma większego znaczenie jaki Wy wybierzecie), a adres
IP dla tej sieci VLAN będzie miał postać: 192.168.10.0/24.
- VLAN nauczyciele będzie miał przypisany identyfikator 20, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.20.0/24.
- VLAN administracja będzie miał przypisany identyfikator 30, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.30.0/24.
Zwrócicie uwagę na to że identyfikator każdej z sieci VLAN jest taki sam jak 3 oktet adresu IP. Jest to z mojej strony zabieg celowy ponieważ łatwiej jest wówczas identyfikować urządzenia należące do danej sieci. Pamiętajcie jednak o tym, że nie jest to warunek konieczny, i że podczas wykonywania późniejszych ćwiczeń możecie zastosować inne oznaczenia i adresację.
Skoro mamy już zaprojektowaną adresację IP, przejdźmy teraz do konfiguracji pierwszego przełącznika. Uruchamiamy konsolę CLI przełącznika Parter i tworzymy VLAN’y:
Poleceniem show vlan (wpisanym w trybie Privileged EXEC )sprawdzamy poprawność wykonanych czynności. Jak widać poniżej, VLAN’y zostały stworzone poprawnie.
