Slouží k oddělení zařízení, která jsou připojena ke switchi do skupin. Tyto skupiny jsou jako virtuální sítě odděleny a pokud není povoleno, nemají k sobě přístup - nejde ping ani jiné služby.

Důvody pro používání VLAN:

• bezpečnost - různé úrovně přístupu ke službám a zařízením pro různé uživatele - admin x zaměstnanec x návštěvník
• rychlost - omezení broadcastových paketů, menší zátež sítě
• jednotné nastavení pro skupiny uživatelů - nemusí se řešit zvlášť na každém switchi

Označení VLAN

Každá VLAN má přidělené své číslo. Základní VLAN, tedy pro zařízení, která nemají definovanou vlastní VLAN je číslo 1 - default VLAN. Rezervovaná jsou čísla 1002 - 1005. Hodnoty mezi 2 a 999 lze využít dle uvážení.

Native VLAN - pro porty, kde je využit trunk - tedy spojení s jiným switchem nebo routerem - více VLAN přes jeden datový kabel.

Management VLAN - defaultně 1, pokud definujeme jinou VLAN jako management, jsou pro zařízení, která do ní náleží, přístupné konfigurační nástroje switche.

VLAN konfigurujeme na přepínači. Každý port je možné definovat jako trunk nebo access. Třetí stav by měl být vypnuto - nepoužívaný port pro zvýšení bezpečnosti.

Trunk

Spojení mezi zařízeními (router, switch), které přenáší data z několik VLAN. Lze určit, které VLAN mohou přes daný port komunikovat. Trunk je složení oddělené komunikace jednotlivých VLAN do jednoho spojení - multiplex.

Konfigurace

SW1#show vlan brief - vypíše aktuální vlan

SW1#configure terminal

SW1(config)#vlan 20 - vytváříme VLAN s číslem 20

SW1(config-vlan)#name ADMIN - název VLAN, měl by popisovat, pro která zařízeni byla vytvořena

SW1(config-vlan)#end - a to je vše, VLAN je připravena

SW1#configure terminal

SW1(config)#interface fast 0/0 - teď přiřadíme porty naší VLAN, zde port 0/0

SW1(config-if)#switchport mode access - daný port konfigurujeme jako port pro přístup k síti

SW1(config-if)#switchport access vlan 20 - přiřazujeme port určité VLAN

SW1(config-if)#end

Vyjmutí portu z VLAN

SW1#configure terminal

SW1(config)#interface fast 0/0

SW1(config-if)#no switchport access vlan

SW1(config-if)#end

Výmaz VLAN 20

SW1#configure terminal

SW1(config)#no vlan 20

SW1(config)#end

Trunk spojení

SW1#configure terminal

SW1(config)#int fast 0/20 - výběr portu pro trunk spojení

SW1(config-if)#switchport mode trunk - nastavujeme mód portu - propojujeme přepínač-přepínač nebo přepínač-router

SW1(config-if)#switchport trunk native vlan 1 - definování nativní VLAN

SW1(config-if)#switchport trunk allowed vlan 20 - povolené VLAN pro spojení trunk linkou

SW1(config-if)#end

SW1#show interfaces fast 0/20 switchport - ověření konfigurace

Likvidace trunk na portu

SW1#configure terminal

SW1(config)#int fast 0/20

SW1(config-if)#no switchport trunk native vlan

SW1(config-if)#no switchport trunk allowed vlan 

Používání VLAN vyžaduje routování mezi nimi (pokud je to žádoucí). Je tedy nutné jej nastavit.

Jsou tři typy routování:

• legacy - router má připojeno tolik spojení (na patřičný počet interface), kolik je definováno VLAN - každá VLAN je tedy připojena jedním fyzickým rozhraním
• router-on-a-stick - router je připojen k síti jedním zařízením, které je virtuálne rozděleno, každá VLAN má svůj sub-interface s vlastní IP adresou
• multilayer-switch - na síti je přítomen switch, který zvládá operace na 3. vrstvě ISO/OSI - umí routovat

---

Legacy routing

Zcela normální konfigurace zařízení na routeru. Každá VLAN má své připojení k routeru prostřednictvím jednoho síťového rozhraní.

Router-on-a-stick

Vztvoříme patřičné sub-interface na routeru.

R1(config)#int fast 0/0.10 - sub-interface pro vybranou VLAN, číslo za tečkou je číslo virutálního rozhraní, nemusí být stejné jako číslo VLAN, ale pomáhá to :-)

R1(config-subif)#encapsulation dot1q 10 - zprovoznění komunikace a možnost routování VLAN spojení, číslo na konci je číslo VLAN, která komunikuje přes tento interface

R1(config-subif)#ip add 192.168.5.2 255.255.255.0

R1(config-subif)#no shut

Multilayer switch

Vytvoříme virtuální zařízení na layer 3 switchi, které bude zajišťovat routování. Druhá možnost je určit, které interface budou routovány.

SDM - switch database manager - spravuje informace o routování.

SW1#sh sdm prefer - zobrazí základní nastavení SDM

Nastavení

SW1(config)#sdm prefer lanbase-routing - podpora statického routování IPv4 a IPv6

SW1(config)#do reload - restart zařízení - je před tím nutno konfiguraci uložit do startup-configu !!!

SW1#sh sdm prefer - kontrola nastavení sdm

Konfigurace přepínače

SW1(config)#interface vlan 10

SW1(config-if)#ip address 192.168.10.1 255.255.255.0 - konfigurace IP adresy pro VLAN na přepínači - slouží k administraci

SW1(config-if)#no shut

SW1(config)#interface vlan 20

SW1(config-if)#ip address 192.168.20.1 255.255.255.0 - konfigurace IP adresy pro VLAN na přepínači - slouží k administraci

SW1(config-if)#no shut

Nastavení defaultní routy

SW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 - nastavujeme default routu na rozhraní routeru - gateway pro danou síť