Co to są VLANy?

VLAN, czyli Virtual LAN, to po prostu podział w warstwie drugiej sieci na wiele mniejszych domen rozgłoszeniowych. Aby ruch mógł być wymieniany pomiędzy dwoma hostami znajdującymi się w różnych VLANach, potrzebne jest urządzenie warstwy trzeciej - router. Dzisiaj bardzo często routing między VLANami realizuje się na przełącznikach, kiedyś rolę tą pełniły routery.

Istnieją standard tworzenia VLANów - zdefiniowany przez IEEE 802.1Q. Opisuje on dokładnie, jak rozszerzyć ramkę L2 aby zawrzeć w niej informacje, do którego VLANu ramka należy (są to w tzw. ramki tagowane). Połączenie, które przenosi ramki z jednocześnie wielu VLANów, nazywa się trunkiem. Cisco zdefiniowało wcześniej na swoich przełącznikach standard ISL - jest on bardzo często spotykany w starszych urządzeniach. Działa on w zasadzie tak samo jak 802.1Q, ale ramka ulega "zapakowaniu" w nową, co zwiększa czas potrzebny na przeprowadzanie operacji - i co ważniejsze, nie jest obsługiwane przez innych niż Cisco producentów.

Co to jest VLAN "natywny"?

To VLAN używany przez przełączniki do przenoszenia informacji administracyjnych (np. BPDU, CDP itp.). Domyślnie jest to VLAN 1. Porty przełączników Cisco w domyślnej konfiguracji należą właśnie do tego VLANu.

Na trunkach (niezależnie czy 802.1Q czy ISL), VLAN natywny przenoszony jest bez tagowania.

Co mają na myśli ludzie mówiąc "router na patyku" (ang. router on a stick)?

Chodzi o topologię, w której jeden interfejs routera służy do obsługi routingu z wielu sieci.

Na przykład masz 24-portowy przełącznik warstwy drugiej, dwa VLANy i chcesz jakoś przekazywać ruch między nimi w oparciu o warstwę trzecią. Najprościej będzie zdefiniować na przełączniku jeden port jako trunk 802.1Q przenoszący oba VLANy, podłączyć ten port do routera skonfigurowanego analogicznie i nadać na routerze adresy IP obu podinterfejsom.

Oto przykładowa konfiguracja interfejsu FastEthernet (pamiętaj, że obsługa 802.1Q dla większości routerów zawarta jest dopiero w feature-set "IP Plus"):

interface FastEthernet0/0
 no ip address
!
interface FastEthernet0/0.1
 description VLAN 10, domyślna bramka dla pierwszej podsieci
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
!
interface FastEthernet0/0.2
 description VLAN 20, domyślna bramka dla drugiej podsieci
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

Portu na przełączniku (tu akurat 2950), podłączonego do routera:

interface FastEthernet0/24
 switchport trunk allowed vlan 10,20
 switchport mode trunk
 no ip address
 spanning-tree portfast

W końcu port do którego podłączona jest stacja z VLANu 10:

interface FastEthernet0/1
 switchport mode access
 switchport access vlan 10
 no ip address
 spanning-tree portfast

Czy Cisco PIX może obsługiwać VLANy?

Tak, ale od PIX OS w wersji 6.3 i tylko modele od 515 w górę (525 i 535). Dokładna ilość VLANów obsługiwanych przez PIXa związana jest z posiadaną licencją i przedstawiono ją w poniższej tabelce:

Platforma      Licencja         Interfejsy fizyczne    Interfejsy logiczne
PIX-501           -               1+4(przełącznik)              2
PIX-506/506E      -                      2                      2
PIX-515/515E      R                  2+1 opcja                  3
PIX-515/515E    UR/FO                    6                      8
PIX-520/525       R                      6                     10 (6+4)
PIX-520/525     UR/FO                    8                     10
PIX-535           R                      6                      8
PIX-535         UR/FO                   10                     22       

Jak skonfigurować na PIXie VLAN?

Oto przykład konfiguracji PIXa 515 z VLANem na drugim porcie fizycznym:

interface ethernet0 auto
! interfejs eth0 nie jest tagowany
interface ethernet1 auto
! aktywujemy interfejs eth1

interface ethernet1 vlan20 physical
! VLAN 20 przenoszony będzie nietagowany
interface ethernet1 vlan30 logical
! VLAN 30 przenoszony będzie tagowany zgodnie z 802.1Q

...

nameif ethernet0 outside security0
! fizyczny interfejs eth0 podpinamy do routera ISP
nameif ethernet1 inside security100
! nietagowane ramki na fizycznym porcie eth1 należą do LANu
nameif vlan30 dmz security50
! tagowane ramki na fizycznym porcie eth1 (VLAN 30) należą do DMZtu

! Pozostaje nadanie adresów IP:

ip address dmz 169.254.76.1 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip address outside 169.254.12.2 255.255.255.252

Poniżej przykładowe fragmenty z konfiguracji przełącznika. Fizyczny interfejs eth1 PIXa dołączono do portu FE0/6, zdefiniowanego jako trunk 802.1Q, przenoszący VLAN 30, oraz VLAN 20 jako natywny:

interface FastEthernet0/6
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 30
 switchport trunk native vlan 20