Konfiguracja VLAN na routerze i switchu

Masz jeden switch, jeden router i potrzebę odseparowania ruchu — biuro od gości, serwery od stacji roboczych, monitoring od reszty sieci. Zamiast kupować kolejne urządzenia i ciągnąć nowe kable, robisz to programowo: tworzysz VLAN-y i tagujesz ramki standardem 802.1Q. W tym artykule przejdziesz przez całość po kolei: czym jest tag VLAN, czym różni się port access od trunk, jak ustawić PVID, a na koniec skonfigurujesz to w trzech światach naraz — na switchu zarządzalnym przez GUI, na routerze Cisco (router-on-a-stick) i na MikroTiku w RouterOS. Zero teorii w próżni, same komendy i konkretne numery VLAN.

Czym jest VLAN i po co Ci 802.1Q

VLAN (Virtual Local Area Network) to logiczne podzielenie jednego fizycznego switcha na kilka odseparowanych sieci. Urządzenia w VLAN 10 nie widzą urządzeń w VLAN 20, mimo że siedzą na tym samym przełączniku — tak jakby były wpięte w dwa różne, niepołączone switche. Komunikacja między nimi jest możliwa dopiero przez router (o tym niżej).

Po co to robić, skoro można po prostu kupić drugi switch? Bo VLAN-y dają Ci:

  • Segmentację bezpieczeństwa — kompromitacja drukarki czy kamery IP nie daje atakującemu dostępu do serwerów.
  • Mniej sprzętu i kabli — jeden switch obsługuje 5 sieci zamiast 5 switchy.
  • Skalowalność — dodanie nowej sieci to wpis w konfiguracji, nie wizyta z drabiną.
  • Mniejsze domeny rozgłoszeniowebroadcast z VLAN 10 nie zalewa VLAN 20, więc sieć działa wydajniej.

802.1Q to standard IEEE, który mówi, jak oznaczać ramki ethernetowe, żeby switch wiedział, do którego VLAN-u należą. Bez taga ramka jest „goła” i switch nie ma pojęcia, czy to ruch działu A czy B. 802.1Q dokłada do ramki 4-bajtowy znacznik z numerem VLAN. To dziś faktyczny standard — starszy, własnościowy Cisco ISL praktycznie wymarł.

Jak wygląda tag 802.1Q w ramce

Znacznik 802.1Q wstawiany jest do nagłówka ramki ethernetowej, między adres MAC źródłowy a pole typu. Ma 4 bajty (32 bity) i składa się z czterech pól:

  • TPID (Tag Protocol Identifier) — 16 bitów, zawsze wartość 0x8100. To flaga „uwaga, ta ramka jest tagowana”.
  • PCP (Priority Code Point) — 3 bity, priorytet QoS w zakresie 0-7. Wyższa wartość = ważniejszy ruch (np. VoIP).
  • DEI (Drop Eligible Indicator) — 1 bit, 0-1. Oznacza, czy ramkę można odrzucić jako pierwszą przy przeciążeniu łącza.
  • VID (VLAN Identifier) — 12 bitów, numer VLAN w zakresie 1-4095. To jest właściwy identyfikator sieci.

Z 12 bitów VID wynika twardy limit: maksymalnie 4094 użytkowych VLAN-ów (VID 0 i 4095 są zarezerwowane). VLAN 1 to domyślny VLAN na większości switchy — dobra praktyka mówi, żeby nie używać go do produkcyjnego ruchu i zmienić tzw. native VLAN na trunku.

PRZECZYTAJ  Propagacja DNS: Jak sprawdzić poprawność rozproszenia na serwerach

Porty access, trunk i pojęcie PVID

Cała magia VLAN-ów rozbija się o jedno pytanie: kiedy ramka ma być tagowana, a kiedy nie. Stąd rozróżnienie typów portów. U różnych producentów nazewnictwo się różni, ale logika jest ta sama.

Port access (nietagowany / untagged)

Tu wpinasz „głupie” urządzenia: komputer, drukarkę, kamerę IP, telefon. One nie wiedzą, co to VLAN — wysyłają i odbierają zwykłe, nietagowane ramki. Port access należy do dokładnie jednego VLAN-u. Gdy ramka wychodzi z komputera bez taga, switch dokleja jej tag VLAN-u przypisanego do tego portu. Gdy ramka wraca do komputera, switch zdejmuje tag.

Numer VLAN-u, którym switch taguje przychodzące nietagowane ramki na danym porcie, to właśnie PVID (Port VLAN ID). Przykład: port 2 ma PVID 100. Komputer wysyła nietagowaną ramkę — switch przypisuje jej VLAN 100 i przekazuje wyłącznie do portów należących do VLAN 100. PVID to mechanizm, który łączy świat nietagowany (komputery) ze światem tagowanym (między switchami i routerem).

Port trunk (tagowany / tagged)

Trunk to łącze, którym przez jeden kabel płynie ruch wielu VLAN-ów naraz — wszystkie ramki są tagowane, żeby drugie urządzenie wiedziało, co jest czym. Trunk wpinasz tam, gdzie łączysz switch ze switchem albo switch z routerem. Bez trunka musiałbyś ciągnąć osobny kabel na każdy VLAN — przy 5 sieciach to 5 kabli zamiast jednego.

Niektórzy producenci (np. TP-Link w switchach zarządzalnych) mają jeszcze typ general — port, który może obsługiwać wiele VLAN-ów, ale część tagować, a część nie. To kompromis między access a trunk, przydatny np. dla portu, do którego podłączasz access point rozgłaszający kilka SSID.

Konfiguracja VLAN na switchu zarządzalnym (GUI)

Na switchach zarządzalnych przez przeglądarkę (TP-Link serii TL-SG3xxx, T2600G itp.) konfiguracja 802.1Q to trzy kroki. Załóżmy scenariusz: Grupa A (porty 2-3) ma się komunikować tylko między sobą, Grupa B (porty 4-8) tak samo, a obie grupy mają mieć dostęp do internetu przez router wpięty w port 9. Rozwiązanie: trzy VLAN-y — VLAN 100 dla grupy A, VLAN 101 dla grupy B i VLAN 102 jako wspólny VLAN z dostępem do routera.

  1. Ustaw typ łącza dla portów (Link Type). Port 9 do routera ustaw jako TRUNK (Egress Rule: TAG). Porty z komputerami ustaw jako GENERAL lub ACCESS z regułą UNTAG — bo komputery akceptują tylko nietagowane ramki.
  2. Utwórz sieci VLAN. Wejdź w 802.1Q VLAN → VLAN Config, kliknij Create i dodaj VLAN 100, 101, 102, przypisując do nich odpowiednie porty.
  3. Ustaw PVID dla portów. W 802.1Q VLAN → Port Config nadaj portom grupy A PVID 100, portom grupy B PVID 101. Dzięki temu nietagowane ramki z komputerów dostaną właściwy tag.

Po zapisaniu konfiguracji (pamiętaj o Save Config — inaczej ustawienia zginą po restarcie) komputery z grupy A widzą się nawzajem, ale nie widzą grupy B, a obie grupy wychodzą do sieci przez trunk i router.

Konfiguracja VLAN i routingu na routerze Cisco (router-on-a-stick)

Sama segmentacja na switchu to za mało, jeśli VLAN-y mają się komunikować między sobą albo wychodzić do internetu. Ruch między VLAN-ami zawsze przechodzi przez warstwę 3 — czyli router lub switch L3. Masz trzy klasyczne metody:

  • Switch warstwy 3 — przełącznik, który sam potrafi routować między VLAN-ami. Najwydajniejsze, ale droższe.
  • Router z osobnym kablem na każdy VLAN — tyle portów routera, ile sieci. Marnotrawstwo portów.
  • Router-on-a-stick — jeden kabel (trunk) między routerem a switchem, a na routerze tworzysz subinterfejsy. Najpopularniejsze w małych i średnich sieciach.
PRZECZYTAJ  Jak skonfigurować redundantną sieć WiFi

Zróbmy router-on-a-stick. Plan adresacji: VLAN 1010.0.10.0/24, VLAN 2010.0.20.0/24. Adresy 10.0.10.1 i 10.0.20.1 będą bramami (subinterfejsami routera). Na routerze, w trybie konfiguracji globalnej:

  • interface gigabitEthernet 0/0.10
  • encapsulation dot1Q 10
  • ip address 10.0.10.1 255.255.255.0
  • exit
  • interface gigabitEthernet 0/0.20
  • encapsulation dot1Q 20
  • ip address 10.0.20.1 255.255.255.0
  • exit
  • interface gigabitEthernet 0/0
  • no shutdown

Co tu się dzieje: interface gi0/0.10 tworzy subinterfejs na fizycznym porcie gi0/0. Komenda encapsulation dot1Q 10 mówi, że ten subinterfejs obsługuje tagi 802.1Q dla VLAN 10. Potem nadajesz adres bramy. To samo dla VLAN 20. Na końcu podnosisz fizyczny port komendą no shutdown — bez tego subinterfejsy nie zadziałają.

Teraz kluczowy krok po stronie switcha: port, którym switch łączy się z routerem, musi być trunkiem przepuszczającym oba VLAN-y. W trybie globalnym na switchu Cisco:

  • interface gigabitEthernet 0/2
  • switchport mode trunk
  • switchport trunk allowed vlan 10,20

Od tej chwili stacje z VLAN 10 i VLAN 20 komunikują się ze sobą przez router, a jeśli router ma dostęp do internetu — mają go też wszystkie komputery w sieci. Pamiętaj, że na switchu musisz wcześniej utworzyć same VLAN-y (vlan 10, potem vlan 20 w trybie konfiguracji) i przypisać porty access do nich (switchport access vlan 10).

Konfiguracja VLAN na MikroTik (RouterOS)

MikroTik robi to inaczej niż Cisco, bo VLAN jest tu osobnym typem interfejsu. Załóżmy router z dwoma portami: ether1 jako WAN (klient DHCP) i ether2 jako port tagowany do switcha. Chcemy trzy sieci: 192.168.101.0/24 (VLAN 101), 192.168.102.0/24 (VLAN 102), 192.168.103.0/24 (VLAN 103), każda z własnym serwerem DHCP.

Najpierw tworzysz interfejsy VLAN na porcie ether2:

  • /interface vlan add interface=ether2 name=vlan101 vlan-id=101
  • /interface vlan add interface=ether2 name=vlan102 vlan-id=102
  • /interface vlan add interface=ether2 name=vlan103 vlan-id=103

Potem nadajesz każdemu VLAN-owi adres bramy:

  • /ip address add address=192.168.101.1/24 interface=vlan101
  • /ip address add address=192.168.102.1/24 interface=vlan102
  • /ip address add address=192.168.103.1/24 interface=vlan103

Na koniec serwery DHCP (tu skrótowo dla VLAN 101 — resztę robisz analogicznie):

  • /ip pool add name=dhcp_pool0 ranges=192.168.101.2-192.168.101.254
  • /ip dhcp-server add interface=vlan101 address-pool=dhcp_pool0 disabled=no name=dhcp1
  • /ip dhcp-server network add address=192.168.101.0/24 gateway=192.168.101.1

Po stronie switcha MikroTik (np. CRS) VLAN-y konfiguruje się przez bridge VLAN filtering — ustawiasz port do routera jako tagowany dla wszystkich trzech VLAN-ów, a porty z komputerami jako nietagowane z odpowiednim pvid. Ważne: ruting między VLAN-ami na MikroTiku działa od razu, bo każdy VLAN ma bramę na routerze — domyślnie ruch między nimi przejdzie, dopóki nie założysz reguł w firewallu, które go ograniczą.

Jak sprawdzić, czy VLAN działa

Konfiguracja gotowa — teraz weryfikacja. Kolejność od najszybszego do najbardziej szczegółowego:

  • Adres IP z DHCP — komputer w porcie access dostał adres z właściwej podsieci? Jeśli VLAN 10 ma być 10.0.10.0/24, a maszyna dostała 169.254.x.x, to PVID albo DHCP są źle ustawione.
  • Ping w obrębie VLAN-u — dwa komputery w tym samym VLAN-ie powinny się pingować.
  • Ping między VLAN-ami — bez routingu ping ma nie przechodzić (to potwierdza izolację). Po skonfigurowaniu router-on-a-stick — powinien przejść przez bramę.
  • Ping bramy — z VLAN 10 spinguj 10.0.10.1. Brak odpowiedzi = subinterfejs nie wstał albo trunk nie przepuszcza tego VLAN-u.
  • Cisco: show vlan brief — pokazuje, które porty są w którym VLAN-ie. show interfaces trunk potwierdza, jakie VLAN-y przepuszcza trunk.
  • Podgląd tagów w Wireshark — wepnij się w trunk (port mirroring) i sprawdź, czy ramki mają nagłówek 802.1Q z właściwym VID. To rozstrzyga większość niejasności „dlaczego nie działa”.
PRZECZYTAJ  Jak sprawdzić, kto jest połączony przez VPN i jakim adresem IP globalnym i lokalnym

Najczęstsze błędy w konfiguracji VLAN

  • Zapomniany trunk — port między switchem a routerem zostawiony jako access. Wtedy przejdzie tylko jeden VLAN, reszta zniknie.
  • Złe PVID — komputer w porcie access z PVID innym niż VLAN, w którym ma być. Dostaje adres z obcej podsieci albo żadnego.
  • Native VLAN mismatch — na dwóch końcach trunka różne natywne VLAN-y. Cisco to zgłosi, ale ruch potrafi „przeciekać” między sieciami.
  • VLAN nieutworzony na switchu — przypisujesz port do VLAN 30, którego nigdy nie stworzyłeś. Część switchy go nie utworzy automatycznie.
  • Brak no shutdown na fizycznym interfejsie routera przy router-on-a-stick — subinterfejsy są skonfigurowane, ale port leży.
  • Niezapisana konfiguracja — po restarcie switcha wszystko znika, bo zabrakło Save Config (GUI) albo write memory (Cisco IOS).

FAQ

Czym różni się port access od trunk?

Port access należy do jednego VLAN-u i przesyła ramki nietagowane — wpinasz w niego komputery i drukarki. Port trunk przesyła ruch wielu VLAN-ów naraz, a wszystkie ramki są tagowane standardem 802.1Q — używasz go do łączenia switcha ze switchem lub switcha z routerem.

Czy do VLAN-ów potrzebuję switcha zarządzalnego?

Tak. Tworzenie VLAN-ów i tagowanie 802.1Q wymaga switcha zarządzalnego (managed) lub przynajmniej smart/web-managed. Zwykły niezarządzalny switch nie zna pojęcia VLAN-u i przepuszcza ramki bez rozróżnienia. Router również musi wspierać tagowanie 802.1Q (subinterfejsy lub interfejsy VLAN).

Co to jest router-on-a-stick?

To metoda routingu między VLAN-ami, w której router łączy się ze switchem jednym kablem (trunkiem), a ruch poszczególnych VLAN-ów rozdzielają subinterfejsy na tym jednym fizycznym porcie (na Cisco: interface gi0/0.10 z encapsulation dot1Q 10). Dzięki temu nie marnujesz osobnego portu i kabla na każdą sieć.

Ile VLAN-ów mogę utworzyć?

Standard 802.1Q używa 12-bitowego pola VID, więc teoretyczny limit to 4094 VLAN-y (VID 0 i 4095 zarezerwowane). W praktyce ograniczeniem jest sprzęt — tańsze switche obsługują np. 256 aktywnych VLAN-ów jednocześnie, sprawdź to w specyfikacji modelu.

Dlaczego komputery z różnych VLAN-ów się nie pingują?

Bo VLAN-y są domyślnie odizolowane w warstwie 2 — to ich cała funkcja. Żeby ruch przeszedł między VLAN-em 10 a 20, potrzebujesz routingu między VLAN-ami (router-on-a-stick lub switch L3) oraz bramy w każdej podsieci. Jeśli skonfigurowałeś routing, a ping dalej nie przechodzi — sprawdź trunk, subinterfejsy i ewentualne reguły firewalla.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like