VLAN-y stanowią fundamentalną technologię w nowoczesnych sieciach Ethernet, umożliwiającą logiczny podział fizycznej infrastruktury na izolowane segmenty warstwy 2. Standard IEEE 802.1Q, wprowadzony w 1998 roku, zdefiniował mechanizm dodawania czterobajtowego znacznika do ramek Ethernet, identyfikującego przynależność do konkretnej wirtualnej sieci. Dzięki tej technologii administratorzy mogą tworzyć wydajne i bezpieczne sieci bez konieczności zmiany fizycznej topologii okablowania. VLAN-y są niezbędnym narzędziem w projektowaniu nowoczesnych sieci korporacyjnych i operatorskich.

Mechanizm VLAN polega na przypisaniu każdemu portowi przełącznika identyfikatora VLAN, co determinuje, do której wirtualnej sieci należy podłączone urządzenie. Ramki Ethernet są odpowiednio znakowane lub pozbawiane znaczników w zależności od konfiguracji portu, co umożliwia transparentną komunikację dla urządzeń końcowych. W środowiskach z wieloma przełącznikami łącza trunk przesyłają ruch dla wielu VLAN-ów jednocześnie, maksymalizując wykorzystanie dostępnych połączeń.

Prezentacja prowadzi od podstawowych koncepcji przez szczegółową anatomię ramki 802.1Q, aż po praktyczne scenariusze projektowe. Zrozumienie VLAN-ów jest kluczowe dla każdego administratora sieci, ponieważ stanowią podstawę zaawansowanych mechanizmów QoS i bezpieczeństwa.

Głównym problemem, który rozwiązują VLAN-y, jest brak segmentacji domeny rozgłoszeniowej w klasycznych przełącznikach Ethernet. W tradycyjnej sieci każda ramka broadcastowa jest przesyłana na wszystkie porty przełącznika, co powoduje niepotrzebne obciążenie urządzeń i spadek wydajności. W sieci bez VLAN-ów wszystkie podłączone stacje znajdują się w jednej domenie rozgłoszeniowej, niezależnie od ich roli czy przynależności organizacyjnej.

Technologia VLAN wprowadza logiczną segmentację, która dzieli fizyczny przełącznik na kilka wirtualnych, izolowanych przełączników. Każdy VLAN posiada własną tablicę FDB i własną domenę rozgłoszeniową, co oznacza, że ramki broadcastowe są ograniczone tylko do portów należących do tego samego VLAN-u. Identyfikacja ramek odbywa się za pomocą czterobajtowego znacznika 802.1Q, który jest dodawany i usuwany przez przełącznik bez ingerencji stacji końcowej.

Porty Access obsługują ruch bez tagowania dla urządzeń końcowych, natomiast porty Trunk przesyłają ramki z tagami między przełącznikami. VLAN-y zapewniają izolację na poziomie warstwy 2, zwiększają bezpieczeństwo i umożliwiają elastyczne zarządzanie siecią.

W sieci Ethernet przełącznik segmentuje domenę kolizyjną, co oznacza, że każde połączenie między dwoma urządzeniami odbywa się bez ryzyka kolizji ramek. Jednak przełącznik nie segmentuje domeny rozgłoszeniowej, czyli ramki broadcastowe i multicastowe są przekazywane na wszystkie aktywne porty z wyjątkiem portu źródłowego. Oznacza to, że ruch rozgłoszeniowy generowany przez jedną stację jest odbierany przez wszystkie pozostałe stacje w sieci.

Domena rozgłoszeniowa w przełączniku obejmuje wszystkie porty należące do tej samej sieci VLAN, domyślnie jest to cały przełącznik fizyczny. W praktyce oznacza to, że w sieci firmowej z 200 stacjami, każdy pakiet ARP wysłany przez dowolną stację jest przetwarzany przez wszystkie 200 urządzeń. Powoduje to znaczne obciążenie procesorów kart sieciowych i systemów operacyjnych stacji roboczych.

Brak segmentacji domeny rozgłoszeniowej jest szczególnie problematyczny w dużych sieciach, gdzie ruch broadcastowy może stanowić znaczący procent całkowitego ruchu sieciowego. Rozwiązaniem tego problemu jest właśnie zastosowanie technologii VLAN.

Problem skali w sieciach firmowych staje się widoczny, gdy liczba stacji przekracza kilkadziesiąt urządzeń. W typowej sieci biurowej stacje wysyłają zapytania ARP co 30 do 60 sekund dla każdej aktywnej komunikacji, a także generują inne rodzaje ruchu broadcastowego, takie jak ogłoszenia NetBIOS czy mDNS. Przy 200 stacjach i średnio 3-4 zapytaniach ARP na sekundę, każda stacja musi przerwać swoją pracę, aby przetworzyć każdy z tych pakietów.

Obciążenie nie polega wyłącznie na przepustowości sieci, ale przede wszystkim na konieczności przerwania pracy procesora karty sieciowej i systemu operacyjnego. Każda ramka broadcastowa wymaga analizy na kilku poziomach stosu protokołów, zanim zostanie odrzucona. W skrajnych przypadkach może to prowadzić do zauważalnego spowolnienia pracy urządzeń, szczególnie starszych lub o ograniczonej mocy obliczeniowej.

Problem narasta lawinowo wraz ze wzrostem liczby stacji, ponieważ liczba transmisji rośnie proporcjonalnie do kwadratu liczby urządzeń. VLAN-y rozwiązują ten problem, dzieląc sieć na mniejsze, izolowane domeny rozgłoszeniowe.

Brak izolacji na poziomie warstwy 2 w tradycyjnej sieci Ethernet stwarza poważne zagrożenia bezpieczeństwa. Każde urządzenie podłączone do przełącznika może potencjalnie komunikować się z każdym innym urządzeniem, chyba że zastosowano dodatkowe mechanizmy zabezpieczające. Ataki takie jak ARP spoofing, polegający na podszywaniu się pod adres MAC innego urządzenia, są znacznie łatwiejsze do przeprowadzenia w jednej domenie rozgłoszeniowej.

Sniffing ruchu sieciowego, czyli nieautoryzowane przechwytywanie pakietów, jest możliwe dzięki zastosowaniu technik takich jak MAC flooding czy przełączanie w tryb promiscuous. W jednej domenie rozgłoszeniowej atakujący może łatwo przechwytywać ruch między innymi stacjami, wykorzystując podatności protokołu ARP. Dodatkowo, nieautoryzowane urządzenie podłączone do sieci może uzyskać dostęp do wrażliwych zasobów bez żadnej weryfikacji.

Podział na VLAN-y znacząco ogranicza powierzchnię ataku, ponieważ ruch jest izolowany na poziomie warstwy 2. Nawet jeśli atakujący uzyska dostęp do jednego VLAN-u, nie będzie mógł bezpośrednio komunikować się z urządzeniami w innych VLAN-ach bez pokonania dodatkowych zabezpieczeń.

Rozwiązanie fizyczne polegające na zastosowaniu osobnego przełącznika dla każdego działu jest koncepcyjnie najprostsze, ale niezwykle kosztowne w praktyce. Każdy dodatkowy przełącznik wymaga nie tylko zakupu sprzętu, ale również okablowania, zasilania awaryjnego i miejsca w szafie rackowej. W przypadku pięciu działów oznacza to pięć oddzielnych przełączników, pięć zestawów kabli i pięć punktów zarządzania.

Komunikacja między działami wymaga dodatkowego routera, który łączy poszczególne przełączniki, co generuje kolejne koszty i komplikuje architekturę sieci. Każda zmiana przynależności działowej wymaga fizycznego przekablowania, co wiąże się z przestojami i kosztami pracy technika. Skalowanie takiego rozwiązania jest liniowe, a w praktyce często nadliniowe ze względu na rosnącą złożoność zarządzania.

Rozwiązanie fizyczne jest niepraktyczne w przypadku dynamicznych organizacji, gdzie struktura działów zmienia się w czasie. Technologia VLAN oferuje znacznie bardziej elastyczne i ekonomiczne podejście do segmentacji sieci.

VLAN to wirtualna sieć lokalna, która istnieje jako logiczna konstrukcja wewnątrz przełącznika, niewidoczna fizycznie dla podłączonych urządzeń. Jeden przełącznik fizyczny może obsługiwać wiele VLAN-ów, z których każdy zachowuje się jak niezależny przełącznik z własną tablicą adresów MAC i własną polityką przekazywania. Ramki należące do różnych VLAN-ów są od siebie całkowicie izolowane na poziomie warstwy 2.

Implementacja VLAN opiera się na dodawaniu znacznika do ramki Ethernet, który identyfikuje przynależność do konkretnej wirtualnej sieci. Przełącznik podejmuje decyzje o przekazaniu ramki na podstawie adresu MAC docelowego oraz identyfikatora VLAN. Dzięki temu ruch z jednego VLAN-u nigdy nie trafia przypadkowo do innego VLAN-u, co zapewnia naturalną izolację.

VLAN-y można rozciągać między wieloma przełącznikami za pomocą łączy trunk, które przenoszą ruch dla wielu VLAN-ów jednocześnie. Pozwala to na tworzenie spójnych wirtualnych sieci obejmujących wiele fizycznych urządzeń.

Segmentacja domeny rozgłoszeniowej jest najważniejszą korzyścią wynikającą z zastosowania VLAN-ów, ponieważ bezpośrednio wpływa na wydajność całej sieci. Dzięki podziałowi na VLAN-y ruch broadcastowy jest ograniczony tylko do portów należących do tego samego VLAN-u, co zmniejsza obciążenie wszystkich stacji roboczych. W praktyce oznacza to, że błąd konfiguracyjny lub atak powodujący burzę broadcastową dotknie tylko jeden VLAN, a nie całą sieć.

Bezpieczeństwo na poziomie warstwy 2 jest naturalną konsekwencją izolacji VLAN-ów, ponieważ urządzenia w różnych VLAN-ach nie mogą komunikować się bezpośrednio. Administrator może precyzyjnie kontrolować, które grupy użytkowników mają do siebie dostęp, a routing między VLAN-ami może być dodatkowo chroniony przez zapory sieciowe. Jest to szczególnie istotne w sieciach, gdzie wymagana jest separacja danych wrażliwych, na przykład w systemach finansowych lub medycznych.

Elastyczność zarządzania i oszczędności finansowe są dodatkowymi atutami, które sprawiają, że VLAN-y są standardem w nowoczesnych sieciach. Zmiana przypisania użytkownika do VLAN-u wymaga jedynie zmiany konfiguracji portu, bez fizycznego przekablowania.

Przykład z 24-portowym przełącznikiem ilustruje typowe zastosowanie VLAN-ów w małej i średniej firmie. Każdy z trzech działów otrzymuje własny VLAN z odpowiednią liczbą portów, co zapewnia izolację ruchu i zwiększa bezpieczeństwo. Stacje księgowości pracujące na wrażliwych danych finansowych są całkowicie odizolowane od stacji działu IT i kadr na poziomie warstwy 2.

Bez zastosowania VLAN-ów wszystkie 24 porty należałyby do jednej domeny rozgłoszeniowej, co oznaczałoby, że broadcast ARP z działu IT byłby przetwarzany przez wszystkie stacje w firmie. Przy łącznie 18 stacjach roboczych ruch broadcastowy byłby zauważalny, a wraz z rozwojem firmy problem narastałby. Dodatkowo, każda stacja miałaby bezpośredni dostęp L2 do wszystkich innych stacji, co stwarzałoby ryzyko bezpieczeństwa.

Wolne porty na przełączniku mogą zostać wykorzystane w przyszłości do rozbudowy istniejących VLAN-ów lub utworzenia nowych. Planowanie przydziału portów z wyprzedzeniem ułatwia późniejsze zarządzanie siecią i minimalizuje konieczność zmian konfiguracyjnych.

Znacznik VLAN, nazywany również tagiem 802.1Q, jest kluczowym mechanizmem umożliwiającym identyfikację przynależności ramki do konkretnej wirtualnej sieci. Tag o długości czterech bajtów jest wstawiany między adres źródłowy a pole EtherType w ramce Ethernet, co zwiększa jej całkowity rozmiar. Przełączniki używają tego znacznika do podejmowania decyzji o przekazaniu ramki w obrębie odpowiedniego VLAN-u.

Stacje końcowe, takie jak komputery czy drukarki, nie są świadome istnienia tagów VLAN i wysyłają standardowe ramki Ethernet bez znaczników. Dopiero przełącznik dodaje tag przy wejściu ramki na port, jeśli jest on skonfigurowany jako Access, lub przepuszcza tag, jeśli port jest Trunk. Dzięki temu urządzenia końcowe mogą pracować w sieci z VLAN-ami bez żadnych modyfikacji konfiguracji.

Identyfikator VLAN (VID) ma długość 12 bitów, co pozwala na adresowanie do 4094 różnych sieci wirtualnych. W praktyce przełączniki obsługują od 256 do 4094 VLAN-ów, w zależności od wydajności układu ASIC.

Rozróżnienie między ramkami tagged i untagged jest fundamentalne dla zrozumienia działania VLAN-ów. Ramka untagged to standardowa ramka Ethernet, jaką generują wszystkie urządzenia końcowe, z maksymalnym rozmiarem 1518 bajtów. Ramka tagged zawiera dodatkowy czterobajtowy znacznik 802.1Q, co zwiększa jej maksymalny rozmiar do 1522 bajtów.

Przełączniki używają ramek tagged do komunikacji między sobą, ponieważ znacznik pozwala jednoznacznie określić, do którego VLAN-u należy dana ramka. Porty Access wysyłają ramki untagged do urządzeń końcowych, natomiast porty Trunk wysyłają ramki tagged między przełącznikami. Istnieje również możliwość wysyłania ramek untagged na porcie Trunk dla tak zwanego native VLAN-u.

Rozróżnienie to ma kluczowe znaczenie przy projektowaniu sieci z wieloma przełącznikami. Niewłaściwa konfiguracja tagowania może prowadzić do błędów komunikacji lub luk bezpieczeństwa, na przykład ataku VLAN hopping.

PVID to domyślny identyfikator VLAN przypisywany do portu przełącznika, który określa, do której sieci wirtualnej trafiają ramki untagged wchodzące na ten port. Każdy port w przełączniku ma przypisany PVID, który domyślnie wynosi 1, ale może być zmieniony przez administratora. Gdy ramka untagged wchodzi na port, przełącznik automatycznie dodaje tag z wartością PVID, co pozwala na dalsze przetwarzanie ramki w kontekście odpowiedniego VLAN-u.

W praktyce PVID powinien być zgodny z VLAN-em, do którego przypisany jest dany port. Na przykład, port skonfigurowany dla VLAN 10 powinien mieć PVID ustawione na 10, aby ramki untagged od stacji końcowej były poprawnie kierowane do VLAN 10. W przypadku portów Trunk PVID jest używany dla native VLAN-u, czyli dla ramek, które przychodzą bez tagu na łączu między przełącznikami.

Niewłaściwe ustawienie PVID może prowadzić do sytuacji, w której ruch trafia do nieprawidłowego VLAN-u. Jest to częsty błąd konfiguracyjny, który może powodować problemy z komunikacją lub luki bezpieczeństwa.

Identyfikator VLAN (VID) jest 12-bitowym polem w znaczniku 802.1Q, które określa numer wirtualnej sieci. Zakres wartości VID wynosi od 0 do 4095, przy czym wartości 0 i 4095 są zarezerwowane i nie mogą być używane do identyfikacji VLAN-u. VID o wartości 1 jest domyślnym VLAN-em w większości przełączników i często jest określany jako native VLAN.

Wartość VID równa 0 ma specjalne znaczenie i oznacza tak zwany priority tagged frame, czyli ramkę, która zawiera informacje o priorytecie PCP, ale nie należy do żadnego konkretnego VLAN-u. Wartość 4095 jest zarezerwowana do implementacji i nie powinna być używana w konfiguracji. W praktyce dostępnych jest 4094 identyfikatory VLAN od 1 do 4094, co jest teoretycznym maksimum dla standardu 802.1Q.

W rzeczywistych wdrożeniach przełączniki mają ograniczenia sprzętowe narzucone przez układ ASIC, które często pozwalają na obsługę od 256 do 4094 VLAN-ów jednocześnie. Planowanie numeracji VLAN-ów powinno uwzględniać rezerwację zakresów dla różnych kategorii urządzeń i usług.

Metoda port-based jest najczęściej stosowana w praktyce ze względu na swoją prostotę i przewidywalność działania. Administrator ręcznie przypisuje każdy port do konkretnego VLAN-u, co oznacza, że każde urządzenie podłączone do tego portu automatycznie znajduje się w odpowiedniej sieci wirtualnej. Metoda ta nie wymaga żadnej konfiguracji po stronie urządzenia końcowego i jest odporna na zmiany adresów MAC.

Metoda MAC-based pozwala na dynamiczne przypisanie stacji do VLAN-u na podstawie jej adresu MAC, co jest przydatne w środowiskach, gdzie urządzenia często zmieniają porty podłączenia. Przełącznik utrzymuje tablicę przypisań MAC-VLAN i automatycznie klasyfikuje ramki przy wejściu na port. Metoda ta wymaga jednak większego nakładu pracy administracyjnej przy utrzymaniu tablicy przypisań.

Uwierzytelnianie 802.1X umożliwia przypisanie VLAN-u na podstawie tożsamości użytkownika, co jest najbardziej elastycznym, ale też najbardziej złożonym rozwiązaniem. Użytkownik loguje się za pomocą nazwy i hasła, a serwer RADIUS decyduje, do którego VLAN-u ma być przypisany. Jest to standard w sieciach korporacyjnych z dużą mobilnością użytkowników.

Możliwość przypisania wielu portów do tego samego VLAN-u jest podstawą budowy sieci lokalnych z segmentacją logiczną. W przykładzie przedstawionym na slajdzie pierwsze osiem portów należy do VLAN 10, a kolejne osiem do VLAN 20, co tworzy dwie oddzielne domeny rozgłoszeniowe na jednym przełączniku. Stacje w obrębie jednego VLAN-u mogą komunikować się swobodnie, ponieważ przełącznik przekazuje ramki między portami tego samego VLAN-u.

Przełącznik prowadzi oddzielną tablicę FDB dla każdego VLAN-u, co oznacza, że ten sam adres MAC może wystąpić w różnych VLAN-ach na różnych portach bez konfliktu. Przekazywanie ramki odbywa się wyłącznie w obrębie VLAN-u źródłowego, chyba że skonfigurowano routing między VLAN-ami na warstwie 3. Dzięki temu ruch między różnymi VLAN-ami jest domyślnie blokowany, co zapewnia naturalną izolację.

Komunikacja między VLAN-ami wymaga urządzenia warstwy 3, takiego jak router lub przełącznik wielowarstwowy. Routing między VLAN-ami pozwala na kontrolowany dostęp między segmentami sieci z możliwością zastosowania list kontroli dostępu.

Przykład trzech VLAN-ów w firmie przedstawia typową strukturę segmentacji stosowaną w małych i średnich przedsiębiorstwach. VLAN 10 dla dyrekcji zapewnia uprzywilejowany dostęp do zasobów i izolację od reszty firmy, co jest istotne ze względów bezpieczeństwa i poufności. VLAN 20 dla księgowości izoluje system finansowy i dane wrażliwe przed nieautoryzowanym dostępem z innych działów.

VLAN 30 dla reszty firmy obejmuje pozostałych pracowników, którzy potrzebują dostępu do Internetu i ogólnych zasobów firmowych. Każdy z tych VLAN-ów ma własną domenę rozgłoszeniową, co oznacza, że problemy sieciowe w jednym dziale nie wpływają na pozostałe. Dodatkowo, komunikacja między VLAN-ami może być kontrolowana przez reguły zapory sieciowej na routerze.

Taka segmentacja znacząco poprawia bezpieczeństwo sieci, ponieważ potencjalny atak z sieci ogólnej nie ma bezpośredniego dostępu do wrażliwych danych księgowości. Routing między VLAN-ami może być skonfigurowany tak, aby tylko wybrane usługi były dostępne między działami.

Podsumowanie bloku koncepcyjnego VLAN-ów obejmuje cztery kluczowe elementy, które stanowią fundament zrozumienia tej technologii. Logiczna segmentacja warstwy 2 pozwala na podział jednego fizycznego przełącznika na wiele wirtualnych, niezależnych sieci LAN. Każdy VLAN funkcjonuje jako osobna domena rozgłoszeniowa, co eliminuje problem nadmiernego ruchu broadcastowego w dużych sieciach.

Znacznik 802.1Q jest mechanizmem, który umożliwia przełącznikom identyfikację przynależności ramek do poszczególnych VLAN-ów. PVID pełni rolę domyślnego identyfikatora dla ramek untagged wchodzących na port, co pozwala na poprawne sklasyfikowanie ruchu z urządzeń końcowych. Izolacja na poziomie warstwy 2 jest domyślną cechą VLAN-ów, a komunikacja między nimi wymaga routingu.

Zrozumienie tych podstaw jest niezbędne przed przejściem do szczegółowej anatomii ramki 802.1Q. Kolejne bloki prezentacji rozwijają każdy z tych tematów w sposób szczegółowy.

Standardowa ramka Ethernet, zdefiniowana w oryginalnym standardzie IEEE 802.3, ma ściśle określoną strukturę składającą się z kilku pól. Adres docelowy DA i adres źródłowy SA zajmują po 6 bajtów każde i zawierają adresy MAC odpowiednio odbiorcy i nadawcy. Pole EtherType lub Length o długości 2 bajtów identyfikuje protokół warstwy wyższej, taki jak IPv4 czy ARP, lub określa długość ramki w standardzie 802.3.

Pole Payload o zmiennej długości od 46 do 1500 bajtów przenosi dane właściwe protokołu warstwy wyższej. Minimalna długość payloadu wynika z konieczności zapewnienia wykrywania kolizji w sieciach Ethernet, natomiast maksymalna jest ograniczona przez czasy transmisji. Suma kontrolna FCS o długości 4 bajtów zawiera kod CRC-32, który pozwala na wykrycie błędów transmisji w całej ramce.

Całkowity rozmiar ramki Ethernet wynosi od 64 do 1518 bajtów, co ma znaczenie przy obliczaniu przepustowości i projektowaniu sieci. Wprowadzenie znacznika VLAN 802.1Q zwiększa ten rozmiar, co rodzi konieczność obsługi ramek Baby Giant.

Ramka 802.1Q różni się od standardowej ramki Ethernet obecnością czterobajtowego znacznika VLAN umieszczonego między adresem źródłowym a polem EtherType. Ta lokalizacja nie jest przypadkowa, ponieważ pozwala na zachowanie wstecznej kompatybilności z istniejącą infrastrukturą sieciową. Przełączniki zgodne ze standardem 802.1Q potrafią poprawnie interpretować ramki z tagiem, podczas gdy starsze urządzenia mogą je odrzucać jako zbyt długie.

Dodanie znacznika VLAN powoduje konieczność ponownego przeliczenia sumy kontrolnej FCS, ponieważ zmienia się zawartość ramki po wstawieniu tagu. Proces tagowania i untagowania ramek odbywa się w przełączniku w czasie rzeczywistym, bez opóźnień wpływających na wydajność. Współczesne przełączniki wykorzystują do tego celu wyspecjalizowane układy ASIC, które operują na prędkościach linii.

Nowy maksymalny rozmiar ramki 802.1Q wynosi 1522 bajty, co jest wartością akceptowaną przez większość nowoczesnych kart sieciowych. Mimo to, w niektórych starszych sieciach może być konieczna weryfikacja kompatybilności z ramkami Baby Giant.

Znacznik VLAN 802.1Q składa się z dwóch głównych komponentów: TPID o długości 2 bajtów i TCI o długości 2 bajtów. TPID przyjmuje stałą wartość 0x8100, która informuje odbiorcę, że ramka zawiera tag VLAN zgodny ze standardem 802.1Q. Pole TCI jest dalej podzielone na trzy podpola: PCP, DEI i VID, które niosą dodatkowe informacje o priorytecie i identyfikatorze VLAN.

PCP zajmuje 3 bity i koduje priorytet ramki według standardu IEEE 802.1p, co pozwala na implementację mechanizmów QoS w sieciach Ethernet. DEI zajmuje 1 bit i wskazuje, czy ramka może być odrzucona w przypadku przeciążenia sieci, co jest przydatne w mechanizmach zarządzania kolejkami. VID zajmuje 12 bitów i przechowuje właściwy numer VLAN, do którego należy ramka.

Podział ten pozwala na elastyczne zarządzanie ruchem sieciowym z uwzględnieniem zarówno segmentacji logicznej, jak i priorytetyzacji ruchu. Zrozumienie struktury tagu jest kluczowe przy analizie ruchu sieciowego w programach takich jak Wireshark.

Pole TPID o wartości 0x8100 pełni funkcję sygnatury, która jednoznacznie identyfikuje ramkę jako zawierającą znacznik VLAN 802.1Q. Wartość ta została celowo wybrana spoza zakresu standardowych wartości EtherType, aby uniknąć nieporozumień przy interpretacji ramki. Kiedy przełącznik odbiera ramkę, sprawdza pole znajdujące się za adresem źródłowym i jeśli jego wartość wynosi 0x8100, wie, że ma do czynienia z ramką tagged.

Jeśli wartość TPID jest inna niż 0x8100, ramka jest traktowana jako untagged lub jako ramka innego standardu, na przykład Q-in-Q z TPID 0x88A8. Niektóre przełączniki pozwalają na zmianę wartości TPID, co jest używane w konfiguracjach z niestandardowymi tagami. W standardowych implementacjach wartość TPID jest stała i niezmienna.

Prawidłowe rozpoznanie ramek tagged ma kluczowe znaczenie dla działania sieci VLAN, ponieważ błędna interpretacja może prowadzić do przekazywania ramek do niewłaściwych VLAN-ów. Wireshark i inne narzędzia do analizy ruchu automatycznie rozpoznają ramki 802.1Q na podstawie pola TPID.

Pole PCP o długości 3 bitów umożliwia kodowanie ośmiu poziomów priorytetu zgodnie ze standardem IEEE 802.1p, który jest częścią szerszej specyfikacji 802.1Q. Poszczególne wartości PCP odpowiadają konkretnym klasom ruchu, co pozwala na różnicowanie obsługi pakietów w zależności od ich typu. Najwyższy priorytet 7 jest zarezerwowany dla ruchu sterującego siecią, podczas gdy wartość 0 oznacza domyślny ruch Best Effort.

Priorytetyzacja ruchu za pomocą PCP jest szczególnie istotna w sieciach, gdzie współistnieją różne typy ruchu, takie jak głos, wideo i dane. Ruch głosowy z priorytetem 5 będzie obsługiwany przed ruchem plikowym z priorytetem 0, co zapewnia akceptowalną jakość rozmów VoIP. Mechanizmy kolejkowania w przełącznikach wykorzystują wartości PCP do decydowania, które ramki mają być przesyłane w pierwszej kolejności.

W praktyce PCP jest często używany w połączeniu z mechanizmami QoS na routerach i przełącznikach warstwy 3. Konfiguracja odpowiednich wartości PCP pozwala na budowanie zaawansowanych polityk jakości usług w sieciach korporacyjnych.

Pole DEI o długości 1 bitu jest stosunkowo prostym, ale użytecznym mechanizmem w zarządzaniu przeciążeniami sieci. Gdy bit DEI ma wartość 1, oznacza to, że ramka może zostać odrzucona w przypadku przeciążenia przełącznika, ustępując miejsca ramkom z DEI ustawionym na 0. Jest to szczególnie przydatne w scenariuszach, gdzie niektóre ramki są mniej ważne i mogą być poświęcone w celu zachowania jakości usług dla krytycznego ruchu.

W połączeniu z polem PCP, bit DEI tworzy czterobitową informację o klasie ruchu, co umożliwia bardziej granularne zarządzanie kolejkami. Na przykład, ruch wideo o niższym priorytecie może mieć ustawiony bit DEI na 1, podczas gdy ten sam typ ruchu o wyższym priorytecie będzie miał DEI równe 0. Dzięki temu w przypadku przeciążenia sieć najpierw odrzuci mniej istotne ramki, zanim zacznie odrzucać krytyczne.

Warto zauważyć, że DEI zastąpił pole CFI z wcześniejszych wersji standardu 802.1Q, które było używane w sieciach Token Ring. Współcześnie DEI jest standardowym elementem znacznika VLAN i jest obsługiwany przez wszystkie nowoczesne przełączniki.

Pole VID o długości 12 bitów jest najważniejszym elementem znacznika VLAN, ponieważ przechowuje numer wirtualnej sieci, do której należy ramka. Zakres wartości VID od 1 do 4094 daje teoretyczną możliwość utworzenia 4094 różnych VLAN-ów w jednej sieci fizycznej. Identyfikator VID 1 jest domyślnie przypisany do wszystkich portów w standardowej konfiguracji przełącznika i często jest określany jako VLAN domyślny lub native VLAN.

Wartość VID równa 0 ma specjalne znaczenie i oznacza ramkę z samym priorytetem, bez przypisania do konkretnego VLAN-u. Ramki z VID=0 są używane w sytuacjach, gdy chcemy przekazać informację o priorytecie PCP, ale nie chcemy przypisywać ramki do żadnej wirtualnej sieci. Wartość VID 4095 jest zarezerwowana do celów implementacyjnych i nie powinna być używana w konfiguracji sieci.

Tablica FDB w przełączniku jest indeksowana parą MAC-VID, co oznacza, że ten sam adres MAC może występować w różnych VLAN-ach na różnych portach. Jest to kluczowe dla zrozumienia, jak przełącznik izoluje ruch między różnymi wirtualnymi sieciami.

Baby Giant Frame to nieformalna nazwa ramki Ethernet o rozmiarze 1522 bajtów, która powstaje po dodaniu czterobajtowego znacznika 802.1Q do standardowej ramki 1518-bajtowej. Większość współczesnych przełączników i kart sieciowych obsługuje ramki Baby Giant bezproblemowo, ponieważ standard 802.1Q jest powszechnie implementowany. Jednak w starszych urządzeniach lub w sieciach z rygorystycznie skonfigurowanym MTU ramki te mogą być odrzucane jako zbyt długie.

Problem z MTU pojawia się, gdy w sieci znajdują się urządzenia, które nie obsługują ramek dłuższych niż 1518 bajtów. W takiej sytuacji ramka 802.1Q o długości 1522 bajtów zostanie odrzucona, co spowoduje utratę pakietów i problemy z komunikacją. Rozwiązaniem jest albo wymiana starszych urządzeń na nowsze, albo zastosowanie mechanizmów MTU discovery na warstwie 3.

W sieciach wykorzystujących Q-in-Q, gdzie dodawane są dwa znaczniki, rozmiar ramki może wzrosnąć do 1526 bajtów, co wymaga jeszcze większej uwagi przy konfiguracji MTU. Współczesne przełączniki korporacyjne domyślnie obsługują ramki Baby Giant, ale administrator powinien zweryfikować tę funkcję podczas projektowania sieci.

Double Tagging, znane również jako Q-in-Q i zdefiniowane w standardzie IEEE 802.1ad, polega na dodaniu dwóch znaczników VLAN do jednej ramki Ethernet. Zewnętrzny znacznik S-Tag jest używany przez dostawcę usług internetowych do identyfikacji klienta, podczas gdy wewnętrzny znacznik C-Tag należy do sieci klienta. Dzięki temu dostawca może transportować ruch wielu klientów w swoich sieciach szkieletowych, zachowując jednocześnie izolację między nimi.

Architektura Q-in-Q jest szczególnie przydatna w sieciach ISP, gdzie każdy klient ma własną numerację VLAN-ów, która może się pokrywać z numeracją innych klientów. Zewnętrzny tag rozdziela ruch poszczególnych klientów, a wewnętrzny tag jest używany w ich wewnętrznej sieci. Standard 802.1ad definiuje również mechanizmy zarządzania usługami i priorytetyzacją ruchu w sieciach operatorskich.

Double Tagging ma również znaczenie z punktu widzenia bezpieczeństwa, ponieważ może być wykorzystane w ataku VLAN Hopping. Atakujący może wysłać ramkę z dwoma tagami, licząc na to, że pierwszy przełącznik usunie zewnętrzny tag, a ramka z drugim tagiem trafi do VLAN-u docelowego.

Program Wireshark jest nieocenionym narzędziem do analizy ruchu sieciowego i diagnostyki problemów związanych z VLAN-ami. Po przechwyceniu ramki Ethernet Wireshark automatycznie rozpoznaje znacznik 802.1Q na podstawie wartości TPID 0x8100 i wyświetla wszystkie pola tagu w czytelnej formie. Administrator może zobaczyć wartości PCP, DEI i VID dla każdej ramki, co ułatwia diagnozowanie błędów konfiguracyjnych.

Analiza ramek tagged w Wireshark pozwala na szybkie sprawdzenie, czy ruch między przełącznikami jest prawidłowo oznaczany i czy nie występują problemy z tagowaniem. Można również zweryfikować, czy ramki wychodzące z portów Access są poprawnie pozbawiane tagów, a ramki na trunkach mają odpowiednie identyfikatory VLAN. Filtry wyświetlania Wireshark, takie jak vlan.id, umożliwiają wyświetlenie tylko ramek należących do konkretnego VLAN-u.

Wireshark obsługuje również zaawansowane funkcje analizy Q-in-Q, wyświetlając zarówno S-Tag, jak i C-Tag. Jest to szczególnie przydatne podczas diagnozowania problemów w sieciach operatorskich wykorzystujących podwójne tagowanie.

Podsumowanie bloku dotyczącego anatomii ramki 802.1Q obejmuje cztery kluczowe aspekty techniczne, które są niezbędne do zrozumienia działania VLAN-ów. Czterobajtowy znacznik VLAN jest wstawiany między adres źródłowy a pole EtherType, co zwiększa rozmiar ramki z 1518 do 1522 bajtów. Pole TPID o wartości 0x8100 jednoznacznie identyfikuje ramkę jako zawierającą tag 802.1Q, umożliwiając przełącznikom poprawną interpretację.

Pole TCI dzieli się na trzy podpola: PCP priorytetyzuje ruch według standardu 802.1p, DEI wskazuje ramki podlegające odrzuceniu, a VID przechowuje numer VLAN-u. Koncepcja Baby Giant Frame odnosi się do zwiększonego rozmiaru ramki, który musi być obsługiwany przez wszystkie urządzenia w sieci z VLAN-ami. Q-in-Q rozszerza standard 802.1Q o podwójne tagowanie, co jest wykorzystywane głównie w sieciach operatorskich.

Zrozumienie szczegółowej budowy ramki 802.1Q jest niezbędne przy projektowaniu sieci z zaawansowanymi mechanizmami QoS. Kolejne bloki przejdą do praktycznych aspektów konfiguracji portów i logiki przetwarzania ramek.

Port Access jest podstawowym typem portu w sieciach VLAN, przeznaczonym do podłączania urządzeń końcowych, takich jak komputery, drukarki czy serwery. Na porcie Access wszystkie ramki wychodzące są pozbawiane znacznika VLAN, dzięki czemu urządzenie końcowe otrzymuje standardową ramkę Ethernet bez żadnych modyfikacji. Urządzenia końcowe nie muszą być świadome istnienia VLAN-ów i mogą pracować z domyślną konfiguracją karty sieciowej.

Port Access należy dokładnie do jednego VLAN-u, który jest określany przez wartość PVID przypisaną do tego portu. Każda ramka untagged wchodząca na port Access otrzymuje tag z wartością PVID i jest przetwarzana w kontekście odpowiedniego VLAN-u. Ramki tagged wchodzące na port Access są zazwyczaj odrzucane, chyba że ich VID jest zgodny z PVID portu.

Konfiguracja portów Access jest prosta i intuicyjna, co czyni je standardem w sieciach dostępowych. Administrator musi jedynie określić, do którego VLAN-u należy dany port, nie martwiąc się o szczegóły tagowania ramek.

Port Trunk jest przeznaczony do łączenia urządzeń sieciowych, takich jak przełączniki i routery, umożliwiając przesyłanie ruchu wielu VLAN-ów przez jedno łącze fizyczne. Na porcie Trunk ramki wychodzące zachowują znacznik VLAN, co pozwala urządzeniu odbierającemu na poprawną identyfikację przynależności każdej ramki. Dzięki temu można połączyć dwa przełączniki pojedynczym kablem, a jednocześnie przesyłać między nimi ruch dla wielu wirtualnych sieci.

Port Trunk posiada listę dozwolonych VLAN-ów, która określa, które sieci wirtualne mogą być przesyłane przez to łącze. Jeśli ramka z danym VID próbuje przejść przez Trunk, a ten VID nie znajduje się na liście dozwolonych, ramka jest odrzucana. Mechanizm ten zapobiega nieautoryzowanemu przepływowi ruchu między przełącznikami i zwiększa bezpieczeństwo sieci.

Na porcie Trunk można również zdefiniować native VLAN, czyli VLAN, którego ramki są przesyłane bez tagu. Native VLAN powinien być skonfigurowany identycznie po obu stronach łącza Trunk, aby uniknąć błędów komunikacji. Domyślnie native VLAN ma identyfikator 1, ale ze względów bezpieczeństwa zaleca się jego zmianę.

Port Hybrid łączy cechy portów Access i Trunk, umożliwiając jednoczesne przesyłanie ramek tagged i untagged na tym samym porcie. Jest to przydatne w sytuacjach, gdy do jednego portu podłączone jest urządzenie końcowe, które wymaga ramek untagged, ale jednocześnie przez ten port przechodzi ruch tagged do innego urządzenia znajdującego się dalej w topologii sieci. Port Hybrid pozwala na elastyczne dopasowanie do złożonych wymagań konfiguracyjnych.

W praktyce porty Hybrid są rzadziej stosowane niż Access i Trunk, ponieważ większość scenariuszy można zrealizować za pomocą tych dwóch podstawowych typów. Jednak w zaawansowanych konfiguracjach, na przykład w środowiskach ISP lub w sieciach z wieloma usługami, porty Hybrid okazują się niezbędne. Różni producenci sprzętu mogą implementować porty Hybrid w odmienny sposób, co wymaga zapoznania się z dokumentacją.

Decyzja o tagowaniu na porcie Hybrid zależy od tego, czy VID ramki jest zgodny z PVID portu. Dla VID zgodnego z PVID ramka jest wysyłana untagged, a dla pozostałych dozwolonych VID ramka jest wysyłana tagged. Takie zachowanie pozwala na jednoczesną obsługę ruchu lokalnego i tranzytowego na jednym porcie.

Tabela porównawcza typów portów zestawia najważniejsze cechy portów Access, Trunk i Hybrid w przejrzysty sposób. Podstawowym kryterium rozróżnienia jest typ urządzenia podłączonego do portu: Access łączy się ze stacjami końcowymi, Trunk z innymi przełącznikami lub routerami, a Hybrid umożliwia podłączenie mieszane. Każdy typ portu ma specyficzne zachowanie względem tagowania ramek na wyjściu, co determinuje sposób komunikacji z podłączonym urządzeniem.

Port Access obsługuje tylko jeden VLAN i wysyła ramki untagged, co jest idealne dla urządzeń końcowych. Port Trunk obsługuje wiele VLAN-ów i wysyła ramki tagged, co jest niezbędne do transportu ruchu między przełącznikami. Port Hybrid łączy oba podejścia, wysyłając ramki untagged dla VLAN-u zgodnego z PVID i tagged dla pozostałych.

Wybór odpowiedniego typu portu ma kluczowe znaczenie dla prawidłowego działania sieci VLAN. Niewłaściwa konfiguracja, na przykład użycie portu Access zamiast Trunk między przełącznikami, uniemożliwi przesyłanie ruchu wielu VLAN-ów między urządzeniami.

Logika Ingress opisuje proces przetwarzania ramki od momentu jej wejścia na port przełącznika do momentu podjęcia decyzji o przekazaniu. Pierwszym krokiem jest sprawdzenie, czy ramka posiada znacznik 802.1Q, co przełącznik określa na podstawie wartości pola TPID. Jeśli ramka jest tagged, przełącznik odczytuje VID i sprawdza, czy ten identyfikator znajduje się na liście dozwolonych VLAN-ów dla tego portu.

Jeśli ramka jest untagged, przełącznik dodaje tag z wartością PVID przypisaną do portu, co pozwala na sklasyfikowanie ramki do odpowiedniego VLAN-u. Po tej operacji ramka trafia do logicznej domeny VLAN, gdzie przełącznik podejmuje decyzję o przekazaniu na podstawie tablicy FDB. Jeśli adres docelowy znajduje się w tablicy FDB dla danego VLAN-u, ramka jest przekazywana tylko na odpowiedni port.

Jeśli adres docelowy nie znajduje się w tablicy FDB, ramka jest floodowana na wszystkie porty należące do tego VLAN-u z wyjątkiem portu źródłowego. Mechanizm ten jest identyczny jak w zwykłym przełączniku, ale operuje wyłącznie w obrębie jednego VLAN-u, co zapewnia izolację ruchu między różnymi wirtualnymi sieciami.

Przypadek ramki tagged wchodzącej na port Access ilustruje działanie mechanizmu ingress filtering, który zwiększa bezpieczeństwo sieci. Port Access jest skonfigurowany do obsługi tylko jednego VLAN-u i oczekuje ramek untagged od podłączonego urządzenia końcowego. Jeśli na port Access wejdzie ramka tagged z VID innym niż PVID portu, jest ona natychmiast odrzucana.

Dzieje się tak dlatego, że port Access nie ma listy dozwolonych VLAN-ów w tradycyjnym rozumieniu, a jedynie PVID. W niektórych implementacjach przełączników port Access może akceptować ramki tagged, jeśli ich VID jest zgodny z PVID, ale standardowo takie ramki są odrzucane. Jest to mechanizm zabezpieczający przed przypadkowym lub celowym przedostaniem się ruchu z innego VLAN-u do sieci dostępowej.

W praktyce oznacza to, że jeśli stacja końcowa zacznie wysyłać ramki tagged, na przykład z powodu błędnej konfiguracji karty sieciowej, jej ruch zostanie odrzucony. Administrator musi być świadomy tego zachowania podczas diagnozowania problemów z komunikacją w sieciach VLAN.

Przypadek ramki untagged wchodzącej na port Trunk jest szczególnie istotny dla zrozumienia koncepcji native VLAN. Port Trunk jest przeznaczony do przesyłania ramek tagged między przełącznikami, ale może również akceptować ramki untagged, które są następnie klasyfikowane do native VLAN-u. Wartość PVID na porcie Trunk określa, do którego VLAN-u trafiają ramki untagged.

W przykładowej konfiguracji port Trunk ma PVID ustawione na 1, co oznacza, że ramki untagged będą traktowane jako należące do VLAN 1. Jeśli PVID nie znajduje się na liście dozwolonych VLAN-ów dla tego portu Trunk, ramka untagged zostanie odrzucona. Dlatego ważne jest, aby native VLAN był uwzględniony na liście dozwolonych VLAN-ów na obu końcach łącza Trunk.

Ze względów bezpieczeństwa zaleca się zmianę domyślnego native VLAN z 1 na nieużywany identyfikator i jawne wykluczenie VLAN 1 z łączy Trunk. Zapobiega to atakom VLAN hopping wykorzystującym nieprawidłowo skonfigurowany native VLAN do przedostania się ruchu między różnymi wirtualnymi sieciami.

Logika Egress opisuje proces przetwarzania ramki przy wychodzeniu z przełącznika, od momentu podjęcia decyzji o przekazaniu do wysłania ramki przez port docelowy. Pierwszym krokiem jest określenie VID ramki, który został przypisany podczas procesu Ingress lub wynika z pierwotnego tagu. Następnie przełącznik sprawdza, czy dany VID znajduje się na liście dozwolonych VLAN-ów dla portu wyjściowego, co jest mechanizmem egress filtering.

Jeśli VID jest dozwolony, przełącznik podejmuje decyzję o tagowaniu ramki w zależności od typu portu wyjściowego. Dla portu Access tag jest usuwany, ponieważ urządzenie końcowe oczekuje standardowych ramek untagged. Dla portu Trunk tag pozostaje, ponieważ drugi przełącznik potrzebuje informacji o przynależności VLAN do dalszego przetwarzania.

Dla portu Hybrid decyzja zależy od tego, czy VID ramki jest zgodny z PVID portu. Jeśli tak, tag jest usuwany, jeśli nie, tag pozostaje. Jeśli VID nie znajduje się na liście dozwolonych VLAN-ów, ramka jest odrzucana, co zapobiega nieautoryzowanemu przepływowi ruchu między segmentami sieci.

Praktyczne przykłady logiki Egress ilustrują typowe scenariusze, z którymi spotyka się administrator sieci podczas konfiguracji VLAN-ów. W pierwszym przykładzie ramka z VID 10 wychodzi przez port Access z PVID 10, co powoduje usunięcie tagu i wysłanie standardowej ramki Ethernet do stacji końcowej. Jest to najprostszy i najczęściej występujący scenariusz w sieciach dostępowych.

W drugim przykładzie ramka z VID 20 wychodzi przez port Trunk z listą dozwolonych VLAN-ów obejmującą VID 20, co powoduje pozostawienie tagu i wysłanie ramki tagged do drugiego przełącznika. Dzięki temu drugi przełącznik wie, że ramka należy do VLAN 20 i może kontynuować jej przetwarzanie w odpowiednim kontekście. Mechanizm ten umożliwia budowanie rozległych sieci VLAN obejmujących wiele przełączników.

W trzecim przykładzie ramka z VID 50 wychodzi przez port Trunk, na którym lista dozwolonych VLAN-ów nie obejmuje VID 50, co powoduje odrzucenie ramki. Jest to przykład egress filtering, który zapobiega przedostawaniu się ruchu z nieautoryzowanych VLAN-ów do innych segmentów sieci. Taki mechanizm jest kluczowy dla utrzymania izolacji między wirtualnymi sieciami.

Podsumowanie bloku dotyczącego logiki Ingress i Egress obejmuje trzy kluczowe procesy, które zachodzą podczas przetwarzania ramek w przełączniku z obsługą VLAN. Proces Ingress odpowiedzialny jest za klasyfikację ramki do odpowiedniego VLAN-u poprzez dodanie tagu dla ramek untagged lub weryfikację tagu dla ramek tagged. Filtrowanie Ingress odrzuca ramki tagged z nieautoryzowanym VID, co zapobiega przedostawaniu się niepożądanego ruchu do sieci.

Proces Egress odpowiedzialny jest za przygotowanie ramki do wysłania przez port docelowy, w tym ewentualne usunięcie tagu dla portów Access lub pozostawienie tagu dla portów Trunk. Filtrowanie Egress odrzuca ramki z VID, które nie znajdują się na liście dozwolonych VLAN-ów dla portu wyjściowego. Dzięki tym mechanizmom przełącznik zapewnia, że ruch jest zawsze przetwarzany w odpowiednim kontekście VLAN, a izolacja między wirtualnymi sieciami jest utrzymywana.

Zrozumienie logiki Ingress i Egress jest kluczowe przy projektowaniu i diagnozowaniu sieci z VLAN-ami. Kolejny blok prezentacji przedstawi praktyczne scenariusze projektowe wykorzystujące poznane mechanizmy.

Dobre praktyki projektowania VLAN-ów są niezbędne do utrzymania sieci w stanie uporządkowanym i łatwym w zarządzaniu. Stosowanie opisowych nazw VLAN-ów zamiast samych numerów znacząco ułatwia pracę administratorom, szczególnie w dużych sieciach z setkami wirtualnych sieci. Przyjęcie spójnego planu numeracji, na przykład rezerwacja zakresu 1-100 dla urządzeń sieciowych i 101-200 dla działów, pozwala na szybką identyfikację przeznaczenia VLAN-u na podstawie jego identyfikatora.

Zmiana domyślnego native VLAN z 1 na inny identyfikator jest standardową praktyką bezpieczeństwa, ponieważ VLAN 1 jest domyślnym VLAN-em we wszystkich przełącznikach i często jest celem ataków. Grupowanie portów fizycznie według VLAN-u ułatwia zarządzanie i zmniejsza ryzyko błędów konfiguracyjnych. Prowadzenie dokumentacji, w której opisano przypisanie portów i VLAN-ów, jest niezbędne w przypadku awarii lub zmiany personelu odpowiedzialnego za sieć.

Warto również regularnie przeglądać konfigurację VLAN-ów i usuwać nieużywane, aby uniknąć niepotrzebnej złożoności sieci. Automatyzacja konfiguracji za pomocą narzędzi takich jak Ansible może znacząco zmniejszyć ryzyko błędów ludzkich.

Scenariusz małej firmy z jednym przełącznikiem i dwoma VLAN-ami jest typowym przykładem podstawowej segmentacji sieci korporacyjnej. VLAN 10 dla administracji i serwerów zapewnia izolację krytycznych zasobów od ogólnego ruchu pracowniczego. VLAN 20 dla pracowników obejmuje pozostałe stacje robocze, które potrzebują dostępu do Internetu i aplikacji biurowych, ale nie powinny mieć bezpośredniego dostępu do serwerów.

Wolne porty 21-24 pozostawione w domyślnym VLAN 1 mogą być w przyszłości wykorzystane do rozbudowy sieci lub podłączenia urządzeń tymczasowych. W praktyce zaleca się jednak przeniesienie wszystkich używanych portów do dedykowanych VLAN-ów i wyłączenie VLAN 1 na wszystkich portach dla zwiększenia bezpieczeństwa. Routing między VLAN-ami może być realizowany przez router zewnętrzny lub przełącznik wielowarstwowy.

Taka konfiguracja zapewnia podstawową izolację między działami przy minimalnych kosztach i złożoności. Jest to rozwiązanie odpowiednie dla firm zatrudniających do kilkudziesięciu pracowników, gdzie wymagania bezpieczeństwa nie są bardzo restrykcyjne.

Scenariusz z dwoma przełącznikami połączonymi łączem Trunk ilustruje rozszerzenie VLAN-ów na wiele urządzeń fizycznych. Przełącznik A na pierwszym piętrze obsługuje VLAN 10 dla księgowości i VLAN 20 dla IT, natomiast przełącznik B na drugim piętrze obsługuje VLAN 20 dla IT i VLAN 30 dla kadr. Łącze Trunk między przełącznikami umożliwia przepływ ruchu dla wszystkich trzech VLAN-ów, co pozwala na komunikację między stacjami IT znajdującymi się na obu piętrach.

Dzięki łączu Trunk przełącznik A może przesyłać ruch z VLAN 10 i VLAN 20 do przełącznika B, a przełącznik B może przesyłać ruch z VLAN 20 i VLAN 30 do przełącznika A. Przełącznik A widzi ruch z VLAN 30 przychodzący przez Trunk, ale nie ma na nim portów Access dla VLAN 30, więc ruch ten jest przekazywany tylko między portami Trunk. Podobnie przełącznik B widzi ruch z VLAN 10, ale nie ma dla niego portów Access.

Taka konfiguracja jest typowa w sieciach firmowych zajmujących wiele pięter lub budynków. Łącze Trunk może być również zrealizowane jako agregacja łączy LACP w celu zwiększenia przepustowości i niezawodności połączenia między przełącznikami.

Router-on-a-Stick to architektura, w której pojedynczy interfejs routera jest podłączony do portu Trunk przełącznika i obsługuje routing między wieloma VLAN-ami. Router odbiera ramki tagged z różnych VLAN-ów, odczytuje ich identyfikatory i podejmuje decyzje routingu na podstawie docelowych adresów IP. Jest to ekonomiczne rozwiązanie dla małych i średnich sieci, które nie wymaga zakupu drogich przełączników wielowarstwowych.

Głównym ograniczeniem architektury Router-on-a-Stick jest przepustowość pojedynczego łącza między routerem a przełącznikiem, które musi obsłużyć cały ruch między wszystkimi VLAN-ami. W przypadku sieci 100 Mbps może to stanowić znaczące wąskie gardło, szczególnie przy intensywnej komunikacji między segmentami. W nowoczesnych sieciach stosuje się przełączniki wielowarstwowe L3, które wykonują routing sprzętowo w układzie ASIC, co eliminuje ten problem.

Konfiguracja Router-on-a-Stick wymaga utworzenia na routerze wielu podinterfejsów logicznych, każdy przypisany do innego VLAN-u. Każdy podinterfejs otrzymuje adres IP z odpowiedniej podsieci i stanowi bramę domyślną dla urządzeń w danym VLAN-ie.

Konfiguracja VLAN-ów w systemie MikroTik RouterOS przeszła znaczącą ewolucję od przestarzałej metody Master-Port do nowoczesnego modelu Single Bridge z VLAN Filtering. Metoda Master-Port, dostępna w starszych wersjach RouterOS, nie wspierała sprzętowego przyspieszania routingu ani VLAN-ów w układzie ASIC, co ograniczało wydajność. Nowy model Single Bridge pozwala na scentralizowane zarządzanie VLAN-ami na interfejsie bridge z pełnym wsparciem HW offload na odpowiednim sprzęcie.

Komenda /interface bridge vlan add umożliwia zdefiniowanie VLAN-ów na bridge i określenie, które porty należą do poszczególnych VLAN-ów. Mechanizm VLAN Filtering automatycznie zarządza tagowaniem ramek na podstawie konfiguracji portów, co upraszcza administrację siecią. HW offload jest dostępny na przełącznikach serii CRS3xx i CRS5xx, gdzie całe przetwarzanie VLAN-ów odbywa się sprzętowo w układzie ASIC, zapewniając wydajność na poziomie przełączników korporacyjnych.

Prezentacja wprowadza jedynie koncepcję konfiguracji w MikroTik, a szczegółowe przykłady zostaną przedstawione w osobnej części poświęconej konfiguracji urządzeń. Administratorzy powinni zapoznać się z oficjalną dokumentacją MikroTik Wiki przed przystąpieniem do konfiguracji produkcyjnej.

Podsumowanie prezentacji obejmuje sześć kluczowych wniosków, które stanowią esencję wiedzy o VLAN-ach w standardzie IEEE 802.1Q. Technologia VLAN umożliwia logiczną segmentację warstwy 2 w ramach jednego lub wielu fizycznych przełączników, gdzie każdy VLAN stanowi osobną domenę rozgłoszeniową. Ramka 802.1Q zawiera czterobajtowy znacznik z polami TPID, PCP, DEI i VID, który identyfikuje przynależność do konkretnej wirtualnej sieci.

Rozróżnienie na porty Access, Trunk i Hybrid pozwala na elastyczne dopasowanie konfiguracji do różnych scenariuszy użycia. PVID jest kluczowym parametrem determinującym domyślny VLAN dla ramek untagged na porcie, a logika Ingress i Egress zapewnia prawidłowe przetwarzanie ramek. VLAN-y rozwiązują problemy wydajności poprzez ograniczenie domen rozgłoszeniowych, bezpieczeństwa poprzez izolację warstwy 2 oraz elastyczności poprzez łatwą rekonfigurację.

Komunikacja między VLAN-ami wymaga routingu realizowanego przez router zewnętrzny lub przełącznik wielowarstwowy. Zrozumienie tych koncepcji jest niezbędne dla każdego administratora sieci projektującego nowoczesne sieci LAN.