I ett traditionellt Ethernet-nätverk tillhör alla enheter samma fysiska nätverk så länge de är anslutna till samma switch eller till sammankopplade switchar. Detta innebär att broadcast-trafik skickas till alla enheter, oavsett funktion eller organisatorisk tillhörighet. När nätverket växer kan detta leda till sämre prestanda, svårare administration och ökade säkerhetsrisker.

VLAN (Virtual Local Area Network) används för att dela upp ett fysiskt nätverk i flera logiska nätverk. En switchport kan då tillhöra ett specifikt VLAN oberoende av var den är fysiskt placerad. Användare kan därför grupperas efter funktion, till exempel avdelning eller yrkesroll.

Varje VLAN utgör ett eget broadcast-domän, vilket begränsar broadcast-trafik till respektive VLAN. Kommunikation mellan olika VLAN kräver routing, vilket ger bättre kontroll, högre säkerhet och en mer strukturerad nätverksdesign.

Hur VLAN-teknik fungerar i praktiken

VLAN implementeras på switchar genom att varje port tilldelas ett VLAN-ID. När en Ethernet-ram tas emot kopplas den till rätt VLAN baserat på portens konfiguration. Inuti switchen behandlas varje VLAN som ett separat logiskt nätverk.

När flera switchar kopplas samman används trunklänkar. En trunk transporterar trafik från flera VLAN samtidigt genom att ramar märks med en VLAN-tagg enligt IEEE 802.1Q. På så sätt kan VLAN sträcka sig över flera switchar.

Eftersom switchar normalt arbetar på lager 2 kan de inte routa mellan VLAN. Kommunikation mellan VLAN kräver därför en router eller en multilayer-switch.

Switchfunktioner i laborationen

I laborationen används även två funktioner kopplade till Spanning Tree:

• spanning-tree portfast – Används på accessportar där endast slutenheter (t.ex. datorer) är anslutna. Porten går då direkt till forwarding-läge, vilket ger snabbare nätverksåtkomst.
• spanning-tree bpduguard enable – Skyddar nätverket genom att stänga av porten om den tar emot en BPDU. Detta förhindrar att en switch ansluts till en accessport och påverkar Spanning Tree-topologin.

Topologi

I topologin används Catalyst 2960-switchar och en Cisco 1941-router.

Tre olika yrkesroller placeras i egna VLAN med tillhörande IP-nät, även om användarna befinner sig på olika våningar i byggnaden.

Router-on-a-Stick – routing mellan VLAN

Kommunikation mellan VLAN sker via Router-on-a-Stick på routern R1. Routern ansluts till switchen via en fysisk port som delas upp i flera subinterfaces, ett för varje VLAN.

Varje subinterface:

• Märks med rätt VLAN-ID (802.1Q)
• Tilldelas en IP-adress
• fungerar som default gateway för VLAN:et

På detta sätt kan routern routa trafik mellan VLAN 2, VLAN 3 och VLAN 4 via en enda fysisk länk.

DHCP – automatisk adresstilldelning

R1 fungerar också som DHCP-server för alla VLAN. För varje VLAN skapas en separat DHCP-pool.

När en klient ansluter till nätverket:

1. klienten skickar en DHCP-förfrågan
2. routern identifierar vilket VLAN klienten tillhör
3. En IP-adress från korrekt DHCP-pool tilldelas

Klienten får då automatiskt korrekt IP-adress, nätmask och default gateway.

Konfigurationer

Sammanfattning

VLAN är en grundläggande teknik i moderna nätverk som gör det möjligt att separera trafik logiskt utan att bygga separata fysiska nät. Genom att kombinera VLAN, trunkar och Router-on-a-Stick kan flera avdelningar dela samma infrastruktur samtidigt som säkerhet och struktur bibehålls.