.
Z
Z
y
y
X
X
E
E
L
L
C
C
o
o
m
m
m
m
u
u
n
n
i
i
c
c
a
a
t
t
i
i
o
o
n
n
s
s
P
P
o
o
l
l
s
s
k
k
a
a
,
,
D
D
z
z
i
i
a
a
ł
ł
W
W
s
s
p
p
a
a
r
r
c
c
i
i
a
a
T
T
e
e
c
c
h
h
n
n
i
i
c
c
z
z
n
n
e
e
g
g
o
o
U
U
l
l
.
.
O
O
k
k
r
r
z
z
e
e
i
i
1
1
A
A
,
,
0
0
3
3
-
-
7
7
1
1
5
5
W
W
a
a
r
r
s
s
z
z
a
a
w
w
a
a
,
,
T
T
e
e
l
l
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
0
0
,
,
F
F
a
a
x
x
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
1
1
Konfiguracja VLAN’ów na przełącznikach serii 2000, 3000 i 4000.
Przełączniki serii ES/GS-2000/3000 i 4000 obsługują sieci wirtualne LAN (VLAN) zgodne ze
standardem IEEE 802.1Q. Główną cechą tej funkcjonalności jest oznaczanie ramek służących do
przenoszenia informacji VLAN pomiędzy połączonymi ze sobą urządzeniami sieciowymi.
Dzięki oznaczaniu ramek do każdej ramki przesyłanej w sieci dołączane jest czterobajtowe pole
znacznika. Znacznik identyfikuje sieć VLAN, do której należy ramka. Znacznik może zostać dodany
do ramki przez stację końcową lub przez urządzenie sieciowe, takie jak przełącznik (poprzez
konfigurację PVID na porcie – wszystkie nieoznaczone pakiety trafiające do przełącznika zostaną
oznaczone zgodnie ze zdefiniowaną wartością PVID). Sieci VLAN oferują większą wydajność dzięki
redukcji ruchu rozgłoszeniowego, a także dzięki swej architekturze oferują wysoki poziom
bezpieczeństwa sieci. Kontrola ruchu między sieciami VLAN może odbywać się na przełącznika
trzeciej warstwy lub routerach.
Topologia sieci i założenia
\
Konfiguracja
Definicja VLANów
Domyślnie wszystkie porty znajdują się w VLAN 1 (ustawienia fabryczne).
Dodatkowo musimy wykreować dwa VLANy.
Serwer + Admin PC = VLAN 20
PC2 + PC 3 = VLAN 10
Definicja PVID
Port 15 należy do VLAN’u 20 i VLAN’u 10 (PVID 1) – wszystkie stacje mogą osiągać ten port.
Port 10 należy do VLAN’u 20 (PVID 20) – PC2 i PC3 nie mogą osiągnąć tego portu, Admin PC może.
Port 5 i 7 należą do VLAN’u 10 (PVID 10) – PC2 i PC3 mogą komunikować się z sobą i mogą
osiągać bramę na porcie 15.
Port 1 należy do VLAN’u 20 (PVID 20) – PC 2 i PC3 nie mogą osiągnąć tego portu, Admin PC może
osiągnąć port 10 do którego podłączony jest serwer.
Uwaga:
Router, PC i Serwer nie
rozpoznają tagowanych
ramek 802.1Q.
Założenia:
•
PC2 i PC3 nie mają prawa
skomunikować się z PC1
•
Wszystkie stacje i serwer
mają dostęp do Internetu
•
Tylko PC1 ma dostęp do
serwera.
.
Z
Z
y
y
X
X
E
E
L
L
C
C
o
o
m
m
m
m
u
u
n
n
i
i
c
c
a
a
t
t
i
i
o
o
n
n
s
s
P
P
o
o
l
l
s
s
k
k
a
a
,
,
D
D
z
z
i
i
a
a
ł
ł
W
W
s
s
p
p
a
a
r
r
c
c
i
i
a
a
T
T
e
e
c
c
h
h
n
n
i
i
c
c
z
z
n
n
e
e
g
g
o
o
U
U
l
l
.
.
O
O
k
k
r
r
z
z
e
e
i
i
1
1
A
A
,
,
0
0
3
3
-
-
7
7
1
1
5
5
W
W
a
a
r
r
s
s
z
z
a
a
w
w
a
a
,
,
T
T
e
e
l
l
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
0
0
,
,
F
F
a
a
x
x
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
1
1
Konfiguracja z poziomu WEB GUI
Sekcja konfiguracji sieci VLAN znajduje się w zakładce Advanced Application, VLAN.
Domyślnie wszystkie porty należą do VLAN’u 1. W celu konfiguracji dodatkowych sieci VLAN
wybieramy odnośnik Static VLAN znajdujący się w prawej górnej części okna konfiguracji.
Definiujemy VLAN10. Zgodnie z założeniami VLAN10 obejmuje komputer administratora
Admin PC podłączony do portu pierwszego. Dodatkowo w ramach tego VLAN’u administrator ma
prawo dostępu do serwera na porcie 10 i Internetu - port 15. Ponieważ wszystkie staje podłączone
do tych portów nie rozpoznają tagowanych ramek odznaczamy pole TX Tagging.
.
Z
Z
y
y
X
X
E
E
L
L
C
C
o
o
m
m
m
m
u
u
n
n
i
i
c
c
a
a
t
t
i
i
o
o
n
n
s
s
P
P
o
o
l
l
s
s
k
k
a
a
,
,
D
D
z
z
i
i
a
a
ł
ł
W
W
s
s
p
p
a
a
r
r
c
c
i
i
a
a
T
T
e
e
c
c
h
h
n
n
i
i
c
c
z
z
n
n
e
e
g
g
o
o
U
U
l
l
.
.
O
O
k
k
r
r
z
z
e
e
i
i
1
1
A
A
,
,
0
0
3
3
-
-
7
7
1
1
5
5
W
W
a
a
r
r
s
s
z
z
a
a
w
w
a
a
,
,
T
T
e
e
l
l
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
0
0
,
,
F
F
a
a
x
x
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
1
1
Analogicznie kreujemy VLAN20. Zgodnie z założeniami VLAN20 obejmuje komputery PC2 i
PC3 podłączone do portów 5 i 7. Dodatkowo w ramach tego VLAN’u komputery mają mieć
zapewniony dostęp do Internetu - port 15.
Po zdefiniowaniu dwóch VLAN’ów na stronie VLAN Status powinniśmy otrzymać poniższy wpis.
Ponieważ przychodzące do przełącznika ramki nie są tagowane, (komputery nie nadają
identyfikatora VID), należy zdefiniować w jaki sposób ramki mają być oznaczane na wejściu do
przełącznika.
.
Z
Z
y
y
X
X
E
E
L
L
C
C
o
o
m
m
m
m
u
u
n
n
i
i
c
c
a
a
t
t
i
i
o
o
n
n
s
s
P
P
o
o
l
l
s
s
k
k
a
a
,
,
D
D
z
z
i
i
a
a
ł
ł
W
W
s
s
p
p
a
a
r
r
c
c
i
i
a
a
T
T
e
e
c
c
h
h
n
n
i
i
c
c
z
z
n
n
e
e
g
g
o
o
U
U
l
l
.
.
O
O
k
k
r
r
z
z
e
e
i
i
1
1
A
A
,
,
0
0
3
3
-
-
7
7
1
1
5
5
W
W
a
a
r
r
s
s
z
z
a
a
w
w
a
a
,
,
T
T
e
e
l
l
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
0
0
,
,
F
F
a
a
x
x
:
:
0
0
2
2
2
2
3
3
3
3
3
3
8
8
2
2
5
5
1
1
Wybieramy odnośnik VLAN Port Settings z menu VLAN Status, znajdujący się w prawej
górnej części okna (obok odnośnika Static VLAN).
Konfiguracja z wiersza komend
Konfiguracja VLANów
Vlan 10
Name VLAN10
Normal 2-9, 11-14, 16-28
Fixe 1, 10, 15
Forbidden ””
Untaged 1, 10, 15
Exit
Vlan 20
Name VLAN20
Normal 1-4, 6, 8-14, 16-28
Fixe 5, 7, 15
Forbidden ””
Untaged 5, 7, 15
Exit
Konfiguracja PVID
Interface port-channel 1
Pvid 10
Exit
Interface port-channel 5
Pvid 20
Exit
Interface port-channel 7
Pvid 20
Exit
Interface port-channel 10
Pvid 10
Exit