VLAN
1. Scenariusz z życia (najpierw problem)
W jednej sieci są: księgowość (dane finansowe, drukarki), recepcja (PMS, rezerwacje), monitoring (kamery IP, rejestrator), goście Wi‑Fi (laptopy, telefony). Wszyscy w jednej sieci — jeden broadcast, jedna domena rozgłoszeniowa.
Efekt: chaos. Ruch z kamer leci obok ruchu z księgowości. Gość podłącza zainfekowany laptop — wirus rozchodzi się po całej sieci. Ktoś z recepcji może podsłuchać ruch księgowości (w tej samej sieci L2). Gdy któryś host generuje dużo broadcastów, cierpią wszyscy (broadcast storm). Jedna awaria lub jeden złośliwy host wpływa na całą firmę.
Dopiero w tym momencie pojawia się rozwiązanie: podział sieci na segmenty logiczne. VLAN to właśnie taki podział — nie fizyczne przełączniki, ale logiczne „oddzielne sieci” w jednym urządzeniu.
2. Co się naprawdę dzieje w sieci (mechanizm)
Switch bez VLAN-ów = jedna domena rozgłoszeniowa. Wszystkie porty należą do jednej sieci. Ramka broadcast z dowolnego portu trafia na wszystkie pozostałe. Każdy host „widzi” każdego.
VLAN to w praktyce kilka oddzielnych switchy w jednym urządzeniu. Przełącznik utrzymuje osobne tablice MAC per VLAN. Ruch z VLAN 10 nie trafia do portów w VLAN 20.
Ramki między switchami (lub między switchem a routerem) muszą być rozróżnialne. Stąd tag 802.1Q — w ramce Ethernet dodawany jest identyfikator VLAN. Switch wie, do którego segmentu przekazać ramkę. Porty przypisane do urządzeń końcowych zwykle nie widzą tagu — host dostaje ramkę bez tagu (untagged); switch dopisuje tag wewnętrznie na podstawie konfiguracji portu.
Urządzenia z różnych VLAN-ów się nie widzą na poziomie L2. Nie ma bezpośredniej komunikacji MAC–MAC między VLAN-ami. Do komunikacji między VLAN-ami potrzebny jest router (lub switch warstwy 3).
3. Access vs Trunk — zrozumienie, nie konfiguracja
Port access — port dla urządzenia końcowego (komputer, drukarka, telefon, kamera). Należy do jednego VLAN-u. Urządzenie końcowe wysyła i odbiera ramki bez tagu; switch przypisuje ramki do VLAN-u tego portu. Jeden VLAN na porcie.
Port trunk — port między switchami albo do routera, przenoszący ruch wielu VLAN-ów. Ramki idą z tagiem 802.1Q, żeby drugi switch (lub router) wiedział, do którego VLAN-u je przypisać. Na jednym kablu leci ruch z wielu VLAN-ów.
Tagged / untagged / native VLAN. Tagged = ramka ma tag 802.1Q (numer VLAN-u). Untagged = ramka bez tagu; switch traktuje ją jako należącą do tzw. native VLAN (domyślnego VLAN-u na tym porcie). Na porcie trunk zwykle jeden VLAN jest „native” (untagged), pozostałe są tagged. Na porcie access ruch jest untagged — host nie obsługuje tagów.
Nazewnictwo u różnych producentów:
| Pojęcie | Cisco | MikroTik | TP-Link | UniFi |
|---|---|---|---|---|
| Port dla hosta (jeden VLAN) | access | untagged | untagged | native |
| Port między switchami (wiele VLAN-ów) | trunk | tagged | tagged | trunk |
4. Dlaczego VLAN to bezpieczeństwo
Izolacja sieci gości. Goście Wi‑Fi w osobnym VLAN-ie. Nie widzą komputerów księgowości ani recepcji. Nie mają dostępu do drukarek firmowych ani do systemów wewnętrznych. Nawet przy wycieku z punktu dostępowego zagrożenie ogranicza się do tego segmentu.
Separacja kamer. Monitoring w dedykowanym VLAN-ie. Ruch z kamer nie zapycha sieci biurowej. Dostęp do kamer można ograniczyć do wąskiej grupy (np. ochrona, admin) i do rejestratora — reszta sieci nie „widzi” kamer na L2.
Ograniczenie broadcastów. Broadcast z jednego VLAN-u nie trafia do innych. Mniejsza domena broadcast = mniej zbędnego ruchu i mniejsze ryzyko broadcast storm. Każdy VLAN to osobna domena rozgłoszeniowa.
Podstawowa segmentacja bezpieczeństwa. VLAN to nie firewall — to granica: „tu jest sieć A, tu sieć B”. Dalsze polityki (kto z kim może rozmawiać) realizuje router/firewall między VLAN-ami. VLAN daje podstawę: najpierw rozdzielasz, potem decydujesz, jaki ruch między segmentami jest dozwolony.
5. Routing między VLAN
VLAN nie robi routingu. VLAN dzieli sieć na segmenty L2. Komunikacja między hostem w VLAN 10 a hostem w VLAN 20 wymaga warstwy 3.
Potrzebny jest router albo switch warstwy 3 (L3 switch). Router ma interfejsy (fizyczne lub wirtualne) w różnych VLAN-ach i przekazuje pakiety między nimi według tablicy routingu. To jest moment, w którym zaczyna się firewall i polityki: co wolno między VLAN-ami, a co nie. Bez routera/L3 hosty z różnych VLAN-ów nie wymienią ruchu.
6. Myślenie administratora
VLAN-ów nie planuje się według pokoi ani pięter. Planuje się według funkcji i zagrożeń.
- Księgowość — osobny VLAN (dane wrażliwe).
- Recepcja — osobny lub wspólny z innymi stanowiskami biurowymi, w zależności od polityki.
- Monitoring — osobny VLAN (izolacja, ograniczenie dostępu).
- Goście — osobny VLAN (izolacja od sieci firmowej).
- Serwery, zarządzanie — według przyjętej struktury.
Sieć odzwierciedla strukturę organizacyjną i wymagania bezpieczeństwa firmy, nie układ biur.
7. Zapamiętaj — fakty egzaminowe (6 punktów)
- Switch bez VLAN-ów = jedna domena rozgłoszeniowa; VLAN = logiczny podział — kilka „switchy” w jednym urządzeniu; ramki mogą mieć tag 802.1Q.
- Port access = urządzenie końcowe, jeden VLAN, ruch untagged. Port trunk = między switchami/routerem, wiele VLAN-ów, ruch tagged (oraz opcjonalnie native VLAN untagged).
- Urządzenia z różnych VLAN-ów nie widzą się na L2; do komunikacji między VLAN-ami potrzebny router lub switch L3.
- VLAN to podstawowa segmentacja i bezpieczeństwo: izolacja gości, separacja monitoringu, ograniczenie broadcastów; dalsze polityki realizuje firewall/router między VLAN-ami.
- VLAN planuje się według funkcji i zagrożeń (np. księgowość, recepcja, monitoring, goście), nie według pokoi.
- Nazewnictwo: Cisco access/trunk; MikroTik/TP-Link untagged/tagged; UniFi native/trunk — logika ta sama.