Prokursy Online

Podstawy

VLAN

6 min czytaniaPostęp: 66/78Nieukończona

A) Podstawy: VLAN vs IP, OSI, broadcast

1) Czym różni się VLAN od podsieci IP?

Odpowiedź:
VLAN to separacja logiczna w warstwie 2, a podsieć IP to podział adresacji w warstwie 3.

Teoria:

  • VLAN działa na switchu (MAC, ramki, broadcast)

  • Podsieć IP działa na adresach IP i masce

  • Często 1 VLAN = 1 podsieć, ale to konwencja, nie obowiązek

2) Czy VLAN działa w warstwie 2 czy 3 modelu OSI?

Odpowiedź:
Warstwa 2 (Data Link).

Teoria:
VLAN nie zna IP, routingu ani bram – tylko ramki Ethernet i MAC.

3) Co to jest broadcast i dlaczego VLAN-y go ograniczają?

Odpowiedź:
Broadcast to pakiet do wszystkich hostów w sieci.

Teoria:
Każdy VLAN to osobna domena broadcastowa, więc broadcast nie „zalewa” całej sieci.

4) Co to jest broadcast domain i co ją rozdziela: VLAN czy subnet?

Odpowiedź:
Broadcast domain rozdziela VLAN.

Krótka teoria:

  • VLAN tworzy osobną domenę broadcastową

  • Subnet dotyczy adresacji IP (L3)
    📌 VLAN rozdziela broadcast, subnet nie.

Zdanie kluczowe:
Każdy VLAN to osobna domena broadcastowa.

B) Adresacja: klasy IP, podsieci, „ten sam subnet”

5) Czy VLAN musi być w innej klasie adresowej niż pozostałe VLAN-y? Dlaczego?

Odpowiedź
❌ Nie, VLAN nie musi być w innej klasie adresowej.
✔️ Musi być w innej podsieci IP.

Teoria

  • VLAN działa w warstwie 2 (L2) – logiczna separacja switcha

  • Klasa adresowa (A/B/C) i IP to warstwa 3 (L3)

  • Routing odbywa się między podsieciami, a nie między klasami
    📌 Klasy adresowe to pojęcie historyczne (sprzed CIDR)

Poprawnie

  • VLAN10 → 192.168.10.0/24

  • VLAN20 → 192.168.20.0/24

6) Czy dwa VLAN-y mogą używać tej samej klasy adresowej? Dlaczego?

Odpowiedź:
Tak. Klasa adresowa nie ma znaczenia.

Teoria:
Liczy się podsieć IP, nie klasa A/B/C (CIDR).

7) Czy dwa VLAN-y mogą być w tej samej sieci 192.168.1.0/24?

Odpowiedź:
❌ Nie.

Teoria

  • Routing działa na adresach IP

  • Jeśli dwa VLAN-y mają ten sam subnet:

    • router nie wie, do którego VLAN-u wysłać pakiet

    • konflikt logiczny
      📌 1 VLAN = 1 podsieć IP (zasada praktyczna)

8) Czy VLAN i podsieć IP to to samo? 1 różnica.

Odpowiedź:
Nie. VLAN to warstwa 2, a podsieć IP to warstwa 3.

Krótka teoria

  • VLAN = separacja ramek i broadcastu

  • Podsieć IP = adresacja i routing

  • Często 1 VLAN = 1 podsieć, ale to konwencja

C) Dlaczego nie działa ping między VLAN-ami + rola L3

9) Dlaczego po utworzeniu VLAN-ów hosty w różnych VLAN-ach nie mogą się pingować?

Odpowiedź:
Bo VLAN-y są odseparowanymi domenami broadcastowymi.

Teoria:
Ping między VLAN-ami wymaga routingu w warstwie 3 (router lub switch L3).

10) Dlaczego VLAN-y nie komunikują się między sobą mimo że są na tym samym switchu?

Odpowiedź:
Bo VLAN-y to oddzielne domeny broadcastowe (L2).

Teoria

  • Switch L2 przełącza ramki po MAC

  • Nie routuje IP

  • VLAN-y są logicznie rozdzielone
    Do komunikacji potrzebna warstwa 3
    📌 Ten sam switch ≠ ta sama sieć

11) Dlaczego zwykły switch L2 nie wystarczy do komunikacji między VLAN-ami?

Odpowiedź:
Bo switch L2 nie routuje IP – działa tylko na MAC (warstwa 2).

Krótka teoria

  • VLAN-y to różne domeny broadcastowe

  • Komunikacja wymaga routingu (warstwa 3)

  • Switch L2 nie podejmuje decyzji IP

12) Czym jest inter-VLAN routing?

Odpowiedź:
To routing między VLAN-ami w warstwie 3.

Teoria:
Realizowany przez:

  • router

  • switch L3 (SVI – interfejsy VLAN)

13) Router czy switch L3 – jaka różnica w kontekście VLAN-ów?

Odpowiedź:
Oba routują VLAN-y, ale switch L3 robi to szybciej i lokalnie.

Teoria

  • Router: klasyczne rozwiązanie, mniejsza wydajność

  • Switch L3: routing sprzętowy, duże sieci LAN

14) Jak na switchu L3 realizowana jest komunikacja między VLAN-ami?

Odpowiedź:
Przez inter-VLAN routing na SVI (Switch Virtual Interface).

Krótka teoria

  • Każdy VLAN ma wirtualny interfejs IP (SVI)

  • Switch L3 routuje pakiety między tymi interfejsami

  • To odpowiednik „portów routera” bez kabla

15) Co jest bramą domyślną dla hostów w VLAN-ie przy switchu L3?

Odpowiedź:
Adres IP SVI danego VLAN-u na switchu L3.

Krótka teoria

  • Host wysyła ruch „poza swoją sieć” do gateway

  • Gatewayem jest SVI, a nie fizyczny router

  • Switch L3 pełni rolę routera lokalnego

16) Co to jest SVI?

Odpowiedź:
SVI to wirtualny interfejs VLAN na switchu L3 z adresem IP.

Krótka teoria

  • SVI = brama domyślna VLAN-u

  • Switch L3 routuje między SVI

D) Access vs Trunk + native VLAN + allowed VLAN

17) Czym różni się access port od trunk port?

Odpowiedź

  • Access → 1 VLAN, brak tagów

  • Trunk → wiele VLAN-ów, tagi 802.1Q

Teoria
Access port

  • dla komputerów, kamer, drukarek

  • urządzenie nie zna VLAN-ów

  • switch sam przypisuje VLAN

Trunk port

  • między switchami / routerem / L3

  • przesyła wiele VLAN-ów jednym kablem

  • używa tagowania 802.1Q

18) Co to jest trunk i kiedy jest potrzebny?

Odpowiedź:
Trunk to port przenoszący wiele VLAN-ów jednym łączem.

Teoria

  • używa tagowania 802.1Q

  • potrzebny między: switch–switch, switch–router, switch–L3

19) Co się stanie, jeśli trunk nie ma dozwolonego VLAN-u?

Odpowiedź
❌ Ruch tego VLAN-u nie przejdzie.

Teoria

  • Trunk ma listę allowed VLAN

  • Jeśli VLAN nie jest dozwolony:

    • ramki są odrzucane

    • VLAN „nie istnieje” po drugiej stronie
      📌 Częsty błąd konfiguracyjny

20) Co się stanie, jeśli port access dostanie ramkę z tagiem VLAN?

Odpowiedź:
Zostanie odrzucona (lub przypisana do native VLAN – zależnie od konfiguracji).

Teoria:
Access port oczekuje nietagowanych ramek.

21) Czy port ACCESS może należeć do więcej niż jednego VLAN-u?

Odpowiedź:
❌ Nie.

Krótka teoria

  • Port access: przypisany do jednego VLAN-u

  • wysyła i odbiera nietagowane ramki

  • urządzenie końcowe nie zna VLAN-ów
    📌 Jeden port access = jeden VLAN.

22) Czy switch L2 może mieć skonfigurowany VLAN?

Odpowiedź:
✅ Tak.

Krótka teoria

  • VLAN to funkcja warstwy 2

  • Switch L2:

    • tworzy VLAN-y

    • przypisuje porty

    • obsługuje trunki (802.1Q)
      ❌ Nie routuje IP

Zdanie rekrutacyjne:
Switch L2 może mieć wiele VLAN-ów, ale nie potrafi routować ruchu IP między nimi.

23) Czy port TRUNK może podłączyć komputer?

Odpowiedź:
❌ Nie (w normalnej sieci).

Krótka teoria

  • Komputer nie obsługuje tagów VLAN i nie rozumie 802.1Q

  • Trunk wysyła ramki z tagami
    Efekt: brak komunikacji
    📌 Wyjątek: serwery/VM/laby (poza INF.02).

E) VLAN bez routera

24) Czy VLAN działa bez routera? Jeśli tak – w jakim zakresie?

Odpowiedź
✅ Tak, VLAN działa bez routera – lokalnie.
❌ Nie działa komunikacja między VLAN-ami.

Teoria

  • VLAN tworzy osobną domenę broadcastową

  • Urządzenia w tym samym VLAN-ie:

    • widzą się

    • pingują

    • działają bez routera

  • Do komunikacji VLAN ↔ VLAN potrzebna jest warstwa 3
    📌 VLAN = separacja
    📌 Router / switch L3 = komunikacja

F) Hotel / monitoring / bezpieczeństwo / ACL

25) Dlaczego monitoring nie powinien mieć dostępu do internetu?

Odpowiedź:
Ze względów bezpieczeństwa.

Teoria

  • kamery nie potrzebują Internetu do pracy

  • ograniczenie powierzchni ataku

  • brak wycieku danych

26) Jak zablokujesz monitoring → biuro, ale pozwolisz biuro → monitoring?

Odpowiedź:
Za pomocą ACL (Access Control List).

Krótka teoria

  • ACL działa w warstwie 3/4

  • Pozwala sterować kto → do kogo

  • Reguły jednokierunkowe: allow / deny

27) (Hotel) Kamery (VLAN10), recepcja (VLAN20), serwer (VLAN30) — kto się widzi?

Odpowiedź (krótko)

  • VLAN10 → VLAN30 ✅

  • VLAN20 → VLAN30 ✅

  • VLAN10 ↔ VLAN20 ❌

Krótka teoria

  • Kamery wysyłają strumień do serwera

  • Recepcja ogląda obraz z serwera

  • Kamery nie powinny widzieć komputerów (bezpieczeństwo)
    📌 ACL / firewall na L3

Notatki (opcjonalnie)
PoprzedniaNastępna