Prokursy Online

Podstawy

VLAN teoria

4 min czytaniaPostęp: 72/78Nieukończona

 

🧠 KURS VLAN – OD ZERA DO ADMINA (INF.02 / CCNA / PRAKTYKA)

0️⃣ ZANIM ZACZNIEMY – JAK MYŚLEĆ O SIECI

Sieć NIE jest magią.
Zawsze myśl w tej kolejności:

  1. Kabel / port – czy w ogóle jest połączenie

  2. Switch (L2) – kto z kim może gadać

  3. IP / routing (L3)czy wolno gadać poza siecią

  4. DNS / aplikacjeczy działa nazwa / usługa

VLAN dotyczy punktu 2.

1️⃣ MODEL OSI – FUNDAMENT (BEZ TEGO VLAN SIĘ NIE SKLEI)

Warstwa 1 – Fizyczna

  • kabel

  • port RJ-45

  • link / dioda

👉 Tu nie ma VLAN, IP, DNS

Warstwa 2 – Łącza danych (TU JEST VLAN)

  • ramki Ethernet

  • adresy MAC

  • switch

  • VLAN

  • broadcast

👉 VLAN = WARSTWA 2

Warstwa 3 – Sieciowa

  • adres IP

  • maska

  • routing

  • router

  • switch L3

👉 komunikacja między VLAN-ami = L3

ZŁOTE ZDANIE (zapamiętaj):

VLAN separuje w warstwie 2, routing łączy w warstwie 3.

2️⃣ CO TO JEST VLAN? (BARDZO PROSTO)

VLAN (Virtual LAN) to:

logiczne podzielenie jednego switcha na kilka oddzielnych sieci

Fizycznie:

  • jeden switch

  • jedna skrętka

  • te same porty

Logicznie:

  • kilka „osobnych sieci”

Przykład (hotel / firma)

Urządzenia VLAN
Komputery biura VLAN 10
Kamery VLAN 20
Goście Wi-Fi VLAN 30

👉 Są na tym samym switchu, ale nie widzą się.

3️⃣ VLAN ≠ PODSIEĆ IP (TO NAJWAŻNIEJSZY BŁĄD UCZNIÓW)

VLAN

  • warstwa 2

  • nie zna IP

  • separuje broadcast

Podsieć IP

  • warstwa 3

  • adres + maska

  • routing

👉 To różne mechanizmy.

Dlaczego w praktyce mówi się:

1 VLAN = 1 podsieć?

Bo:

  • routing działa między podsieciami

  • router musi wiedzieć „dokąd wysłać pakiet”

📌 To zasada praktyczna, nie „prawo fizyki”.

4️⃣ KLASY ADRESOWE – TYLKO HISTORIA

Klasy A / B / C:

  • nie mają związku z VLAN

  • są pojęciem historycznym

Dziś liczy się:

  • CIDR

  • maska

Poprawnie:

  • VLAN 10 → 192.168.10.0/24

  • VLAN 20 → 192.168.20.0/24

Ta sama klasa C, różne podsieci.

5️⃣ DOMENA BROADCASTOWA

Broadcast = pakiet „do wszystkich”.

Co rozdziela broadcast?

👉 VLAN

Każdy VLAN = osobna broadcast domain.

Dlaczego to ważne?

  • mniejszy chaos

  • lepsza wydajność

  • większe bezpieczeństwo

6️⃣ DLACZEGO VLAN-Y SIĘ NIE WIDZĄ NA JEDNYM SWITCHU?

Bo:

  • switch L2 nie routuje

  • VLAN = osobna domena broadcastowa

👉 Ten sam switch ≠ ta sama sieć.

7️⃣ ACCESS PORT – PORT DLA HOSTA

Co to jest port ACCESS?

  • zwykły port RJ-45

  • 1 VLAN

  • brak tagów

Do czego?

  • komputer

  • kamera

  • drukarka

Jak to działa?

  1. PC wysyła zwykłą ramkę

  2. switch mówi: „to VLAN 10”

  3. VLAN istnieje tylko wewnątrz switcha

  4. PC nie wie, że VLAN istnieje

📌 1 port access = 1 VLAN

8️⃣ TRUNK – PORT MIĘDZY URZĄDZENIAMI

Co to jest TRUNK?

  • też RJ-45

  • wiele VLAN-ów

  • tagowanie 802.1Q

Do czego?

  • switch ↔ switch

  • switch ↔ router

  • switch ↔ switch L3

  • switch ↔ AP

Bardzo ważne:

❌ trunk NIE służy do PC
❌ trunk NIE robi routingu

👉 trunk = transport VLAN-ów

9️⃣ CO JEŚLI PC TRAFI NA TRUNK?

  • PC wysyła ramki bez tagów

  • trunk oczekuje ramek z tagami

  • efekt:

    • brak DHCP

    • brak IP

    • brak komunikacji

📌 Wyjątek: serwery / VM (poza INF.02)

🔟 NATIVE VLAN (PUŁAPKA)

Native VLAN:

  • VLAN, do którego trafiają nietagowane ramki na trunku

Domyślnie:

  • VLAN 1 (zły pomysł)

Zagrożenie:

  • VLAN hopping

Dobra praktyka:

  • native VLAN = nieużywany (np. 999)

  • brak portów access

1️⃣1️⃣ ROUTING MIĘDZY VLAN-AMI (INTER-VLAN)

VLAN-y same się nie połączą.

Potrzebna jest warstwa 3.

Opcje:

  • router

  • switch L3

1️⃣2️⃣ SWITCH L3 I SVI (KLUCZ)

SVI (Switch Virtual Interface):

  • wirtualny interfejs VLAN

  • ma adres IP

  • jest bramą domyślną VLAN-u

Przykład:

VLAN 10 → SVI 192.168.10.1
VLAN 20 → SVI 192.168.20.1

👉 switch L3 routuje między SVI

1️⃣3️⃣ BRAMA DOMYŚLNA – GDZIE JEST?

Brama:

  • zawsze na hoście

  • wskazuje na:

    • router

    • albo SVI

Bez bramy:

  • działa tylko własna podsieć

1️⃣4️⃣ DEFAULT ROUTE (0.0.0.0/0)

Default route:

  • NA ROUTERZE / L3

  • mówi: „gdzie jest Internet”

Brak default route:

  • VLAN ↔ VLAN działa

  • Internet ❌

1️⃣5️⃣ DNS ≠ ROUTING

DNS:

  • zamienia nazwę → IP

Routing:

  • decyduje gdzie wysłać pakiet

Dlatego:

  • ping 8.8.8.8 działa

  • google.com nie → DNS

1️⃣6️⃣ MONITORING – PRAKTYKA

Dlaczego kamery nie powinny mieć Internetu?

  • bezpieczeństwo

  • brak potrzeby

  • mniejsza powierzchnia ataku

Kontrola:

  • ACL / firewall

1️⃣7️⃣ NAJCZĘSTSZE PUŁAPKI EGZAMINACYJNE

❌ VLAN = podsieć
❌ trunk = routing
❌ switch L2 routuje
❌ brama jest na switchu
❌ DNS = Internet

🧠 ZDANIA DO WKUCIA (100% EGZAMIN)

  • VLAN działa w warstwie 2

  • Routing działa w warstwie 3

  • Access = 1 VLAN

  • Trunk = wiele VLAN-ów

  • VLAN-y nie komunikują się bez routingu

  • SVI = brama VLAN-u

  • Brama jest na hoście

  • Default route jest na L3

 

Notatki (opcjonalnie)
PoprzedniaNastępna