VLANy od A po Z: konfigurácia 802.1Q trunku a Router‑On‑Stick v praxi

V dnešnom digitálnom svete sú VLANy základom pre moderné, bezpečné a efektívne siete. Tento článok ti krok za krokom ukáže, ako ich správne nakonfigurovať – od teórie až po prax. Pozrieme sa na konfiguráciu 802.1Q trunku na prepínači, Router‑On‑Stick na routeri a na to, ako prepojiť viacero VLANov, aby fungovali ako jedna integrovaná sieť. Všetko vysvetlené jednoducho, zrozumiteľne, no zároveň technicky presne.

1. Čo sú VLANy a prečo ich používať?

VLANy (Virtual LAN) umožňujú rozdeliť fyzickú sieť na viacero logických segmentov, aj keď všetko beží na jednom prepínači alebo zapojených prepínačoch. Výhody:

• Rozdelenie zasvätenia a bezpečnosti – napr. VLAN pre IT oddelenie a VLAN pre hostí.
• Zníženie broadcastov – len v rámci danej VLAN.
• Jasnejšia správa a plánovanie siete.

Bez VLAN by všetko bežalo v jednej veľkej broadcast doméne – čo môže viesť k problémom s dostupnosťou alebo bezpečnosťou.

2. Ako funguje 802.1Q trunk

802.1Q trunk je protokol, ktorý umožňuje prenášať viaceré VLANy cez jeden fyzický port medzi prepínačmi alebo prepínačom a routerom.

• Na trunk port sa pridáva vTag – pridaný rámec VLAN tag podľa štandardu.
• Rámy bez tagu sa považujú za súčasť tzv. native VLAN.

Konfigurácia na Cisco switchi (napr. Catalyst):

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk native vlan 1
 switchport trunk allowed vlan 10,20,30

Tento konfig otvorí trunk port, ktorý prenesie VLANy 10, 20 a 30. VLAN 1 zostáva native (bez tagu).

3. Router‑On‑Stick: ako premostiť viac VLANov

Router‑On‑Stick je spôsob, ako router spracuje viacero VLANov cez jediný fyzický port. Používajú sa sub‑rozhrania (sub‑interfaces).

interface GigabitEthernet0/0.10
 encapsulation dot1q 10
 ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
 encapsulation dot1q 20
 ip address 192.168.20.1 255.255.255.0

Takto router prijíma (trunk) a rozdelí traffic pre VLAN 10 a 20. Klientske zariadenia v týchto VLANach používajú router ako gateway.

4. Ako nakonfigurovať celý scenár

1. Vytvor VLANy na prepínači:

vlan 10
 name Sales
vlan 20
 name Engineering

2. Nastav prístupové porty pre jednotlivé VLANy:

interface GigabitEthernet0/2
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/3
 switchport mode access
 switchport access vlan 20

3. Trunk port pridaj pre router:

interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk allowed vlan 10,20

4. Router: nastav sub‑rozhrania a gateway:

interface GigabitEthernet0/0.10
 encapsulation dot1q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
 encapsulation dot1q 20
 ip address 192.168.20.1 255.255.255.0

5. Test: ping z PC v VLAN10 do PC v VLAN20 – trasa prejde cez router‑on‑stick.

5. Skvelý príklad: VLANy + DMZ

Predstav si firmu, kde máš VLAN 10 pre internú sieť, VLAN 20 pre zamestnancov, a VLAN 30 pre DMZ (web servery). Trunkom sa prenesú všetky VLANy na router, ktorý DMZ označí firewall pravidlami. Túto koncepciu preberáme aj v kurze NA2.

6. Výhody a úskalia scenára

• Jeden fyzický port pre viac VLAN = jednoduchosť a úspora káblov.
• Všetko je centralizované – router ako jediné miesto pre smerovanie a firewall.
• Ochrana medzi VLANami – interné VLANy sú izolované bezpečnejšie.
• Úzke hrdlo – trunk port aj router‑on‑stick musia mať dostatočnú cezhraničnú kapacitu.

7. Laboratórne cvičenia v kurze NA2

1. Scenár s tromi VLANami – konfigurácia a testovanie VLAN prepojenia.
2. Nativen VLAN test – čo sa stane, ak použiješ natívnu VLAN na trunk? Nastav, otestuj a analyzuj.
3. ACL pravidlá – zamedz komunikácii medzi VLAN napr. hostami a internetom.
4. Rozšírený scenár s DMZ a Load Balancerom.

8. Najčastejšie otázky (FAQ)

1. Čo je difference medzi access portom a trunkom?
   Access je pre jednu VLAN, trunk umožňuje viaceré prenosy naraz.
2. Prečo mám nastaviť native VLAN?
   Zabezpečí kompatibilitu so zariadeniami, ktoré nepodporujú tagovanie.
3. Je problém používať viac sub‑rozhraní?
   Nie, ale router‑on‑stick má limitné pásmo. Veľké siete využívajú vrstvu 3 switche.

Top 5 zaujímavostí o VLANách & trunku

1. 802.1Q je štandard od roku 1998 – používa sa dodnes v moderných sieťach.
2. Native VLAN 1 je default – ale často ho meníme pre bezpečnosť.
3. Router‑On‑Stick je efektívny pre menšie siete, v korporátnom prostredí sa používa L3 switching.
4. Trunk môže prenášať až 4094 VLAN (ID 1–4094).
5. SESION: trunk má bezpečnosť cez DTP a VTP – možnosť dynamickej výmeny VLAN údajov.

Záver

VLANy s trunkom 802.1Q a Router‑On‑Stick sú kľúčové technológie v správe moderných sietí. Vďaka nim môžeš rozložiť, zabezpečiť a optimalizovať svoje sieťové prostredie – a pritom použiť len niekoľko káblov. Ak chceš všetko tento scenár poskladať v praxi a vyskúšať si ho v laboratóriu – pridaj sa do kurzu NA2 – Prepínanie v sieťach, VLAN a konfigurácia Cisco switchov a zvládni ho s profesionálmi!

Kurz NA0 - Administrácia LAN/WAN a návrh TCP/IP sietí - základné koncepty

Kurz NA1 - Základy administrácie sietí LAN/WAN a smerovanie v TCP/IP sieťach

Ako začať programovať?

Úvod do programovania pre každého bez prechádzajúcich znalostí.

Stiahnite si náš ebook teraz výnimočne zdarma!!!

STIAHNÚT TERAZ

Viac informacií preberáme na kurze:

Kurz NA2 - Prepínanie v sieťach, VLAN a konfigurácia prepínačov Cisco

Súvisiace články:

• TCP vs UDP: Kľúčové rozdiely a použitie v praxi
• Diagnostika TCP/IP sietí – nauč sa riešiť chyby ako profi
• IPv4 adresovanie krok za krokom – rozumej subnetom a CIDR
• Nákup verejných IPv4 adries – čo, kde a za koľko?
• Dynamické smerovanie: RIP, OSPF i EIGRP v akcii
• Windows TCP/IP nástroje pre sieťovú diagnostiku – ipconfig, traceroute, pathping
• Ako fungujú metódy forwardovania (Store‑and‑Forward, Cut‑Through, Fast‑Forward) na Cisco switchoch