Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych wydzielonych z większej sieci fizycznej. Urządzenie w danej sieci VLAN, niezależenie od swojej fizycznej lokalizacji należą do tej samej domeny rozgłoszeniowej. Sieci VLAN konfiguruję się w urządzeniach sieciowych warstwy 2 modelu ISO/OSI. Żadne ramki, nawet rozgłaszane, nie są przenoszone pomiędzy różnymi sieciami VLAN w urządzeniu, co oznacza całkowitą separację sieci fizycznej.
Przykładowe polecenia do konfiguracji routera
Przejście w tryb konfiguracji
R1# configure terminal
Tryb konfiguracji interfejsu FastEthernet 0/1
R1(config)#interface fa0/1
Podniesienie interfejsu FastEthernet 0/1
R1(config-if)#no shutdown
Utworzenie podinterfejsu FastEthernet 0/1.1
R1(config)#interface fa0/1.1
Umieszczenie podinterfejsu w sieci vlan 1
R1(config-subif)#encapsulation dot1Q 1
Przypisanie adresu ip / maski do podinterfejsu FastEthernet 0/1.1
R1(config-subif)#ip address 192.168.1.1 255.255.255.0
Utworzenie podinterfejsu FastEthernet 0/1.2
R1(config-subif)#interface fa0/1.2
Umieszczenie podinterfejsu w sieci vlan 2
R1(config-subif)#encapsulation dot1Q 2
Przypisanie adresu ip / maski do podinterfejsu FastEthernet 0/1.2
R1(config-subif)#ip address 192.168.2.1 255.255.255.0
Żeby zablokować (lub pozwolić) komunikacje między hostami w sieci – pc1 do pc3 należy na routerze utworzyć listę kontroli dostępu (Access-List). Utworzenie wpisu który zezwala na komunikacje między dwoma hostami spowoduję automatycznie zablokowanie komunikacji między wszystkimi innymi hostami – oraz odwrotnie, wpis który blokuje komunikację między dwoma hostami, pozwoli na dowolną komunikację miedzy innymi. Dlatego lista kontroli dostępu powinna być kompletna i zawierać pełne wpisy zezwalacie i blokujące komunikację w sieci. Wpisy na górze listy mają większy priorytet. Utworzoną listę ACL należy przypisać do konkretnego portu dla którym maja obowiązywać utworzone reguły. Do danego portu mogą być przypisane dwie listy dostępu – dla ruchu wychodzącego z danego interfejsu lub przychodzącego na dany interfejs:
router(config-if)# ip access-group 4 in //lista 4, ruch przychodzący
router(config-if)# ip access-group 78 out //lista 78, ruch wychodzący
Utworzenie listy ACL zezwalającej na komunikację między pc2 do pc3
Utworzenie wpisu zezwalający na komunikacje z pc2 do pc3 (lista 100 – rozszerzone IP)
R1(config)#Access-List 100 permit ip host 192.168.1.11 host 192.168.3.3
Tryb konfiguracji podinterfejsu FastEthernet 0/1.2 (pc2 działa w vlan 2)
R1(config)#interface fa0/1.2
Przypisanie wcześniej utworzonej listy ACL do interfejsu – ruch wychodzący
R1(config-subif)# ip access-group 100 out
Metaloman