Тема 15. Что такое VLAN 802.1Q? 

Спасибо за отзыв. Вам должны помочь любые курсы по SP: CCNP SP, JNCIS(IP)-SP, HCIP DATACOM. В основном наверное будут полезны MPLS и eBGP. Можно искать лабы по тем или иным темам, но наверное полностью погрузиться можно только работая в провайдере.

Выложить лабы это как? топология есть в ролике, можно имитировать её в любом удобном виде в gns или реальном оборудовании. Будет блок по настройке cisco, там будет поподробней. Ну а домашки в PacketTracer по ним нужно писать цикл роликов, таких видио по ютубу и так много. Посмотрим если будет запрос, возможно и сделаю.

Большое спасибо за отзыв!

очень объёмный вопрос. Ну во первых всегда есть некий native vlan и чаще всего это 1 вилан. Зачем его менять? 1.Может возникнуть ситуация когда нужно чтоб какой-то вилан на одном коммутаторе превратился из например 10 в 20 на других..и тогда если настроить соответствующие нэйтив с двух сторон можно добиться такого эффекта (Но это не best practice т.к. это может создать проблемы в работе STP и например vlan mismatch по CDP). 2. Вторая история это когда в транке нужно иметь возможность воткнуться туда ноутом и попасть в определенный вилан (для отладки и или управления), такое я видел в технологических сетях...стоит коммутатор на объекте, и если он сдох, то можно просто встать ноутом в аплинк и попасть в нэйтив вилан определенный....иначе нужно чем-то разбирать транк. 3. Ну и третья история это если в транке у вас стоит каналообразующее оборудование (DSL, оптический конвертер, мультиплексор, wi-fi\max, РРЛ) и имеет интерфейс управления нэйтив. И часто нужно чтоб такие интерфейсы попали в определенный вилан со стороны коммутатора. Ставим нужный нам нэйтив, рулим устройствами в канале.

Посмотрите лекцию по Huawei про VLAN, там этот аспект обсуждается.

В целом да, работать будет, но только а рамках вилана. Чаще всего между адресациями разных вилан вы подымаете маршрутизацию на 3 уровне, тут и возникнут проблемы одинаковой адресации. Но если мы говорим про провайдерскую историю и вилан терминируется на свой VRF, то без проблем - в каждом может быть одна и та же IP адресация.

​@@Networkisreachable Понял ! Благодарю ! Ещё вопрос если к access порту будет подключен простенький не управляемый свитч. Всё остается ведь тоже самое ? клиенты подключённые к этому свитчу будут в том же vlan в котором находит acces порт ?

@@IKar63 Да, именно так, только за портом коммутатора будет несколько маков.

Скорее всего ничего, просто его отбросит. Но я встречал например ADSL модемы которые передавали через себя тегированные кадры без проблем.

Я сети и виланы нарезаю по фунционалу и необходимости фильтрации таких сетей. К примеру: 5 отделов с одной сетевой политикой, ходят на прокси и на пару тройку серверов. Для них будет один acl, и под них логично отрезать сеть /26-/24, а зачем их резать если у них одни условия взаимодествия с сетью? Какие-нибудь бухгалтерии, отделы с особыми требованиями по безопасности в отдельный. Отдельно серверные сети, сети ilo и ipmi, сети управления, сеть dmz, сеть провайлера если она аелючена в коммутатор, сеть мфу, сеть видеонаблюдения, сеть охранной/пожарной сигнализации, сети voip, подсети для вай-фай, сети с устройствами энергетики, кондиционировпния итп, в общем есть что разграничивать по виланам кроме как резать отделы. А вот например в рамках вашего коммутатора вам нужна пара виланов для взаимодейсвия маршрутизаторов и там вы впоне можете использовать сети /30 или /31, ведь там никого больше не будет. Делите по фунционалу, а пользователей шинкуйте по требовпниям безопасности.

@@Networkisreachable нуу, там выйдут подсети по юзеров 200-400, у них особо разницы не будет в плане функционала и безопасности, пару штук, и с пару десятков мелочи. А если МФУ выделить в отдельный VLAN к ним нет проблем потом подключаться из другой подсети, у МФУ никаких сетевых экранов нет? и МФУ очень желательно как я понимаю закинуть в отдельную подсеть чтобы не шумели? Просто кроме МФУ, ПК и телефонии к сети больше ничего не подключено, вай-фая нет, охранная не в сети, камер штук 10-20 от силы, кондиционеры не в сети, и тд а серверные сети и далее умные вещи пока что не завели, в планах только, но ведь подсети по 200-400 человек тоже плохо, разве нет? Как найти баланс? Или всё нормально будет если всех закинуть в одну подсеть? Просто у нас используют общую файлопомойку для всех, на файловом сервере есть отдельные папки для некоторых отделов с ограниченным доступом, но большая часть папок просто под помойку. Насколько это плохо?

@@user-hf8rr8rt4i Ну исходите из 100-150 хостов в сети /24. И вы все время переключаетесь, то виланы, то подсети. В каждом вилане - своя отдельная подсеть. Выделять ли мфу в отдельный вилан это ваше право, я просто сказал как можно делать, нужно или нет - дело ваше. И да подсеть на 512 хостов это плохо, я бы не резал сетки крупнее /24, и не размещал бы там более 100-150 (это кстати даст около 50Кбит бродкаста) хостов. По политике файлового хранилища разбирайтесь исходя их требований безопасности вашего предприятия.

@@Networkisreachable ну на счёт vlan и подсетей, я имею одно и то же. Т.к. в моей голове закрепилось что VLAN это инструмент создания логических подсетей. На счёт остального понял, я почему то предполагал что 25-30 компов в одном VLAN уже много, а 150 это ужас, но раз это вполне более менее то учту. В принципе сейчас вряд-ли больше 100пк в одном VLAN, правда там с принтерами ещё вперемешку, но возможно фиг с ним. Вопрос не в тему, если МФУ подключена в локальную сеть которая физически никак не соединена с внешней сетью, и так же эта же МФУ соединена через usb с компьютером имеющим выход во внешнюю сеть(Интернет) без особой защиты, есть ли шанс проникновения в локальную сеть?

@@user-hf8rr8rt4i Основные идеи переноса МФУ в отдельный вилан это: 1. удобство администрирования, и выделения адресов если у мфу оно статическое. вы никогда не спутаете адрес мфу и пк 2. Раз это отдельный вилан, то в розетку для мфу можно включить только мфу, и вы без всяких port secutity останавливаете неконтролируемое перемещение мфу 3. У мфу часто есть фтп сервера, шары, с которых можно печатать\смотреть историю и даже скопировать что было напечатано, а если они в отдельном вилане, и ходить туда может только принт сервер, то значит никто на них тыкаться не будет. Кто у вас куда может и не может попасть по usb порту я не знаю.

В данной лекции мы не обсуждали VPN, Лекция по VPN тут ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-Vl21CIPME3M.html

Нет не возвращаем, на интерфейсе маршрутизатора широковещательный домен заканчивается. У нас есть 4ре домена и мы обеспечиваем их связанность уже на 3м уровне - IP

Ну например многие вендоры не рекомендуют использовать vlan 1 для пользовательских портов. Не совсем понял вопрос, с 1 виланом вы всё равно ничего не сделаете, он всегда есть по умолчанию.

Да, оговорка!