Grunder om VLAN

I ett switch-baserat nätverk möjliggörs uppdelning av ett fysiskt nätverk i flera virtuella nätverk. Dessa virtuella nätverk är kända som virtuella LAN, därmed förkortningen VLAN. Virtuella LAN underlättar grupperingar av nätverksenheter per LAN, även om fysiskt alla nätverksenheter är anslutna till en och samma switch. Nätverksuppdelningen görs av olika skäl exempelvis baserat på faktorer som funktion, användarens åtkomst till resurser eller applikationer som får användas.

Varje VLAN anses vara ett separat logiskt nätverk därmed adresseras de med specifika nätverksadresser. Nätverksenheter inom varje VLAN kommunicerar med varandra i sitt eget nätverk, även om de delar en gemensam infrastruktur med andra VLAN. Det innebär att nätverkstrafik behålls inom varje VLAN och när det förekommer kommunikation mellan VLAN hanteras detta av en router som kan dirigera nätverkstrafik.

Bild 1: VLAN teknik

Fördelar med VLAN

VLAN förbättrar nätverksprestanda genom att separera stora nätverksområde till mindre. VLAN möjliggör implementering av åtkomst- och säkerhetspolicy som styr grupper eller individuella nätverksenheter och användare. Här nedan listas några fördelar till:

 • Datoranvändare kan placeras på olika våningar även om deras datorer är anslutna till samma switch.
 • Högre säkerhet eftersom paketleverans sker i ett mindre och begränsat LAN.
 • Broadcast trafik kan begränsas genom att minska broadcast-domäner.
 • Åtkomst till nätverkstjänster per avdelning (per VLAN).

Typer av VLAN

Det finns ett antal olika typer av VLAN:

Data VLAN

En Data VLAN är konfigurerad att bära användargenererad trafik och inte VLAN-hanteringstrafik eller röst-trafik. Det är vanligt att separera röst- och VLAN-hanteringstrafik från vanlig datatrafik. En data VLAN kallas ibland som en User VLAN. Data VLAN används för att separera användargrupper per VLAN.

Default VLAN

Alla portar i en switch tillhör till Default VLAN som konfigureras automatiskt vid switchens initiala start. Efter den initiala uppstarten av en switch tillhör dess portar till en och samma broadcast-domän. Detta gör det möjligt kommunikationen mellan alla nätverksenheter som är anslutna till switchen. Denna default VLAN kallas VLAN 1 vilket kan verifieras med kommandot show vlan brief:

Bild 2: Default VLAN, VLAN 1

VLAN 1 kan inte raderas eller byta namn och som default fjärradministreras switchar via VLAN 1.

Native VLAN

En inbyggd VLAN tilldelas en 802.1Q trunk port. Denna port används av en switch för uppkoppling med andra nätverkshanterare, exempelvis andra switchar eller router. Om en switch kör tre VLANS hamnar alla paket på trunk-porten. För att identifiera datatrafik specifik till varje VLAN används inkapslingsprotokoll 802.1Q

Bild 3: Default VLAN, VLAN 1

Datatrafik från olika VLAN kan hamna på switchens trunk port och även datatrafik från andra icke-vlan nätverk. För att skilja datatrafik mellan används inkapslingsprotokollet 802.1Q som associerar datatrafik till sitt VLAN.

Ethernet switchar är L2-nätverkshanterare därmed datatrafiken är egentligen Ethernet FRAME. Switch som stödjer VLAN-teknik markerar ramar (frames) med en etikett som inkluderas i varje ram (frame). Denna etikett kallas på engelska TAG och markerade ramar kallas på engelska “tagged trafik“. Allt annat datatrafik kallas “untagged trafik“.

Bild 4: Ethernet frame format

Markerad trafik refererar till trafik som har en 4-byte-tagg infogad i den ursprungliga Ethernet-ramhuvudet (se bilden ovan). När omarkerade frame hamnar på switchens trunkport betraktas de som en del av native VLAN vilken som default är VLAN 1. Det rekommenderas att konfigurera en annan native VLAN än VLAN 1, mest av säkerhetsskäl.

Management VLAN

En management VLAN är vilken VLAN som helst som är konfigurerad för fjärradministrationen. Som default är VLAN 1 en sådan som kan hanteras över nätverk ifall det behövs. VLAN 1 tilldelas det virtuella interfacet (Switch Virtual Interface, SVI) som adresseras med en lämplig IP-adress och nätmask så att switchen kan hanteras via HTTP, Telnet, SSH eller SNMP.

Tidigare var Management VLAN för en 2960 switch den enda aktiva SVI. På 15.x-versioner av Cisco IOS för Catalyst 2960 Series-switch är det möjligt att ha mer än en aktiv SVI. Cisco IOS 15.x kräver att det specifika aktiva SVI som är tilldelat för fjärrhantering dokumenteras. Medan teoretiskt kan en switch ha mer än en fjärradministration VLAN ökar det också risken till exponeringen för nätverksattacker.

Voice VLAN

En separat VLAN behövs för att stödja Voice over IP (VoIP). VoIP-trafik kräver:

 • Garanterad bandbredd för att säkerställa röstkvaliteten
 • Överföringsprioritering över andra typer av nätverkstrafik
 • Förmåga att dirigeras runt överbelastade nätverksområden
 • Fördröjning på mindre än 150 ms över nätverket
 • För att uppfylla dessa krav måste hela nätverket utformas för att stödja VoIP.
Bild 5: Voice VLAN

I bilden ovan är VLAN 150 konfigurerad för att bära rösttrafik. Studentdatorn PC5 som är ansluten till Cisco IP-telefonen och telefonen ansluten till switch S3 genererar rösttrafik som skickas ut till porten F0/18. Switch S3 identifierar rösttrafiken och associerar till VLAN 150 och vidarebefordrar till switch S1.

VLAN Trunk

En trunk är en punkt-till-punkt-länk mellan två switchar som bär mer än en VLAN. Virtuella LAN skulle inte vara mycket användbar utan VLAN-trunkar. VLAN-trunkar tillåter all VLAN-trafik att sprida sig mellan switchar så att nätverksenheter som är i samma VLAN, men som är anslutna till olika switchar, kan kommunicera med varandra utan ingrepp av en router.

Bild 6: VLAN trunk

I bilden ovan är länkarna mellan switchar S1 och S2 och S1 och S3 konfigurerade för att tillåta trafik som kommer från VLANs 10, 20, 30 och 99 över nätverket. Observera att PC1 och PC4 tillhör till ett och samma virtuellt LAN, VLAN 10. Det samma för enheten PC2 och PC5 som är med i VLAN 20. Det finns också i exemplet VLAN 30 ditt tillhör PC3 och PC6.

Switch S1 tar emot frame från PC1, PC2 och PC3 och skickar de till porten F0/11 som är en trunkport. Switch S1 ansluter samman switcharna S2 och S3 så den också har konfigurerade trunkport interface F0/1 och F0/3.

Markerade ramar på nativ VLAN 1

Vissa enheter som stöder trunking lägger till en VLAN-tagg till nativ VLAN-trafik. Om en 802.1Q trunkport får en taggad ram med VLAN-ID som är samma som den nativa VLAN, tar switchen ramen bort från trafiken. Därmed bör portar i switchar konfigureras för att inte skicka datatrafik via den nativa VLAN.

Omarkerade ramar på nativ VLAN 1

När en Cisco-switch via trunkport mottar omarkerade ramar skickas de ramarna till den nativa VLAN. Om det inte finns några enheter som är associerade med det nativa VLAN (vilket inte är ovanligt) och om inte finns trunkportar (vilket inte heller är ovanligt) tas omarkerade ramar bort från trafiken.

Bild 7: Markerade och omarkerade ramar

I bilden ovan är PC1 ansluten till en hubb och den till en 802.1Q trunk-länk. PC1 sänder omarkerade trafik som switcharna associerar med den nativa VLAN och vidarebefordrar den omarkerade datatrafik. Den nu markerade datatrafik från PC1 skickas till alla VLAN 1 i nätverket. PC1 frame tas bort av trunkportarna.

Hubbar används inte längre i dagens moderna nätverk.

Dynamic Trunking Protocol

När två switchar kopplas ihop uppstår trafik mellan de. Varje switch har en default konfiguration där alla portar lyssnar på datatrafik inom VLAN 1. Hur uppstår datatrafik mellan två switchar? Svaret är DTP.

DTP används av switchar för att förhandla ett visst arbetsläge, ett trunk läge så att olika VLAN-ramar kan flöda fram och tillbaka mellan dessa två switchar. Alla interface eller portar på en switch har två arbetsläge: Access eller Trunk. Som default konfigureras alla portar som Access port, men varje port är redo att förhandla möjligheten att bli trunk port tack vare protokollet DTP. Detta protokoll är normalt aktiverat på varje port och för bättre hantering kan protokollet konfigureras statiskt.

DTP packet skickas ut varje 60 sekunder och annonserar viljan att bli trunk-port. Förhandlingar kan generera olika arbetsläge beroende på kombinationer mellan följande alternativ:

 • Dynamic auto -En switchs port i dynamic auto läge annonserar inte viljan till att arbeta i trunk-läge. Men beroende på den andra switchens port arbetsläge kan ändå switchen ställa sig in i trunk-läget, exempelvis om den andra port är i dynamic desirable läge.
 • Dynamic desirable -En switchs port i dynamic desirable läge kommer aktivt att annonsera viljan att arbeta i trunk-läget.
 • Trunk – En switchs port i trunk-läge arbetar i trunk-läge, men också kan porten gå in förhandlingar för att arbeta i trunk-läget med en annan switch.
 • Access – En switchs port i access-läget arbetar just i det läget och annonserar inte någon vilja att arbeta i trunk-läget.

Bild 8: DTP arbetsläge