Принцип работы с vlan?

Question

[velosipedist]

0. С вланами взаимодействую редко и мало (джуню на уровне "вот это сюда и туда прокинь тегом/антегом и проверь"), их созданием занимаются обычно люди выше и опытнее. Но хотелось бы разобраться и самому, хотя бы поверхностно.
Допустим, есть у меня стандартный vlan 1, это просто серая зона с выходом в общий интернет. И есть локалка, назовём её грубо - сферическая 10.10.20.0/25 в вакууме. И я могу просто под неё задать vlan 2, или вообще любой vlan n+1, а потом раскидывать это по своим маршрутизаторам и комкам?
Или же есть какие-то регламенты или негласные правила при создании вланов на сети? Как конкретно определить, какой номер присвоить влану и как правильно это оформить на своих железках?
1. Просьба не кидаться камнями и ссылками. Разжуйте как для тупого, пжлст.

Answer 1

[SunTechnik]

Коммутаторами без разницы какими принципами Вы руководствуетесь при создании vlan. А регламенты и правила могут отличаться в разных организациях (логично, если глядя на номер vlan можно было сразу понять к какой подсети он относится.

На Cisco, вроде действуют такие правила:

- обычный vlan имеют номера от 1 до 1005
- номера с 1002 до 1005 зарезервированы для Token Ring and FDDI VLANов
- номера 1, 1002 и 1005 создаются автоматически и не могут быть удалены

Comments

[velosipedist]

На сиську пока не лазил, но - поставлю заметку, буду знать.)

Answer 2

[Akina]

Или же есть какие-то регламенты или негласные правила при создании вланов на сети?

Есть неписанные правила, которые никто не обязан соблюдать. У каждого они свои. Вот, скажем. мой наборчик:

0. Структура VLAN должна формироваться до создания сети. Любые изменения на уже существующей архитектуре будут достаточно проблемны и болезненны, особенно если сеть 24*7.

1. Default VLAN (он же VLANID = 1) не должен использоваться в сети. Мягкий вариант - в данном VLAN нет ни одного порта, жёсткий - все порты Forbidden.

Исключения:
а) в сети вообще не используются VLAN;
б) имеется оборудование, которое (вопреки документации) не работает правильно без включения транковых портов в default VLAN - например, DES-3028P.

2. Сходные по назначению VLAN образуют группы, в которых VLANID помогает идентифицировать назначение VLAN.

Пример 1: группы с VLANID = 2-99 и 4001-4095 используются как администрирующие (доступ к интерфейсу управления и мониторинга коммутаторов), управляющие (скажем, для MSTP, MPLS и прочих протоколов, требующих отдельного управляющего VLAN) или для какого-нибудь вендор-специфического межкоммутаторного обмена.
Пример 2: группа с VLANID (например) 2x01-2x48 используется в гостинице для обеспечения проводного интернета (клиентского, SmartTV, IP-телефония), соответственно вторая цифра указывает на этаж, а 3-4 цифры на номер комнаты.

Относительно правила "в каждом VLAN строго одна подсеть"... кому-то это абсолютная истина, а кому-то пустой звук. Я отношусь ко второй группе. Хотя и признаю, что есть архитектуры, когда такое соответствие оправдано.

Comments

[velosipedist]

0. Есть такие варианты и моменты, когда приходится создавать и прокидывать вланы в существующей сети и, естественно, частенько (но ≠ всегда) такие мувы сопряжены с траблами как и в новом влане, так и в действующей сети. Я работаю именно в такой сети на данный.

spoiler

Вижу, что тоже понимаешь всю боль и безысходность.)

1. Да, дефолтный влан, влан 1, серая зона.
Не трогается обычно никем при настройке сети, но спокойно используется, например на тех же Хуювеях изолированная группа портов с единичкой для юзверей, да и на Элтексах та же история.
2. Сейчас немного не понял сути, но часто вижу, как во втором влане (именно vlan 2, а не vlanID) вешают доступ. И вообще вешают управление, мониторинг, etc. только в определённых вланах, но это больше правило вежливости и совместимости, читай - негласный договор между инженерами и архитекторами... Хотя, бывает и строго корпоративный регламент оформления сети.
3. Так а по сабжу есть что-нибудь? Меня конкретно интересует в первую очередь как их создают.)

[SunTechnik]

velosipedist,
Название vlan - вообще ни на что не влияет.
>> Меня конкретно интересует в первую очередь как их создают.)

Кого создают? Правила? Как договорились, так и делают.

Vlan? Как написано в доке на коммутатор.

У Вас вопросы по организации правил в Вашей организации, логичнее как бы подойти к коллеге и спросить..

[velosipedist]

SunTechnik, нет, техник сан, именно нейминг и порядок выбора и интересовал. Думал, что там строго при заведении влана.
А как у своих узнать регламент, я в курсе.)

[Akina]

velosipedist,

именно нейминг и порядок выбора и интересовал. Думал, что там строго при заведении влана.

Имя - это вообще ни о чём. Лучше считать, что это не имя, а комментарий. Посему - как тебе понятно, так в пределах допустимости имени (к примеру, пробелы или кириллица - недопустимы) и создавай. Но помни, что некоторые команды настройки желают оперировать заданным именем, что не всегда удобно. Посему имена стОит давать только виланам с достаточно ярко выраженной индивидуальностью. Скажем, Management или там SKUD... а для остальных просто делаем имя, совпадающее с номером, возможно, добавляя идентифицирующий функционал вилана префикс или постфикс, например, video1234 или 0123print.

Про порядок выбора номера (VLANID) я уже говорил. Тоже в принципе свободный выбор, и по возможности связь между номером и сутью.