- Что такое коммутатор и как он работает?
- Порты коммутатора: Access и Trunk
- Что такое VLAN и зачем он нужен?
- Native VLAN — что это за зверь?
- Как настраивать VLAN и порты коммутатора?
- Частые ошибки при настройке VLAN и trunk
- Широковещательный домен и VLAN
- IP-адресация и приватные сети
- Как кадр идёт по сети?
- Протокол Spanning Tree (STP) и избыточность
- Аппаратные таблицы коммутаторов
- Port Channel и LACP
- Безопасность и контроль доступа к сети
- Мультикаст и IGMP
- Мониторинг и визуализация
- FAQ
- Чек-лист по настройке VLAN и портов на коммутаторе
- Полезные советы
Сети — это как городские дороги, а коммутаторы — светофоры и развязки, которые направляют трафик, чтобы никто не въехал друг в друга. Сегодня мы отправимся в увлекательное путешествие по миру сетевых коммутаторов, VLAN, портов, адресов и протоколов. За окном коммутаторы от 2-го уровня до магистральных решений с тонкостями настройки, а у вас — куча вопросов? Спойлер: после этой статьи вы будете это сможете настроить свою сеть, как профи.
Что такое коммутатор и как он работает?
Коммутатор — это устройство, которое работает на втором уровне модели OSI, канальном уровне. Его задача — принимать Ethernet-кадры на одном порту и отправлять их на другой, тот, где находится адресат. Если представить, что кадр — это посылка с адресом, коммутатор проверяет, куда её отправить.
Коммутатор запоминает, какой MAC-адрес (уникальный физический адрес устройства) находится на каком порту, в своей таблице коммутации (MAC-таблице). Если адрес неизвестен, он рассылает посылку на все порты (за исключением входного) — это называется широковещанием.
Режимы коммутации
- Store-and-Forward (С промежуточным хранением): коммутатор получает весь кадр целиком, проверяет его на ошибки и только потом отправляет. Надёжно, но чуть медленнее.
- Cut-Through (Сквозной): коммутатор начинает пересылать кадр сразу после чтения адреса получателя (первые 64 байта). Быстро, но без проверки ошибок.
- Fragment-Free (Бесфрагментный): что-то среднее — ожидает первых 64 байта, чтобы отфильтровать коллизии, и затем пересылает.
| Режим | Скорость | Надёжность | Особенности |
|---|---|---|---|
| Store-and-Forward | Медленнее | Высокая | Проверка CRC, отбрасывает повреждённые кадры |
| Cut-Through | Быстрее | Ниже | Нет проверки ошибок, подходит для одинаковых скоростей |
| Fragment-Free | Средняя | Средняя | Отфильтровывает коллизии |
Порты коммутатора: Access и Trunk
Access порт
- Это вход для конечных устройств: компьютеров, принтеров, телефонов.
- Принимает и отправляет нетегированный трафик (без VLAN метки).
- Каждому Access порту назначается один VLAN (например, VLAN 10).
- Когда на порт приходит кадр, коммутатор помечает его тегом VLAN, чтобы понимать, к какому сегменту сети он относится.
Trunk порт
- Соединяет два коммутатора или коммутатор и маршрутизатор.
- Передаёт трафик нескольких VLAN, при этом кадры содержат тег VLAN (метку с номером VLAN).
- Использует стандарт 802.1Q для "обёртывания" кадра тегом.
- Есть понятие native VLAN — это VLAN, трафик которого не тегируется, чтобы обеспечить совместимость с устаревшими устройствами.
Что такое VLAN и зачем он нужен?
Представьте офис, где бухгалтерия, отдел продаж и IT работают отдельно, но по одной физической сети. Чтобы разделить трафик и повысить безопасность, используют VLAN — виртуальные локальные сети. VLAN логически делят сеть на изолированные сегменты, хотя физически устройства подключены к одному коммутатору.
- Каждый VLAN — отдельный широковещательный домен.
- Трафик из одного VLAN не попадает в другой без маршрутизации.
- Максимальное количество VLAN — 4096 (12 бит на идентификатор).
VLAN-теги 802.1Q
Когда кадр идёт через trunk порт, к нему добавляется тег VLAN в заголовок Ethernet-кадра. Это позволяет коммутатору понять, к какому VLAN относится пакет.
Native VLAN — что это за зверь?
- Native VLAN — это VLAN, трафик которого не получает тег на trunk порту.
- Используется для поддержки устаревших устройств, которые не понимают VLAN-теги.
- Важно, чтобы native VLAN был одинаковым с обеих сторон соединения, иначе возможны ошибки и предупреждения.
Как настраивать VLAN и порты коммутатора?
Вот типичные команды для Cisco-среды:
## Создать VLAN с номером и названием
vlan 10
name Accounting
## Настроить access порт
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
## Настроить trunk порт
interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30
switchport trunk native vlan 99
Не забудьте создать VLAN до назначения его портам! Иначе коммутатор ругнётся, или настройка не заработает.
Частые ошибки при настройке VLAN и trunk
| Ошибка | Что происходит | Как исправить |
|---|---|---|
| VLAN не создан перед назначением | Порты не функционируют, связь отсутствует | Создайте VLAN командой vlan <номер> |
| Несовпадение native VLAN на trunk | Появляются предупреждения, возможны петли | Выставьте одинаковый native VLAN на обоих концах |
| Нет разрешённых VLAN на trunk | Трафик не проходит | Используйте switchport trunk allowed vlan |
| Тегированный кадр на access-порт | Кадр отбрасывается | Access-порты принимают только нетегированный трафик |
| Нетегированный кадр на trunk-порт | Помещается в native VLAN | Настройте native VLAN и проверьте |
Широковещательный домен и VLAN
Широковещательный домен — область сети, в которой широковещательные сообщения достигают всех устройств. VLAN помогает разделять широковещательные домены. Это важно, чтобы избежать «штормов» и повысить безопасность.
IP-адресация и приватные сети
Внутри локальных сетей используются приватные IP-адреса из диапазонов:
| Диапазон | Описание |
|---|---|
| 10.0.0.0 — 10.255.255.255 | Класс A приватный |
| 172.16.0.0 — 172.31.255.255 | Класс B приватный |
| 192.168.0.0 — 192.168.255.255 | Класс C приватный |
Приватные адреса повторяются в разных локальных сетях, но не выходят в Интернет напрямую.
Как кадр идёт по сети?
Путь кадра похож на цепочку конвейера:
- Приложение создаёт данные (например, ICMP-запрос ping).
- Данные инкапсулируются в пакет IP (3 уровень).
- Пакет оборачивается в Ethernet-кадр (2 уровень) с MAC-адресами источника и получателя.
- Сетевая карта отправляет кадр бит за битом в кабель.
- Коммутатор читает MAC-адрес получателя, ищет порт в таблице коммутации.
- Кадр пересылается в нужный порт или рассылается всем (если MAC неизвестен).
- Конечное устройство принимает, удаляет заголовки и передаёт данные вверх по стеку.
Протокол Spanning Tree (STP) и избыточность
В сетях часто нужна избыточность для отказоустойчивости: если кабель порвётся, связь не потеряется. Но избыточность приводит к петлям, из-за которых кадры могут ходить бесконечно.
STP — это протокол, который логически отключает лишние пути, чтобы не было петель, при этом обеспечивая быстрый возврат при отказе основных путей.
Аппаратные таблицы коммутаторов
Коммутаторы используют специализированные таблицы для скорости обработки:
| Таблица | Назначение |
|---|---|
| CAM (Content Addressable Memory) | Таблица MAC-адресов для L2 коммутации |
| TCAM (Ternary CAM) | Обрабатывает ACL, фильтры и сложные правила |
| FIB (Forwarding Information Base) | Таблица маршрутизации для L3 коммутации |
Port Channel и LACP
Чтобы увеличить пропускную способность или обеспечить отказоустойчивость, несколько физических портов объединяют в один логический канал — Port Channel.
LACP — протокол автоматического объединения портов.
| Плюсы Port Channel | Минусы и особенности |
|---|---|
| Увеличение полосы | Пакеты одного потока идут по одному физическому каналу (чтобы не было путаницы) |
| Отказоустойчивость | Требует одинаковой конфигурации с обеих сторон |
Безопасность и контроль доступа к сети
- Port Security: ограничивает количество и/или MAC-адреса на порту. Можно заблокировать порт при обнаружении чужого устройства.
- DHCP Snooping: контролирует DHCP-сообщения, чтобы избежать подмены DHCP-сервера злоумышленником.
- IP Source Guard: блокирует пакеты с неправильными IP-MAC связями.
- Dynamic ARP Inspection: предотвращает подмену ARP сообщений.
Мультикаст и IGMP
Мультикаст — передача от одного источника группе получателей. Чтобы не швырять пакеты по всей сети, используется протокол IGMP, который отслеживает, кто хочет получать мультикаст.
Мониторинг и визуализация
Для мониторинга сети применяют:
- SNMP: собирает статистику с устройств.
- Syslog: хранит системные сообщения.
- NetFlow: анализирует поток трафика.
- Визуализация через Zabbix, Grafana, LibreNMS и др.
FAQ
Q: Что будет, если на access порт придёт тегированный кадр?
A: Он будет отброшен.
Q: Можно ли подключить компьютер к trunk порту?
A: Да, если сетевой адаптер и ОС поддерживают 802.1Q.
Q: Зачем нужен native VLAN?
A: Для поддержки устройств, которые не понимают VLAN-теги.
Q: Почему пинг между двумя компьютерами в разных VLAN не проходит?
A: VLAN изолируют трафик, для связи между VLAN нужен маршрутизатор.
Q: Как узнать, какие VLAN разрешены на trunk порту?
A: Командой show interfaces trunk или show interfaces switchport.
Чек-лист по настройке VLAN и портов на коммутаторе
- [ ] Создать VLAN с нужным номером и именем
- [ ] Назначить Access порты к соответствующим VLAN
- [ ] Настроить trunk порты с разрешёнными VLAN
- [ ] Убедиться, что native VLAN совпадает с обеих сторон
- [ ] Проверить таблицу VLAN и состояние портов (
show vlan brief) - [ ] Проверить trunk-порты (
show interfaces trunk) - [ ] Сохранить конфигурацию (
copy running-config startup-config) - [ ] Проверить связь между устройствами в одном VLAN
- [ ] Проверить изоляцию между VLAN
Полезные советы
- Перед настройкой изучите план сети и назначение VLAN.
- Не смешивайте разные VLAN на access портах.
- Native VLAN по умолчанию — 1, но её лучше менять, чтобы избежать проблем.
- Всегда создавайте VLAN до назначения их портам.
- Для повышения отказоустойчивости используйте Port Channel и STP.
- Для безопасности используйте Port Security и DHCP Snooping.
- Для мониторинга и диагностики используйте SNMP и Syslog.
Вот теперь можно сказать, что ваша сеть — это настоящая железная дорога, где каждый поезд знает свой путь, а станции четко управляются диспетчером. С такой сетью даже школьник поймёт, как работает интернет в офисе!