- Что такое VLAN и зачем он нужен?
- Диапазоны VLAN: обычные и расширенные
- Создание VLAN на коммутаторе Cisco
- Присвоение портов VLAN: Access-порты и режим Access
- Режимы портов: Access vs Trunk
- Настройка Trunk: связь VLAN-ов по проводам
- Native VLAN: что за таинственный гость без тега?
- Голосовой VLAN: когда телефон встречается с компьютером
- Маршрутизация между VLAN (Inter-VLAN Routing)
- Проверка настроек и мониторинг
- Безопасность VLAN и Trunk
- Удаление VLAN и сброс настроек
- Быстрый чек-лист для настройки VLAN и trunk на Cisco
- FAQ
Представьте себе офис, где сотрудники сидят в разных отделах, а интернет и внутренние ресурсы распределяются так, чтобы никто случайно не "подслушал" чужой трафик. VLAN — это как невидимые стены и двери, которые разделяют пространство, создавая уютные и безопасные "комнаты" внутри одной большой сети. В этой статье мы шаг за шагом раскроем секреты создания, настройки и эксплуатации VLAN на коммутаторах Cisco. Готовы? Поехали!
Что такое VLAN и зачем он нужен?
Virtual Local Area Network (VLAN) — это виртуальная локальная сеть, позволяющая разбить один физический коммутатор на несколько логических сегментов. Это как если бы у вас был один большой дом, но вы делили его на квартиры, чтобы жильцы не мешали друг другу.
Каждый VLAN имеет уникальный идентификатор (ID), обычно от 1 до 4094, и обеспечивает изоляцию трафика между этими сегментами. Это помогает:
- Повысить безопасность (изолировать важные службы от посторонних)
- Снизить нагрузку и коллизии в сети
- Организовать удобное управление сетью
Диапазоны VLAN: обычные и расширенные
VLAN бывают двух основных типов — нормальные и расширенные. Как в зоопарке: есть обычные животные, а есть редкие и экзотические.
| Тип VLAN | Диапазон ID | Использование | Особенности |
|---|---|---|---|
| Нормальные | 1 – 1005 | Малые, средние и большие сети | ID с 1002 по 1005 зарезервированы для устаревших сетей (Token Ring, FDDI) |
| Расширенные | 1006 – 4094 | Очень большие сети и провайдеры | Требуют VTP в режиме transparent, хранятся в running-config |
Суммарно 12 бит выделено для VLAN ID в заголовке 802.1Q, что ограничивает количество VLAN 4096. Для сверхбольших сетей используют технологии типа VXLAN.
Создание VLAN на коммутаторе Cisco
Процесс создания VLAN похож на приготовление особенного блюда — надо правильно подобрать ингредиенты и тщательно следовать рецепту.
Пример создания VLAN 20 с именем student:
Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# name student
Switch(config-vlan)# end
Можно создавать сразу несколько VLAN через запятую или диапазон:
Switch(config)# vlan 100,102,105-107
После создания VLAN он сохраняется в файле vlan.dat, так что изменения не потеряются после перезагрузки.
Присвоение портов VLAN: Access-порты и режим Access
Каждый порт коммутатора — это дверь в квартиру. Чтобы дать ключ от этой "квартиры" конкретному устройству, порт нужно перевести в режим access и привязать к нужному VLAN.
Команды для назначения порта в VLAN:
Switch# configure terminal
Switch(config)# interface fa0/6
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# end
Для настройки сразу нескольких портов используется interface range:
Switch(config)# interface range fa0/4 - 5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Режимы портов: Access vs Trunk
В мире сетей два главных режима портов — как разные профессии на фабрике.
-
Access-порт: Работает с одним VLAN, предназначен для конечных устройств — компьютеров, принтеров, IP-телефонов. Трафик на входе "растегивается", на выходе тегируется для конкретного VLAN.
-
Trunk-порт: Связывает коммутаторы друг с другом. Пропускает трафик многих VLAN одновременно, используя маркировку (теги). Trunk — это мультиплексор VLAN-ов.
Настройка Trunk: связь VLAN-ов по проводам
Чтобы передавать трафик от нескольких VLAN через один порт, его переводят в режим trunk.
Команда для включения trunk:
Switch(config)# interface fa0/22
Switch(config-if)# switchport mode trunk
Инкапсуляция trunk: 802.1Q и ISL
- 802.1Q — стандартный протокол тегирования VLAN. По умолчанию поддерживается на современных коммутаторах Cisco.
- ISL — проприетарный протокол Cisco, устаревший, часто не поддерживается.
Если коммутатор поддерживает оба, можно указать инкапсуляцию явно:
Switch(config-if)# switchport trunk encapsulation dot1q
Управление trunk с помощью DTP
Dynamic Trunking Protocol (DTP) — это как переговорщик, который договаривается, чтобы оба порта настроились на trunk.
Режимы DTP:
| Режим | Описание |
|---|---|
| auto | Порт ожидает, что другой перейдет в trunk |
| desirable | Порт активно предлагает перейти в trunk |
| trunk | Порт всегда в режиме trunk |
| nonegotiate | Порт не отправляет DTP и требует ручной настройки |
Native VLAN: что за таинственный гость без тега?
Native VLAN — это VLAN, трафик которого передается без тега на trunk-порте. По умолчанию это VLAN 1, но можно задать любой другой.
Пример смены native VLAN на 5:
Switch(config-if)# switchport trunk native vlan 5
Этот механизм нужен для совместимости с оборудованием, которое не поддерживает тегирование, но требует осторожности из-за угрозы VLAN hopping (когда злоумышленник пытается "перепрыгнуть" в чужой VLAN).
Для безопасности рекомендуют включить тегирование native VLAN глобально:
Switch(config)# vlan dot1q tag native
Голосовой VLAN: когда телефон встречается с компьютером
IP-телефоны Cisco имеют встроенный маленький коммутатор с несколькими портами — к телефону и к компьютеру.
Чтобы одновременно передавать голосовой и данные трафик, на одном access-порту можно настроить два VLAN:
- Access VLAN — для данных (компьютер)
- Voice VLAN — для IP-телефонии
Пример:
Switch(config)# interface fa0/18
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# switchport voice vlan 150
Switch(config-if)# mls qos trust cos
Switch(config-if)# end
Для телефонов Cisco используется CDP, для других — LLDP, чтобы определить voice VLAN.
Маршрутизация между VLAN (Inter-VLAN Routing)
Чтобы хосты в разных VLAN общались между собой, нужна маршрутизация. Это как коридоры между квартирами.
Есть два основных варианта:
-
Router on a Stick — один физический интерфейс маршрутизатора с подинтерфейсами для каждого VLAN. Тегирование делается через
encapsulation dot1q. -
Многоуровневый коммутатор (Layer 3 switch) — коммутатор, умеющий маршрутизировать между VLAN без отдельного маршрутизатора.
Пример создания подинтерфейса на маршрутизаторе:
R1(config)# interface fa0/0.2
R1(config-subif)# encapsulation dot1q 2
R1(config-subif)# ip address 10.0.2.1 255.255.255.0
На коммутаторе Layer 3 включается маршрутизация командой:
Switch(config)# ip routing
Проверка настроек и мониторинг
Как убедиться, что ваши VLAN и порты настроены правильно?
- Просмотр списка VLAN:
Switch# show vlan brief
- Проверка конфигурации порта:
Switch# show interfaces fa0/22 switchport
- Проверка статуса trunk и разрешенных VLAN:
Switch# show interfaces fa0/22 trunk
- Просмотр состояния DTP:
Switch# show dtp interface
Безопасность VLAN и Trunk
-
Рекомендуется всегда явно указывать VLAN на access-портах и включать режим access.
-
Ограничивать разрешенные VLAN на trunk, чтобы не пропускать лишний трафик:
Switch(config-if)# switchport trunk allowed vlan 1,2,10,15
-
Тегировать native VLAN, чтобы избежать VLAN hopping.
-
Выключать DTP, если хотите полностью контролировать trunk:
Switch(config-if)# switchport nonegotiate
Удаление VLAN и сброс настроек
Чтобы удалить VLAN:
Switch(config)# no vlan vlan-id
Важно сначала убедиться, что ни один порт не использует этот VLAN.
Удаление всего файла VLAN:
Switch# delete flash:vlan.dat
Для сброса trunk до настроек по умолчанию:
Switch(config)# interface fa0/1
Switch(config-if)# no switchport trunk allowed vlan
Switch(config-if)# no switchport trunk native vlan
Switch(config-if)# end
Быстрый чек-лист для настройки VLAN и trunk на Cisco
| Шаг | Команда/действие |
|---|---|
| Вход в режим конфигурации | configure terminal |
| Создание VLAN | vlan <id> и name <имя> |
| Назначение порта в VLAN | interface <id>, switchport mode access, switchport access vlan <id> |
| Перевод порта в trunk | interface <id>, switchport mode trunk |
| Настройка native VLAN | switchport trunk native vlan <id> |
| Ограничение VLAN в trunk | switchport trunk allowed vlan <список VLAN> |
| Проверка VLAN | show vlan brief |
| Проверка конфигурации порта | show interfaces <id> switchport |
FAQ
Можно ли назначить порт сразу в несколько VLAN?
Для доступа — нет, access-порт обслуживает только один VLAN. Для передачи нескольких VLAN используется trunk.
Что делать, если VLAN не создается?
Проверьте, что VLAN ID не зарезервирован (1002-1005), и что коммутатор поддерживает нужный диапазон VLAN.
Как узнать, какие VLAN активны?
Команда show vlan brief покажет все активные VLAN и порты.
Что такое VLAN Hopping и как от него защититься?
Это атака, при которой злоумышленник пытается получить доступ к трафику другого VLAN. Защищаемся, назначая explicit access mode портам, тегируя native VLAN, и отключая DTP, если нужно.
VLAN — это волшебный инструмент в руках сетевого администратора, позволяющий организовать сеть так, чтобы она была и функциональной, и безопасной, словно дом с надежными замками и продуманной планировкой. Надеюсь, теперь настройка VLAN на Cisco коммутаторах для вас — не загадка, а скорее увлекательное путешествие с веселыми открытиями. Удачи в ваших сетевых приключениях!