- Что такое VLAN и зачем он нужен?
- Access и Trunk: два режима портов — две разные судьбы
- Тегирование кадров и протокол 802.1Q — магия VLAN
- Настройка VLAN на коммутаторах: пример из жизни
- Между VLAN нужна маршрутизация: router on a stick
- Протоколы, которые управляют VLAN
- Краткая памятка по командам
- FAQ: Быстрые ответы на частые вопросы
- Чек-лист по настройке VLAN
- Заключение
Представьте себе офис, где все сотрудники сидят в одном большом зале и кричат друг другу через всю комнату — безумие, правда? Вот так примерно работают обычные локальные сети без VLAN: все данные «кричат» во все стороны, и все слышат, даже если это не их разговор. VLAN — это словно занавески, которые делят офис на отдельные кабинеты, чтобы сотрудники могли работать спокойно и никто не слушал лишнее. Сегодня мы подробно разберёмся, как устроены VLAN, как их настроить на коммутаторах, какие протоколы помогают и как настроить безопасную, управляемую и быструю сеть.
Что такое VLAN и зачем он нужен?
VLAN (Virtual Local Area Network) — это технология, позволяющая создать несколько виртуальных сетей на одном физическом коммутаторе или между несколькими коммутаторами. То есть вы можете разбить физическую сеть на логические сегменты. Зачем это нужно?
- Разделение устройств на группы. Например, отдел бухгалтерии, отдел кадров и дирекция — все в одной физической сети, но логически изолированы друг от друга.
- Сокращение широковещательного трафика. Если без VLAN, ARP-запрос или другой широковещательный кадр летит во все стороны, то с VLAN — только внутри своей виртуальной сети.
- Повышение безопасности. Устройства в одном VLAN не видят трафик из другого VLAN, если специально не настроена маршрутизация.
- Гибкость и экономия. Не нужно тянуть лишние кабели или покупать коммутаторы для каждого отдела — VLAN создают виртуальную сегментацию.
Проще говоря, VLAN — это как разные комнаты в одном доме: хоть все под одной крышей, но двери закрыты, и не каждый гость может попасть в любую комнату.
Access и Trunk: два режима портов — две разные судьбы
Чтобы понять, как работает VLAN, надо разобраться с типами портов коммутатора:
| Тип порта | Описание | Трафик |
|---|---|---|
| Access | Порт, связанный с одним VLAN, подключенный к конечному устройству (например, ПК) | Передаёт не тегированные кадры, «просто Ethernet» |
| Trunk | Порт между сетевыми устройствами (коммутаторы, маршрутизаторы), который передаёт трафик сразу нескольких VLAN | Передаёт тегированные кадры с VLAN-идентификаторами |
Если вы когда-то играли в ролевые игры, то access-порт — это игрок в одной команде, а trunk — капитан, который может общаться со всеми командами одновременно, но при этом каждому игроку передаёт только информацию из своей команды.
Тегирование кадров и протокол 802.1Q — магия VLAN
Как коммутаторы знают, к какому VLAN принадлежит кадр, когда несколько VLAN «едут» по одному физическому каналу trunk? Тут на сцену выходит тегирование кадров по стандарту 802.1Q.
Что происходит с кадром Ethernet?
- В кадр вставляется специальный тег — небольшой кусочек данных (4 байта).
- Тег содержит поля: TPID (фиксированное значение 0x8100), PCP (приоритет), CFI и главное — VID (идентификатор VLAN).
- Этот тег позволяет коммутатору понять, к какому VLAN принадлежит кадр, и перенаправить его правильно.
На access-портах тег не вставляется — они принимают и отправляют чистые Ethernet-кадры.
Настройка VLAN на коммутаторах: пример из жизни
Представим, что у вас есть 3 отдела: дирекция, бухгалтерия и отдел кадров. Каждый отдел — это отдельный VLAN: 2, 3 и 4 соответственно.
Как настроить VLAN на коммутаторе?
## Создать VLAN и дать ему имя
Switch(config)# vlan 2
Switch(config-vlan)# name Dir-ya
## Настроить порт в режим access и назначить VLAN
Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 2
Чтобы не настраивать каждый порт по отдельности, можно использовать групповые команды:
Switch(config)# interface range fastEthernet 0/1-2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 2
Для соединения между коммутаторами и маршрутизатором настраивают trunk-порты:
Switch(config)# interface fastEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 2,3,4
Проверка VLAN:
Switch# show vlan brief
Switch# show interfaces trunk
Между VLAN нужна маршрутизация: router on a stick
VLAN создают виртуальные сегменты, но что если нужно, чтобы дирекция поговорила с бухгалтерией? Тут без маршрутизатора никуда. Можно использовать классическую маршрутизацию на отдельных физических интерфейсах (дорого и неудобно) или схему «router on a stick» — один физический интерфейс маршрутизатора делится на сабинтерфейсы, каждый для отдельного VLAN.
| VLAN | Подсеть | Сабинтерфейс маршрутизатора | IP шлюза |
|---|---|---|---|
| 2 (Дирекция) | 192.168.1.0/24 | fa0/0.2 | 192.168.1.1 |
| 3 (Бухгалтерия) | 192.168.2.0/24 | fa0/0.3 | 192.168.2.1 |
| 4 (Кадры) | 192.168.3.0/24 | fa0/0.4 | 192.168.3.1 |
Конфигурация сабинтерфейса:
Router(config)# interface fastEthernet 0/0.2
Router(config-subif)# encapsulation dot1Q 2
Router(config-subif)# ip address 192.168.1.1 255.255.255.0
Router(config-subif)# no shutdown
Так маршрутизатор «слушает» разные VLANы по одному физическому интерфейсу. И не тратит лишние порты.
Протоколы, которые управляют VLAN
DTP (Dynamic Trunking Protocol)
Протокол Cisco, который помогает автоматически договариваться портам о режиме trunk или access. Но как и с любыми автоматизациями — это опасно:
- Вмешательство злоумышленника может заставить порт перейти в trunk и открыть доступ к чужим VLAN.
- Рекомендуется выключать DTP и настраивать режимы вручную, используя команду
switchport nonegotiate.
VTP (VLAN Trunking Protocol)
Протокол для автоматической синхронизации информации о VLAN между коммутаторами:
- Один коммутатор — сервер VTP, остальные — клиенты.
- Создание или удаление VLAN на сервере распространяется на клиентов.
- Быстро и удобно, но опасно: коммутатор с более высокой версией базы может перезаписать всю VLAN-конфигурацию.
Рекомендации:
- Не использовать VTP в больших корпоративных сетях без строгого контроля.
- Использовать режим transparent или VTPv3 с паролем.
- Включать VTP только если точно знаете, что делаете.
Краткая памятка по командам
| Операция | Команды |
|---|---|
| Создать VLAN | vlan <номер>, name <имя> |
| Назначить порт access | interface fa0/1, switchport mode access, switchport access vlan <номер> |
| Назначить порт trunk | interface fa0/24, switchport mode trunk, switchport trunk allowed vlan <список> |
| Проверить VLAN | show vlan brief |
| Проверить trunk | show interfaces trunk |
| Настроить сабинтерфейс маршрутизатора | interface fa0/0.<номер>, encapsulation dot1q <номер>, ip address <IP> <маска> |
| Включить интерфейс | no shutdown |
| Настроить VTP | vtp mode server|client|transparent, vtp domain <имя> |
FAQ: Быстрые ответы на частые вопросы
Можно ли создать VLAN с номером 0?
Нет. VLAN с номером 0 не существует. Обычно используется VLAN 1 как стандартный.
Почему VLAN 1 не рекомендуется использовать для управления?
VLAN 1 — дефолтный, он есть всегда и часто открыт. Для безопасности рекомендуется использовать отдельный VLAN для управления.
Что такое native VLAN?
Native VLAN — VLAN, кадры которого на trunk-порту не тегируются. По умолчанию это VLAN 1, но можно и нужно менять для безопасности.
Как обеспечить безопасность при использовании VLAN?
- Отключайте DTP.
- Используйте уникальные VLAN для разных групп.
- Меняйте native VLAN.
- Контролируйте кто имеет доступ к коммутаторам.
- Используйте списки доступа и политики безопасности.
Чек-лист по настройке VLAN
- [ ] Создать необходимые VLAN на всех коммутаторах.
- [ ] Назначить порты конечных устройств в режим access с нужным VLAN.
- [ ] Настроить trunk-порты между коммутаторами и маршрутизатором.
- [ ] Настроить сабинтерфейсы на маршрутизаторе для межвлановой маршрутизации.
- [ ] Проверить конфигурацию командой
show vlan briefиshow interfaces trunk. - [ ] Отключить DTP и включить безопасные режимы.
- [ ] Включить протоколы регистрации VLAN (например, GVRP) если требуется.
- [ ] Настроить IP-адресацию и шлюзы для каждого VLAN.
- [ ] Настроить контроль доступа и фильтры безопасности.
Заключение
VLAN — это как невидимые стены в вашей сети, которые позволяют разделить физическую инфраструктуру на логические островки безопасности и порядка. Они сокращают трафик, повышают безопасность и делают сеть гибкой. Но, как и любой инструмент, VLAN требует правильной настройки и понимания тонкостей — от тегирования кадров до работы протоколов VTP и DTP.
Помните: сеть — это живой организм. Управляйте ею аккуратно, и она будет служить долго и надежно, как старый добрый друг. А если сомневаетесь — всегда лучше настроить вручную, чем доверять протоколам с автоматическим согласованием.
Пусть ваша сеть будет быстрой, а пакеты — в нужном VLAN!