Содержание:

Представьте себе офис, где все сотрудники живут в одной квартире и пытаются одновременно разговаривать по телефону — хаос, да и только! VLAN, или виртуальная локальная сеть, — это как дать каждому своему отделу отдельную комнату в квартире, чтобы разговоры не мешали друг другу, но при этом все могли общаться через общий коридор (маршрутизатор). В этой статье мы погрузимся в мир VLAN, научимся создавать и настраивать их на коммутаторах и маршрутизаторах Cisco, узнаем про магию trunk-портов и многое другое. Всё понятно, просто и с примерами — даже школьник станет админом сети!

Что такое VLAN и зачем он нужен?

VLAN — это способ разделить физическую сеть на несколько логических сегментов. Зачем? Чтобы повысить безопасность, улучшить управление трафиком и упростить организацию сети. Вместо того чтобы трафик с одного отдела бегал по всей компании, он остаётся внутри своего виртуального «коридора».

Например, бухгалтерия, отдел продаж и IT могут иметь свои VLAN с собственными правилами доступа.

Диапазоны VLAN: нормальные и расширенные — кому что по размеру?

Cisco-устройства обычно поддерживают до 4094 VLAN, но они разделяются на две категории:

Диапазон VLAN Использование Особенности
1 - 1005 Нормальный диапазон Поддерживается большинством устройств, VLAN 1 — по умолчанию, нельзя удалять
1006 - 4094 Расширенный диапазон Используется в крупных провайдерских сетях, требует специальных настроек

Важно: диапазон ограничен 12 битами в заголовке 802.1Q — поэтому максимум 4096 VLAN.

Создаём VLAN на коммутаторе Cisco — проще, чем сварить кофе

Команда для создания VLAN:

Switch# configure terminal
Switch(config)# vlan [номер VLAN]
Switch(config-vlan)# name [имя VLAN]
Switch(config-vlan)# end

Например, чтобы создать VLAN 20 с именем "student":

Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# name student
Switch(config-vlan)# end

Добавляем порт в VLAN: режим access и его особенности

Access порт — это порт, принадлежащий одному VLAN и передающий нетегированный (без дополнительных меток) трафик. Обычно к нему подключается конечное устройство: компьютер, принтер, телефон.

Настройка порта в режим access и присвоение VLAN:

Switch# configure terminal
Switch(config)# interface fa0/6
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# end

Так порт Fa0/6 становится частью VLAN 20.

Trunk порт — магистраль для VLAN

Что делать, если нужно передавать трафик нескольких VLAN через один порт? Тут на сцену выходит trunk порт — он умеет «подписывать» каждый пакет меткой VLAN, чтобы другие устройства знали, откуда этот пакет пришёл.

Команда для перевода порта в режим trunk:

Switch# configure terminal
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# end

Native VLAN — тайный агент в мире trunk

По стандарту 802.1Q трафик одного VLAN (обычно VLAN 1) передаётся нетегированным — без меток. Этот VLAN называют native. Если хотите сменить native VLAN, используйте:

Switch(config-if)# switchport trunk native vlan [номер VLAN]

Например:

Switch(config-if)# switchport trunk native vlan 99

Управляем разрешёнными VLAN на trunk — пусть не всё подряд

Trunk порт по умолчанию пропускает все VLAN, но вы можете ограничить список:

Switch(config-if)# switchport trunk allowed vlan 10,20,30,99

Чтобы добавить VLAN в список:

Switch(config-if)# switchport trunk allowed vlan add 160

Для удаления:

Switch(config-if)# switchport trunk allowed vlan remove 160

Проверяем настройки — show команды на страже порядка

Чтобы увидеть VLAN и порты:

Switch# show vlan brief

Информация о trunk порте:

Switch# show interfaces fa0/1 switchport

Эти команды — ваши глаза и уши в мире сети.

Голосовой VLAN — двойная жизнь порта

Порт в режиме access может принадлежать одному VLAN данных, но к нему может быть подключён IP-телефон и обычный компьютер. Для этого настраивают голосовой VLAN, чтобы трафик голосовых вызовов шел отдельно с приоритетом.

Команды для настройки голосового VLAN:

Switch(config-if)# switchport voice vlan [vlan-id]
Switch(config-if)# mls qos trust cos

Маршрутизация между VLAN — «router on a stick»

VLAN разделяют сеть на подсети. Чтобы устройства из разных VLAN могли общаться, нужен маршрутизатор. Но физический интерфейс — один! Тогда создаём подинтерфейсы (логические интерфейсы) с тегами VLAN.

Пример настройки подинтерфейса на Cisco маршрутизаторе:

R1(config)# interface fa0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 10.0.10.1 255.255.255.0

Таким образом, один порт обрабатывает трафик нескольких VLAN — классика «router on a stick».

Bridge и VLAN — объединяем порты для «прозрачного» трафика

Иногда VLAN трафик приходит на несколько портов и должен свободно «бегать» между ними, будто по виртуальному мосту. Для этого создают bridge — объединение интерфейсов, на которых настроены VLAN.

Например, в Mikrotik:

  • Создаете VLAN интерфейсы на каждом порту;
  • Объединяете их в bridge;
  • Назначаете IP адресу bridge и используете его как шлюз.

Так трафик одного VLAN может беспрепятственно перемещаться между портами.

Влияние нагрузки и аппаратные требования

При большом количестве пользователей (например, 300 ПК) важен мощный маршрутизатор, чтобы процессор не стал бутылочным горлышком. Трафик, а не число устройств, решает всё.

Например, Mikrotik CCR1016-12S-1S+ отлично справится с гигабитными потоками и более.

Протоколы инкапсуляции VLAN: 802.1Q vs ISL

  • 802.1Q — стандарт, используемый большинством современных коммутаторов Cisco.
  • ISL — проприетарный Cisco протокол, ныне устаревший и редко поддерживаемый.

На практике выбирайте 802.1Q — это универсально и надёжно.

Итоги и советы для новичков

Шаг Команда / Действие Совет
Создать VLAN vlan [id] + name [имя] Давайте понятные имена
Назначить порт в VLAN (access) switchport mode access + switchport access vlan [id] Используйте для конечных устройств
Перевести порт в trunk switchport mode trunk Для связи между коммутаторами
Настроить native VLAN switchport trunk native vlan [id] По умолчанию VLAN 1
Проверить настройки show vlan brief, show interfaces [id] switchport Проверяйте после каждой настройки
Настроить маршрутизацию VLAN Создать подинтерфейсы с encapsulation dot1q На маршрутизаторе или коммутаторе 3-го уровня

FAQ

Что делать, если VLAN не работает?

Проверьте, что порты в режиме access или trunk настроены правильно, VLAN созданы и активны, а IP-адреса назначены корректно.

Можно ли настроить несколько VLAN на одном порту?

Да, через trunk порт — он передаёт трафик нескольких VLAN, маркируя пакеты.

Зачем нужен native VLAN?

Это VLAN, трафик которого передаётся без тегов. Обычно используется для совместимости.

Что такое switchport mode access и trunk?

Access — порт для одного VLAN, trunk — для множества VLAN с тегированием.

Чек-лист по настройке VLAN

  • [x] Создан VLAN с уникальным ID и понятным именем.
  • [x] Порт настроен в нужный режим (access или trunk).
  • [x] Назначен VLAN для access порта.
  • [x] Для trunk указан список разрешённых VLAN (если нужно).
  • [x] Настроен native VLAN (если требуется).
  • [x] Проверена конфигурация с помощью show команд.
  • [x] Настроены маршрутизаторы для меж VLAN маршрутизации (router on a stick).
  • [x] Учтена нагрузка на оборудование.

Советы от бывалого админа

  • Не лезьте сразу в сложные схемы. Начните с базовой настройки одного VLAN.
  • Используйте понятные имена VLAN — ваш будущий «я» скажет спасибо.
  • Тестируйте каждое изменение.
  • Не забывайте про безопасность — firewall и фильтры в VLAN это must-have.
  • Следите за нагрузкой на маршрутизатор — трафик — король.

Вот и всё! VLAN — это как невидимые стены в вашем офисе, позволяющие управлять трафиком и безопасностью без дополнительного кабеля. Теперь вы готовы с уверенностью шагать в мир сетевого администрирования и создавать настоящие цифровые дворцы!