Содержание:

Представьте, что у вас огромный офис с кучей компьютеров, телефонов, камер и умных устройств. Нужно как-то всё это разделить, чтобы бухгалтерия не сболтала секреты маркетингу, а камера не мешала работе сотрудников. Вот тут и приходит на помощь VLAN — виртуальная локальная сеть, которая позволяет создавать несколько сетей поверх одной физической инфраструктуры. И сегодня мы проведём экскурсию в мир настройки VLAN на серверах и коммутаторах различных производителей.

Что такое VLAN и зачем он нужен?

VLAN (Virtual Local Area Network) — это как невидимый забор на одном поле: все устройства внутри одной VLAN «видят» друг друга, как будто они на одной улице, а устройства из других VLAN — словно живут в другом районе. При этом физически все они могут быть подключены к одним и тем же коммутаторам.

Зачем VLAN?

  • Объединить несколько офисов или отделов в одну логическую сеть без прокладывания дополнительного кабеля.
  • Снизить количество широковещательного трафика — когда много шума, а смысл теряется.
  • Повысить безопасность, разделив сеть на зоны, куда не каждый сможет попасть.
  • Упростить управление сетью: применяйте правила сразу к группе, а не по отдельным устройствам.

Например, если у вас два офиса в одном городе, VLAN поможет объединить их по логике, не давая соседу заглянуть в ваши файлы.

Как VLAN «отмечает» трафик?

Пакеты данных в сети — как посылки без адреса, если их не «маркировать». Когда трафик идёт через порт, где могут ходить пакеты из разных VLAN, коммутатор ставит специальную «метку» или тег — по стандарту IEEE 802.1Q — который говорит: «Эй, я из VLAN 10!»

Это похоже на ярлычок на чемодане, чтобы багажная служба знала, куда его везти. Без таких меток все пакеты смешались бы, и адресаты потерялись.

Настройка VLAN на серверах

Debian-like (Ubuntu и др.)

Устанавливаем пакет vlan, правим конфигурацию сети:

apt-get install vlan
nano /etc/network/interfaces

Добавляем:

auto eth0.2
iface eth0.2 inet static
    address 10.10.10.1
    netmask 255.255.255.192
    broadcast 10.10.10.63

Поднимаем интерфейс:

ifup eth0.2

Red-Hat-like (CentOS, Fedora)

Ставим vconfig и создаём виртуальный интерфейс:

yum install -y vconfig
vconfig add eth0 2

Создаём файл /etc/sysconfig/network-scripts/ifcfg-eth0.2 с параметрами:

DEVICE=eth0.2
VLAN_TRUNK_IF=eth0
BOOTPROTO=static
IPADDR=10.10.10.1
NETMASK=255.255.255.192
BROADCAST=10.10.10.63
ONBOOT=yes

Включаем интерфейс:

ifup eth0.2

BSD-like

Используем команду ifconfig:

ifconfig vlan0 vlan 2 vlandev xl0
ifconfig vlan0 inet 10.10.10.1 netmask 255.255.255.192

Для автозагрузки меняем /etc/rc.conf:

cloned_interfaces="vlan0"
ifconfig_vlan0="inet 10.10.10.1 netmask 255.255.255.192 vlan 2 vlandev xl0"
ifconfig_xl0="up"

Как настроить VLAN на коммутаторах?

Каждый производитель слегка танцует свой танец, но основные шаги похожи.

Пример настройки VLAN на D-Link

config vlan default delete 1-26
config vlan default add untagged 1,3,7-24
create vlan Offices tag 2
config vlan Offices add tagged 1,2
config vlan Offices add untagged 4,5,6
save

Здесь порты 4,5,6 получают VLAN 2 без тега (access), порты 1 и 2 — с тегом (trunk).

На Asotel

set 1qvlan create 2 Offices
set 1qvlan modify -4-5-6 1 0
set 1qvlan modify +1+2 2 1
set 1qvlan modify +4+5+6 2 0
set 1qvlan pvid 4 2
set 1qvlan pvid 5 2
set 1qvlan pvid 6 2

EdgeCore/LinkSys

configure
vlan database
vlan 2 name Offices media ethernet state active
exit
interface ethernet 1/1
switchport mode trunk
switchport allowed vlan add 2 tagged
exit
interface ethernet 1/4
switchport mode access
switchport allowed vlan add 2 untagged
switchport native vlan 2
exit
copy running-config startup-config

Особенности VLAN на коммутаторах Cisco

Диапазоны VLAN

Диапазон VLAN Описание
1 — 1005 Нормальный диапазон, используется в большинстве сетей
1006 — 4094 Расширенный диапазон, для крупных провайдеров и больших сетей

Важно: Идентификаторы с 1002 по 1005 зарезервированы для устаревших технологий (Token Ring и FDDI).

Создание VLAN на Cisco

configure terminal
vlan 20
name student
end

Добавление порта в VLAN

configure terminal
interface fa0/6
switchport mode access
switchport access vlan 20
end

Настройка trunk порта

Trunk — это магистральный порт, который переносит трафик нескольких VLAN.

configure terminal
interface fa0/1
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 10,20,30,99
end

Проверка настройки VLAN и trunk

Команды для контроля:

  • show vlan brief — список VLAN и портов.
  • show interfaces fa0/1 switchport — детали по порту.
  • show vlan summary — статистика VLAN.

Голосовой VLAN и VLAN данных

Порт в режиме access обычно принадлежит одному VLAN. Но для IP-телефонов можно настроить два VLAN — для данных и для голоса, чтобы приоритет был у голосового трафика.

interface fa0/18
switchport mode access
switchport access vlan 20
switchport voice vlan 150
mls qos trust cos
end

Native VLAN — что за зверь?

Native VLAN — это VLAN, которому принадлежат все непомеченные (untagged) пакеты, то есть те, что не имеют тега 802.1Q. Обычно по умолчанию это VLAN 1, но можно изменить.

Это похоже на VIP-зону для пакетов, которые не хотят афишировать свою принадлежность.

Протоколы управления VLAN

  • VTP (VLAN Trunking Protocol) — от Cisco, упрощает распространение информации о VLAN между коммутаторами.
  • GVRP (Group VLAN Registration Protocol) — позволяет коммутаторам автоматически узнавать, какие VLAN существуют в сети.

Краткий чек-лист по настройке VLAN

  • [ ] Определить диапазон IP-адресов и маску для VLAN.
  • [ ] Настроить VLAN на сервере (Debian, RedHat, BSD).
  • [ ] Создать VLAN на коммутаторе.
  • [ ] Назначить порты в access или trunk режим.
  • [ ] Настроить native VLAN и голосовой VLAN, если нужно.
  • [ ] Применить и сохранить конфигурацию.
  • [ ] Проверить настройки командами show.

Часто задаваемые вопросы (FAQ)

В: Можно ли создать VLAN без покупки дополнительного оборудования?
О: Да! VLAN работает на существующем оборудовании, если оно поддерживает 802.1Q.

В: Что будет, если два разных VLAN будут использовать один и тот же IP диапазон?
О: Это приведёт к конфликтам и потере связи между устройствами. Каждый VLAN должен иметь уникальный IP-пул.

В: Нужно ли на конечных устройствах настраивать VLAN?
О: Обычно нет, VLAN настраивается на коммутаторе. Конечные устройства просто получают IP из назначенной подсети.

В: Что если выключить native VLAN?
О: Пакеты без тегов не будут обрабатываться корректно. Лучше настроить native VLAN на оба конца trunk порта.

С VLAN настраивать сеть — как играть в конструктор LEGO, только на уровне битов и байтов. Если вы хотите чтобы всё работало чётко и безопасно, то разбивайте сеть на VLAN, как разделяете задачи между друзьями — каждый занимается своим делом, и никакой путаницы!