Содержание:

Представьте, что у вас есть большой коммутатор — такой сетевой дирижёр, который обычно сводит воедино разные устройства, позволяя им обмениваться данными. Но что если вы хотите, чтобы несколько групп устройств общались как отдельные общества, не мешая друг другу, хотя физически они все сидят за одним большим столом? Вот тут на сцену выходит VLAN — виртуальная локальная сеть. Сегодня мы разберёмся, что это за зверь такой, как его настроить и зачем он нужен.

Что такое VLAN и зачем он нужен?

VLAN (Virtual Local Area Network) — это как невидимая стена в вашем общем офисе, которая делит устройства на отдельные группы. Хотя все они физически подключены к одному коммутатору, VLAN создаёт отдельные логические сети. Устройства из разных VLAN не видят друг друга напрямую на канальном уровне — словно находятся в разных комнатах.

Зачем это нужно? Представьте, что у вас в офисе маркетинг, бухгалтерия и ИТ-отдел. Хотите, чтобы бухгалтерия не слушала шум маркетинга, а ИТ могла контролировать доступ? VLAN позволяет:

  • Гибко разделить устройства по группам.
  • Сократить количество ненужного широковещательного трафика (а он, как сплетни, может раздражать).
  • Повысить безопасность, ведь трафик одного VLAN не "протекает" в другой без разрешения.
  • Управлять политиками доступа централизованно.

В итоге VLAN — это как создание отдельных комнат в одном большом офисе без перестановки мебели.

Как работает коммутатор с VLAN?

Коммутатор — это обычно устройство второго уровня (L2), которое знает MAC-адреса устройств и по ним направляет Ethernet-кадры. Все порты коммутатора по умолчанию входят в VLAN 1, т.е. один большой широкий broadcast-домен.

Если устройство отправляет кадр, коммутатор смотрит в свою MAC-таблицу и решает, на какой порт отправить кадр. Если адрес получателя неизвестен, он разошлёт кадр на все порты VLAN — flooding, что похоже на громкое объявление в офисе.

Создание VLAN разбивает коммутатор на несколько логических коммутаторов — каждое VLAN становится отдельным широковещательным доменом. Важно: кадры из одного VLAN не пересекают границы другого, как если бы стены действительно разделяли комнаты.

Что такое теги VLAN и как происходит тегирование трафика?

Вся магия VLAN основана на добавлении к кадрам специального поля — тега VLAN, который сообщает, к какому VLAN принадлежит трафик. Этот тег содержит VLAN ID — номер виртуальной сети.

Стандарт IEEE 802.1Q описывает, как вставлять этот тег в Ethernet-кадр. Если порт коммутатора настроен на работу с несколькими VLAN, кадры «тегируются» этим номером. Если порт принадлежит одному VLAN, кадры идут без тега — они «нетегированные».

Порт, который работает с тегированным трафиком, может передавать данные сразу нескольких VLAN по одному кабелю — очень удобно!

Типы портов в VLAN: access, trunk и hybrid

Давайте заглянем в порт коммутатора — это как дверь в комнату.

  • Access порт — «однодверный» доступ. Этот порт принадлежит только одному VLAN и передаёт трафик без тега. Подключенный к нему хост не видит VLAN, работает как обычно. Access-порты удобны для подключения конечных устройств — ПК, принтеров и т.д.

  • Trunk порт — магистраль, по которой бегает трафик нескольких VLAN одновременно. Здесь кадры обязательно тегируются. Trunk соединяет коммутаторы или коммутатор с маршрутизатором. Можно представить его как коридор с дверями в несколько комнат.

  • Hybrid порт — гибрид access и trunk. Передаёт и тегированный, и нетегированный трафик. Часто используется, например, с IP-телефонами, когда один кабель обслуживает телефон (тегированный VLAN) и ПК (нетегированный VLAN).

Таблица: Типы портов VLAN

Тип порта Трафик Поддержка VLAN Основное использование
Access Нетегированный Один VLAN Подключение конечных устройств
Trunk Тегированный Несколько VLAN Связь коммутаторов, с маршрутизаторами
Hybrid Тегированный и нетегированный Комбинация VLAN IP-телефоны и ПК на одном порту

Настройка портов коммутатора для VLAN

Для того чтобы порт «знал», с каким VLAN он работает, нужно настроить режим работы.

Access порт

interface fa0/1
 switchport mode access
 switchport access vlan 2

Здесь порт fa0/1 станет членом VLAN 2 и будет работать без тегов.

Trunk порт

interface fa0/22
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,2,10,15

Порт fa0/22 будет пропускать трафик VLAN 1, 2, 10 и 15 с тегами 802.1Q.

Native VLAN

Native VLAN — это VLAN, трафик которого по trunk-порту передаётся без тега. Обычно это VLAN 1, но можно поменять. Например:

switchport trunk native vlan 5

Трафик VLAN 5 будет идти без тегов, а все входящие нетегированные кадры на trunk-порт будут считаться принадлежащими этому VLAN.

Межвлановая маршрутизация: как устройства из разных VLAN общаются?

VLAN изолируют трафик, но что делать, если устройства из разных VLAN должны обмениваться данными? Ответ — маршрутизатор или L3-коммутатор.

Трафик между VLAN называется межвлановой маршрутизацией (Inter-VLAN routing). В классической схеме это называется «роутер на палочке» (router-on-a-stick): один физический интерфейс маршрутизатора разделяется на несколько логических подинтерфейсов с тегами VLAN.

Таблица: Роли устройств в VLAN

Устройство Уровень OSI Функция
Коммутатор L2 Канальный (2) Передача Ethernet-кадров, VLAN разделение
Коммутатор L3 Канальный + сетевой (2+3) Маршрутизация между VLAN с высокой производительностью
Маршрутизатор Сетевой (3) Полная маршрутизация, безопасность, NAT

L3-коммутаторы — золотая середина для быстрой маршрутизации внутри сети. Они аппаратно обрабатывают маршрутизацию, но не всегда имеют функции брандмауэра или NAT.

Настройка VLAN на оборудовании Cisco и других производителей

Хотя команды могут отличаться, общий принцип похож.

  • Создаёте VLAN с номером и именем.
  • Назначаете порты в access или trunk режимы.
  • Конфигурируете trunk, указываете разрешённые VLAN.
  • Настраиваете native VLAN при необходимости.
  • Для маршрутизации задаёте IP-адреса подинтерфейсов.

Пример создания VLAN и назначения портов на Cisco:

vlan 2
 name marketing

interface fa0/1
 switchport mode access
 switchport access vlan 2

interface fa0/22
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 1,2,10,15

HP ProCurve и D-Link имеют свои команды, но концепция аналогична: untagged — для access портов, tagged — для trunk.

Настройка VLAN в операционных системах

На конечных устройствах (ПК, серверах) при подключении к access-порту обычно не требуется ничего специального. Но если устройство получает тегированный трафик (например, сервер с несколькими VLAN), нужно создать подинтерфейсы VLAN.

Linux

Используется модуль 8021q:

modprobe 8021q
vconfig add eth0 2
ifconfig eth0.2 192.168.2.10 netmask 255.255.255.0 up

Windows

Поддержка VLAN зависит от драйвера и производителя сетевой карты. Обычно требуется установка специального программного обеспечения.

FreeBSD, Solaris

Создание VLAN-интерфейсов происходит через ifconfig:

ifconfig vlan4 create
ifconfig vlan4 vlan 4 vlandev fxp0
ifconfig vlan4 192.168.16.14/30 up

Практические советы и особенности работы с VLAN

  • По умолчанию не используйте VLAN 1 для своих сетей — это стандартный native VLAN и его лучше оставить по умолчанию.
  • При настройке trunk портов явно указывайте разрешённые VLAN, чтобы избежать лишнего трафика.
  • Внимательно настройте native VLAN, чтобы избежать проблем с безопасностью и некорректной обработкой трафика.
  • Для маршрутизации используйте L3-коммутаторы для высокой производительности или маршрутизаторы для расширенных функций.
  • Не забывайте про динамическую настройку VLAN через 802.1X и RADIUS для автоматической сегментации пользователей.
  • Используйте анализаторы трафика, например Wireshark, для проверки тегов VLAN.
  • При масштабировании сети автоматизируйте настройки через скрипты и SNMP.

Анализ и безопасность VLAN

VLAN изолируют трафик, но это не панацея от всех бед. Неправильная настройка может привести к утечке трафика между VLAN или атакам, таким как VLAN hopping. Рекомендуется:

  • Жёстко контролировать native VLAN.
  • Ограничивать разрешённые VLAN на trunk портах.
  • Использовать дополнительные механизмы безопасности (802.1X, ACL).
  • Периодически проверять конфигурацию и трафик.

Часто задаваемые вопросы (FAQ)

Можно ли подключить устройство к нескольким VLAN одновременно?
Да, если устройство поддерживает тегированный трафик (например, сервер с виртуальными машинами), в операционной системе создаются VLAN-подинтерфейсы.

Что происходит, если на trunk порт приходит нетегированный трафик?
Он считается принадлежащим native VLAN и обрабатывается соответственно.

Как узнать, к какому VLAN принадлежит порт коммутатора?
Через команду просмотра VLAN на коммутаторе (например, show vlan brief на Cisco).

Можно ли изменить номер native VLAN?
Да, но будьте осторожны, чтобы не вызвать конфликтов в сети.

Зачем нужен протокол Dynamic Trunking Protocol (DTP)?
Он позволяет автоматически устанавливать trunk между коммутаторами Cisco.

Чек-лист для настройки VLAN на коммутаторе Cisco

  • [ ] Создать необходимые VLAN (vlan <номер>, name <имя>)
  • [ ] Назначить access порты: interface <порт>, switchport mode access, switchport access vlan <номер>
  • [ ] Настроить trunk порт: interface <порт>, switchport mode trunk, switchport trunk encapsulation dot1q
  • [ ] Указать разрешённые VLAN на trunk: switchport trunk allowed vlan <список>
  • [ ] Задать native VLAN: switchport trunk native vlan <номер>
  • [ ] Проверить конфигурацию: show vlan brief, show interface trunk

Советы по эффективной работе с VLAN

  • Всегда планируйте архитектуру VLAN заранее.
  • Используйте VLAN для разделения трафика по функциям и безопасности.
  • Настраивайте мониторинг и анализ трафика.
  • Автоматизируйте настройки, если сеть растёт.
  • Документируйте все изменения в конфигурации.

VLAN — как невидимые стены в большом офисе, которые делают жизнь проще, трафик — аккуратнее, а безопасность — крепче. Не бойтесь экспериментировать и настраивать виртуальные сети, ведь они — будущее современной инфраструктуры!