VLAN для начинающих: логическая сегментация сети
VLAN (Virtual Local Area Network) — технология, которая позволяет разделить физическую сеть на несколько изолированных логических сегментов. Это фундаментальный навык для любого сетевого инженера. В этом гайде мы разберём, зачем нужны VLAN, как их настраивать на Cisco и MikroTik, и рассмотрим реальные сценарии использования.
Зачем нужны VLAN?
Представьте офис, где 200 компьютеров, принтеры, IP-телефоны и серверы в одной сети. Широковещательный трафик (broadcast) будет забивать канал, а безопасность стремится к нулю — любой сотрудник может перехватить трафик бухгалтерии. VLAN решает эти проблемы:
- Безопасность — трафик разных отделов изолирован
- Производительность — broadcast-домены уменьшаются
- Гибкость — сотрудники могут быть в одном VLAN даже физически в разных зданиях
- Экономия — не нужно покупать отдельные коммутаторы под каждый отдел
Тегирование VLAN: 802.1Q
Стандарт IEEE 802.1Q добавляет в Ethernet-кадр 4-байтовый тег с идентификатором VLAN (VID от 1 до 4094). VLAN 1 — это native VLAN по умолчанию на всех коммутаторах. Лучше его не использовать для пользовательского трафика из соображений безопасности.
Настройка VLAN на Cisco IOS
Создадим VLAN 10 для отдела продаж и VLAN 20 для бухгалтерии на коммутаторе Cisco:
Switch>enable Switch#configure terminal Switch(config)#vlan 10 Switch(config-vlan)#name Sales Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name Accounting Switch(config-vlan)#exit
Теперь назначим порты. Порт GigabitEthernet0/1 в access-режиме для VLAN 10:
Switch(config)#interface gigabitEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit
Trunk-порты и маршрутизация между VLAN
Чтобы передавать трафик нескольких VLAN между коммутаторами, используются trunk-порты. Настройка trunk на Cisco:
Switch(config)#interface gigabitEthernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10,20
Для маршрутизации между VLAN нужен роутер или L3-коммутатор с поддержкой SVI (Switch Virtual Interface). На L3-коммутаторе:
Switch(config)#interface vlan 10 Switch(config-if)#ip address 192.168.10.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config)#interface vlan 20 Switch(config-if)#ip address 192.168.20.1 255.255.255.0
Настройка VLAN на MikroTik RouterOS
На MikroTik сначала создаётся bridge, потом VLAN-интерфейсы:
/interface bridge add name=bridge1 /interface vlan add name=vlan10 vlan-id=10 interface=bridge1 /interface vlan add name=vlan20 vlan-id=20 interface=bridge1 /ip address add address=192.168.10.1/24 interface=vlan10 /ip address add address=192.168.20.1/24 interface=vlan20
На порт коммутатора (например, ether2) добавляем VLAN-тегирование:
/interface bridge port add bridge=bridge1 interface=ether2 /interface bridge vlan add bridge=bridge1 vlan-id=10 tagged=ether2 untagged=ether3,ether4 /interface bridge vlan add bridge=bridge1 vlan-id=20 tagged=ether2 untagged=ether5,ether6
Типичные ошибки при работе с VLAN
- Забыли настроить native VLAN одинаково на обоих концах trunk — возникают проблемы с untagged трафиком
- Не разрешили VLAN на trunk-порту — трафик не проходит
- Отсутствует маршрутизация между VLAN — устройства в разных VLAN не видят друг друга
- VLAN mismatch — access-порт на одном конце и trunk на другом
Практический сценарий: офис с тремя отделами
Допустим, у вас офис с отделами: IT (VLAN 10), HR (VLAN 20), Sales (VLAN 30). На всех коммутаторах создаются эти VLAN. На trunk между коммутаторами разрешены все три. L3-коммутатор или роутер-on-a-stick (один физический интерфейс с сабинтерфейсами) обеспечивает маршрутизацию. DHCP-сервер выдаёт адреса из соответствующих пулов.
Итог: VLAN — обязательный инструмент в арсенале сетевого инженера. Понимание access/trunk, native VLAN и маршрутизации между VLAN позволит вам строить масштабируемые и безопасные корпоративные сети.