Представьте себе офисное здание, где бухгалтерия, отдел продаж и гости Wi-Fi используют одну общую комнату для всех разговоров. Хаос, небезопасно и неэффективно. VLAN (Virtual Local Area Network) — это виртуальные перегородки в этой комнате, которые создают из одной физической сети несколько логических, изолированных. Это не просто технология, а философия грамотного сетевого проектирования, доступная каждому, у кого есть управляемый коммутатор.
Что такое VLAN и зачем он нужен?
VLAN — это технология, позволяющая создать несколько независимых логических сетей в рамках одной физической сетевой инфраструктуры. Устройства в разных VLAN'ах, даже подключенные к одному коммутатору, «не видят» трафик друг друга без специального маршрутизатора (роутера).
Ключевая аналогия: Один многоквартирный дом (физический коммутатор) с множеством отдельных квартир (VLAN). Жильцы из разных квартир не могут зайти друг к другу без приглашения (настройки маршрутизации).
Основные преимущества использования VLAN
- Повышение безопасности: Изоляция критичных сегментов (например, финансовая служба) от гостевого Wi-Fi или IoT-устройств.
- Снижение широковещательного трафика: Широковещательные пакеты (broadcast) не выходят за пределы VLAN, что разгружает сеть.
- Логическая группировка: Объединение пользователей по отделам, функциям или проектам, независимо от их физического местоположения.
- Упрощение управления: Легче применять политики (например, QoS, фильтрацию) к целым логическим группам.
Типы портов в VLAN: Access и Trunk
Правильное понимание этих двух концепций — основа настройки.
Access Port (Порт доступа)
Это «обычный» порт, который принадлежит только одному VLAN. Устройство (ПК, принтер, IP-камера), подключенное к такому порту, даже не подозревает о существовании VLAN. Коммутатор сам добавляет к исходящим от устройства кадрам тег (метку) VLAN и снимает его для входящих.
Trunk Port (Магистральный порт)
Это «транспортная артерия» между коммутаторами или между коммутатором и маршрутизатором. По нему проходит трафик нескольких VLAN одновременно. Каждый кадр снабжается тегом (обычно по стандарту IEEE 802.1Q), который идентифицирует, к какому VLAN он принадлежит.
Важно! К Trunk-порту обычно подключают только другое сетевое оборудование. Подключение обычного ПК к trunk-порту без поддержки тегов на сетевой карте приведет к неработоспособности сети.
Пошаговая настройка базового VLAN на коммутаторе (на примере CLI Cisco-like)
Рассмотрим типичную задачу: создать VLAN 10 для отдела продаж и VLAN 20 для гостевого доступа.
- Создание VLAN:
Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name Sales Switch(config-vlan)# exit Switch(config)# vlan 20 Switch(config-vlan)# name Guest_WiFi
- Настройка портов доступа (Access): Назначим порты Fa0/1 и Fa0/2 отделу продаж (VLAN 10).
Switch(config)# interface range fastEthernet 0/1 - 2 Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 10 Switch(config-if-range)# no shutdown
- Настройка магистрального порта (Trunk): Настроим порт Gi0/1 для подключения к роутеру или другому коммутатору.
Switch(config)# interface gigabitEthernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk native vlan 99 // Опционально: native VLAN Switch(config-if)# switchport trunk allowed vlan 10,20 // Разрешаем только нужные VLAN Switch(config-if)# no shutdown
- Проверка конфигурации:
Switch# show vlan brief Switch# show interfaces trunk
Межвлановская маршрутизация (Inter-VLAN Routing)
Чтобы VLAN'ы могли общаться между собой (например, чтобы Sales могли выйти в интернет через общий шлюз), нужен маршрутизатор. Это можно реализовать двумя основными способами:
- «Router on a Stick»: Один физический порт роутера подключается к trunk-порту коммутатора. На роутере создаются подинтерфейсы (subinterfaces) для каждого VLAN (например, Gi0/0.10 для VLAN 10).
- Layer 3 Коммутатор: Умный коммутатор, который умеет и коммутировать, и маршрутизировать. Самый производительный и современный вариант.
FAQ: Часто задаваемые вопросы о VLAN
В чем разница между LAN и VLAN?
LAN (Local Area Network) — это физическая сеть. VLAN — это логическая, виртуальная сеть, созданная внутри одной или нескольких физических LAN.
Можно ли создать VLAN на обычном домашнем роутере?
Многие современные домашние и офисные роутеры поддерживают базовые функции VLAN, часто в интерфейсе для создания отдельной гостевой сети Wi-Fi. Но для гибкой настройки потребуется управляемый коммутатор.
Сколько VLAN можно создать?
Стандарт IEEE 802.1Q определяет идентификатор VLAN (VID) длиной 12 бит, что теоретически позволяет создать до 4094 VLAN (ID 1-4094). ID 0 и 4095 зарезервированы.
Что такое Native VLAN?
Это VLAN (по умолчанию обычно VLAN 1), трафик которого передается по trunk-порту без тега 802.1Q. Важно, чтобы Native VLAN совпадал на обоих концах trunk-соединения в целях безопасности.
Нужен ли VLAN в маленькой сети?
Даже в небольшой сети VLAN полезен для отделения доверенных устройств от потенциально уязвимых (гостевой Wi-Fi, камеры, умные колонки), повышая общий уровень безопасности.