Настройка и принципы работы VLAN в сетях

Если вам нужно разделить сеть на логические сегменты без дополнительного оборудования, VLAN – оптимальное решение. Технология позволяет группировать устройства виртуально, даже если они подключены к разным коммутаторам. Начните с создания VLAN на управляемом коммутаторе: зайдите в интерфейс администратора, найдите раздел VLAN Configuration и задайте идентификаторы (обычно от 1 до 4094).

Каждый VLAN работает как отдельная широковещательная область, снижая нагрузку на сеть. Например, в офисе можно выделить VLAN для бухгалтерии, отдела разработки и гостевых устройств. Настройте тегирование трафика (802.1Q), чтобы коммутаторы понимали, к какому сегменту относятся пакеты. Для устройств, не поддерживающих теги (например, принтеров), используйте порты в режиме access с назначенным VLAN-ID.

Меж-VLAN-маршрутизация требует роутера или L3-коммутатора. Настройте интерфейсы с сабинтерфейсами (subinterfaces) для каждого VLAN, указав IP-адреса. Проверьте связность с помощью ping между узлами из разных VLAN. Если пакеты не проходят, убедитесь, что на всех промежуточных устройствах разрешено прохождение тегированного трафика.

Содержание

Что такое VLAN и зачем он нужен в локальной сети
Как создать VLAN на коммутаторах Cisco и MikroTik
Настройка меж-VLAN маршрутизации через роутер
Как назначить порты коммутатора определенным VLAN
1. Подключитесь к коммутатору
2. Перейдите в режим конфигурации
3. Назначьте VLAN порту
4. Проверьте настройки
Разделение трафика между VLAN без потери скорости
Оптимизация коммутации
Настройка приоритезации
Типичные ошибки при настройке VLAN и их устранение
1. Неправильная разметка портов
2. Отсутствие native VLAN на trunk-портах
3. Забытые VLAN в базе данных коммутатора
4. Конфликты IP-адресации
5. Пропуск проверки MTU

Что такое VLAN и зачем он нужен в локальной сети

Используйте VLAN, если нужно:

Уменьшить широковещательный трафик – каждый VLAN создает отдельный широковещательный домен.
Повысить безопасность – устройства из разных VLAN не смогут обмениваться данными без маршрутизатора или межсетевого экрана.
Упростить управление сетью – логическая группировка упрощает настройку политик для разных отделов (финансы, разработка, гости).
Оптимизировать производительность – снижается нагрузка на оборудование за счет фильтрации ненужного трафика.

Читайте также: Как узнать свой ip адрес

Например, в офисе можно создать отдельные VLAN для:

Рабочих станций сотрудников.
Серверов и систем хранения данных.
Гостевого Wi-Fi, чтобы изолировать посетителей от корпоративных ресурсов.

Для настройки VLAN на коммутаторах Cisco выполните:

Создайте VLAN командой vlan 10 (где 10 – идентификатор).
Назначьте имя: name Finance.
Настройте порты: switchport mode access и switchport access vlan 10.

В сетях с несколькими коммутаторами используйте тегирование трафика (802.1Q) на магистральных портах. Это позволит передавать данные нескольких VLAN через одно физическое соединение.

Как создать VLAN на коммутаторах Cisco и MikroTik

Для создания VLAN на коммутаторах Cisco выполните следующие команды в режиме конфигурации:

enable
configure terminal
vlan 10
name Sales
exit
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
end

Здесь 10 – идентификатор VLAN, Sales – её название, а GigabitEthernet0/1 – порт, который будет добавлен в VLAN.

Для настройки транкового порта, передающего несколько VLAN, используйте:

interface GigabitEthernet0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,30
end

На коммутаторах MikroTik VLAN настраивается через интерфейс WinBox или терминал. Пример для роутера с SwOS:

/interface bridge vlan
add bridge=bridge1 vlan-ids=10 untagged=ether2 tagged=ether1

Здесь ether2 – порт в VLAN 10 без тега, ether1 – транковый порс с тегированием.

В RouterOS для настройки VLAN на интерфейсе:

/interface vlan
add name=vlan10 interface=ether1 vlan-id=10
/ip address
add address=192.168.10.1/24 interface=vlan10

Проверьте настройки командой print в соответствующих разделах. Убедитесь, что соседние устройства поддерживают одинаковые VLAN ID и тип инкапсуляции (обычно 802.1Q).

Настройка меж-VLAN маршрутизации через роутер

Для настройки маршрутизации между VLAN на роутере используйте интерфейсы в режиме «router-on-a-stick». Подключите один физический порт роутера к транковому порту коммутатора и настройте сабинтерфейсы для каждого VLAN.

Пример конфигурации на Cisco IOS:

interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0

На коммутаторе настройте транковый порт:

interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20

Проверьте маршрутизацию командой ping между устройствами из разных VLAN. Если пакеты не проходят, убедитесь, что:

На роутере включена маршрутизация (ip routing).
На коммутаторе VLAN созданы и назначены правильным портам.
Транковый порт разрешает нужные VLAN.

Читайте также: Роутер wi fi sagemcom

Для повышения производительности ограничьте ненужный широковещательный трафик, используя ACL или настройки фильтрации на сабинтерфейсах.

Параметр	Значение
Инкапсуляция	IEEE 802.1Q
Тип порта на коммутаторе	Trunk
IP-адрес сабинтерфейса	Должен быть шлюзом для VLAN

Если требуется маршрутизация между VLAN без задержек, рассмотрите использование L3-коммутатора вместо роутера.

Как назначить порты коммутатора определенным VLAN

Чтобы назначить порт коммутатора конкретному VLAN, выполните следующие шаги:

1. Подключитесь к коммутатору

Используйте консольный кабель или SSH для доступа к интерфейсу командной строки (CLI) коммутатора. Введите логин и пароль с правами администратора.

2. Перейдите в режим конфигурации

Введите команду configure terminal (или conf t для краткости), чтобы перейти в режим глобальной конфигурации.

Для настройки конкретного порта используйте команду interface [тип_порта] [номер], например:

interface GigabitEthernet 0/1

3. Назначьте VLAN порту

Выберите режим работы порта:

Access-порт – передает трафик только одного VLAN. Используйте команду: switchport mode access, затем switchport access vlan [номер_VLAN].
Trunk-порт – передает трафик нескольких VLAN. Введите switchport mode trunk, затем укажите разрешенные VLAN: switchport trunk allowed vlan [список_VLAN].

Пример для порта Access в VLAN 10:

interface GigabitEthernet 0/1
switchport mode access
switchport access vlan 10

4. Проверьте настройки

Выйдите из режима конфигурации (end) и проверьте конфигурацию порта командой:

show interfaces [тип_порта] [номер] switchport

Если порт не работает, убедитесь, что VLAN создан (vlan [номер]) и устройство на другом конце поддерживает настройки.

Разделение трафика между VLAN без потери скорости

Настройте аппаратное ускорение на коммутаторах, чтобы VLAN-трафик обрабатывался на уровне ASIC, а не CPU. Для этого активируйте функции вроде ip route-cache на Cisco или Hardware Offload на MikroTik. Это снизит нагрузку на процессор и сохранит пропускную способность.

Оптимизация коммутации

Используйте тегирование трафика стандартом IEEE 802.1Q. На коммутаторах с поддержкой Layer 3 включите маршрутизацию между VLAN напрямую (SVI), чтобы избежать задержек из-за передачи данных через внешний роутер. Например, на Cisco Nexus:

interface Vlan10
ip address 192.168.10.1/24
no shutdown

Настройка приоритезации

Применяйте QoS для критически важного трафика. Разместите VoIP или видеопотоки в отдельном VLAN и назначьте им высокий приоритет через DSCP или CoS. Настройте политику на коммутаторе:

class-map match-any VOIP
match dscp ef
policy-map QOS-POLICY
class VOIP
priority percent 30

Проверяйте скорость передачи через интерфейсы с помощью show interface или инструментов вроде iPerf. Если трафик между VLAN проходит через один физический интерфейс, убедитесь, что его пропускная способность соответствует суммарной нагрузке.

Читайте также: Tr 069 client что это

Типичные ошибки при настройке VLAN и их устранение

1. Неправильная разметка портов

Часто встречается ошибка, когда порты коммутатора неверно помечены как access или trunk. Например, если порт, подключенный к конечному устройству, настроен как trunk, устройство может не получить доступ к сети. Проверьте режим порта командой show interface status и исправьте конфигурацию:

switchport mode access – для пользовательских устройств.

switchport mode trunk – для соединений между коммутаторами.

2. Отсутствие native VLAN на trunk-портах

Если native VLAN не указан или не совпадает на обоих концах trunk-соединения, возможны потери пакетов. Убедитесь, что native VLAN одинаков на обоих устройствах:

switchport trunk native vlan 10 – задает VLAN 10 как native.

Проверьте настройки командой show interfaces trunk и убедитесь, что нет несоответствий.

3. Забытые VLAN в базе данных коммутатора

Иногда VLAN создается, но не добавляется в базу данных коммутатора. Это приводит к тому, что порты не могут использовать нужную VLAN. Проверьте список активных VLAN:

show vlan brief

Если VLAN отсутствует, добавьте ее вручную:

vlan 20

name Sales

4. Конфликты IP-адресации

Устройства в разных VLAN должны находиться в разных подсетях. Если IP-адреса пересекаются, маршрутизация не будет работать. Проверьте настройки шлюзов и масок подсети на всех устройствах.

5. Пропуск проверки MTU

Если MTU (Maximum Transmission Unit) на коммутаторах отличается, возможны обрывы соединений. Убедитесь, что на всех устройствах установлено одинаковое значение, например, 1500 байт:

system mtu 1500