VLAN (Virtual Local Area Network) — виртуальная локальная сеть, которая логически разделяет один физический коммутатор или сеть на несколько изолированных сетей. Это позволяет разделять трафик, улучшать безопасность и управляемость без дополнительного физического оборудования.
VLAN нужен для логической сегментации сети — разделения одной физической сети на несколько виртуальных, с разными целями и политиками. Конкретно — зачем и для каких задач: - Сегментация по отделам/функциям: отделы (бухгалтерия, маркетинг, гости) в примере находятся в отдельных VLAN, чтобы их трафик был логически разделён. - Безопасность: изолировать чувствительные сегменты (например, бухгалтерию) от общего трафика и потенциально вредоносных устройств (гостей). - Снижение широковещательного домена: каждый VLAN ограничивает широковещания и уменьшает ненужный трафик на портах. - Управление доступом и политиками: на уровне маршрутизатора/межсекционного устройства можно применять ACL/фильтры для каждой VLAN (разные правила для бухгалтерии и гостей). - Качество обслуживания (QoS) и приоритезация: можно назначать разные политики приоритета трафика для VLAN с критичными сервисами. - Простота администрирования и гибкость: перемещение пользователя между VLAN делается конфигурацией порта, не переставлением кабелей. - Сетевая мультиарендность/тенантность: разделять логически ресурсы для разных проектов, команд или клиентов на одной физике. - Гостевые и IoT‑сети: безопасно отделять гостей и ненадёжные устройства от корпоративных ресурсов. - Снижение затрат: несколько логических сетей без дополнительных коммутаторов/кабелей. В примере: - VLAN 10 — защищённый сегмент для бухгалтерии (ограничить доступ к серверам). - VLAN 20 — рабочая сеть маркетинга. - VLAN 30 — гостевая сеть с доступом только в интернет (без доступа к внутренним ресурсам). - Trunk (порт 24) переносит все VLAN к маршрутизатору/L3‑коммутатору, где настраивается меж‑VLAN маршрутизация и политики доступа.
Основные типы VLAN Default VLAN — VLAN по умолчанию на коммутаторе (обычно VLAN 1). Обычно не используют для пользователей по соображениям безопасности. Access VLAN (порт‑VLAN) — присваивается access‑порту; все устройства на таком порту принадлежат одной VLAN (пример: порты 1–8 → VLAN 10). Trunk VLAN (trunk‑порт) — порт, несущий трафик нескольких VLAN с тегами 802.1Q между коммутаторами/маршрутизаторами. Native VLAN — VLAN, чьи кадры на trunk‑порту пересылаются без 802.1Q тега; по умолчанию часто VLAN 1. Рекомендуется избегать для критичных транзакций. Management VLAN — отдельная VLAN для управления оборудование (SSH, SNMP, web‑GUI); изолируется от пользовательского трафика. Voice VLAN — выделенная VLAN для IP‑телефонии (обычно с приоритетом QoS); может автоматически назначаться телефоном по 802.1p/LLDP‑MED. Guest VLAN — изолированная VLAN для гостей/временно подключаемых устройств с ограниченным доступом (обычно только в Интернет). Native‑Tagged/Native‑Untagged (вариации trunk) — терминология для обработки родной VLAN: tagged или untagged. Private VLAN (PVLAN) — внутри одной VLAN создаются изолированные сегменты (primary‑secondary: isolated/community) — применяют в дата‑центрах/хостинге для ограничения связи между портами в той же VLAN. Protocol VLAN — VLAN, назначаемая по типу протокола (редко используется), например отдельная VLAN для IPX или другого протокола. Management/Control VLAN (OAM) — VLAN для служебного трафика (телеметрия, мониторинг, Spanning Tree BPDU隔离 и т.п.). Service VLAN / S‑VLAN (provider VLAN) — провайдерская внешняя VLAN в Q‑in‑Q схемах (S‑tag) для агрегирования клиентских C‑VLAN. Customer VLAN / C‑VLAN — клиентская VLAN, инкапсулируемая внутри S‑VLAN при Q‑in‑Q. Native VLAN vs. Tagged VLAN (на практических платформах) — различают трафик, который должен быть помечен или нет на trunk. Dynamic VLAN (по аутентификации) — VLAN присваивается динамически на основе 802.1X/RADIUS атрибутов (авторизация пользователя/устройства). Management/Out‑of‑Band VLAN — для управления через выделенную сеть (OOB) вне основного канала данных.