6.1. Коммутация и виртуальные локальные сети (VLAN)
6.1. Коммутация и виртуальные локальные сети (VLAN)
Коммутатор (L2 switch) принимает решения о пересылке на основе MAC-адресов, строит таблицу коммутации (CAM table) и обеспечивает выделенную полосу пропускания между портами. VLAN логически разделяет один физический коммутатор на несколько независимых broadcast-доменов.
6.1.1. Сравнение сетевых устройств
| Устройство | Уровень OSI | Единица обработки | Особенности |
|---|---|---|---|
| Концентратор (Hub) | 1 | Бит | Повторяет сигнал на все порты; один домен коллизий |
| Коммутатор (Switch) | 2 | Кадр | Пересылка по MAC; отдельный домен коллизий на порт |
| Маршрутизатор (Router) | 3 | Пакет | Маршрутизация по IP; разделение broadcast-доменов |
| Маршрутизатор L3 / L3-коммутатор | 2–3 | Кадр и пакет | МежVLAN-маршрутизация на скорости коммутации |
6.1.2. Стандарт IEEE 802.1Q
В кадр Ethernet добавляется 4-байтовый тег:
- TPID — 0x8100 (идентификатор тега).
- PRI — 3 бита приоритета (QoS).
- CFI — 1 бит.
- VID — 12 бит идентификатора VLAN (1–4094; 0 и 4095 зарезервированы).
Access-порт — принадлежит одному VLAN, кадры без тега. Trunk-порт — передаёт кадры нескольких VLAN с тегами 802.1Q (обычно между коммутаторами).
6.1.3. Пример сегментации офиса
| VLAN ID | Назначение | Подсеть |
|---|---|---|
| 10 | Бухгалтерия | 192.168.10.0/24 |
| 20 | Отдел продаж | 192.168.20.0/24 |
| 30 | Гостевой Wi-Fi | 192.168.30.0/24 |
| 99 | Серверная | 192.168.99.0/24 |
6.1.4. Беспроводные сети (кратко)
Wi-Fi (IEEE 802.11) работает на физическом и канальном уровнях. Точка доступа (AP) объединяет беспроводных клиентов с проводной сетью. Рекомендуется: WPA3-шифрование, отдельный гостевой VLAN, контроллер для централизованного управления.
Контрольные вопросы
- Чем коммутатор принципиально отличается от концентратора?
- Сколько VLAN поддерживает стандарт 802.1Q?
- Для чего используется trunk-порт?
- Как VLAN повышает безопасность сети?
6.1.5. Алгоритм работы коммутатора (пошагово)
- Приём кадра на порту; проверка FCS.
- Определение VLAN (по порту access или тегу 802.1Q на trunk).
- Обучение: запись MAC источника → порт + VLAN.
- Поиск MAC назначения в CAM; при нахождении — unicast на порт; иначе — flood в VLAN.
- Broadcast и неизвестный multicast — flood в пределах VLAN.
6.1.6. Протокол spanning tree (STP/RSTP/MSTP)
При резервных линках между коммутаторами возникает петля уровня 2 — широковещательный шторм. STP (802.1D) блокирует избыточные порты, оставляя одно логическое дерево. RSTP (802.1w) — быстрая сходимость (секунды). MSTP — несколько деревьев для разных VLAN. Корневой мост (root bridge) выбирается по Bridge ID (приоритет + MAC).
6.1.7. МежVLAN-маршрутизация
Разные VLAN — разные broadcast-домены и обычно разные подсети IP. Для обмена между VLAN нужен маршрутизатор или L3-коммутатор (SVI — switched virtual interface, например интерфейс VLAN 10 с IP 192.168.10.1/24). Без L3 трафик между VLAN не пройдёт.
6.1.8. Безопасность портов и 802.1X
Port security — ограничение MAC на порту (sticky MAC). 802.1X — аутентификация устройства/пользователя перед доступом к LAN (RADIUS-сервер). DHCP snooping и dynamic ARP inspection защищают от поддельных DHCP и ARP-spoofing в сети с управляемыми коммутаторами.
6.1.9. Wi-Fi: режимы и безопасность
| Режим | Описание |
|---|---|
| Infrastructure (BSS) | Клиенты через точку доступа — типовой офис |
| Ad-hoc (IBSS) | Прямая связь клиентов без AP — редко |
| Mesh | AP ретранслируют трафик — большие площади |
Шифрование: устаревший WEP (взламывается), WPA2-PSK (дом/малый офис), WPA3 (рекомендуется), корпоративный WPA2/3-Enterprise с сертификатами. Гостевой SSID — отдельный VLAN без доступа к внутренним ресурсам.
6.1.10. Агрегация каналов (LACP, 802.3ad)
Несколько физических линков объединяются в один логический (EtherChannel, LACP) для увеличения пропускной способности и отказоустойчивости. Пакеты распределяются по алгоритму хеширования (MAC, IP); один поток не превысит скорость одного линка.
Дополнительные вопросы для самопроверки
- Зачем нужен STP, если коммутатор «умный»?
- Может ли хост из VLAN 10 напрямую ping хост в VLAN 20 без маршрутизатора?
- Чем WPA3-Enterprise отличается от WPA3-PSK?