6.1. Коммутация и виртуальные локальные сети (VLAN)

Коммутатор (L2 switch) принимает решения о пересылке на основе MAC-адресов, строит таблицу коммутации (CAM table) и обеспечивает выделенную полосу пропускания между портами. VLAN логически разделяет один физический коммутатор на несколько независимых broadcast-доменов.

6.1.1. Сравнение сетевых устройств

УстройствоУровень OSIЕдиница обработкиОсобенности
Концентратор (Hub)1БитПовторяет сигнал на все порты; один домен коллизий
Коммутатор (Switch)2КадрПересылка по MAC; отдельный домен коллизий на порт
Маршрутизатор (Router)3ПакетМаршрутизация по IP; разделение broadcast-доменов
Маршрутизатор L3 / L3-коммутатор2–3Кадр и пакетМежVLAN-маршрутизация на скорости коммутации

6.1.2. Стандарт IEEE 802.1Q

В кадр Ethernet добавляется 4-байтовый тег:

  • TPID — 0x8100 (идентификатор тега).
  • PRI — 3 бита приоритета (QoS).
  • CFI — 1 бит.
  • VID — 12 бит идентификатора VLAN (1–4094; 0 и 4095 зарезервированы).

Access-порт — принадлежит одному VLAN, кадры без тега. Trunk-порт — передаёт кадры нескольких VLAN с тегами 802.1Q (обычно между коммутаторами).

6.1.3. Пример сегментации офиса

VLAN IDНазначениеПодсеть
10Бухгалтерия192.168.10.0/24
20Отдел продаж192.168.20.0/24
30Гостевой Wi-Fi192.168.30.0/24
99Серверная192.168.99.0/24

6.1.4. Беспроводные сети (кратко)

Wi-Fi (IEEE 802.11) работает на физическом и канальном уровнях. Точка доступа (AP) объединяет беспроводных клиентов с проводной сетью. Рекомендуется: WPA3-шифрование, отдельный гостевой VLAN, контроллер для централизованного управления.

Контрольные вопросы

  1. Чем коммутатор принципиально отличается от концентратора?
  2. Сколько VLAN поддерживает стандарт 802.1Q?
  3. Для чего используется trunk-порт?
  4. Как VLAN повышает безопасность сети?

6.1.5. Алгоритм работы коммутатора (пошагово)

  1. Приём кадра на порту; проверка FCS.
  2. Определение VLAN (по порту access или тегу 802.1Q на trunk).
  3. Обучение: запись MAC источника → порт + VLAN.
  4. Поиск MAC назначения в CAM; при нахождении — unicast на порт; иначе — flood в VLAN.
  5. Broadcast и неизвестный multicast — flood в пределах VLAN.

6.1.6. Протокол spanning tree (STP/RSTP/MSTP)

При резервных линках между коммутаторами возникает петля уровня 2 — широковещательный шторм. STP (802.1D) блокирует избыточные порты, оставляя одно логическое дерево. RSTP (802.1w) — быстрая сходимость (секунды). MSTP — несколько деревьев для разных VLAN. Корневой мост (root bridge) выбирается по Bridge ID (приоритет + MAC).

6.1.7. МежVLAN-маршрутизация

Разные VLAN — разные broadcast-домены и обычно разные подсети IP. Для обмена между VLAN нужен маршрутизатор или L3-коммутатор (SVI — switched virtual interface, например интерфейс VLAN 10 с IP 192.168.10.1/24). Без L3 трафик между VLAN не пройдёт.

6.1.8. Безопасность портов и 802.1X

Port security — ограничение MAC на порту (sticky MAC). 802.1X — аутентификация устройства/пользователя перед доступом к LAN (RADIUS-сервер). DHCP snooping и dynamic ARP inspection защищают от поддельных DHCP и ARP-spoofing в сети с управляемыми коммутаторами.

6.1.9. Wi-Fi: режимы и безопасность

РежимОписание
Infrastructure (BSS)Клиенты через точку доступа — типовой офис
Ad-hoc (IBSS)Прямая связь клиентов без AP — редко
MeshAP ретранслируют трафик — большие площади

Шифрование: устаревший WEP (взламывается), WPA2-PSK (дом/малый офис), WPA3 (рекомендуется), корпоративный WPA2/3-Enterprise с сертификатами. Гостевой SSID — отдельный VLAN без доступа к внутренним ресурсам.

6.1.10. Агрегация каналов (LACP, 802.3ad)

Несколько физических линков объединяются в один логический (EtherChannel, LACP) для увеличения пропускной способности и отказоустойчивости. Пакеты распределяются по алгоритму хеширования (MAC, IP); один поток не превысит скорость одного линка.

Дополнительные вопросы для самопроверки

  1. Зачем нужен STP, если коммутатор «умный»?
  2. Может ли хост из VLAN 10 напрямую ping хост в VLAN 20 без маршрутизатора?
  3. Чем WPA3-Enterprise отличается от WPA3-PSK?
Последнее изменение: пятница, 3 июля 2026, 12:13