Перейти к содержанию

VLAN

Введение в VLAN

Virtual Local Area Network (VLAN) — это логически изолированная сеть внутри одной физической сети. VLAN позволяет разделять устройства в пределах одной физической инфраструктуры, обеспечивая сегментацию трафика, безопасность и улучшенную управляемость сети.

1. Проблемы традиционных сетей без VLAN

  • Высокая нагрузка на сеть: широковещательный трафик (broadcast) распространяется на всех участников сети.
  • Отсутствие сегментации: все устройства в одной сети могут взаимодействовать друг с другом без ограничений.
  • Сложности управления: любая необходимость разделения сети требует физических изменений.
  • Низкая безопасность: отсутствие логической изоляции между отделами компании.

2. Преимущества VLAN

  • Снижение широковещательного трафика: уменьшение нагрузки на сеть.
  • Лучшая безопасность: изоляция между VLAN предотвращает несанкционированный доступ.
  • Гибкость управления: настройка VLAN возможна программно без изменений физической структуры.
  • Оптимизация производительности: снижение конфликтов и перегрузки сетевого оборудования.
  • Упрощенное администрирование: можно легко изменять группировку устройств по логическим признакам.

3. Типы VLAN

По способу назначения:

  1. Static VLAN (Портовая VLAN) — привязка устройства к VLAN осуществляется вручную по конкретному порту коммутатора.
  2. Dynamic VLAN (По MAC-адресу) — VLAN назначается устройству автоматически на основе его MAC-адреса.
  3. Protocol-based VLAN (По протоколу) — VLAN определяется по типу протокола сетевого трафика (например, IPv4, IPv6, IPX).
  4. Subnet-based VLAN (По IP-адресу) — VLAN создаётся на основе IP-подсети, к которой принадлежит устройство.

По назначению:

  1. Data VLAN (Пользовательские VLAN) — служат для сегментации данных пользователей.
  2. Voice VLAN (Голосовые VLAN) — выделенная VLAN для IP-телефонии, приоритизирует голосовой трафик.
  3. Management VLAN — VLAN, выделенная для управления сетевым оборудованием.
  4. Native VLAN — VLAN, используемая для нетегированных (untagged) кадров на trunk-портах.
  5. Default VLAN — стандартная VLAN по умолчанию (обычно VLAN 1).
  6. Private VLAN (PVLAN) — позволяет создавать изолированные группы внутри VLAN для повышения безопасности.

4. Типы портов в VLAN

  • Access Port — порт, назначенный только одной VLAN, используется для подключения конечных устройств.
  • Trunk Port — порт, передающий трафик нескольких VLAN с использованием тегирования (802.1Q).

Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):

  • auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. То есть если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
  • desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
  • trunk — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
  • nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.

5. Протоколы VLAN

  • IEEE 802.1Q — стандарт тегирования кадров для передачи трафика нескольких VLAN по одному порту.
  • ISL (Inter-Switch Link, устаревший) — проприетарный протокол Cisco для VLAN.
  • VTP (VLAN Trunking Protocol) — проприетарный протокол Cisco для распространения информации о VLAN между коммутаторами.

6. Работа стандарта IEEE 802.1Q

IEEE 802.1Q — это стандарт, регламентирующий тегирование Ethernet-кадров для поддержки нескольких VLAN на одном физическом канале. Он добавляет к кадру специальный 4-байтовый тег, содержащий информацию о VLAN ID.

Структура 802.1Q-тега:

  • Tag Protocol Identifier (TPID, 16 бит) — всегда содержит значение 0x8100, указывая, что кадр помечен по стандарту 802.1Q.
  • Priority Code Point (PCP, 3 бита) — приоритизация трафика (QoS).
  • Drop Eligible Indicator (DEI, 1 бит) — указывает, можно ли удалить кадр при перегрузке сети.
  • VLAN Identifier (VID, 12 бит) — номер VLAN (от 1 до 4094).

Работа 802.1Q:

  1. Когда устройство передает кадр в сеть, коммутатор добавляет к нему 802.1Q-тег, указывая VLAN ID.
  2. Трафик передается по trunk-порту к другому коммутатору или маршрутизатору.
  3. При достижении конечного устройства коммутатор удаляет тег (untagging) и передает данные дальше.
  4. Native VLAN (обычно VLAN 1) используется для передачи нетегированных кадров.

7. Работа с VLAN на коммутаторах

Создание VLAN на Cisco:

Switch(config)# vlan 10
Switch(config-vlan)# name SALES
Switch(config-vlan)# exit

Назначение порта в VLAN:

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

Просмотр информации о VLAN:

Switch# show vlan brief

Настройка Trunk-порта:

Switch(config)# interface FastEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# exit

Удаление VLAN:

Switch(config)# no vlan 10

8. VLAN Routing (Router on a Stick)

Проблема маршрутизации между VLAN

Коммутаторы уровня 2 не могут маршрутизировать трафик между VLAN, поскольку они не обладают функцией обработки IP-адресов. Если устройства из разных VLAN должны обмениваться данными, необходим маршрутизатор или коммутатор уровня 3.

Схема работы Router-on-a-Stick

  • Используется один физический интерфейс маршрутизатора.
  • Для каждой VLAN создаётся подинтерфейс (subinterface).
  • Кадры маркируются с использованием IEEE 802.1Q.
  • Маршрутизатор получает трафик, маршрутизирует его между VLAN и отправляет обратно.

Что такое Encapsulation и dot1Q?

Encapsulation (инкапсуляция) — это процесс добавления служебной информации к передаваемым данным. В контексте VLAN этот процесс позволяет маршрутизатору идентифицировать, к какой VLAN относится пакет данных.

dot1Q (IEEE 802.1Q) — это стандарт тегирования кадров, используемый для передачи трафика нескольких VLAN по одному trunk-порту. Этот стандарт добавляет к Ethernet-кадру 4-байтовый тег, содержащий идентификатор VLAN (VLAN ID).

Настройка Router-on-a-Stick на Cisco:

  1. Включаем интерфейс маршрутизатора:
Router(config)# interface GigabitEthernet0/1
Router(config-if)# no shutdown
  1. Создаём подинтерфейсы для каждой VLAN:
Router(config)# interface GigabitEthernet0/1.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit

Router(config)# interface GigabitEthernet0/1.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit
  1. Убеждаемся, что VLAN настроены на коммутаторе и Trunk-порт передаёт нужные VLAN.
  2. Проверяем соединение между устройствами с ping.

Альтернативный вариант: Использование коммутатора уровня 3

Некоторые коммутаторы поддерживают SVI (Switched Virtual Interface) для маршрутизации между VLAN без использования отдельного маршрутизатора. Настройка:

Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown

Switch(config)# interface vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# no shutdown

Таким образом, коммутатор сам выполняет маршрутизацию между VLAN.

9. Безопасность VLAN

Возможные угрозы VLAN

  1. VLAN Hopping (Перескакивание VLAN) – атака, при которой злоумышленник может получить доступ к данным из другой VLAN.
    • Способы атаки:
      • Использование двойного тегирования (Double Tagging) – злоумышленник вставляет два тега VLAN, и первый коммутатор снимает первый тег, оставляя второй тег нетронутым, что позволяет кадру попасть в другую VLAN.
      • Эксплуатация динамического протокола VTP для создания несанкционированных VLAN или изменения существующих.
  2. MAC Flooding (Переполнение таблицы MAC-адресов) – злоумышленник генерирует большое количество случайных MAC-адресов, заполняя таблицу MAC-адресов коммутатора, что приводит к работе в режиме широковещания (flooding).
  3. Spanning Tree Protocol (STP) Attacks – использование поддельных BPDU-пакетов для изменения топологии сети и организации перехвата трафика.
  4. ARP Spoofing (Подмена ARP-адресов) – злоумышленник подменяет MAC-адрес шлюза, перенаправляя трафик через себя.
  5. DHCP Spoofing (Подмена DHCP-сервера) – злоумышленник запускает поддельный DHCP-сервер, перенаправляя трафик пользователей на вредоносные ресурсы.