VLAN для чайников базовые основы настройки VLAN в RouterOS на оборудовании Mikrotik

Введение

Технология VLAN (Virtual Local Area Network) является важным инструментом для сегментации сетей, особенно в среднем и крупном бизнесе. Однако для начинающих администраторов настройка VLAN может показаться сложной задачей. В этой статье мы постараемся максимально просто и доступно объяснить, что такое VLAN, как они работают, и как их настроить на оборудовании Mikrotik с использованием RouterOS.

Базовые понятия принципов работы локальных сетей

Модель OSI

Для понимания VLAN необходимо иметь базовое представление о модели OSI (Open Systems Interconnection). Модель OSI состоит из семи уровней, но для наших целей достаточно рассмотреть первые четыре:

1. Физический уровень (Physical Layer): На этом уровне происходит физическая передача данных в виде битов (0 и 1) через кабели, оптику или другие среды передачи.
2. Канальный уровень (Data Link Layer): На этом уровне появляются MAC-адреса, которые используются для идентификации устройств в сети. Коммутаторы (Switch) работают на этом уровне.
3. Сетевой уровень (Network Layer): На этом уровне добавляются IP-адреса, и маршрутизаторы (Router) обрабатывают трафик на основе IP-заголовков.
4. Транспортный уровень (Transport Layer): На этом уровне используются протоколы TCP и UDP для управления доставкой данных.

Типы передачи данных в локальных сетях

В локальных сетях существует три типа передачи данных:

• Unicast: Передача данных от одного устройства к другому.
• Multicast: Передача данных нескольким выбранным устройствам.
• Broadcast: Передача данных всем устройствам в сети. Broadcast-запросы отправляются на адрес FF:FF:FF:FF:FF:FF .

Широковещательные домены и VLAN

В сети с использованием VLAN количество широковещательных доменов (broadcast domains) равно количеству VLAN. Это означает, что устройства в разных VLAN не могут обмениваться широковещательными запросами между собой.

Что такое VLAN и как это работает

VLAN (Virtual Local Area Network) — это технология, которая позволяет создавать несколько логических сетей на одном физическом оборудовании. VLAN эмулирует несколько каналов передачи данных и несколько физических коммутаторов, что позволяет экономить ресурсы на прокладку сетей и покупку дополнительного оборудования.

Преимущества VLAN

• Виртуализация сети: Возможность создания нескольких подсетей без прокладки новых кабелей.
• Изоляция подсетей: Устройства в разных VLAN изолированы друг от друга, что повышает безопасность сети.

Принцип работы VLAN

При использовании VLAN в Ethernet-фреймы добавляется дополнительный заголовок-метка (VLAN tag), который используется для идентификации VLAN. Коммутаторы и маршрутизаторы обрабатывают эти метки, а на портах доступа (access ports) теги снимаются.

VLAN на Mikrotik: варианты реализации

На оборудовании Mikrotik возможна реализация как аппаратных (Hardware VLAN), так и программных (Software VLAN) VLAN.

Аппаратный VLAN

Аппаратный VLAN реализуется на уровне чипа коммутации (switch-chip). Это позволяет достичь максимальной производительности, так как обработка тегов выполняется самим чипом, без участия процессора.

Программный VLAN

Программный VLAN реализуется через процессор устройства. Этот метод проще в настройке, но менее производителен, так как требует больше ресурсов процессора.

Настройка программного VLAN в RouterOS на оборудовании Mikrotik

Рассмотрим пример настройки VLAN на устройстве Mikrotik RB750UPr2 (hEX POE lite) и RB750r2 (hEX lite).

Конфигурация маршрутизатора R1

1. Настройка интерфейсов:
   • ether1 используется для подключения к сети провайдера.
   • ether2 и ether3 используются для офисной и гостевой сетей соответственно.
   • ether4 и ether5 используются как транковые порты (trunk) для подключения других устройств.
2. Создание бриджей:
   • Создаем два бриджа: bridge-vlan20-office для офисной сети и bridge-vlan30-guest для гостевой сети.
3. Настройка DHCP:
   • Создаем пулы IP-адресов для каждой подсети.
   • Настраиваем DHCP-серверы для выдачи IP-адресов клиентам.
4. Настройка VLAN:
   • Создаем VLAN на транковых портах и добавляем их в соответствующие бриджи.
5. Настройка Firewall:
   • Настраиваем правила Firewall для ограничения доступа между VLAN и изоляции гостевой сети.

Конфигурация маршрутизаторов R2 и R3

Маршрутизаторы R2 и R3 используются в качестве управляемых коммутаторов. Настройка аналогична R1, но с меньшим количеством интерфейсов.

6. Создание бриджей:
   • Создаем бриджи для офисной и гостевой сетей.
7. Настройка VLAN:
   • Настраиваем VLAN на транковых портах и добавляем их в соответствующие бриджи.
8. Настройка Firewall:
   • Ограничиваем доступ к маршрутизатору из гостевой сети.

Заключение

Технология VLAN является инструментом для сегментации сетей, повышения безопасности и оптимизации ресурсов. Настройка VLAN на оборудовании Mikrotik с использованием RouterOS может быть выполнена как на аппаратном, так и на программном уровне. Для небольших сетей программный VLAN является простым и эффективным решением, тогда как для крупных сетей с высокими требованиями к производительности рекомендуется использовать аппаратный VLAN.

Использование VLAN позволяет изолировать различные сегменты сети, что особенно важно для предприятий, где необходимо разделить офисные, гостевые и серверные сети. Это не только повышает безопасность, но и упрощает управление сетью.