В крупных сетях неправильное распределение трафика способно создать множество проблем: от снижения производительности до серьёзных уязвимостей безопасности. Чтобы этого избежать, используется технология VLAN (Virtual Local Area Network) — виртуальная локальная сеть, позволяющая логически разделить инфраструктуру на изолированные сегменты. Сегодня разберём пошагово, как правильно настроить VLAN и изолировать трафик на примере популярного коммутатора Huawei CloudEngine.
Зачем вообще использовать VLAN?
Представьте, что у вас есть одно офисное здание с несколькими отделами: бухгалтерия, разработчики, маркетинг и гости. Вы не хотите, чтобы данные бухгалтерии были видны разработчикам или гостям, а гости, в свою очередь, не могли получить доступ к внутренним ресурсам компании.
Именно здесь на помощь приходит VLAN:
• Изоляция трафика разных групп пользователей.
• Повышение безопасности, исключая доступ без разрешения.
• Улучшение производительности за счёт снижения широковещательного трафика.
• Упрощение администрирования и контроля доступа.
Пример настройки VLAN на Huawei CloudEngine
Допустим, у нас есть следующая схема:
- VLAN 10 — бухгалтерия
- VLAN 20 — разработчики
- VLAN 30 — маркетинг
- VLAN 100 — гостевая сеть
Шаг 1. Создание VLAN
Подключаемся к коммутатору по SSH или через консоль и переходим в режим конфигурации:
system-view
vlan batch 10 20 30 100
Шаг 2. Назначение описаний VLAN
Для удобства администрирования указываем названия:
vlan 10
description Accounting
vlan 20
description Development
vlan 30
description Marketing
vlan 100
description Guest_WiFi
quit
Шаг 3. Привязка портов к VLAN
Предположим:
- бухгалтерия — порты GigabitEthernet 1/0/1–1/0/5
- разработчики — 1/0/6–1/0/10
- маркетинг — 1/0/11–1/0/15
- гости — 1/0/16–1/0/20
Пример настройки бухгалтерии:
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/5
port link-type access
port default vlan 10
quit
Шаг 4. Настройка trunk-порта
Если один порт должен пропускать несколько VLAN (например, uplink между коммутаторами):
interface GigabitEthernet 1/0/48
port link-type trunk
port trunk allow-pass vlan 10 20 30 100
quit
Изоляция трафика между VLAN
По умолчанию VLAN не могут взаимодействовать между собой. Если у вас L3-коммутатор (например, Huawei CloudEngine 16800 или 8800), он способен маршрутизировать трафик между VLAN. Для полной изоляции — используем ACL.
Запрещаем гостевому VLAN доступ к остальным:
acl number 3000
rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
rule permit ip
quit
Применяем ACL к интерфейсу VLAN:
interface Vlanif 100
traffic-filter inbound acl 3000
quit
Проверка и сохранение
После настройки:
display vlan summary
display interface brief
save
Итог
Настройка VLAN на Huawei CloudEngine — это не просто способ логически разделить сеть, но и надёжный инструмент повышения безопасности и производительности. Изоляция отделов, контроль доступа и эффективное использование ресурсов сети становятся стандартом для любого современного офиса.
📩 Хотите внедрить VLAN или модернизировать корпоративную сеть?
Пишите на server@tkasiatorg.ru — специалисты Азияторг помогут спроектировать и сопроводить сетевую инфраструктуру под ваш проект.