Найти в Дзене
Сетестрой
36 подписчиков

Настройка VLAN на коммутаторе D-Link DGS-1250-28X/RU

6 мин
Режимы портов, Native VLAN и лучшие практики Виртуальные локальные сети (VLAN) — это фундамент современной сетевой инфраструктуры. Они позволяют логически разделить одну физическую сеть на несколько изолированных сегментов. Это повышает безопасность, снижает широковещательный трафик и упрощает управление. В этой статье разберем режимы работы портов, понятие Native VLAN и дадим рекомендации по грамотному планированию сети на примере оборудования D-Link. У D-Link изначально ключевую роль играла концепция Tagged/Untagged и PVID. Давайте разберем что это такое и как соотносится с терминологией access-trunk-hybrid. Native VLAN (Родной VLAN) — это VLAN, трафик которой передается через магистральный порт (Trunk) без тега 802.1Q. На коммутаторах D-Link понятие Native VLAN реализуется через связку PVID + Untagged на транковом порту. Если кратко, то: Access = Untagged (1 VLAN) + PVID. Trunk = Tagged (много VLAN) + PVID (для Native). Hybrid = Комбинация Tagged и Untagged на одном порту По умолчан
Оглавление
Режимы портов, Native VLAN и лучшие практики

Виртуальные локальные сети (VLAN) — это фундамент современной сетевой инфраструктуры. Они позволяют логически разделить одну физическую сеть на несколько изолированных сегментов. Это повышает безопасность, снижает широковещательный трафик и упрощает управление.

В этой статье разберем режимы работы портов, понятие Native VLAN и дадим рекомендации по грамотному планированию сети на примере оборудования D-Link.

1. Режимы работы порта: Access, Trunk, Hybrid.

У D-Link изначально ключевую роль играла концепция Tagged/Untagged и PVID. Давайте разберем что это такое и как соотносится с терминологией access-trunk-hybrid.

Access (Порт доступа)

  • Суть: Порт подключается к конечному устройству (ПК, принтер, камера).
  • Логика D-Link: Порт является Untagged (нетегированным) только для одного VLAN.
  • Как это работает:
    Вход: Коммутатор принимает обычный кадр (без метки) и присваивает ему PVID (Port VLAN ID), равный ID этого VLAN.
    Выход: Перед отправкой на устройство коммутатор снимает метку VLAN. Устройство «не знает», что оно находится в VLAN.
  • Когда использовать: Для подключения пользователей и серверов, которым не нужна работа с тегами.

Trunk (Магистральный порт)

  • Суть: Порт соединяет два коммутатора или коммутатор с маршрутизатором.
  • Логика D-Link: Порт является Tagged (тегированным) для нескольких VLAN.
  • Как это работает:
    Вход:     Коммутатор принимает кадры с метками 802.1Q.
    Выход: Коммутатор отправляет кадры с сохранением меток.
  • Важно: На порту Trunk тоже должен быть настроен PVID (обычно для Native VLAN), но сам трафик данных идет с тегами.
  • Когда использовать: Для связи между сетевым оборудованием.

Hybrid (Гибридный порт)

  • Суть: Это «золотая середина», которая часто реализуется на D-Link по умолчанию.
  • Логика D-Link: Порт может быть Untagged для одного VLAN (например, для управления или голоса) и Tagged для других VLAN одновременно.
  • Пример: К порту подключен IP-телефон, а за ним — ПК.Трафик телефона (VLAN 20) идет Tagged (тегированный) (телефон получает его как Trunk).
    Трафик ПК (VLAN 10) проходит через телефон как Untagged (нетегированный) (телефон не транслирует метку дальше).
  • Реализация: В CLI это называется режимом hybrid.

2. Что такое Native VLAN и когда она используется

Native VLAN (Родной VLAN) — это VLAN, трафик которой передается через магистральный порт (Trunk) без тега 802.1Q.

Зачем она нужна?

  1. Совместимость: Для поддержки старого оборудования, которое не понимает теги.
  2. Служебный трафик: Некоторые протоколы могут по умолчанию отправляться в Native VLAN.
  3. Управление: Иногда администраторы используют Native VLAN для доступа к управлению коммутатором, хотя это плохая практика (см. ниже).

Как настроить Native VLAN на D-Link?

На коммутаторах D-Link понятие Native VLAN реализуется через связку PVID + Untagged на транковом порту.

  • Если на порту 1 (Trunk) PVID = 99, и для VLAN 99 порт настроен как Untagged, то VLAN 99 является Native для этого линка.
  • Все остальные VLAN на этом порту должны быть настроены как Tagged.

Если кратко, то:

Access = Untagged (1 VLAN) + PVID.
Trunk = Tagged (много VLAN) + PVID (для Native).
Hybrid = Комбинация Tagged и Untagged на одном порту

Проблема безопасности: VLAN Hopping

По умолчанию на большинстве коммутатороа (включая D-Link) Native VLAN — это VLAN 1.

Злоумышленник может попытаться отправить двойной тег, чтобы «перепрыгнуть» в другую сеть.

Рекомендация: Никогда не используйте VLAN 1 для пользовательского трафика. Создайте отдельный VLAN (например, 999) для неиспользуемых портов и смените Native VLAN на всех транках на номер, отличный от 1.

3. Рекомендации по планированию VLAN

Хаотичное создание VLAN превратит сеть в «спагетти». Следуйте этим правилам:

1. Единая схема нумерации

Не используйте случайные числа. Привяжите номер VLAN к смыслу или подсети.

  • 10, 20, 30... — по отделам (Бухгалтерия, Склад, Офис).
  • 110, 120, 130... — где последняя цифра указывает на номер здания/этажа.
  • Избегайте VLAN 1. Зарезервируйте его или оставьте пустым.

2. Выделенный VLAN управления (Management VLAN)

Никогда не управляйте коммутаторами через VLAN по умолчанию.

  • Создайте отдельный VLAN (например, 99 или 999).
  • Настройте доступ к веб-интерфейсу и SSH только из этого VLAN.
  • На портах, где нет оборудования администратора, запретите доступ к этому VLAN.

3. Голосовой трафик (Voice VLAN)

Для IP-телефонии используйте отдельный VLAN.

  • Настройте приоритет (CoS/DSCP) для этого VLAN, чтобы голоса не «заикались» при скачивании файлов.
  • На D-Link часто есть функция Voice VLAN, которая автоматически определяет телефоны по OUI (MAC-адресу) и переключает порт в нужный VLAN. Это удобнее ручной настройки.

4. Безопасность портов

  • Все неиспользуемые порты переводите в «мертвый» VLAN (Blackhole), где нет шлюза, и отключайте их (state disable).
  • DHCP Snooping: Включите эту функцию на коммутаторах D-Link, чтобы злоумышленник не мог поднять свой DHCP-сервер в сети.

Настройка коммутатора D-Link DGS-1250-28X/RU

Первое, что нужно сделать — это создать VLAN.

Для этого в режиме глобального конфигурирования используется команда vlan

Затем настраиваем порты. Переходим в режим конфигурирования порта или группы портов и выбираем режим работы: access, hybrid или trunk

-2
-3
Если режим VLAN для интерфейса меняется, настройки VLAN, обусловленные предыдущим режимом, будут утеряны.

Дальше настройки будут зависеть от выбранного режима работы.

Порт access (доступа, нетегированный)

Командрой switchport access vlan задаем принадлежность порта к VLAN (например, VLAN 2)

-4

Порт trunk (транковый, тегированный)

-5
-6

Параметры команды switchport trunk:

  • acceptable-frame — команда используется для настройки допустимого типа кадров для trunk-интерфейса: все (all) или только тегированные (tagged-only)
  • switchport trunk allowed vlan — команда используется для настройки VLAN, которым разрешено получать и отправлять трафик в тегированном формате для указанного интерфейса
  • switchport trunk native vlan — команда используется для указания native VLAN ID trunk-интерфейса

И подробнее о параметрах команды switchport trunk allowed vlan

  • all — указывает, что на интерфейсе разрешены все VLAN (используется по умолчанию)
  • add — (опционально) добавляет указанные VLAN в список разрешенных VLAN.
  • remove — (опционально) удаляет указанные VLAN из списка разрешенных VLAN.
  • except — (опционально) разрешает все VLAN, кроме тех, которые указаны в списке.
  • REPLACE_VLANLIST — cписок разрешенных VLAN для замены существующего списка или список VLAN, которые необходимо добавить в список разрешенных VLAN или удалить из него.

VLAN в списке перечисляются через запятую, использование пробела до и после запятой недопустимо.

Если указывается диапазон VLAN, то используется дефис. Использование пробела до и после дефиса недопустимо.

-7

Порт hybrid (гибридный)

-8

Возможные настройки:

  • switchport hybrid acceptable-frame — команда используется для настройки допустимого типа кадров для гибридного интерфейса: all (все), tagged-only (только тегированные) или untagged only (только нетегированные)
  • switchport hybrid allowed vlan — команда используется для указания тегированных или нетегированных VLAN для гибридного интерфейса
  • switchport hybrid native vlan — команда используется для указания native VLAN ID гибридного интерфейса.
-9

Пример настройки

Пример конфигурации коммутатора DGS-1250-28X/RU для сети, схема которой изображена на рисунке ниже.

Схема сети
Схема сети
DGS-1250-28X# conf t
DGS-1250-28X(config)# vlan 2
DGS-1250-28X(config-vlan)# exit
DGS-1250-28X(config)# vlan 20
DGS-1250-28X(config-vlan)# exit
DGS-1250-28X(config)# interface ethernet 1/0/1
DGS-1250-28X(config-if)# switchport mode access
DGS-1250-28X(config-if)# switchport access vlan 2
DGS-1250-28X(config-if)# exit
DGS-1250-28X(config)# interface ethernet 1/0/20
DGS-1250-28X(config-if)# switchport mode trunk
DGS-1250-28X(config-if)# switchport trunk allowed vlan all
DGS-1250-28X(config-if)# exit
DGS-1250-28X(config)# interface ethernet 1/0/10
DGS-1250-28X(config-if)# switchport mode hybrid
DGS-1250-28X(config-if)# switchport hybrid acceptable-frame all
DGS-1250-28X(config-if)# switchport hybrid allowed vlan tagged 20
DGS-1250-28X(config-if)# switchport hybrid allowed vlan add untagged 2

Посмотреть настройки VLAN можно командой show vlan

-11