Представьте сеть как многоквартирный дом. VLAN (Virtual Local Area Network) — это виртуальные «этажи», изолирующие жильцов (устройства) друг от друга. В мире слаботочных систем VLAN — незаменимый инструмент: вы разделяете трафик IP-камер, гостевого Wi-Fi, рабочих станций и оборудования СКУД, повышая безопасность, производительность и управляемость сети. Эта статья — практическое руководство по созданию VLAN, настройке портов и организации связи между ними на управляемых коммутаторах.

Что такое VLAN и зачем она нужна?

1. Безопасность: Устройства в разных VLAN не «видят» друг друга на канальном уровне (L2). Хакер, подключившийся к гостевой сети, не сможет сканировать камеры видеонаблюдения.
2. Управление трафиком: Ограничение широковещательного трафика (broadcast domain). Десятки камер не засоряют эфир для рабочих станций.
3. Логическая группировка: Объединение устройств по функционалу (все камеры) или расположению (1 этаж) независимо от их физического подключения к коммутатору.
4. Качество обслуживания (QoS): Присвоение приоритета трафику (например, VoIP) легче делать внутри VLAN.

Ключевые концепции:

1. VLAN ID (VID): Уникальный номер (1-4094), идентифицирующий VLAN. VLAN 1 существует по умолчанию (обычно не рекомендуется использовать для пользовательских устройств!).
2. Access Port (Порт доступа): Принадлежит одной VLAN. Устройство (ПК, камера, телефон), подключенное к такому порту, «не знает» о VLAN. Трафик передается без тега (untagged). Коммутатор добавляет тег VLAN при передаче кадра внутрь сети и снимает его при отправке на устройство.
3. Trunk Port (Транковый порт / Магистраль): Переносит трафик множества VLAN между коммутаторами или между коммутатором и маршрутизатором/сервером. Трафик передается с тегом (tagged), указывающим VLAN ID (стандарт IEEE 802.1Q). Указывается Native VLAN (по умолчанию VLAN 1) — для нее трафик передается без тега.
4. Межвланковая маршрутизация (Inter-VLAN Routing): Для обмена данными между VLAN (например, чтобы ПК в VLAN 10 мог подключиться к NVR с камерами в VLAN 20) требуется маршрутизатор (L3-коммутатор или внешний роутер). Коммутатор L2 этого делать не умеет.
5. Управляющий VLAN (Management VLAN): VLAN, через которую осуществляется управление коммутатором (SSH, Web, SNMP). Настоятельно рекомендуется переносить управление с VLAN 1 на отдельную, защищенную VLAN.

Типичные сценарии использования в слаботочных системах:

• VLAN 10: Рабочие станции (ПК, принтеры, серверы)
• VLAN 20: IP-Видеонаблюдение (Камеры, NVR)
• VLAN 30: Гостевой Wi-Fi (Изолированный доступ в интернет)
• VLAN 40: Телефония (VoIP) (IP-телефоны, сервер)
• VLAN 100: Управление (Только для коммутаторов, точек доступа, контроллеров)

Что вам понадобится:

1. Управляемый коммутатор (L2 или L3).
2. Коммутатор L3 или маршрутизатор (для межвланковой маршрутизации).
3. Компьютер для настройки.
4. Доступ к CLI или Web-интерфейсу коммутатора.
5. План VLAN: Заранее определите ID и назначение для каждой VLAN.
6. Официальная документация к вашему коммутатору (особенно по синтаксису команд и расположению пунктов меню).

Шаг 1: Создание VLAN

Через Web-интерфейс (GUI — пример для TP-Link Omada / Cisco Business):

1. Найдите раздел: VLAN -> 802.1Q VLAN / VLAN Management / Layer 2 -> VLAN / Network -> VLAN.
2. Нажмите «Create New VLAN», «Add», «+».
3. Введите:
   • VLAN ID: Уникальный номер (например, 10, 20, 30, 100).
   • VLAN Name (Опционально, но рекомендуется): Понятное имя (например, Workstations, Cameras, Guest-WiFi, Mgmt).
4. Сохраните. Повторите для всех необходимых VLAN.

Через CLI (Пример Cisco-like, Zyxel, Ruijie):

enable
configure terminal
vlan 10                         # Создаем VLAN 10
name Workstations               # Назначаем имя (опционально)
exit
vlan 20
name Cameras
exit
vlan 30
name Guest-WiFi
exit
vlan 100
name Management
exit
write memory                    # СОХРАНЯЕМ!

Шаг 2: Настройка Access Ports (Назначение портов VLAN)

Назначим порты устройствам:

• Порты 1-8: Рабочие станции (VLAN 10)
• Порты 9-16: Камеры (VLAN 20)
• Порты 17-24: Гостевые точки доступа / Резерв (VLAN 30)
• Порт 24: Управление (VLAN 100 — Access) или Trunk к роутеру.

Через Web-интерфейс (GUI):

1. Найдите раздел: VLAN -> Port Settings / Interface Settings / Port Management / Port VLAN.
2. Выберите порт (например, 1).
3. Установите VLAN Mode: Access (или Untagged).
4. Установите PVID (Port VLAN ID): ID VLAN, к которой должен принадлежать порт (например, 10 для рабочих станций). PVID = VLAN, в которую будет помещен untagged трафик с этого порта.
5. Назначьте порт VLAN: В списке VLAN (например, VLAN 10) отметьте порт как Untagged (интерфейс может называться «VLAN Membership»).
6. Уберите порт из VLAN 1 (Рекомендуется): Найдите VLAN 1 и снимите галочку с этого порта (или выберите Excluded).
7. Повторите для всех портов, назначив им соответствующий PVID и Untagged VLAN.
8. Для порта управления (VLAN 100): Настройте аналогично (PVID=100, Untagged в VLAN 100, исключен из VLAN 1). Ваш компьютер для управления должен быть подключен к этому порту (или к порту в этой VLAN) и иметь IP из подсети VLAN 100!

Через CLI (Пример Cisco-like):

configure terminal
interface range gigabitEthernet 1/0/1-8        # Выбираем порты 1-8
switchport mode access                         # Режим Access
switchport access vlan 10                      # Назначаем VLAN 10
no shutdown                                    # Включаем порт (если выключен)
exit
interface range gigabitEthernet 1/0/9-16
switchport mode access
switchport access vlan 20                      # VLAN для камер
no shutdown
exit
interface range gigabitEthernet 1/0/17-24
switchport mode access
switchport access vlan 30                      # VLAN для гостей
no shutdown
exit
interface gigabitEthernet 1/0/24
switchport mode access
switchport access vlan 100                     # VLAN управления
no shutdown
exit
write memory

Шаг 3: Настройка Trunk Ports (Магистральных портов)

Назначение: Подключение к другому коммутатору, маршрутизатору или серверу с поддержкой VLAN (например, NVR, если он управляет камерами в своей VLAN).

Через Web-интерфейс (GUI):

1. Выберите порт для магистрали (например, 24).
2. Установите VLAN Mode: Trunk (или General, Tagged).
3. Установите Native VLAN (PVID): Обычно VLAN управления (100). Это VLAN, трафик которой передается БЕЗ тега по магистрали.
4. Назначьте порт VLAN: В списке VLAN выберите все VLAN, трафик которых должен проходить по магистрали (например, 10, 20, 30, 100). Для этих VLAN отметьте порт как Tagged.
5. Убедитесь, что Native VLAN (100) отмечена как Untagged или Native (зависит от интерфейса).
6. Уберите порт из Untagged членства в других VLAN (особенно VLAN 1!).
7. Настройте идентично на втором конце магистрали! (На другом коммутаторе или роутере).

Через CLI (Пример Cisco-like):

configure terminal
interface gigabitEthernet 1/0/24              # Выбираем порт 24 (магистраль)
switchport mode trunk                          # Режим Trunk
switchport trunk native vlan 100               # Native VLAN = Управление (100)
switchport trunk allowed vlan 10,20,30,100     # Разрешенные VLAN (с тегами)
no shutdown
exit
write memory

Шаг 4: Настройка Межвланковой Маршрутизации (Inter-VLAN Routing)

Вариант A: Используем Маршрутизатор (Router-on-a-Stick)
Подходит, если у вас коммутатор L2 и отдельный роутер (MikroTik, Ubiquiti, Cisco).

1. На коммутаторе:
   • Настройте Trunk-порт (как в Шаге 3), подключенный к роутеру. Разрешите все нужные VLAN (10,20,30,100).
   • Native VLAN = 100 (или другая управляющая).
2. На маршрутизаторе (MikroTik RouterOS / Ubiquiti EdgeRouter):
   • Создайте Sub-Interface (VLAN Interface) на физическом порту, подключенном к коммутатору, для КАЖДОЙ VLAN, которой нужна маршрутизация:
     • MikroTik:
       /interface vlan add interface=ether1 name=vlan10 vlan-id=10 add interface=ether1 name=vlan20 vlan-id=20 add interface=ether1 name=vlan30 vlan-id=30 add interface=ether1 name=vlan100 vlan-id=100
     • Ubiquiti EdgeRouter (Web): Interfaces -> Add Interface -> VLAN. Выберите физический порт (eth1), укажите VLAN ID (10). Повторить для 20, 30, 100.
   • Назначьте IP-адрес каждому Sub-Interface: Это будет шлюз по умолчанию для устройств в соответствующей VLAN!
     • VLAN 10 (Рабочие): 192.168.10.1/24
     • VLAN 20 (Камеры): 192.168.20.1/24
     • VLAN 30 (Гости): 192.168.30.1/24
     • VLAN 100 (Управление): 192.168.100.1/24
   • Включите DHCP-сервер на каждом Sub-Interface (или настройте статические IP на устройствах).
   • Настройте NAT (Masquerade) на WAN-интерфейсе роутера (если VLAN должны выходить в интернет).
   • Настройте Firewall Rules: Разрешите/запретите трафик между VLAN (например, запретите доступ из VLAN 30 (Гости) к VLAN 20 (Камеры) и VLAN 100 (Управление)).

Вариант Б: Используем L3 Коммутатор
Подходит, если у вас коммутатор с поддержкой L3 (например, Cisco Catalyst, Ruijie NBS, HPE Aruba).

1. Включите маршрутизацию (IP Routing):
   • CLI (Cisco-like):
     configure terminal ip routing # Включает глобальную маршрутизацию exit
2. Создайте SVI (Switch Virtual Interface) для каждой VLAN:
   • SVI — это виртуальный интерфейс коммутатора, привязанный к VLAN. Он будет шлюзом для устройств в этой VLAN.
   • CLI (Cisco-like):
     configure terminal interface vlan 10 description Workstations ip address 192.168.10.1 255.255.255.0 # Шлюз для VLAN 10 no shutdown exit interface vlan 20 description Cameras ip address 192.168.20.1 255.255.255.0 # Шлюз для VLAN 20 no shutdown exit interface vlan 30 description Guest-WiFi ip address 192.168.30.1 255.255.255.0 # Шлюз для VLAN 30 no shutdown exit interface vlan 100 description Management ip address 192.168.100.1 255.255.255.0 # Шлюз для VLAN 100 no shutdown exit
3. Настройте маршрут по умолчанию (если нужен выход в интернет):
   • Укажите шлюз провайдера или IP вышестоящего роутера.
   • ip route 0.0.0.0 0.0.0.0 192.168.1.254 # Пример, где 192.168.1.254 - WAN-шлюз
4. Настройте DHCP Relay (опционально): Если DHCP-сервер находится в другой VLAN (например, на сервере в VLAN 10), укажите его IP на SVI VLAN:
   • interface vlan 20 ip helper-address 192.168.10.100 # Адрес DHCP-сервера в VLAN 10
5. Настройте ACL (Access Control Lists): Для фильтрации трафика между VLAN (например, запрет доступа из VLAN 30 к VLAN 20 и 100).
6. Сохраните конфигурацию: write memory

Шаг 5: Тестирование и проверка

1. Проверьте членство портов:
   • CLI: show vlan brief (Cisco) / show vlan (другие) — список VLAN и портов.
   • GUI: Раздел VLAN Status / VLAN Membership.
2. Проверьте конфигурацию Trunk:
   • CLI: show interfaces trunk (Cisco) — Native VLAN, разрешенные VLAN.
3. Проверьте SVI (L3):
   • CLI: show ip interface brief (Cisco) — статус VLAN интерфейсов и IP.
4. Проверьте маршруты (L3):
   • CLI: show ip route (Cisco) — наличие маршрутов к подсетям VLAN и default route.
5. Пинг между VLAN:
   • С ПК в VLAN 10 (192.168.10.50): ping 192.168.20.1 (шлюз VLAN 20) — ДОЛЖЕН БЫТЬ ОТВЕТ.
   • С ПК в VLAN 10: ping 192.168.20.100 (адрес камеры в VLAN 20) — ДОЛЖЕН БЫТЬ ОТВЕТ (если нет ACL запрета).
   • С ПК в VLAN 30 (Гости): ping 192.168.20.1 — НЕ ДОЛЖЕН БЫТЬ ОТВЕТ (если настроены ACL или изоляция гостевой сети).
6. Доступ в Интернет: Убедитесь, что устройства в нужных VLAN имеют выход в интернет (если это предусмотрено).

Профессиональные советы и предупреждения:

1. Документируйте: Ведите таблицу VLAN (ID, Имя, Назначение, Подсеть, Шлюз).
2. Избегайте VLAN 1: Перенесите управление на отдельную VLAN (100). Уберите пользовательские устройства из VLAN 1.
3. Native VLAN Security: Настройте Native VLAN одинаково на обоих концах Trunk. Рекомендуется использовать для Native VLAN только VLAN управления и запрещать ее на Access портах. На некоторых коммутаторах можно использовать команду switchport trunk native vlan tag (Cisco) для принудительной передачи Native VLAN с тегом.
4. Согласованность Native VLAN: Несовпадение Native VLAN на концах Trunk вызовет проблемы с передачей untagged трафика.
5. Присваивайте имена VLAN: Cameras понятнее, чем 20.
6. Планируйте подсети: Используйте разные подсети для каждой VLAN (например, 192.168.10.0/24 для VLAN 10).
7. DHCP Relay: Не забывайте настраивать ip helper-address на SVI, если DHCP-сервер не в локальной VLAN.
8. Безопасность: Используйте ACL (на L3 комбате или роутере) для строгого контроля межвланкового трафика. Гостевая сеть должна быть изолирована.
9. QoS: Приоритезируйте критичный трафик (VoIP, видео) на уровне портов Access и Trunk.
10. Тестируйте перед внедрением: Настройте и протестируйте VLAN на стенде или в нерабочее время.

Заключение:
Настройка VLAN — мощный способ структурировать сеть слаботочных систем, повысив безопасность и производительность. Следуя шагам (Планирование -> Создание VLAN -> Настройка Access/Trunk портов -> Настройка маршрутизации между VLAN) и используя рекомендации по безопасности, вы эффективно разделите трафик камер, рабочих станций, гостей и оборудования управления. Помните о важности согласованной настройки Trunk (особенно Native VLAN) и документации. Освоив VLAN, вы переходите на новый уровень профессионализма в построении надежных слаботочных сетей.