Гайд із VLAN: як налаштувати на Cisco?

VLAN (Virtual Local Area Network) — це спосіб розділити одну фізичну мережу на кілька логічних сегментів на другому рівні. Кожен сегмент стає окремим широкомовним доменом: кадри з VLAN 10 не потрапляють у VLAN 20. Це зменшує зайвий трафік у мережі та дає контроль, хто з ким може взаємодіяти.

Важливий момент: VLAN не замінює маршрутизацію. Якщо пристроям з різних VLAN потрібно обмінюватися трафіком, необхідний пристрій третього рівня — маршрутизатор або комутатор третього рівня.

Чому зазвичай впроваджують VLAN?

VLAN обирають тоді, коли поточної структури мережі вже недостатньо для стабільної роботи та керування. Нижче наведені найпоширеніші практичні причини, з якими стикаються під час експлуатації мережі.

1. Перевантажений широкомовний домен. Коли в одному сегменті багато пристроїв, ARP та інший широкомовний трафік починає відчутно впливати на продуктивність.
   
2. Потрібна сегментація за відділами або сценаріями. Окремо користувачі, окремо сервери, окремо гостьовий доступ — так простіше керувати доступом і політиками.
   
3. Потрібна ізоляція для безпеки. VLAN сам по собі не є засобом захисту, але він створює межу, через яку трафік не проходить без маршрутизації та правил.
   
4. Є IP-телефонія. Голосовий трафік часто виносять в окрему VLAN, щоб спростити пріоритизацію та адміністрування.

Які поняття треба розуміти перед налаштуванням?

Широкомовний домен — це група пристроїв, які отримують широкомовні кадри одне одного. VLAN якраз і створює такі домени на комутаторі.

Порт доступу (access) — порт, до якого підключається кінцевий пристрій. Він належить лише одній VLAN. Кадри на такому порту передаються без міток VLAN.

Транковий порт (trunk) — порт між мережевими пристроями, через який передається трафік кількох сегментів одночасно. У більшості мереж для цього використовується стандарт IEEE 802.1Q: комутатор додає мітку до кадру, щоб на іншому боці було зрозуміло, до якого сегмента він належить.

Native VLAN — це сегмент, у який комутатор відносить трафік без мітки на транковому порту.

Якщо на двох кінцях транка вказані різні значення, нетегований трафік може потрапляти в інший сегмент, що ускладнює пошук помилок у мережі.

Що врахувати перед використанням команд?

Перед тим як переходити до налаштування, варто визначити базову структуру мережі. Це зменшить кількість помилок і зробить конфігурацію зрозумілою не лише зараз, а й під час подальшого супроводу.

1. Список VLAN і їх призначення (наприклад, 10 — USERS, 20 — SERVERS, 30 — GUEST, 150 — VOICE).
   
2. Підмережі й шлюзи для кожної VLAN (якщо планується маршрутизація між VLAN).
   
3. Які порти — для користувачів (access), а які — для з’єднань між мережевими пристроями (trunk).
   
4. Імена VLAN. Це дрібниця, але вона економить час під час супроводу.

Поетапне налаштування VLAN на Cisco 

Нижче — базовий сценарій. Створюємо VLAN 10, переносимо два порти в цю VLAN, а потім налаштовуємо транк на порту uplink.

Крок 1. Перейдіть у режим конфігурації та подивіться поточний стан
enable

enable
show vlan brief

Команда show vlan brief показує, які VLAN існують і які порти в них входять. Це точка відліку: ви бачите, що змінюється після кожного кроку.

Крок 2. Створіть VLAN і задайте назву

configure terminal

vlan 10

 name USERS

exit

Після цього VLAN з’явиться в таблиці, але порти ще не будуть туди призначені. Це нормальна логіка: спочатку створюєте сегмент, потім додаєте до нього порти.

Крок 3. Призначте порти доступу у VLAN

interface range fastEthernet 0/1 - 2

 switchport mode access

 switchport access vlan 10

exit

Тут є два важливі нюанси.

По-перше, switchport mode access фіксує режим порту як доступ, щоб він не переходив у транк через автоматичні механізми узгодження.

По-друге, switchport access vlan 10 саме й прив’язує порт до VLAN 10.

Крок 4. Налаштуйте транк для перенесення кількох VLAN (якщо потрібно)

interface gigabitEthernet 0/1

 switchport mode trunk

exit

Далі практично завжди варто обмежити список VLAN, які дозволено передавати транком. Це дисциплінує конфігурацію й зменшує ризик передати зайвий трафік.

interface gigabitEthernet 0/1

 switchport trunk allowed vlan 10,20,30

exit

Крок 5. Налаштуйте native VLAN (за потреби)

interface gigabitEthernet 0/1

 switchport trunk native vlan 99

exit

Якщо ви змінюєте native VLAN, переконайтеся, що на іншому кінці транку виставлено те саме значення. У протилежному разі нетегований трафік буде інтерпретуватися як трафік іншої VLAN.

Крок 6. Налаштуйте voice VLAN для телефону на порту (опційно)

Спочатку створюється VLAN для голосу:

vlan 150

 name VOICE

exit

Далі на порту, де буде телефон і комп’ютер:

interface fastEthernet 0/5

 switchport mode access

 switchport access vlan 10

 switchport voice vlan 150

exit

У такій схемі комп’ютер працює у VLAN 10, а телефон — у VLAN 150. Це поширена практика для офісних мереж.

Крок 7. Перевірка після налаштування

show vlan brief

show interfaces trunk

show interfaces fastEthernet 0/1 switchport

Як читати ці команди на практиці?

• show vlan brief — підтверджує, що потрібні порти справді призначені до VLAN 10.

• show interfaces trunk — показує, чи порт у транку, який список allowed VLAN і яка native VLAN.

• show interfaces … switchport — дає деталі по конкретному порту: режим, VLAN доступу, стан узгодження.

Крок 8. Збережіть конфігурацію

copy running-config startup-config

Без цього після перезавантаження пристрою можна втратити внесені зміни. У реальних інфраструктурах це одна з найпоширеніших причин, чому виникають ситуації, коли налаштування ніби робили, але їх немає.

Типові проблеми та як їх швидко знайти?

Проблема 1: два пристрої в одній VLAN не мають зв’язку

Перевірте, чи обидва порти в тій самій VLAN (show vlan brief) і чи IP-адреси в одній підмережі. Також подивіться, чи комутатор бачить MAC-адресу на порту:

show mac address-table interface fastEthernet 0/1

Проблема 2: між VLAN немає зв’язку

Це очікувана поведінка мережі другого рівня. Для взаємодії між VLAN потрібна маршрутизація на третьому рівні та правильно налаштовані шлюзи.

Проблема 3: транк налаштований, але VLAN не проходить

Перевірте allowed VLAN та відповідність native VLAN на обох кінцях (show interfaces trunk). Часто причина саме в тому, що потрібна VLAN не дозволена або є розбіжність native VLAN.

Висновок

Налаштування VLAN на обладнанні Cisco — завдання, яке напряму впливає на стабільність і керованість мережі. На практиці проблеми з’являються не через сам механізм VLAN, а через неточності в конфігурації та відсутність перевірок після змін.

Системний підхід до сегментації, уважна робота з транковими портами й чітке розуміння ролі кожної VLAN значно спрощують подальшу експлуатацію мережі. Це дозволяє безболісно масштабувати інфраструктуру та уникати ситуацій, коли причина збою прихована в дрібній, але критичній деталі конфігурації.

Хочете більше практики та підвищити кваліфікацію? Радимо ознайомитися з курсом «Cisco CCNA. Підготовка до сертифікації». Адже ваш апгрейд вже зовсім близько.