Настройка VLAN и изоляции трафика на примере Huawei CloudEngine
В крупных сетях неправильное распределение трафика способно создать множество проблем: от снижения производительности до серьёзных уязвимостей безопасности. Чтобы этого избежать, используется технология VLAN (Virtual Local Area Network) — виртуальная локальная сеть, которая позволяет логически разделить сеть на изолированные сегменты. Сегодня разберём пошагово, как настроить VLAN и изолировать трафик на примере популярного коммутатора Huawei CloudEngine.
Зачем вообще использовать VLAN?
Представьте, что у вас есть одно офисное здание с несколькими отделами: бухгалтерия, разработчики, маркетинг и гости. Вы не хотите, чтобы данные бухгалтерии были видны разработчикам или гостям, а гости, в свою очередь, не могли получить доступ к внутренним ресурсам компании.
Именно здесь на помощь приходит VLAN:
- Изолирует трафик разных групп пользователей.
- Повышает безопасность, не позволяя разным VLAN общаться друг с другом без дополнительного разрешения.
- Улучшает производительность, сокращая широковещательный трафик.
- Упрощает управление, позволяя разделять и контролировать доступ к ресурсам.
Пример настройки VLAN на коммутаторе Huawei CloudEngine
Возьмём простой и распространённый пример:
-
VLAN 10 — бухгалтерия
-
VLAN 20 — разработчики
-
VLAN 30 — маркетинг
-
VLAN 100 — гостевая сеть
Шаг 1: Создаём VLAN-ы
Подключаемся к коммутатору по SSH или через консоль и переходим в режим конфигурации:
system-view vlan batch 10 20 30 100
Шаг 2: Назначаем названия VLAN (для удобства администрирования)
vlan 10 description Accounting vlan 20 description Development vlan 30 description Marketing vlan 100 description Guest_WiFi quit
Шаг 3: Назначаем порты коммутатора в VLAN
Предположим, что:
-
Бухгалтерия подключена к портам GigabitEthernet 1/0/1 - 1/0/5
-
Разработчики — GigabitEthernet 1/0/6 - 1/0/10
-
Маркетинг — GigabitEthernet 1/0/11 - 1/0/15
-
Гости — GigabitEthernet 1/0/16 - 1/0/20
Настроим порты бухгалтерии (аналогично и остальные группы):
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/5 port link-type access port default vlan 10 quit
Аналогично настраиваем остальные VLAN, меняя номера портов и VLAN.
Шаг 4: Настройка trunk-порта (если нужен доступ к нескольким VLAN)
Если между коммутаторами или на серверы идёт несколько VLAN по одному порту, используйте trunk-порт:
interface GigabitEthernet 1/0/48 port link-type trunk port trunk allow-pass vlan 10 20 30 100 quit
Настройка изоляции трафика между VLAN
По умолчанию разные VLAN не могут напрямую взаимодействовать друг с другом. Но если у вас настроен L3-коммутатор (например, Huawei CloudEngine 16800, 8800), он может маршрутизировать трафик между VLAN. Если вам требуется полная изоляция (например, гостевой сети), вы можете использовать ACL или политику безопасности для запрета маршрутизации между VLAN.
Пример простой изоляции через ACL:
Запрещаем гостевому VLAN доступ в остальные VLAN:
acl number 3000 rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule deny ip source 192.168.100.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule permit ip quit
Затем применяем ACL на интерфейс гостевой сети (VLANIF):
interface Vlanif 100 traffic-filter inbound acl 3000 quit
Теперь VLAN 100 не сможет обращаться в другие подсети напрямую.
Проверка и сохранение настроек
Проверим созданные VLAN:
display vlan summary display interface brief save
Итоги
Настроив VLAN и изолировав трафик на коммутаторе Huawei CloudEngine, вы получаете безопасную и удобную сеть, разделённую на логические сегменты. Это помогает не только защитить корпоративные данные, но и улучшить производительность сети в целом.
Специалисты Азияторг помогут грамотно спроектировать, настроить и обслуживать сетевую инфраструктуру на основе оборудования Huawei CloudEngine, чтобы она полностью соответствовала вашим требованиям.
Для получения индивидуального предложения отправьте заявку на server@tkasiatorg.ru.
