Коммутаторы (Switch)

В офисе 200 компьютеров. Если каждый отправит один ARP-запрос в секунду - это 200 broadcast-пакетов в секунду, которые видит каждый компьютер. Теперь добавь DHCP, Windows-анонсы, принтеры... Без правильной организации сети - хаос. Коммутаторы и VLAN - инструменты порядка.

• **Сегментация сети**: Гости не должны видеть бухгалтерию. VLAN решает это без прокладки отдельных кабелей
• **Диагностика**: «Сеть тормозит» - возможно, broadcast storm. Смотрим счётчики на коммутаторе
• **Масштабирование**: Как добавить 100 устройств без переделки всей сети? Правильная архитектура VLAN

Предварительные знания

• Data Link Layer and Ethernet

Коммутатор vs Концентратор

**Хаб (Hub)** - простейшее устройство: получил фрейм на один порт, отправил копию на все остальные. Работает на L1 (физический уровень), просто усиливает сигнал. Все видят трафик всех - неэффективно и небезопасно.

**Коммутатор (Switch)** - работает на L2, понимает MAC-адреса. Отправляет фрейм только на нужный порт, где находится получатель. Это увеличивает производительность в разы.

Хабы практически вымерли - даже дешёвые 8-портовые устройства сегодня коммутаторы. Но понимание разницы важно для собеседований и понимания истории сетей.

Каждый порт коммутатора - отдельный **collision domain**, поэтому full duplex возможен. Устройства могут одновременно отправлять и принимать без коллизий.

MAC-таблица: память коммутатора

**MAC-таблица** (CAM table, Content Addressable Memory) - это база данных коммутатора, которая связывает MAC-адреса с портами. Коммутатор заполняет её автоматически, наблюдая за трафиком.

Если MAC получателя не в таблице - коммутатор делает **flooding**: отправляет фрейм на все порты, кроме исходного. Когда получатель ответит - коммутатор запомнит его MAC.

**Атака MAC flooding**: злоумышленник генерирует тысячи фреймов с разными MAC-адресами, переполняя таблицу. Коммутатор начинает работать как хаб - весь трафик виден всем. Защита: **Port Security**.

Broadcast в коммутируемой сети

Коммутатор **не блокирует broadcast**. Фрейм с destination MAC = FF:FF:FF:FF:FF:FF будет отправлен на все порты. Это необходимо для ARP, DHCP и других протоколов обнаружения.

**Broadcast storm** - лавина broadcast-пакетов, которая может парализовать сеть. Причины: петля в сети (loop), вирус, неправильно настроенное ПО. Защита: **STP** (Spanning Tree Protocol).

Чем больше устройств в одном broadcast domain - тем больше «мусорного» трафика. В сети на 500+ устройств broadcast может занимать значительную часть полосы. Решение - **VLAN** или **маршрутизаторы**.

VLAN: виртуальное разделение

**VLAN** (Virtual LAN) - технология, которая позволяет разделить один физический коммутатор на несколько виртуальных сетей. Устройства в разных VLAN не видят broadcast друг друга, даже если подключены к соседним портам.

VLAN реализуется через **802.1Q тег** - дополнительные 4 байта в Ethernet-фрейме, содержащие номер VLAN (1-4094). **Access-порт** принадлежит одному VLAN, **Trunk-порт** передаёт трафик нескольких VLAN между коммутаторами.

**Native VLAN** - VLAN для фреймов без тега на trunk-порту. По умолчанию VLAN 1. Рекомендация по безопасности: сменить native VLAN на неиспользуемый номер.

Ключевые идеи

• **Коммутатор vs Хаб**: коммутатор умный (L2, MAC-таблица), хаб глупый (L1, повторитель)
• **MAC-таблица**: связывает MAC → порт, заполняется автоматически, имеет TTL
• **Flooding**: при неизвестном MAC фрейм идёт на все порты
• **VLAN**: виртуальное разделение одного коммутатора на несколько сетей, изоляция broadcast

Что дальше

Мы изучили L2 - локальную сеть. Теперь поднимемся на L3 - сетевой уровень:

• VLAN подробно — Тегирование, trunk, inter-VLAN routing
• IP-адресация — Как работает адресация в интернете

Вопросы для размышления

• Почему в современных сетях уже нет хабов, но важно знать, как они работали?
• Как бы ты организовал сеть в офисе с 3 отделами, которые не должны видеть трафик друг друга?
• Что произойдёт, если соединить два коммутатора двумя кабелями без настройки STP?

Связанные уроки

• arch-02-logic-gates