Кратко: Представьте себе многоквартирный дом. Access-порт — это обычная дверь в квартиру. Вы открываете её и попадаете именно в эту квартиру, только в неё. Trunk-порт — это лифт. Внутри лифта можно проехать в любую квартиру на любом этаже. В мире сетей Access-порт принадлежит одной конкретной VLAN (виртуальной сети), а Trunk-порт — это магистраль, которая умеет одновременно возить трафик сотен VLAN, маркируя их специальными метками (тегами).

▫️ Почему сети делят на VLAN? Это безопасность и порядок. Без VLAN все компьютеры в офисе (бухгалтерия, отдел кадров, открытый Wi-Fi) слышат друг друга. Это хаос и риск утечек. Сетевые инженеры придумали VLAN — виртуальные "островки". Бухгалтерия в VLAN 10, отдел кадров в VLAN 20, гости в VLAN 99. Они не видят друг друга, даже если физически висят в одном шкафу . Теперь возникает вопрос: как соединить два коммутатора, чтобы на одном кабеле ехали данные и для бухгалтеров, и для кадровиков, и для гостей? Если мы используем обычный Access-порт, трафик перемешается. Нам нужен Trunk.

▫️ Access-порт: Квартира с одной табличкой Access-порт принадлежит одной VLAN. У него нет меток (тегов). Когда коммутатор получает пакет от компьютера, он просто знает: "Этот порт в VLAN 10". Отправляя пакет компьютеру, он срывает метку, потому что обычная сетевая карта ПК не понимает теги . Главное правило: Access-порт отправляет трафик без тега, принимает без тега и жестко привязан к одной VLAN. Где используется: · Подключение компьютера сотрудника. · Принтер в сети. · IP-камера. · Сервер, который не умеет работать с тегами (хотя современные гипервизоры обычно умеют).

▫️ Trunk-порт: Лифт с номерными табличками Trunk-порт — это магистраль между коммутаторами. Он умеет перевозить много VLAN одновременно. Чтобы пакеты из VLAN 10 бухгалтерии не попали случайно в VLAN 20 кадровиков, Trunk маркирует каждый кадр специальным тегом (802.1Q). Это как наклейка с номером этажа . Главное правило: Trunk-порт отправляет трафик с тегом (за исключением специальной Native VLAN) и принимает трафик с тегом. Где используется: · Соединение двух коммутаторов в офисе. · Подключение коммутатора к маршрутизатору ("Router-on-a-stick"). · Соединение физического сервера с гипервизором (VMware ESXi, Proxmox), где виртуальные машины разбросаны по разным VLAN.

▫️ Договоренность: Native VLAN (Секретный гость) Что если к Trunk-порту подключить старый принтер, который не понимает теги? Пропадет связь. Для этого придумали Native VLAN . Это VLAN, чей трафик идет по Trunk-порту без тега. По умолчанию Native VLAN — это VLAN 1. Лучше её сменить на неиспользуемую (например, 999) в целях безопасности (VLAN Hopping атака).

▫️ Как это выглядит в конфигурации На Cisco (пример команды):

interface GigabitEthernet0/1 switchport mode access switchport access vlan 10 Это Access-порт. Он в 10-й VLAN.

interface GigabitEthernet0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30 Это Trunk-порт. Он пускает только 10, 20 и 30 VLAN.

▫️ Коротко: в чем смысл всей этой возни? · Access даёт простоту и безопасность на краю сети (для конечных устройств). · Trunk даёт масштабируемость и гибкость в ядре сети (соединение оборудования). Без Trunk-портов каждый новый VLAN требовал бы физического кабеля. Благодаря технологии 802.1Q, вы проводите один кабель между этажами и возите по нему 1000 виртуальных сетей.

#trunk #access #vlan #сети #коммутаторы #802.1Q