Коли мережа зростає, а кількість підключених пристроїв перевищує десятки чи сотні, постає питання не лише швидкості, а й логічної організації трафіку. VLAN (Virtual Local Area Network) — один із базових механізмів, який дозволяє поділити фізичну мережу на кілька віртуальних сегментів, забезпечивши ізоляцію, безпеку й оптимальне використання ресурсів.
Але для того, щоб трафік із різних VLAN міг проходити між комутаторами, маршрутизаторами чи точками доступу, потрібен спеціальний тип порту — trunk-порт. Саме він відповідає за транспортування тегованих кадрів (802.1Q) і є ключовим елементом у побудові масштабованих корпоративних інфраструктур.
У цій статті ми розберемо, що таке trunk-порт у мережевому обладнанні, як він працює, у чому його відмінність від інших типів портів, як правильно його налаштовувати на різних пристроях і як уникнути типових помилок. Матеріал буде корисним студентам-айтішникам, початківцям системним адміністраторам і тим, хто вперше стикається з VLAN-конфігураціями.
Що таке trunk-порт
Trunk-порт — це спеціальний порт комутатора, який використовується для передачі мережевого трафіку з кількох VLAN одночасно через одне фізичне з’єднання. На відміну від access-порту, який обслуговує лише один VLAN, trunk передає дані з різних віртуальних мереж, додаючи до кожного Ethernet-кадра спеціальний тег (мітку), що вказує, до якої VLAN належить цей кадр.
Функція trunk-порту в комутаційній мережі
Trunk-порт забезпечує взаємодію VLAN між різними комутаторами або між комутатором і маршрутизатором. Він дозволяє передавати дані логічно розділених мереж без необхідності створювати окремий фізичний канал для кожної VLAN. Це особливо важливо у великих мережах, де кількість VLAN може сягати десятків або навіть сотень — trunk-лінк дозволяє зменшити кількість кабелів і спростити керування інфраструктурою.
Як trunk передає трафік кількох VLAN
Коли пакет надходить на trunk-порт, комутатор додає до нього тег VLAN ID (згідно зі стандартом IEEE 802.1Q). Інший комутатор або пристрій, який підтримує цей стандарт, читає тег і знає, до якої віртуальної мережі належить кадр. Таким чином, навіть якщо всі пакети йдуть одним кабелем, логічно вони залишаються відокремленими.
Приклад реального використання
З’єднання між двома комутаторами, які обслуговують різні VLAN (наприклад, VLAN 10 — бухгалтерія, VLAN 20 — ІТ-відділ).
Підключення маршрутизатора до комутатора для маршрутизації між VLAN (технологія router-on-a-stick).
Передача VLAN-трафіку між комутатором і бездротовим контролером, коли потрібно передати теги SSID до відповідних VLAN.
Відмінність між access-, trunk- і hybrid-портами
Кожен порт комутатора може працювати в різних режимах, залежно від того, як саме він повинен передавати трафік. Розуміння різниці між access, trunk і hybrid портами — основа правильної VLAN-конфігурації.
Access-порт
Це найпростіший тип порту, який обслуговує одну VLAN. Він призначений для підключення кінцевих пристроїв — комп’ютерів, принтерів, IP-телефонів тощо. Усі пакети, що проходять через access-порт, не мають VLAN-тегів, оскільки комутатор додає або знімає тег автоматично при вході та виході з VLAN.
Приклад: порт, до якого підключений комп’ютер користувача у VLAN 30 (Accounting).
Trunk-порт
Trunk використовується для передачі трафіку кількох VLAN через один фізичний лінк. Кожен кадр має тег VLAN ID, який допомагає комутатору ідентифікувати, до якої віртуальної мережі він належить. Зазвичай trunk-з’єднання використовуються між комутаторами, між комутатором і маршрутизатором або між комутатором і точкою доступу.
Hybrid-порт
Hybrid поєднує властивості обох попередніх типів. Він може передавати тегований і нетегований трафік одночасно, тобто частина VLAN іде як trunk, а частина — як access. Цей режим часто використовується на комутаторах Huawei, TP-Link, Zyxel, коли потрібно гнучко налаштувати порти під кілька типів пристроїв.
Порівняльна таблиця типів портів
Параметр | Access | Trunk | Hybrid |
|---|---|---|---|
Кількість VLAN | 1 | Декілька | Декілька |
Тегування кадрів | Ні | Так (802.1Q) | Частково |
Призначення | Кінцеві пристрої | Міжкомутаторні лінки | Змішані сценарії |
Приклад використання | ПК, принтери | З’єднання комутаторів | Комутатор ↔ точка доступу |
Наявність нетегованого VLAN (Native VLAN) | Так | Так (тільки одна) | Так |
Складність налаштування | Низька | Середня | Висока |
Таким чином, access-порт використовується для кінцевих пристроїв, trunk-порт — для транспортування VLAN між пристроями, а hybrid-порт — для складних сценаріїв, де необхідно одночасно працювати з тегованим і нетегованим трафіком.
Як працює VLAN-тегування (802.1Q)
Щоб trunk-порт міг передавати трафік кількох VLAN через один фізичний кабель, використовується механізм VLAN-тегування, визначений стандартом IEEE 802.1Q. Цей стандарт дозволяє додавати до кожного Ethernet-кадра службове поле — VLAN tag, яке містить ідентифікатор VLAN (VLAN ID). Саме цей тег допомагає комутаторам розуміти, до якої логічної мережі належить кадр.
Принцип роботи тегування
Коли кадр Ethernet надходить на access-порт, комутатор додає до нього тег VLAN ID, перш ніж передати його через trunk-порт.
На іншому кінці, коли кадр досягає комутатора з відповідною VLAN, тег знімається перед відправленням кадра до кінцевого пристрою.
Структура тегованого кадра (802.1Q):
Tag Protocol Identifier (TPID): 16-бітне поле, яке має значення
0x8100— позначає, що кадр тегований.Tag Control Information (TCI): 16-бітне поле, що містить:
Priority (3 біти) — рівень пріоритету кадра (QoS).
CFI (1 біт) — індикатор форматування кадра (застарілий, майже не використовується).
VLAN ID (12 біт) — номер VLAN (від 1 до 4094).
Приклад руху тегованого трафіку
Уявімо, що є два комутатори, з’єднані через trunk-порт:
[PC1 VLAN 10]──(Access VLAN10)──[Switch A]══(Trunk)══[Switch B]──(Access VLAN10)──[PC2 VLAN 10]Користувач на ПК1 надсилає кадр у VLAN 10.
Switch A додає тег VLAN ID = 10 і відправляє кадр через trunk-порт.
Switch B отримує тегований кадр, зчитує тег (10), розуміє, що він належить VLAN 10.
Switch B знімає тег перед тим, як передати кадр на access-порт ПК2.
Таким чином, дані VLAN 10 залишаються відокремленими навіть при передачі через спільний фізичний лінк.
Native VLAN
У trunk-портах існує поняття Native VLAN — це VLAN, трафік якої передається без тегування. Зазвичай за замовчуванням це VLAN 1, але її рекомендується змінювати для підвищення безпеки. Обидва комутатори мають бути узгоджені на одну і ту саму Native VLAN, інакше можливі конфлікти кадрів.
Порада
Щоб перевірити, чи правильно працює тегування, можна скористатись командами перевірки:
Cisco:
show interfaces trunkHuawei:
display vlan allMikrotik:
interface vlan print
Приклади конфігурації trunk-портів
Розглянемо кілька типових прикладів налаштування trunk-портів на різних платформах — Cisco, Mikrotik і TP-Link. Усі приклади демонструють базову конфігурацію для роботи з VLAN-тегуванням за стандартом 802.1Q.
Cisco IOS
Сценарій: комутатор Cisco з’єднаний із іншим комутатором або маршрутизатором. Необхідно налаштувати trunk-порт, який передаватиме VLAN 10, 20 і 30.
Switch(config)# interface gigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# no negotiate
Switch(config-if)# description TRUNK_TO_SWITCH_BПеревірка стану trunk-порту:
Switch# show interfaces trunk
Switch# show vlan brief👉 Порада: команда no negotiate відключає DTP (Dynamic Trunking Protocol), що підвищує безпеку, запобігаючи автоматичному створенню trunk-з’єднань з неавторизованими пристроями.
Mikrotik RouterOS
У Mikrotik VLAN налаштовуються через створення віртуальних інтерфейсів поверх фізичного.
Приклад:
/interface vlan
add name=vlan10 vlan-id=10 interface=ether2
add name=vlan20 vlan-id=20 interface=ether2
add name=vlan30 vlan-id=30 interface=ether2
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=vlan10
add bridge=bridge1 interface=vlan20
add bridge=bridge1 interface=vlan30Примітка:
Інтерфейс ether2 виступає trunk-портом, який передає VLAN 10, 20 та 30. VLAN-трафік позначається тегами, що розпізнаються іншими комутаторами або маршрутизаторами.
TP-Link (Smart / Managed Switch)
У TP-Link Managed Switch (наприклад, TL-SG2008) налаштування виконується через веб-інтерфейс:
Перейдіть до розділу VLAN → 802.1Q VLAN.
Додайте VLAN (наприклад, VLAN 10, VLAN 20, VLAN 30).
У вкладці Port Config оберіть порт, який буде trunk (наприклад, порт 8).
Для цього порту вкажіть VLAN 10, 20, 30 як Tagged, а VLAN 99 — як Untagged (Native).
Збережіть зміни.
CLI-приклад (для TP-Link CLI-пристроїв):
Switch(config)# interface gigabitEthernet 1/0/8
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport trunk native vlan 99У всіх випадках важливо, щоб VLAN-список та Native VLAN на обох кінцях trunk-з’єднання співпадали, інакше трафік може не проходити або маршрутизуватись некоректно.
Типові помилки при конфігуруванні trunk-портів
Навіть досвідчені адміністратори часом стикаються з проблемами під час налаштування trunk-портів. Більшість помилок виникає через неузгодженість VLAN, неправильний режим порту або неуважність до деталей. Розглянемо найпоширеніші з них і способи усунення.
1. Невідповідність VLAN-ів між комутаторами
Це одна з найчастіших проблем. Якщо на одному комутаторі trunk дозволяє VLAN 10, 20, 30, а на іншому — тільки 10 і 20, то трафік VLAN 30 просто не проходитиме.
Рішення:
Завжди перевіряйте узгодженість списку дозволених VLAN.
На Cisco: show interfaces trunk
На Huawei: display trunk
На Mikrotik: interface vlan print
2. Неправильний режим порту
Якщо порт на одному комутаторі працює в режимі access, а на іншому — у trunk, комутатори не зможуть коректно обмінюватися тегованим трафіком.
Рішення:
Переконайтесь, що обидва порти працюють у режимі trunk.
Використовуйте команди:
Cisco:
switchport mode trunkHuawei:
port link-type trunkTP-Link: вибір “Tagged” у налаштуваннях VLAN для відповідного порту.
3. Невірна Native VLAN
Якщо на різних кінцях trunk встановлено різні Native VLAN, нетегований трафік може потрапити не у ту VLAN, що спричинить змішування мереж і порушення ізоляції.
Рішення:
Узгоджуйте Native VLAN на обох кінцях trunk-лінку.
З міркувань безпеки рекомендується змінювати VLAN 1 на іншу (наприклад, 99).
4. Відсутність або неправильна маршрутизація між VLAN
Trunk передає кадри різних VLAN, але якщо немає маршрутизатора або Layer 3 комутатора, то VLAN залишаються ізольованими.
Рішення:
Перевірте наявність інтерфейсів VLAN у маршрутизаторі (router-on-a-stick).
Для Cisco:
interface gigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0І повторити для інших VLAN.
5. Петлі (Loop-проблеми)
Коли trunk-порти підключаються некоректно або без STP (Spanning Tree Protocol), може виникнути цикл у мережі — це спричинить широкомовний шторм і падіння продуктивності.
Рішення:
Активуйте STP: spanning-tree mode rapid-pvst
Для тестування без STP використовуйте кабелі з позначенням і контролюйте фізичні підключення.
6. Відсутність перевірки після налаштування
Багато адміністраторів забувають перевірити результат. Це часто призводить до “тихих” помилок — коли мережа працює, але частина VLAN недоступна.
Рекомендовано:
На Cisco:
show interfaces trunk,show vlan briefНа Huawei:
display vlan allНа Mikrotik:
interface bridge vlan print
Безпека trunk-з’єднань
Trunk-порти — це стратегічні лінії зв’язку між комутаторами, маршрутизаторами та контролерами. Через них проходить увесь VLAN-трафік, тому будь-яка помилка або вразливість у конфігурації може призвести до витоку даних, атак або просто некоректної роботи мережі. Нижче наведено ключові рекомендації для підвищення безпеки trunk-з’єднань.
1. Вимкнення DTP (Dynamic Trunking Protocol)
На обладнанні Cisco trunk може створюватися автоматично через DTP, навіть якщо ви цього не планували. Зловмисник, підключившись до порту в офісі, може активувати trunk і отримати доступ до VLAN, які не повинні бути доступні ззовні.
Рішення:
Завжди вручну задавайте режим порту і забороняйте DTP:
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate2. Фільтрація невикористаних VLAN
Не передавайте через trunk усі VLAN без потреби. Чим менше VLAN проходить через лінк, тим менше шансів на витік або конфлікт.
Рішення:
Обмежуйте список VLAN:
Switch(config-if)# switchport trunk allowed vlan 10,20,30Видаляйте невикористані VLAN із конфігурації:
no vlan 50
3. Зміна Native VLAN
Типова помилка — залишати Native VLAN = 1. Ця VLAN використовується за замовчуванням усіма комутаторами, тому може бути вектором атак (наприклад, VLAN hopping).
Рішення:
Створіть окрему VLAN для trunk-з’єднань:
vlan 99 name TRUNK_NATIVE switchport trunk native vlan 99
4. Використання окремої VLAN для керування
Завжди відокремлюйте Management VLAN (через яку здійснюється доступ до комутаторів) від користувацьких VLAN. Це зменшує ризики несанкціонованого доступу до панелі керування.
5. Контроль фізичних підключень
Використовуйте port security для обмеження MAC-адрес.
Закривайте невикористані порти:
interface range gigabitEthernet0/10-48 shutdownУ корпоративних середовищах позначайте trunk-кабелі кольором або етикеткою, щоб уникнути випадкового підключення до невірного порту.
6. Моніторинг trunk-стану
Регулярно перевіряйте стан trunk-з’єднань:
Cisco:
show interfaces trunk,show spanning-tree summaryHuawei:
display interface brief,display stpMikrotik:
interface bridge vlan print
Моніторинг допомагає своєчасно виявити зміни у VLAN або невідповідності конфігурацій.
Практичне значення trunk-портів у корпоративних мережах
Trunk-порти — це своєрідні “магістралі” корпоративної мережі. Вони з’єднують між собою комутатори, маршрутизатори, бездротові контролери та сервери, дозволяючи передавати трафік багатьох VLAN через один канал зв’язку. Завдяки trunk-з’єднанням великі мережі залишаються структурованими, гнучкими й масштабованими без потреби у великій кількості кабелів.
1. З’єднання між комутаторами
Trunk-порти дозволяють об’єднати декілька комутаторів у єдину логічну мережу з підтримкою кількох VLAN.
Наприклад, один комутатор може обслуговувати офіс бухгалтерії (VLAN 10), інший — серверну (VLAN 20), а trunk між ними передає обидва типи трафіку без змішування.
Це забезпечує:
Централізоване керування VLAN;
Ізоляцію трафіку різних відділів;
Можливість розширення без складних фізичних змін.
2. Router-on-a-stick
Класичний приклад використання trunk — підключення маршрутизатора до комутатора для обслуговування кількох VLAN через один фізичний інтерфейс.
На маршрутизаторі створюються підінтерфейси з тегами VLAN:
interface gigabitEthernet0/1.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface gigabitEthernet0/1.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0Це дозволяє маршрутизувати трафік між VLAN 10 і VLAN 20, хоча фізично використовується лише один кабель.
3. Підключення бездротових контролерів та точок доступу
Trunk-порти також часто використовуються для зв’язку з Wi-Fi контролерами або точками доступу, які підтримують кілька SSID, кожен із яких належить до різної VLAN (наприклад, VLAN 30 — гостьова мережа, VLAN 40 — корпоративна).
Trunk дозволяє передавати ці SSID-теги через один uplink без потреби в окремих кабелях.
4. Масштабування і резервування
Trunk-порти застосовуються для створення агрегаційних каналів (EtherChannel, LACP), що дозволяє:
збільшити пропускну здатність;
забезпечити резервування (якщо один лінк падає — інші залишаються активними);
балансувати трафік між кількома фізичними з’єднаннями.
interface range gigabitEthernet0/1 - 2
channel-group 1 mode active
!
interface port-channel 1
switchport mode trunk5. Вплив на адміністрування та масштабованість
Trunk-з’єднання дають змогу легко додавати нові VLAN у мережу: достатньо просто дозволити їх на існуючих trunk-лінках.
Це зменшує час на перебудову мережі та полегшує керування при зростанні кількості користувачів, відділів або філій.
Погляд з досвіду: чому trunk-порти — це основа стабільності VLAN-інфраструктури
Trunk-порт — це не просто технічна опція в конфігурації комутатора. Це елемент, який визначає логіку руху даних у корпоративній мережі, її стабільність і масштабованість. Без trunk-з’єднань побудова VLAN-інфраструктури втратила б сенс, адже кожна VLAN залишалася б «замкненою» у межах одного пристрою.
На практиці саме trunk-порти дозволяють поєднати гнучкість і порядок — ключові риси професійної мережі. Вони допомагають:
централізовано передавати VLAN-трафік між сегментами мережі;
уникати дублювання фізичних лінків;
забезпечувати просту інтеграцію нових вузлів;
реалізовувати балансування, резервування та безпечну маршрутизацію.
Для адміністратора trunk-порт — це одночасно і можливість, і відповідальність. Від коректності його налаштування залежить, чи працюватимуть усі VLAN стабільно, чи виникатимуть збої, петлі або колізії.
Грамотно налаштовані trunk-лінки роблять мережу керованою, передбачуваною й готовою до розширення. Саме тому розуміння принципів їх роботи — одна з базових навичок будь-якого мережевого інженера, незалежно від рівня чи платформи, на якій він працює.
