Коммутатор: невидимое устройство, из-за которого ляжет всё
Коробочка с портами в углу шкафа, о которой никто не помнит. Если она перестанет работать — ляжет весь офис сразу. Либо надёжный фундамент сети, либо бомба замедленного действия.
Роутер — выход в интернет. Коммутатор — всё, что внутри
Если в прошлой главе мы говорили про устройство, которое отвечает за связь офиса с внешним миром, то сейчас речь про устройство, которое отвечает за связь всего внутри офиса между собой.
Давайте сначала разберёмся, что это за штука и зачем она вообще нужна. На самом деле всё просто.
Роутер — это выход вашего офиса в интернет. Через него вы подключаетесь к внешнему миру. А коммутатор (его ещё называют свитч) — это то, что соединяет все устройства внутри офиса между собой. Компьютеры, принтеры, камеры, кассы, телефоны, точки доступа Wi-Fi — всё это подключается в коммутатор. А уже коммутатор подключается к роутеру.
Пока всё работает — вы про него и не вспомните. Но когда коммутатор начинает капризничать — вы это заметите сразу. Не один сотрудник, не один отдел. Сразу весь офис.
Коммутатор — это L2-устройство, и в этом главное отличие
Если роутер работает на третьем уровне (IP-адреса, маршрутизация, NAT, выход в WAN), то коммутатор — на втором (MAC-адреса, кадры внутри одной локальной сети). Из-за этого набор задач, которые коммутатор реально решает, в большинстве офисов недооценивается. Для многих коммутатор — это просто коробочка, куда идут все сетевые провода.
Типичная задача коммутатора довольно простая: он получает кадр на одном порту и пересылает его на тот порт, за которым находится нужный MAC-адрес. Неуправляемый коммутатор, который стоит в большинстве малых сетей, этим и ограничивается. Дальше всё интересное начинается с того, что у нас один большой broadcast-домен на всю сеть, и любая локальная проблема становится проблемой всех.
Дальше — конкретно: каким должен быть коммутатор, чтобы сеть была управляемой и не падала. Не всем понятные, но важные термины: VLAN 802.1Q, RSTP с BPDU guard, port-security, DHCP snooping, нормальный SNMP-мониторинг и осмысленный план аплинков.
И ещё одна важная вещь, прежде чем пойдём дальше. Когда говорят «у нас плохая сеть, надо переделывать» — обычно имеют в виду две разные вещи: либо свитчи в офисе глупые и в сети нельзя ничего нормально настроить и защитить, либо они неудачно соединены между собой. Дальше будет много про «гирлянду свитчей» — это самый частый плохой случай, и его правда стоит знать. Но дело не столько в количестве коробок, сколько в том, умные они или глупые (это и есть «управляемые» против «неуправляемых»). Один большой неуправляемый свитч на 48 портов — тоже не норма. И наоборот: два-три управляемых свитча, грамотно собранных — нормально.
Прежде чем сравнивать оборудование — важное уточнение. Когда мы говорим «это плохая сеть, надо переделывать», обычно имеем в виду две разные вещи: либо свитчи неуправляемые и в сети нельзя ничего нормально настроить и защитить, либо свитчи между собой соединены неудачно. Это разные проблемы, и лечатся они по-разному. Сначала разберём первую — что должен уметь нормальный свитч и зачем. Потом вторую — как всё правильно соединять между собой.
Как не надо — и как надо
Главное противопоставление — не «дорогой против дешёвого» и не «один свитч против нескольких». А умный против глупого — то есть управляемый против неуправляемого. Сколько коробок стоит в шкафу — вторично, важно что они умеют.
Неуправляемые коробочки
- «Портов не хватило — давайте воткнём ещё одну» → 3–5 свитчей в цепочку. Гирлянда — самый типичный кейс, но даже один большой неуправляемый — та же история
- Нет разделения сетей: сотрудники, камеры, телефония, гости — всё в одной куче
- Не видно, что происходит на портах и где вообще ошибки
- При петле или сбое кабеля — узнаёте последним, когда уже всё легло
- Каждая «новая коробочка» добавляет хаоса, а не структуру
- До первой серьёзной проблемы кажется, что всё нормально
Управляемая сеть
- Один управляемый свитч на маленький офис, или несколько грамотно собранных — на большой. Главное — все управляемые
- VLAN: рабочие, камеры, телефония, гости — каждый в своём сегменте
- Мониторинг: видно скорость, ошибки, какое устройство на каждом порту
- Защита от петель и проблемных подключений срабатывает автоматически
- PoE — питание для камер, телефонов и точек доступа по тому же кабелю
- Запас портов на рост заложен сразу, а не «когда упрёмся»
Управляемость L2: что меняется
Главная проблема множества сетей: есть работа для управляемого свитча, но вместо него ставят неуправляемый. Это не зависит от того, сколько коробок стоит в шкафу — один большой unmanaged ведёт себя так же, как каскад из трёх unmanaged: разница только в количестве проблемных мест, но не в их природе.
Хорошо, если вообще работает
- Один общий broadcast-домен на весь офис, никакой сегментации
- Нет STP — петля кладёт сеть сразу через broadcast-storm
- Нет SNMP, syslog, port mirror — диагностика только через tcpdump на хосте
- Аплинк ничем не отличается от обычного порта, узкие места появляются непредсказуемо
- Нет port-security — любой принесённый ноутбук получает доступ к сети
- Нет DHCP snooping — чужой DHCP-сервер раздаёт адреса безнаказанно
Корректно настроенная сеть
- VLAN 802.1Q с trunk- и access-портами
- RSTP на всей сети, BPDU guard на access-портах
- Port-security, DHCP snooping, опционально 802.1X для критичных сегментов
- SNMP в Zabbix или Prometheus, syslog с отправкой на удалённый сервер, port mirror
- LACP на uplink, работа с DSCP-маркировкой
- PoE+ с управлением портами и мониторингом потребления
Гирлянда из коробочек против одного хорошего свитча
Эта картинка — самый частый сценарий из жизни малого и среднего бизнеса. Компания растёт, портов перестаёт хватать, и кто-то покупает в магазине маленький свитч. Потом ещё один. Потом ещё. Снаружи выглядит безобидно — а на деле именно в этот момент в сеть закладывается хаос.
Гирлянда из 3 свитчей
Каждый свитч добавляет точку отказа. Каждое новое устройство — лотерея, в каком сегменте окажется. Диагностировать и расти такая сеть не умеет.
Один управляемый свитч
Один центральный коммутатор, понятная топология «звезда», логические сегменты VLAN — и сеть, которая растёт через настройку, а не через новую коробку.
Когда офис вырастает
Один центральный свитч хорошо работает в одном помещении на 20–50 сотрудников. Когда сеть разрастается — несколько этажей, несколько зданий или просто несколько сотен устройств — одного свитча уже не хватает: либо порты заканчиваются, либо тянуть кабель с дальнего конца становится физически нельзя.
Тогда ставят двухуровневую структуру: один центральный свитч (или пара для надёжности), и от него скоростные провода ведут к нескольким меньшим — по одному в каждую зону или этаж. К этим уже подключаются конечные устройства. Все свитчи — управляемые, и никаких прямых связей между «маленькими» свитчами нет, только через центральный.
На совсем больших сетях добавляется ещё один промежуточный уровень — но это уже про дата-центры и крупные кампусы, для малого и среднего бизнеса избыточно.
Главная мысль: это не «гирлянда» в плохом смысле. Гирлянда — когда коробочки нанизаны последовательно одна за другой и трафик с дальнего конца идёт через все промежуточные. А здесь — когда каждый «маленький» свитч подключён напрямую к центральному, и между ними нет лишних звеньев. Снаружи похоже, по сути разные вещи.
Каскад против звезды с VLAN
На картинках — два типичных подхода для небольших сетей. Слева: каскадная топология из бюджетных свитчей. Справа: классическая «звезда» с управляемым коммутатором и логическим разделением через VLAN.
Каскад из неуправляемых
Все устройства в одном broadcast-домене. Любая петля — broadcast-storm на всю сеть. STP отсутствует, защититься от случайной петли никак нельзя — кроме как физически выдернуть провод.
Первое узкое место — надёжность: сломался свитч или отвалился провод — и всё, что за ним, тоже сразу отваливается.
Второй подвох — производительность. Аплинк между свитчами ничем не отличается от обычного порта: один гигабит на 24 хоста. Когда хосты начинают активно работать с серверами и между собой, аплинк становится узким местом, и никаких инструментов это увидеть на unmanaged нет.
Звезда + VLAN с единым центром
Топология «звезда» с одним L2/L3-устройством. Каждый VLAN — изолированный сегмент с собственными правилами доступа на роутере или L3-свитче. STP контролирует петли, port-security блокирует чужие подключения. Аплинки от центрального свитча идут к роутеру через LACP — и расширение полосы, и резервирование.
Эта топология масштабируется без архитектурных изменений: новый отдел или новая зона — просто новый VLAN на access-портах и настройка правил между сегментами.
Когда офис вырастает: иерархия
Звезда хорошо работает в одном помещении до 50 хостов. Когда сеть разрастается — несколько этажей, несколько зданий или просто несколько сотен устройств, — звезда упирается в физический потолок: либо в центральном свитче заканчиваются порты, либо расстояния до всех конечных точек уже не хватает.
Правильное решение — двухуровневая иерархия. В центре коммутатор ядра (core), или даже два для отказоустойчивости — это основная коммутация и L3. К нему через скоростные аплинки (10G и выше, обычно в LACP) подключаются коммутаторы доступа (access) — те, к которым уже подключаются конечные хосты. Работать такая схема может только на управляемых свитчах с правильно настроенным RSTP.
На совсем больших сетях (>300 хостов, дата-центры, кампусы) появляется трёхуровневая иерархия — между core и access добавляется промежуточный слой aggregation. Он агрегирует трафик с access-свитчей и разгружает core. Для малого и среднего бизнеса это часто избыточно — двухуровневой схемы хватает с большим запасом.
Главная мысль: это не «гирлянда» в плохом смысле, когда трафик с дальнего конца идёт через все промежуточные. Иерархия — когда каждый access-свитч подключён только напрямую к core (или через aggregation), между ними нет лишних звеньев.
Две истории, которые случаются в каждой второй компании
Это не теоретические сценарии и не страшилки. Это два совершенно типовых случая, которые происходят в офисах постоянно. И каждый раз — на неуправляемых свитчах сеть ложится сразу. На управляемом — нет. Покажем, как это выглядит на практике.
Сотрудник принёс домашний роутер и воткнул в офисную сеть
Менеджер захотел Wi-Fi у себя за столом — притащил из дома маленький роутер, воткнул сетевой кабель в его LAN-порт, второй конец — в розетку под столом. И через пару минут в половине офиса перестал работать интернет. У кого-то 1С слетел, кто-то не может зайти на сайты, у бухгалтерии не открывается клиент-банк.
Что произошло: домашний роутер начал раздавать свои сетевые адреса всем подряд, перебивая офисный сервер. Половина компьютеров получила «не те» настройки и перестала видеть внутренние ресурсы.
Закольцованный кабель — два конца в один свитч
Кто-то решил «прибраться» в серверной или просто перепутал кабели. Воткнул оба конца одного провода в соседние порты одного и того же свитча. Через несколько секунд весь офис встал намертво: ничего не открывается, телефония не звонит, видеонаблюдение зависло.
Что произошло: петля. Сетевой пакет начал бесконечно ходить по кругу через эти два порта, размножаясь с каждым шагом. Через минуту таких пакетов становятся миллионы, и они забивают весь канал. Сеть не падает в обычном смысле — она тонет в собственном мусоре.
Два сценария, после которых обычно покупают управляемые свитчи
Сценарии, которые встречаются чаще всего, и каждый раз ровно по одной причине: на неуправляемых нет механизмов, которые их предотвращают. На управляемых — есть, и работают они из коробки после минимальной настройки.
Rogue DHCP в broadcast-домене
Что было. Пользователь приносит свой личный роутер и подключает его к офисной сети не тем портом. Роутер по умолчанию поднимает свой DHCP-сервер на LAN-интерфейсе. В офисном broadcast-домене теперь два DHCP — официальный и принесённый.
Дальше — лотерея: какой DHCP-OFFER первым ответит клиенту, тот ему и выдаст адрес. Часть машин получает адреса из левой подсети 192.168.0.0/24 от домашнего роутера, часть — нормальные. Те, кто получил «левый» адрес, теряют доступ к корпоративным ресурсам и шлют трафик через чужой шлюз. На неуправляемом свитче можно только заметить это, когда пользователи начинают жаловаться, и ловить виновника — ходить по офису.
L2-петля и broadcast-storm
Что было. Если два конца одного кабеля воткнуть в один свитч (или два свитча соединить двумя кабелями без STP), broadcast-кадры моментально уходят в петлю, обходят её и возвращаются на тот же свитч. Свитч добросовестно флудит его дальше — и кадр снова в петле.
За секунды трафик растёт экспоненциально, полоса канала забивается под завязку, CPU свитчей под 100%. Сеть просто захлёбывается. Симптом для пользователя: «сеть не работает», но при этом подключено, индикаторы горят. Локализация без управляемого свитча — методом тыка.
Почему неуправляемый свитч не проходит ни по одному принципу
Возвращаемся к четырём базовым принципам: надёжность, безопасность, управляемость, масштабируемость. Если приложить их к гирлянде из неуправляемых коробочек — она не проходит ни по одному.
Петля, шторм или проблемный кабель — и гирлянда свитчей ложится молча. Узнаёте об этом последним, когда весь офис уже стоит и вам начинают звонить со всех сторон.
Управляемый коммутатор такие ситуации ловит автоматически и блокирует проблемный порт, не дожидаясь звонка. До того, как петля положит сеть, лежит только один порт — а не весь офис.
Когда всё в одной плоской сети — гости видят серверы, камеры пересекаются с бухгалтерией, а чей-то заражённый ноутбук гуляет по всему офису и спокойно сканирует, что бы такого ещё подцепить.
VLAN превращает это в отдельные сегменты с понятными правилами доступа: гости — только в интернет, камеры — только в систему видеонаблюдения, бухгалтерия — отдельно от всех остальных. Если один сегмент скомпрометирован — это проблема одного сегмента, а не всего офиса.
«Почему интернет на кассе пропадает?» — с неуправляемым свитчем вы на этот вопрос не ответите никогда. Возможно, кабель плохой. Возможно, порт битый. Возможно, в кассе что-то с сетевой картой. Проверять нечем.
С управляемым свитчем видно скорость линка на каждом порту, счётчики ошибок, какое устройство подключено и когда последний раз был обрыв. Сеть перестаёт чиниться методом тыка.
Компания растёт, появляются новые зоны, устройства, отделы. С гирляндой это означает всё новые коробочки и всё больший хаос. И всё больше точек, где что-то может сломаться.
С управляемым свитчем — это просто новый VLAN и подключение к свободным портам. Никаких архитектурных переделок. И когда даже одного свитча становится мало, к нему добавляется второй такой же — и они работают как единая фабрика, а не как гирлянда.
Почему unmanaged не закрывает ни один из четырёх
Неуправляемые свитчи в принципе не имеют функций, нужных для нормальной офисной сети. Идём по четырём принципам.
На неуправляемых свитчах нет STP — любая случайная L1-петля мгновенно превращается в широковещательный шторм и кладёт сеть до тех пор, пока проблемный кабель не выдернут руками. Storm control тоже отсутствует — никаких порогов на броадкаст-трафик не задать.
На управляемом: RSTP сходится за 1–3 секунды, BPDU guard на access-портах автоматически отключает порт, если в него прилетел BPDU извне, storm control блокирует порт при превышении порога. Один проблемный порт лежит — сеть продолжает работать.
На неуправляемом всё в одном broadcast-домене: гости видят серверы, заражённый ноутбук гуляет по всему офису, любой rogue DHCP раздаёт адреса безнаказанно. Чужой ноутбук, воткнутый в свободную розетку, получает полный доступ к внутренней сети.
На управляемом: VLAN изолирует трафик по тегам, port-security ограничивает количество MAC на порт (превышен или не соответствует — порт блокируется), DHCP snooping отсекает левые DHCP-серверы. Опционально 802.1X с RADIUS — устройство не получит линка, пока не пройдёт авторизацию.
На неуправляемом нет SNMP — нечего опрашивать в Zabbix или Prometheus. Нет логов — потеря линка отражается только в виде «у меня ничего не работает» от пользователя. Нет port mirror — невозможно посмотреть трафик с подозрительного порта.
Управляемый экспортирует стандартные метрики: количество пакетов, ошибок, статус линка, температура, потребление PoE. Syslog пишет события в момент возникновения: link-flap, BPDU guard triggered, port-security violation. Port mirror позволяет точечно собрать трафик и отправить его в Wireshark.
На неуправляемом каскаде узкое место — это всегда uplink между свитчами: один гигабит на 24 порта. При активной нагрузке uplink становится «бутылочным горлышком», и ничего с этим не сделать — нет агрегации, нет приоритизации, нет даже понимания, что именно его забивает.
На управляемом: LACP объединяет 2–4 кабеля в один логический канал (расширение полосы + резервирование). Когда офис разрастается — добавление нового сегмента это просто новый VLAN на access-портах, без переделки физической инфраструктуры.
В любом случае, запас по портам закладываем 30–40% на горизонт 3 лет.
Что должен уметь нормальный коммутатор
Разница между «коробкой с портами» и нормальным сетевым устройством — в наборе возможностей. Это не «крутые функции для айтишников», а базовый стандарт офисной сети. Шесть пунктов, без которых сеть в какой-то момент начинает жить по принципу «пока работает — не трогай».
VLAN: сегментация сети
Роутер задаёт общую логику: вот рабочая сеть, вот гостевая, вот камеры. Но без управляемого коммутатора эта логика остаётся только на бумаге — в реальности все устройства всё равно попадают в один общий котёл.
Коммутатор разносит логику по конкретным портам и зонам: здесь телефоны, здесь рабочие места, здесь гостевой Wi-Fi, здесь камеры. Именно это даёт безопасность, порядок и возможность расти без переделки всей сети.
Мониторинг портов: сеть не должна ломаться вслепую
Сеть редко ломается красиво: «всё легло — и сразу понятно почему». Чаще это выглядит так: где-то периодически пропадает связь, где-то телефония хрипит, где-то «то работает, то не работает».
Без мониторинга такие проблемы ищут вслепую — методом тыка. С управляемым свитчем видно: на каком порту какая скорость, есть ли ошибки, не сыпется ли кабель, какое устройство на другом конце. Сеть перестаёт чиниться по принципу «выдернем-воткнём — авось поможет».
Не даёт сети захлебнуться от случайной петли
Хорошая сеть строится не из расчёта «все будут делать всё правильно», а с расчётом на то, что кто-то обязательно ошибётся — и одна ошибка не должна класть весь офис.
Сценарий, когда два конца одного кабеля случайно оказываются в одном свитче (или два свитча соединили двумя кабелями) — это самый частый способ положить офисную сеть. Управляемый коммутатор такие ситуации распознаёт за секунды и блокирует проблемный порт сам, до того как ляжет всё. Айтишник получает уведомление и понимает, в каком именно месте копать.
Не пускает в сеть лишние устройства
Вторая частая история — это когда в офисную сеть включают устройства, которые там быть не должны. Сотрудник принёс домашний роутер для своего Wi-Fi, кто-то воткнул личный ноутбук в свободную розетку, мастер-наладчик принтера подключил свой служебный компьютер.
Иногда это безобидно. Иногда — ломает половину офиса (как в первом инциденте выше). А иногда — приносит вирусы или открывает доступ туда, где постороннему делать нечего. Управляемый свитч умеет ограничивать доступ: через каждый порт может работать только то устройство, которое там должно быть, а посторонние подключения — отклоняются автоматически.
Аплинки и запас по портам
В какой-то момент проблема уже не в количестве портов, а в том, что между кусками сети ходит слишком много трафика. Нормальный коммутатор умеет не только подключать устройства, но и быстро связываться с другими узлами — через более скоростные аплинки, а где нужно — через объединение нескольких физических соединений в один логический канал.
И главное правило: на свитче всегда должно быть свободно хотя бы 20% портов. Потому что сеть всегда растёт чуть быстрее, чем кажется.
PoE: питание по сетевому кабелю
Половина устройств в офисе — точки доступа Wi-Fi, IP-телефоны, камеры — логично питать тем же кабелем, по которому идут данные. Без PoE под каждое устройство нужен отдельный блок питания, отдельная розетка, удлинитель в самом неудобном месте.
С PoE один кабель решает сразу две задачи. Бонус: любое такое устройство можно перезагрузить удалённо, просто сняв питание с порта — не выезжая в офис, не выискивая, из какой розетки выдернуть блок.
Что должен уметь нормальный managed switch
Тут важный момент — не каждый управляемый коммутатор умеет всё, что нужно. Бывает «управляемый» в кавычках: веб-морда есть, VLAN настраиваются, а дальше — пустота. Поэтому собрали шесть подсистем, без которых офисную сеть нельзя считать нормально построенной. Это не продвинутые фичи для энтузиастов, а базовый набор для любого офиса, где есть VoIP, камеры или гостевой Wi-Fi.
VLAN 802.1Q: access и trunk
На каждом порту явно прописан access-VLAN — порт принадлежит ровно одной сети. На uplink — trunk со списком разрешённых VLAN, ничего лишнего.
Минимум для офиса — шесть VLAN: mgmt, users, voice, video, guest, iot. Маршрутизация между ними — на роутере или L3-свитче, с правилами файрвола между сегментами. Voice-VLAN автоматически подхватывается IP-телефонами через LLDP-MED, не надо ходить и настраивать каждый телефон руками.
SNMP, syslog, port mirror
SNMP в Zabbix или Prometheus — это стандартные метрики по каждому порту: трафик, ошибки, статус линка, температура, потребление PoE. Этого хватает, чтобы видеть как сеть живёт: трафик растёт, ошибки на порту копятся, кабель сыпется, линк отвалился.
Syslog с отправкой в коллектор показывает события в момент, когда они происходят: link-flap, сработавший BPDU guard, нарушение port-security. Когда у пользователя «не работает», айтишник идёт не в офис, а в систему мониторинга. Port mirror (SPAN) позволяет посмотреть трафик с подозрительного порта — отправить его в Wireshark и понять, что там реально происходит.
STP, BPDU guard, storm control
На всей сети — RSTP с явно заданным root bridge на центральном свитче (а не «как алгоритм решит»). На access-портах — BPDU guard: если в порт прилетел BPDU, значит туда воткнули чужой свитч или роутер — порт мгновенно гасится. Это защищает и от случайных петель, и от чужих устройств.
Storm control ограничивает поток broadcast/multicast — обычно ставят порог около 1000 pps на порт, выше — порт уходит в shutdown. Это страховка на случай, если петля как-то всё же случилась: один порт лежит, остальная сеть продолжает работать. В syslog видно, какой именно порт сработал и когда.
Port-security и DHCP snooping
Port-security с лимитом 1–2 MAC на порт — самый простой способ закрыть сценарий «принёс свой ноутбук, воткнул в офисную розетку». Превысил лимит — порт заблокирован. Можно ещё жёстче: привязать конкретный MAC к конкретному порту, тогда устройства даже местами не поменять.
DHCP snooping закрывает историю с принесённым роутером (тот самый инцидент №1 выше). Все порты по умолчанию недоверенные, доверенный — только uplink к настоящему DHCP-серверу. Любой DHCP-OFFER с access-порта дропается. Для критичных VLAN сверху можно ещё накинуть 802.1X с RADIUS — тогда устройство не получит доступа в сеть, пока не пройдёт авторизацию.
LACP, скоростные uplink, запас портов
Простое правило: пропускная способность uplink должна быть в несколько раз больше суммарного реального трафика access-портов. Для 24-портового свитча с активной нагрузкой — это uplink 10G или хотя бы 2×1G в LACP. Иначе uplink становится узким местом, и никакая настройка дальше не поможет.
LACP объединяет 2–4 кабеля в один логический канал — даёт сразу две вещи: расширение полосы и резервирование (один кабель оборван — трафик уходит по остальным). По портам закладываем запас минимум 20%, в реальных проектах — 30–40%, потому что сеть всегда растёт быстрее, чем кажется на этапе планирования.
PoE: power budget и приоритеты
Стандарты по нарастающей: 802.3af (PoE, до 15 Вт), 802.3at (PoE+, до 30 Вт), 802.3bt (PoE++, до 60–90 Вт). Для типичного офиса хватает PoE+: точки Wi-Fi 6 берут 15–25 Вт, IP-телефоны 5–10 Вт, камеры 5–15 Вт. PoE++ нужен под Wi-Fi 7 и поворотные PTZ-камеры.
Главный подвох — power budget, то есть суммарная мощность, которую свитч может выдать на все PoE-порты одновременно. На дешёвых моделях этот бюджет заметно меньше, чем сумма максимального потребления всех портов. Считаем budget с запасом 30–50%, иначе при пиковой нагрузке свитч начнёт отрубать порты по приоритету — и обычно в самый неподходящий момент.
Бонус, ради которого многие и берут PoE: per-port poe-out enable/disable. Зависшую Wi-Fi точку под потолком можно перезагрузить одной командой из CLI, а не лезть туда со стремянкой.
«А что насчёт …?»
Когда мы рассказываем про коммутаторы в офисе, у людей всегда возникают примерно одни и те же вопросы. Собрали самые частые — с прямыми ответами без воды.
И да, и нет. У многих роутеров (включая MikroTik) действительно есть несколько LAN-портов — обычно 4–5 штук. И технически это встроенный мини-коммутатор. Для совсем маленького офиса на 3–5 человек этого может хватить, и тогда отдельный свитч не нужен.
Но как только устройств становится больше десяти — встроенных портов перестаёт хватать. И тут начинается ровно та история, про которую мы рассказываем: «портов мало — давайте дополнительно купим маленький свитч». Так и получается гирлянда.
Правильный путь: как только понимаете, что 5 портов на роутере — это мало, ставится один нормальный управляемый свитч. Роутер работает только с интернетом и маршрутизацией, а вся внутренняя сеть строится на свитче. Это и есть классическая правильная схема.
Честный ответ: если у вас 8 человек, всё работает только на ноутбуках через Wi-Fi, нет камер, нет IP-телефонии, нет гостевого доступа и вы не планируете расти — да, можно обойтись хорошим неуправляемым свитчем. Это будет работать.
Но как только в офисе появляется хоть что-то из этого — камеры, IP-телефоны, гостевой Wi-Fi, кассы, серверы, второй филиал — управляемый становится нужен. И обычно это случается раньше, чем кажется. Размер компании тут вторичен: вопрос в том, насколько разнородный у вас зоопарк устройств в сети.
Практический совет: если выбираете между «дешёвым неуправляемым на 16 портов» и «младшим управляемым на 16 портов» — разница в цене обычно не такая большая, как кажется. И вы сразу получаете запас на рост, без необходимости что-то переделывать через год.
Тут есть важный нюанс. У многих производителей в линейке есть три уровня свитчей: неуправляемые (просто коробка с портами), smart-managed / web-managed (упрощённое управление через веб) и full-managed (полноценное сетевое устройство с CLI). Smart-серии действительно сильно дешевле full-managed.
Smart-managed свитч — это компромисс. У него есть VLAN, базовый QoS, иногда защита от петель — то есть для офиса 5–15 человек он закрывает значительную часть задач. Но возможности ограничены: меньше глубины настройки, скуднее мониторинг, медленнее обновляется прошивка, обычно нет нормального CLI.
На практике мы рекомендуем смотреть на младшие модели MikroTik (CRS- и CSS-серии) — они в той же ценовой категории, что smart-managed от TP-Link, но внутри полноценная SwOS или RouterOS. То есть вы получаете не «обрезанную версию» бизнес-устройства, а нормальное бизнес-устройство в маленьком корпусе.
Можно. Но обычно это выходит дороже, дольше и хуже. Камера висит под потолком — туда нужно тянуть розетку плюс отдельный сетевой кабель, а ещё блок питания где-то у самой камеры в неудобной коробке. Точка доступа Wi-Fi — то же самое. IP-телефон — отдельный блок питания на каждом столе.
С PoE всё это решается одним кабелем. Питание идёт по тому же витому проводу, по которому идут данные. Не нужны розетки в труднодоступных местах, не нужны блоки питания у каждого устройства, не нужны удлинители «на потолке через всю комнату». Один кабель — устройство работает.
И есть ещё бонус, который часто оказывается неожиданно ценным: любое PoE-устройство можно перезагрузить удалённо. Камера зависла — снял питание с порта свитча, через 10 секунд вернул. Не нужно ехать в офис только для того, чтобы выдернуть и воткнуть один кабель.
Что делать точно не надо — это пытаться «сэкономить» на PoE-свитче и подавать на провод 12V от обычного блока питания (по свободным парам в кабеле, например). Так делать нельзя: устройства на дальних линиях работают плохо или не работают вообще, никаких защит нет, удалённой перезагрузки и мониторинга тоже нет, и для двадцати камер всё это превращается в самодельную электросеть с двадцатью блоками питания где-то в коммутационной. Если нужно питание по проводу — берут нормальный PoE-свитч.
Базовое правило простое: чем меньше свитчей в одной сети, тем лучше. Один большой свитч на 24 или 48 портов почти всегда лучше, чем три по 8. Меньше точек отказа, проще диагностика, понятнее структура.
Но есть случаи, когда несколько свитчей — это нормально и правильно. Большой офис с двумя этажами или несколькими помещениями: вместо того, чтобы тянуть кучу кабелей через всё здание, ставится один свитч на каждом этаже, между ними — нормальный быстрый аплинк (1 или 10 гигабит). Это называется топология «звезда»: есть один центральный (core) свитч, к нему подключаются свитчи поэтажно.
Ключевая разница с «гирляндой»: в звезде свитчи подключены каждый к центральному, а не друг за другом цепочкой. И каждый из них — управляемый. Тогда даже если поэтажный свитч полежит — это проблема одного этажа, а не всей компании.
Частые возражения и уточнения
Вопросы, которые регулярно прилетают на стадии обсуждения L2-архитектуры. Отвечаем технически — без «потому что best practice так делает».
Технически — да, коммутатор, особенно если есть отдельный switch chip, который пересылает пакеты между LAN-портами без участия центрального процессора, т.е. работает аппаратная коммутация. По чистому L2-форвардингу он ничем не отличается от отдельного неуправляемого свитча того же класса.
Подвох — в настройке. Если все 5 LAN-портов объединены в один bridge с правильной привязкой к switch chip, трафик ходит на полной скорости. А вот если часть портов вытащена в отдельные интерфейсы — трафик начинает идти через CPU роутера, и производительность падает на порядок. Это типичная ошибка на маленьких MikroTik, при определённых настройках включается программная коммутация.
Для офиса в 3–5 хостов и пары IP-телефонов встроенного свитча действительно достаточно. Но при росте быстро упираешься в потолок: не хватает портов, нет LACP, нет нормального port-mirror, ограниченные возможности по VLAN. Правильный путь — выделить L2 на отдельный управляемый свитч и оставить роутер заниматься своим делом на L3.
Если сеть однородная — только рабочие хосты, никаких IoT, камер, гостей, VoIP — то на горизонте 5–10 устройств можно жить и без VLAN. Технически broadcast-нагрузка от 8 машин в одном /24 — это десятки кадров в секунду, никаких проблем не создаёт.
Но как только появляется разнородность — VoIP-телефоны, IP-камеры, гостевой Wi-Fi, принтеры, кассы — broadcast-трафик начинает расти быстро, и это уже бьёт по чувствительным к задержкам приложениям (та же телефония первой страдает). Плюс безопасность: один скомпрометированный хост в гостевой сети получает прямой доступ к серверам по L2, без всякой маршрутизации.
Прагматичный минимум для офиса 5–15 хостов — три VLAN: users, voice, guest. Появятся камеры и IoT — добавится ещё пара. Это закрывает 80% проблем безопасности и диагностики при минимальной операционной сложности — настроить можно за вечер, поддерживать дальше почти не надо.
Smart-managed, или web-managed, они же «настраиваемые» коммутаторы — компромиссная категория. Что обычно есть: VLAN 802.1Q (32–64 штуки), IGMP snooping, агрегация LACP, базовый STP. Чего обычно нет: CLI (только веб-морда), полноценного RSTP с гибкой настройкой, BPDU guard, DHCP snooping, NetFlow, нормального SNMP с детальными метриками.
Для офиса 10–25 хостов с базовой сегментацией smart-managed задачу закрывает. Но как только появляются требования посерьёзнее — SNMP в Zabbix с детальной телеметрией, port-mirror для траблшутинга, 802.1X с RADIUS, стэкинг для отказоустойчивости — упираешься в потолок и нужен полноценный.
Тут есть один интересный нюанс по цене. В категории smart-managed (25–40 тыс ₽ за 24-портовый) у MikroTik есть прямые конкуренты — серия CRS на RouterOS. По возможностям они эквивалентны полноценным L3-коммутаторам, что для такого бюджета — необычно много.
Лучше никогда так не делайте!
Идея понятна и на бумаге выглядит экономно: в 100-мегабитном Ethernet задействованы только две пары, остаются свободные. Заводим плюс и минус от блока питания — и точка доступа запитана. На практике у этого подхода набор проблем, из-за которых стандартом стал именно PoE.
Первое — падение напряжения. UTP имеет сопротивление около 9 Ом на 100 м на пару, и точка с потреблением 1 А на 50 метрах получит на входе уже не 12V, а ближе к 9V. Устройства на таком напряжении ведут себя странно: перезагрузки, отвалы под нагрузкой, иногда вообще не стартуют. PoE использует 48V именно для того, чтобы потери на сопротивлении кабеля стали несущественными.
Второе — нет согласования. PoE перед подачей питания проверяет, что на другом конце действительно PoE-устройство и его классификацию (резервирует нужную мощность). Если просто подать 12V на пары — никаких защит, и любое неправильное подключение даёт весёлые эффекты с наводками и заземлением.
Третье — нет ничего из того, ради чего PoE и берут. Удалённой перезагрузки через poe-out disable/enable не будет, мониторинга потребления нет, централизованный UPS пришлось бы городить отдельной системой с разводкой по этажам. По факту — параллельная электросеть низкого напряжения со всеми её проблемами.
Четвёртое — масштаб. На одну точку или камеру схема ещё работает. На двадцать — это несколько блоков питания в коммутационной и двадцать пар проводов с маркировкой (или без, что хуже). PoE-свитч заменяет всё это одной коробкой.
Где самопал ещё имеет смысл — одиночное устройство далеко от свитча, PoE нет, отдельную розетку тянуть дороже. Но это компромисс на одно устройство, а не системное решение для офиса.
Зависит от размера офиса и требований к отказоустойчивости. Базовое правило: чем меньше свитчей в одной сети, тем лучше — меньше точек отказа, проще диагностика, понятнее структура.
Один большой 48-портовый managed — самый простой и надёжный вариант для офиса в одном помещении. Минус один, но существенный: сам свитч становится единственной точкой отказа, и все аплинки физически привязаны к одной коробке. Лечится стэкингом — два свитча соединяются в стек и работают как одно логическое устройство с общей конфигурацией. Аплинки от роутера разносим между обоими свитчами через LACP. Один свитч полег — трафик ушёл через второй автоматически, без сходимости STP и без ручного вмешательства.
Для офисов с несколькими этажами или помещениями — топология «звезда»: один центральный свитч (или пара в стеке), от него скоростные аплинки 10G на access-свитчи в каждой зоне. Между access-свитчами никаких прямых линков — только через центр. STP root явно прописан на центральном, BPDU guard на access-портах. Эта схема масштабируется до 200–300 хостов без архитектурных изменений — добавляешь новый access-свитч, тянешь к нему аплинк, и всё.
Если посмотрели на свой свитч — и не можете сказать точно, что у вас стоит
Это типичная история. Можем приехать и посмотреть, что у вас там в кладовке за серверной — что за коробочки, как они соединены, что разделено, а что нет. По итогам — внятная картинка и план действий: что точно нужно менять, а что нормально и работает.
Аудит L2-инфраструктуры, проектирование, миграция на правильную топологию
Если хочется не просто заменить железо, а нормально перепроектировать локальную сеть: VLAN-схема, STP root и BPDU guard, port-security, DHCP snooping, мониторинг через SNMP/syslog, грамотный uplink-план с запасом на 3 года. Делаем аудит существующей сети, рисуем целевую схему, мигрируем без простоя.