Network. 7. Канальный уровень (L2)
Канальный уровень — это мир, где IP ещё не существует,
но устройства уже знают друг друга… по лицу. 😄
L2 (Data Link Layer) — уровень, на котором:
- устройства находят друг друга
- принимается решение кому передать кадр
- формируются broadcast-домены
- появляются VLAN
И да — именно здесь живёт MikroTik в нашей архитектуре.
MAC-адреса
MAC-адрес (Media Access Control) —это уникальный аппаратный идентификатор сетевого интерфейса.
Формат:
AA:BB:CC:DD:EE:FF
Важно понять раз и навсегда:
- MAC-адрес:работает только внутри L2-сегментане маршрутизируетсяне “ходит через интернет”
- IP может меняться
- MAC — почти всегда постоянный
💡 Сноска:
MAC-адрес присваивается сетевой карте производителем (первые 3 байта — OUI, vendor).
Как MAC используется в жизни
Когда устройство хочет отправить данные:
- оно знает IP назначения
- но передавать нужно по MAC
- значит — MAC надо выяснить
И тут появляется…
ARP (Address Resolution Protocol)
ARP — это “кто тут 192.168.10.1? Отзовись!” 😄
ARP — протокол, который:
- сопоставляет IP → MAC
- работает внутри одной L2-сети
- использует broadcast-запросы
Как это выглядит:
- Клиент не знает MAC gateway
- ОтправляетARP Request (broadcast):“Кто имеет IP 192.168.10.1?”
- Gateway отвечает:“Это я, вот мой MAC”
- Клиент сохраняет запись в ARP-таблице
💡 Сноска:
ARP-таблица — локальный кэш соответствий IP ↔ MAC.
Почему ARP важен
Если ARP не работает:
- IP вроде есть
- gateway вроде есть
- а трафик никуда не идёт
Классический симптом:
“Пинги не идут, но IP правильный”
Коммутаторы (Switches)
Коммутатор — это устройство L2, которое:
- принимает кадры
- смотрит на MAC-адрес назначения
- отправляет кадр только туда, где нужный MAC
В отличие от хаба:
- хаб шлёт всем
- свитч — только адресату
MAC-таблица (CAM table)
Коммутатор хранит таблицу:
MAC → порт
Он её обучает автоматически:
- увидел кадр
- запомнил MAC источника + порт
😄 Шутка:
Switch — это интроверт.
Он не кричит всем, он шепчет нужному.
Где здесь MikroTik
В нашем проекте MikroTik:
- работает как L2-коммутатор + Wi-Fi AP
- использует bridge
- не принимает L3-решений
👉 Он:
- знает MAC
- не знает маршруты
- не думает про “интернет”
Broadcast-домены
Broadcast-домен — это область сети, где:
- broadcast-пакеты доходят до всех
- ARP-запросы слышат все устройства
Примеры broadcast:
- ARP Request
- DHCP Discover
Почему это важно
Один большой broadcast-домен:
- больше шума
- больше ARP
- сложнее безопасность
- хуже масштабирование
💡 Именно поэтому появляются VLAN.
VLAN (обзорно)
VLAN (Virtual LAN) —это логическое разделение одной физической сети на несколько L2-сетей.
Ключевая идея:
Один кабель —несколько изолированных broadcast-доменов.
Что даёт VLAN
- изоляция:UsersIoTGuestLab
- безопасность
- порядок
- контроль трафика
Где VLAN живёт в нашей архитектуре
- L2: VLAN-теги (802.1Q)
- MikroTik:VLAN-aware bridgeSSID → VLAN
- OPNsense:VLAN-интерфейсымаршрутизация между VLANfirewall-политики
👉 VLAN начинается на L2,
но контроль — на L3 (OPNsense).
Связь L2 с тем, что мы уже сделали
На текущий момент:
- ✔ MikroTik — L2 (bridge/AP)
- ✔ OPNsense — L3 (gateway)
- ✔ ARP работает между клиентами и OPNsense
- ✔ Broadcast-домен пока один (LAN)
И это осознанно.
Промежуточный итог
- ✔ MAC — основа L2
- ✔ Switch принимает решения по MAC
- ✔ ARP связывает L2 и L3
- ✔ Broadcast-домены — зона шума
- ✔ VLAN — способ этот шум контролировать
- ✔ MikroTik живёт именно здесь