VLAN, или виртуальная локальная сеть, представляет собой структуру, которая позволяет разделить единую физическую локальную сеть на несколько независимых и изолированных сегментов.

Иначе говоря: это несколько сетей в одном физическом линке. У каждой сети есть уникальный тег, чтобы можно было понять, где (и чей) находится трафик. Коммутаторы и маршрутизаторы, в свою очередь, видят эти теги в пакетах и обрабатывают их, отправляя в нужную сеть.

Для чего это нужно? VLAN позволяет обеспечить изоляцию конфиденциальной информации от несанкционированного доступа. Например, можно создать отдельную сеть для обработки финансовых данных компании и отдельную — для хранения информации, связанной с клиентами. Первой, скажем, присваивается ID 10, а второй – ID 20. Устройства не увидят друг друга, даже если физически подключены к одному коммутатору.

ID – уникальный номер, значение которого может находиться в пределах от 1 до 4094. Он выступает идентификатором сети.

Содержание

  1. Преимущества использования VLAN
  2. Типы виртуальных локальных VLAN-ов
  3. Принцип работы VLAN
  4. Немного о коммутаторах
  5. Как настроить VLAN
  6. Двойные виртуальные сети VLAN
  7. Подытожим

Преимущества использования VLAN

  • Обеспечение гибкости: VLAN – эффективный инструмент для организации устройств в виртуальные группы. Сети могут быть оперативно созданы или изменены в соответствии с актуальными требованиями бизнеса, что обеспечивает повышенную адаптивность инфраструктуры.
  • Контроль широковещательного трафика: VLAN позволяют минимизировать негативное воздействие широковещательных штормов. Каждая сеть функционирует как отдельный широковещательный домен, – это и способствует оптимизации сетевых ресурсов.
  • Усиление безопасности: благодаря настройке фильтров на коммутаторах, VLAN позволяют определять политики взаимодействия между пользователями из различных сегментов. Более того, такие политики могут применяться даже к целым подсетям, а не просто к отдельным устройствам. Есть и еще одно преимущество, которое частично следует из предыдущего пункта: разделение широковещательных доменов помогает предотвратить распространение вредоносных программ и других угроз.
  • Повышение уровня контроля: при необходимости доступ к управлению сетевым оборудованием или IoT-устройствами может быть ограничен определенными VLAN, что минимизирует риск несанкционированного доступа.
  • Оптимизация производительности: разделение трафика между различными VLAN позволяет снижать нагрузку на сеть, что, в свою очередь, повышает общую производительность. Дело в том, что подключенные устройства обрабатывают меньше трафика, поскольку широковещательные домены разделены. Например, если VoIP-телефоны и рабочие станции размещены в разных сетях, они не будут взаимодействовать с трафиком друг друга.
  • Упрощение администрирования: группировка устройств по VLAN упрощает управление сетью, позволяя легко (относительно) настраивать, например, политики безопасности. VLAN также могут использоваться для логической группировки устройств в административных целях. Например, ПК бухгалтерии могут быть объединены в один VLAN, а ПК отдела кадров – в другой.

Типы виртуальных локальных VLAN-ов

  • Пользовательские: предназначены для передачи пользовательского трафика данных. Все порты коммутатора имеют единый идентификатор, что обеспечивает принадлежность к одной логической сети.
  • Голосовые: настроены для передачи голосового трафика в режиме реального времени. Этот тип обеспечивает приоритетную обработку именно голосовых данных – по сравнению с другими видами трафика. Порты коммутатора, входящие в данный VLAN, получают одинаковое значение CoS (Class of Service), что гарантирует высокое качество связи.
  • Для видеонаблюдения: предназначены для передачи видеотрафика в реальном времени. Обеспечивают приоритетную обработку видеоданных, что особенно важно для систем видеонаблюдения. Порты коммутатора, как и в предыдущем пункте, получают единое значение CoS.
  • Для управления: это специализированные виртуальные сети, используемые для передачи внеполосного трафика (out-of-band management) посредством сетевых устройств, таких как коммутаторы, маршрутизаторы и брандмауэры. Для данной VLAN обычно используются IP-адреса, которые не маршрутизируются в «общедоступном» Интернете.
  • Стандартные (Default VLAN): при такой конфигурации все порты автоматически назначаются одной VLAN. Настройка упрощает администрирование, позволяя устройствам взаимодействовать друг с другом без необходимости создания отдельных сетей. Однако использование VLAN «по умолчанию» может привнести нюансы в вопрос конфиденциальности данных – риск несанкционированного доступа не просто возникает, но и относительно высок.
  • «Родные» (Native VLAN): через нее передается «нетегированный» трафик. Устройства, подключенные к сети, могут взаимодействовать между собой без необходимости маркировки, что, конечно, хоть и упрощает настройку сети, однако требует повышенного внимания к безопасности.

Принцип работы VLAN

Каждой VLAN-подсети присваивается уникальный идентификатор, который используется для определения принадлежности. Он содержится в теге, который встраивается в Ethernet-фрейм в сетях, где и реализуется принцип разделения.

Что до тегирования, то стандартом тут является IEEE 802.1Q. Когда кадр проходит через коммутатор с поддержкой VLAN, в его заголовок добавляется специальный тег 802.1Q. Впрочем, существуют и другие, проприетарные протоколы. Однако их использование несколько ограничено и куда менее распространено.

На основании информации, содержащейся в теге, оборудование определяет принадлежность паНа основании информации, содержащейся в теге, оборудование определяет принадлежность пакета к той или иной VLAN, выполняет фильтрацию трафика и принимает решение о дальнейших действиях.

Эти действия могут включать:

  1. Удаление тега и передачу пакета конечному устройству.
  2. «Отбрасывание» пакета (или его пересылку следующему узлу) с сохранением тега.

Отметим, что правила обработки пакетов зависят от режима работы порта сетевого оборудования, который, в свою очередь, определяется и выбирается в соответствии с характеристиками подключенных устройств.

С точки зрения структуры, как мы уже упоминали выше, каждая сеть идентифицируется уникальным номером – ID. Устройства включаются в состав конкретной VLAN путем подключения к портам коммутатора – предварительно настроенным.

Настроить (назначить) устройства в виртуальную локальную сеть можно двумя способами: статическим и динамическим:

  1. Статический предполагает, что устройство включается в VLAN в зависимости от физического порта коммутатора. Например, если порты с 1 по 15 настроены для работы с VLAN 15, то все устройства, подключенные к этим портам, автоматически становятся частью этой же сети.
  2. Динамический, в свою очередь, принимает во внимание уже параметры устройства: MAC- или IP-адрес. Способ отличается повышенной гибкостью и реализуется с использованием сервера управления политиками – VMPS (VLAN Management Policy Server).

Немного о коммутаторах

Коммутатор представляет собой устройство, предназначенное для объединения нескольких устройств в единую локальную сеть. По сути своей похож на маршрутизатор, однако отличается тем, что подключение осуществляется исключительно посредством кабеля.

Именно по этой причине на корпусе и размещено значительное количество стандартизированных сетевых портов – RJ45.

Коммутаторы подразделяются на два типа: управляемые и неуправляемые. Управляемые поддерживают возможность настройки и контроля через встроенный интерфейс, что делает их заведомо более выгодным выбором для корпоративных сетей. Неуправляемые же функционируют в полностью автоматическом режиме, не требуя вмешательства со стороны. Они оптимальны для небольших сетей.

Коммутаторы играют ключевую роль в управлении VLAN. Они хранят таблицы MAC-адресов, чтобы определять, к какому VLAN принадлежит каждое устройство. На этом их функции не заканчиваются: они также обрабатывают все входящие и исходящие пакеты данных, проверяя ID и направляя их соответствующим образом.

Как настроить VLAN

Первоначально требуется идентифицировать сетевые узлы, подлежащие управлению. Второй этап – разработка конфигурационных файлов – для мониторинга тех самых выявленных узлов.

Отметим, что по завершении настройки файлы можно будет архивировать.

Точно процесс описать не получится, поскольку слишком сильно он разнится в зависимости от устройств. Однако общий алгоритм примерно такой:

  1. Определение уникального идентификатора (номера) для виртуальной сети.
  2. Выделение диапазона приватных IP-адресов, которые будут использоваться устройствами в рамках VLAN.
  3. Конфигурирование коммутатора с применением статических или динамических параметров.
  4. Организация маршрутизации между VLAN (при необходимости). Делается или коммутатором третьего уровня (L3) или маршрутизатором.

Двойные виртуальные сети VLAN

Двойная VLAN (Double VLAN или QinQ) – особая конфигурация, при которой две сети функционируют совместно, открывая новые возможности для менеджмента ресурсами. В QinQ один тег VLAN вкладывается в другой.

У такой системы есть и свои преимущества. Так, если в одной из VLAN содержатся конфиденциальные данные, требующие повышенной защиты, вторая может быть использована в качестве буферной безопасной зоны. Или, например, в случае компрометации одна из сетей сохранит возможность предоставления доступа к критически важным ресурсам.

Также двойная VLAN способствует повышению производительности. Достигается это путем стратификации трафика между различными сетями – снижается общая нагрузка на сеть, а пропускная способность, как следствие, – растет.

Подытожим

Виртуальные локальные сети – удобный механизм для сегментации сети на логические группы. Он помогает с вопросами безопасности, производительности и управления.

Например, разделив сеть, компании могут изолировать трафик, контролировать доступ и эффективнее распределять ресурсы, которых, как правило, никогда не бывает в избытке.

Более того, VLAN можно использовать в разных направлениях и в разных сценариях. Все, что нужно, – соответствующая техническая подготовка и соответствующее оборудование.

FTP-сервер
Администрирование серверов