ariadnadoccat.com

VLAN є скрізь. Ви можете знайти їх у більшості організацій із правильно налаштованою мережею. Якщо це було неочевидно, VLAN розшифровується як «віртуальна локальна мережа», і вони повсюдно поширені в будь-якій сучасній мережі за розміром крихітної домашньої або дуже маленької офісної мережі.

Існує кілька різних протоколів, багато з яких залежать від виробника, але за своєю суттю кожна VLAN виконує майже те саме, а також переваги масштабування VLAN, оскільки ваша мережа збільшується в розмірі та організаційній складності.

Ці переваги є великою частиною того, чому професійні мережі будь-якого розміру так сильно покладаються на VLAN. Насправді, без них було б важко керувати мережами чи масштабувати їх.

Переваги та масштабованість VLAN пояснюють, чому вони стали такими повсюдно поширеними в сучасних мережевих середовищах. Було б важко керувати або масштабувати навіть помірно складні мережі з користувачем VLAN.

Що таке VLAN?

Гаразд, ви знаєте абревіатуру, але що таке VLAN? Основна концепція повинна бути знайома кожному, хто працював або використовував віртуальні сервери.

Подумайте на секунду, як працюють віртуальні машини. Кілька віртуальних серверів знаходяться в межах одного фізичного апаратного забезпечення, на якому працює операційна система та гіпервізор для створення та роботи віртуальних серверів на одному фізичному сервері. Завдяки віртуалізації ви можете ефективно перетворити один фізичний комп’ютер на кілька віртуальних комп’ютерів, кожен з яких доступний для окремих завдань і користувачів.

Віртуальні локальні мережі працюють майже так само, як і віртуальні сервери. Один або кілька керованих комутаторів запускають програмне забезпечення (подібне до програмного забезпечення гіпервізора), яке дозволяє комутаторам створювати декілька віртуальних комутаторів у межах однієї фізичної мережі.

Кожен віртуальний комутатор є власною автономною мережею. Основна відмінність віртуальних серверів від віртуальних локальних мереж полягає в тому, що віртуальні локальні мережі можуть бути розподілені між кількома фізичними частинами обладнання за допомогою спеціального кабелю, який називається магістральною.

Як це працює

Уявіть, що ви керуєте мережею для зростаючого малого бізнесу, додаєте співробітників, розділяєтеся на окремі відділи і стаєте більш складними та організованими.

Щоб реагувати на ці зміни, ви перейшли на 24-портовий комутатор для розміщення нових пристроїв у мережі.

Ви можете просто підключити кабель Ethernet до кожного з нових пристроїв і виконати завдання, але проблема полягає в тому, що сховище файлів і служби, які використовуються кожним відділом, повинні зберігатися окремо. VLAN — найкращий спосіб зробити це.

У веб-інтерфейсі комутатора ви можете налаштувати три окремі VLAN, по одній для кожного відділу. Найпростіший спосіб розділити їх за номерами портів. Ви можете призначити порти 1-8 першому відділу, призначити порти 9-16 другому відділу і, нарешті, призначити порти 17-24 g останньому відділу. Тепер ви організували свою фізичну мережу в три віртуальні мережі.

Програмне забезпечення на комутаторі може керувати трафіком між клієнтами в кожній VLAN. Кожна VLAN діє як власна мережа і не може безпосередньо взаємодіяти з іншими VLAN. Тепер кожен відділ має свою власну меншу, менш захаращену й більш ефективну мережу, і ви можете керувати ними за допомогою одного апаратного забезпечення. Це дуже ефективний і рентабельний спосіб управління мережею.

Якщо вам потрібно, щоб відділи могли взаємодіяти, ви можете змусити їх робити це через маршрутизатор у мережі. Маршрутизатор може регулювати та контролювати трафік між мережами VLAN і застосовувати більш жорсткі правила безпеки.

У багатьох випадках відділам доведеться працювати разом і взаємодіяти. Ви можете реалізувати зв'язок між віртуальними мережами через маршрутизатор, встановивши правила безпеки, щоб забезпечити належну безпеку та конфіденційність окремих віртуальних мереж.

VLAN проти підмережі

VLAN і підмережі насправді дуже схожі і виконують схожі функції. І підмережі, і VLAN розділяють мережі та широкомовні домени. В обох випадках взаємодія між підрозділами може відбуватися лише через маршрутизатор.

Відмінності між ними полягають у формі їх реалізації та в тому, як вони змінюють структуру мережі.

Підмережа IP-адреси

Підмережі існують на рівні 3 моделі OSI, мережевому рівні. Підмережі — це конструкція мережевого рівня і обробляються маршрутизаторами, організовуючи їх навколо IP-адрес.

Маршрутизатори виділяють діапазони IP-адрес і обговорюють з'єднання між ними. Це перекладає весь стрес управління мережею на маршрутизатор. Підмережі також можуть ускладнюватися, оскільки ваша мережа збільшується в розмірі та складності.

VLAN

VLAN знаходять свій дім на рівні 2 моделі OSI. Рівень каналу передачі даних ближчий до апаратного і менш абстрактний. Віртуальні локальні мережі емулюють апаратне забезпечення, яке діє як окремі комутатори.

Однак віртуальні локальні мережі можуть розбивати широкомовні домени без необхідності підключатися назад до маршрутизатора, знімаючи частину тягаря керування з маршрутизатора.

Оскільки VLAN — це власні віртуальні мережі, вони повинні вести себе так, ніби мають вбудований маршрутизатор. Як результат, мережі VLAN містять принаймні одну підмережу і можуть підтримувати кілька підмереж.

VLAN розподіляють навантаження на мережу, і. кілька комутаторів можуть обробляти трафік всередині VLAN без залучення маршрутизатора, що робить систему більш ефективною.

Переваги VLAN

На даний момент ви вже побачили кілька переваг, які дають VLAN. В силу того, що вони роблять, мережі VLAN мають ряд цінних атрибутів.

VLAN допомагають з безпекою. Розподіл трафіку обмежує будь-які можливості для несанкціонованого доступу до частин мережі. Це також допомагає зупинити розповсюдження шкідливого програмного забезпечення, якщо воно потрапить в мережу. Потенційні зловмисники не можуть використовувати такі інструменти, як Wireshark, для виявлення пакетів у будь-якому місці за межами віртуальної локальної мережі, у якій вони знаходяться, що також обмежує цю загрозу.

Ефективність мережі – це велика справа. Запровадження VLAN може заощадити або коштувати бізнесу тисячі доларів. Розрив широкомовних доменів значно підвищує ефективність мережі, обмежуючи кількість пристроїв, які одночасно беруть участь у спілкуванні. VLAN зменшує потребу в розгортанні маршрутизаторів для керування мережами.

Часто мережеві інженери вирішують створювати віртуальні локальні мережі на основі кожної служби, відокремлюючи важливий або інтенсивний мережевий трафік, наприклад мережу зберігання даних (SAN) або передачу голосу по IP (VOIP). Деякі комутатори також дозволяють адміністратору встановлювати пріоритети VLAN, надаючи більше ресурсів для більш вимогливого та критичного трафіку, який відсутня.

Було б жахливо створити незалежну фізичну мережу для відокремлення трафіку. Уявіть собі заплутаний клубок кабелів, з яким вам доведеться боротися, щоб внести зміни. Це вже нічого не говорити про підвищену вартість обладнання та енергоспоживання. Він також був би надзвичайно негнучким. VLAN вирішують усі ці проблеми шляхом віртуалізації кількох комутаторів на одному апаратному забезпеченні.

VLAN забезпечують високий ступінь гнучкості для мережевих адміністраторів завдяки зручному програмному інтерфейсу. Скажімо, два відділи поміняються офісами. Чи доводиться ІТ-персоналу переміщати обладнання, щоб задовольнити зміни? Ні. Вони можуть просто перепризначити порти комутаторів на правильні VLAN. Деякі конфігурації VLAN навіть не потребують цього. Вони динамічно адаптуються. Ці мережі VLAN не потребують призначених портів. Натомість вони засновані на MAC або IP-адресах. У будь-якому випадку, не потрібно перемішувати перемикачі чи кабелі. Набагато ефективніше та рентабельніше реалізувати програмне рішення для зміни розташування мережі, ніж перемістити фізичне обладнання.

Статичні та динамічні VLAN

Існує два основних типи VLAN, які класифікуються за способом підключення до них. Кожен тип має сильні та слабкі сторони, які слід враховувати виходячи з конкретної ситуації в мережі.

Статична VLAN

Статичні VLAN часто називають VLAN на основі портів, оскільки пристрої приєднуються, підключаючись до призначеного порту. Поки що в цьому посібнику як приклади використовувалися лише статичні VLAN.

Налаштовуючи мережу зі статичними VLAN, інженер розбиває комутатор на його порти і призначає кожен порт до VLAN. Будь-який пристрій, який підключається до цього фізичного порту, приєднається до цієї VLAN.

Статичні VLAN забезпечують дуже прості та легкі в налаштуванні мережі без надмірної залежності від програмного забезпечення. Однак важко обмежити доступ у межах фізичного розташування, оскільки людина може просто підключитися. Статичні VLAN також вимагають, щоб адміністратор мережі змінив призначення портів у випадку, якщо хтось у мережі змінить фізичне розташування.

Динамічна VLAN

Динамічні VLAN значною мірою покладаються на програмне забезпечення та забезпечують високий ступінь гнучкості. Адміністратор може призначати MAC- та IP-адреси певним VLAN, дозволяючи безперешкодно пересуватися у фізичному просторі. Машини в динамічній віртуальній локальній мережі можуть переміщатися в будь-яке місце в мережі і залишатися в одній VLAN.

Хоча динамічні VLAN є неперевершеними з точки зору адаптивності, вони мають деякі серйозні недоліки. Коммутатор високого класу повинен взяти на себе роль сервера, відомого як сервер політики керування VLAN (VMPS( для зберігання та доставки інформації про адресу іншим комутаторам мережі. VMPS, як і будь-який сервер, вимагає регулярного керування та обслуговування і підлягає можливим простоям.

Зловмисники можуть підробити MAC-адреси та отримати доступ до динамічних VLAN, додаючи ще одну потенційну проблему безпеки.

Налаштування VLAN

Що тобі потрібно

Існує кілька основних елементів, які вам потрібні, щоб налаштувати VLAN або кілька VLAN. Як зазначалося раніше, існує ряд різних стандартів, але найбільш універсальним є IEEE 802.1Q. Саме тому буде наслідувати цей приклад.

Маршрутизатор

Технічно вам не потрібен маршрутизатор, щоб налаштувати VLAN, але якщо ви хочете, щоб кілька VLAN взаємодіяли, вам знадобиться маршрутизатор.

Багато сучасних маршрутизаторів у тій чи іншій формі підтримують функціональність VLAN. Домашні маршрутизатори можуть не підтримувати VLAN або підтримувати його лише в обмеженій потужності. Спеціальна прошивка, як-от DD-WRT, підтримує її більш ретельно.

Говорячи про користувацькі, вам не потрібен готовий маршрутизатор для роботи з вашими віртуальними локальними мережами. Спеціальне програмне забезпечення маршрутизатора зазвичай базується на Unix-подібних ОС, таких як Linux або FreeBSD, тому ви можете створити свій власний маршрутизатор, використовуючи будь-яку з цих операційних систем з відкритим кодом.

Усі необхідні функції маршрутизації доступні для Linux, і ви можете налаштувати інсталяцію Linux, щоб налаштувати маршрутизатор відповідно до ваших потреб. Щоб знайти щось більш повне, загляньте в pfSense. pfSense — це чудовий дистрибутив FreeBSD, створений як надійне рішення для маршрутизації з відкритим кодом. Він підтримує мережі VLAN і включає брандмауер для кращого захисту трафіку між вашими віртуальними мережами.

Який би маршрут ви не вибрали, переконайтеся, що він підтримує потрібні вам функції VLAN.

Керований комутатор

Перемикачі є основою мереж VLAN. Вони там, де відбувається магія. Однак вам потрібен керований комутатор, щоб скористатися перевагами функціональності VLAN.

Щоб підняти речі на рівень вище, буквально, доступні керовані комутатори рівня 3. Ці комутатори здатні обробляти певний мережевий трафік рівня 3 і в деяких ситуаціях можуть замінити маршрутизатор.

Важливо пам’ятати, що ці комутатори не є маршрутизаторами, і їх функціональність обмежена. Перемикачі рівня 3 зменшують ймовірність затримки мережі, яка може бути критичною в деяких середовищах, де дуже важливо мати мережу з дуже низькою затримкою.

Клієнтські мережеві інтерфейсні карти (NIC)

NIC, які ви використовуєте на своїх клієнтських машинах, повинні підтримувати 802.1Q. Швидше за все, вони є, але це те, на що варто звернути увагу, перш ніж рухатися вперед.

Основна конфігурація

Ось найважча частина. Існують тисячі різних можливостей того, як ви можете налаштувати свою мережу. Жоден довідник не може охопити їх усіх. По суті, ідеї майже будь-якої конфігурації однакові, як і загальний процес.

Налаштування маршрутизатора

Ви можете почати кількома різними способами. Ви можете підключити маршрутизатор до кожного комутатора або кожної VLAN. Якщо ви виберете лише кожен комутатор, вам потрібно буде налаштувати маршрутизатор, щоб розрізняти трафік.

Потім ви можете налаштувати маршрутизатор для обробки трафіку між VLAN.

Налаштування перемикачів

Припускаючи, що це статичні VLAN, ви можете увійти до утиліти керування VLAN вашого комутатора через веб-інтерфейс і почати призначати порти для різних VLAN. Багато комутаторів використовують макет таблиці, що дозволяє вибирати параметри для портів.

Якщо ви використовуєте кілька комутаторів, призначте один з портів для всіх ваших VLAN і встановіть його як магістральний порт. Зробіть це на кожному перемикачі. Потім використовуйте ці порти для підключення між комутаторами та розповсюдження ваших VLAN між кількома пристроями.

Підключення клієнтів

Нарешті, отримати клієнтів у мережі досить зрозуміло. Підключіть ваші клієнтські машини до портів, що відповідають VLAN, які ви хочете підключити.

VLAN вдома

Незважаючи на те, що це не можна розглядати як логічну комбінацію, VLAN насправді мають чудове застосування в просторі домашньої мережі, гостьових мережах. Якщо вам не хочеться налаштовувати мережу WPA2 Enterprise у вашому домі та самостійно створювати облікові дані для входу для ваших друзів та родини, ви можете використовувати VLAN, щоб обмежити доступ ваших гостей до файлів і служб у вашій домашній мережі.

Багато домашні маршрутизатори вищого класу та користувацькі мікропрограми підтримують створення базових VLAN. Ви можете налаштувати гостьову VLAN з власною інформацією для входу, щоб дозволити вашим друзям підключити свої мобільні пристрої. Якщо ваш маршрутизатор підтримує це, гостьова VLAN — це чудовий додатковий рівень безпеки, який запобігає проникненню вірусами ноутбуку вашого друга від зіпсування вашої чистої мережі.