Що таке VLAN і як вона допомагає організувати мережу в бізнесі

VLAN: що це та як працює?

Часом VLAN (Virtual Local Area Network) плутають із VPN (Virtual Private Network). Проте це різні технології, хоч обидві вони і спрямовані на підвищення безпеки в мережі та забезпечення певного контролю за трафіком.

VPN — це сервіс, який забезпечує підключення користувачів до віддаленої мережі через Інтернет. Тоді як VLAN — це віртуальна локальна мережа, яка створена всередині фізичної інфраструктури, та яка ніяк не залежить від фізичної топології та може логічно з’єднувати географічно розподілені пристрої між собою. Пристрої в одній VLAN можуть спілкуватися один з одним без необхідності використання маршрутизатора, що робить таку мережу дуже ефективною та простою в керуванні.

VLAN створюється за допомогою керованих або smart-комутаторів, портам яких призначаються ідентифікатори VLAN, до яких він належить. Зазвичай один фізичний комутатор може мати кілька налаштованих мереж VLAN. На порту комутатора дані від пристрою маркуються спеціальним ідентифікатором, який називається тегом. Тег визначає, до якої VLAN дані повинні бути надіслані. Після того, як комутатор переглянув тег, він пересилає дані на пристрої в цій VLAN.

Типи VLAN

Залежно від способу створення, в комп’ютерних мережах можуть використовуватися різні типи VLAN:

1. VLAN на основі портів або інтерфейсів (Port-based). Такий тип мережі є найпоширенішим і використовується в мережах малого або домашнього офісу. У налаштуваннях VLAN на основі портів окремим портам комутатора призначаються певні VLAN. Таким чином, коли пристрій підключається до порту, він стає членом VLAN, призначеної цьому порту. Основне призначення цього типу VLAN — полегшити керування мережевим трафіком і забезпечити зв’язок між різними пристроями в межах одного широкомовного домену. Адміністратори можуть перепризначувати порт комутатора іншій VLAN, щоб змінити VLAN пристрою.
2. VLAN на основі MAC-адрес. Це рішення значно підвищує гнучкість мережі. Якщо користувачі часто змінюють фізичне знаходження, системному адміністратору не потрібно перелаштовувати мережу.
3. VLAN на основі IP-мережі. Це рішення для спрощеного керування та з меншими вимогами до безпеки. Цей тип VLAN дозволяє робочому ПК автоматично приєднатися до нового VLAN після зміни IP-адреси.
4. VLAN на основі протоколу.
5. VLAN комбінований.

Порти комутатора у VLAN бувають двох типів:

• Порт доступу або нетегований порт (access port, untagged) — порт, що належить одній VLAN і передає трафік до пристрою або з нього без позначки VLAN. Підтримує лише одну VLAN. Будь-який кадр, який проходить від пристрою через access-порт, позначається номером, що належить цьому VLAN.
• Магістральний (тегований) або транковий (trunk port, tagged) — порт, що використовується для передачі трафіку кількох VLAN. Цей порт не змінює тег, а лиш пропускає трафік VLAN, дозволених на цьому порту. Це дозволяє одному фізичному з’єднанню передавати дані для різних VLAN без змішування трафіку між ними. Зазвичай використовується між комутаторами або між комутатором і маршрутизатором.

Міжвланова маршрутизація

А що нам робити, коли потрібно потрапити з однієї VLAN до іншої? Ставимо маршрутизатор. Маршрутизатор чи роутер — це пристрій, який вміє виконувати маршрутизацію трафіку, тобто пошук оптимального шляху доставки його одержувачу. Маршрутизація між VLAN називається міжвлановою маршрутизацією (InterVLAN Routing), але, по суті, вона нічим не відрізняється від звичайної маршрутизації між IP-підмережами. Для забезпечення зв'язку між VLAN додається маршрутизатор. Як правило, до нього від одного з комутаторів йде магістральний канал (транк), що містить всі необхідні VLAN, і ця схема називається “роутер на паличці” (льодяник, Router-on-a-Stick).

Говорячи про міжланову маршрутизацію, не можна залишити поза увагою такі пристрої, як L3 комутатори. Ці пристрої містять деякі функції маршрутизації, але, на відміну від маршрутизаторів, ці функції суттєво обмежені та реалізовані апаратно. Цим досягається вища швидкість, але пропадає гнучкість застосування. Як правило, такі комутатори пропонують лише функції маршрутизації, не підтримують технологію заміни адрес та не мають брандмауера. Але вони дозволяють швидко та ефективно здійснювати маршрутизацію між внутрішніми сегментами мережі, зокрема між VLAN.

Використання віртуальних LAN дає низку переваг:

1. Покращена безпека. VLAN дозволяє ізолювати різні групи користувачів або пристроїв у межах однієї фізичної мережі. Це обмежує доступ до чутливих даних і знижує ймовірність несанкціонованого доступу. Наприклад, фінансовий відділ можна ізолювати від інших відділів компанії.
2. Зменшення широкомовного трафіку. Широкомовний трафік — це дані, які надсилаються на всі пристрої в мережі, незалежно від того, потрібні вони їм чи ні. Оскільки пристрої в різних VLAN не можуть безпосередньо обмінюватися даними, рівень широкомовного трафіку в межах мережі знижується. Це дозволяє оптимізувати пропускну здатність та ефективність мережі.
3. Гнучкість і масштабованість. VLAN дає змогу легко налаштовувати мережі, створюючи нові віртуальні сегменти без використання додаткового фізичного обладнання. Це дозволяє швидко адаптувати мережу під потреби компанії.
4. Зручність адміністрування. Адміністратори можуть легко змінювати налаштування мережі, перерозподіляючи пристрої між VLAN, без потреби змінювати фізичне підключення. Це також допомагає централізовано керувати різними групами пристроїв.
5. Полегшення підтримки та обслуговування. VLAN дозволяє ефективно відокремлювати різні типи мережевих ресурсів, що спрощує їхній моніторинг, діагностику та обслуговування. Адже проблеми, локалізовані до певного VLAN, легше вирішити.
6. Інтеграція з іншими технологіями. VLAN можна інтегрувати з іншими технологіями, такими як QoS (Quality of Service) для пріоритизації трафіку або VPN (Virtual Private Network) для забезпечення віддаленого доступу до мережі.
7. Зниження вартості. Оскільки VLAN дозволяє використовувати існуючу фізичну інфраструктуру для створення логічних мереж, це дозволяє суттєво знизити витрати на додаткове обладнання.

Коли рекомендується застосовувати

Віртуальні LAN будуть корисними у низці ситуацій. По-перше, таку форму побудови можна використовувати для сегментації великої мережі зі значною кількістю пристроїв на дрібні частини. Це спростить керування та допоможе швидко виявляти неполадки. Підмережі VLAN також підвищують безпеку загальної системи, ізолюючи трафік.

По-друге, це зручний спосіб організації тимчасової мережі для заходів чи короткострокових проектів. Нарешті, якщо пристрої з будь-яких причин повинні бути в різних підмережах, не потрібно прибирати їх із загальної фізичної системи.

Можливі сценарії використання VLAN

Ось кілька сценаріїв використання VLAN:

• Розподіл мережі за відділами (Segmenting by Department). В одній організації можна створити VLAN для відділів HR, маркетингу, ІТ тощо.
• Гостьова мережа (Guest Network). Для гостей можна створити окрему VLAN, яка дозволить підключатися до Інтернету, але не матиме доступу до внутрішніх корпоративних ресурсів. Використання VPN додатково захистить підключення.
• Створення безпечного середовища (Security Isolation). Якщо у вашій організації є чутлива інформація, яку необхідно ізолювати від решти мережі (наприклад, фінансова або персональна), створюється окрема VLAN, доступ до якої має лише обмежене коло осіб чи серверів.
• Розділення трафіку по типах (Traffic Segmentation). Якщо в мережі одночасно працює кілька видів трафіку (наприклад, голосовий, відео та звичайний трафік даних), можна створити окремі VLAN для кожного типу трафіку: VLAN 1 та VLAN 2 — для звичайного користувацького трафіку, VLAN 3 — для голосових викликів (VoIP), VLAN 4 — для відеоконференцій (як на малюнку нижче).

Зазвичай голосовому та відеотрафіку надається пріоритет у мережі, тому голоси та відео передаються плавно, без затримок. Трафік даних, відокремлений у власну VLAN, не заважає трафіку в реальному часі.

• Розширення мережі (Network Expansion). Якщо ваша організація має кілька філій або підрозділів, які потребують підключення до однієї корпоративної мережі, для кожної філії чи підрозділу створюється окремий VLAN, навіть якщо вони фізично підключені до того ж самого комутатора або маршрутизатора. Це дає змогу зберігати логічну ізоляцію між мережами філій.
• Підключення віддалених співробітників (Remote Workers). Якщо у вашій компанії деякі співробітники працюють віддалено і потребують доступу до корпоративних ресурсів, для них можна створити окремий VLAN, не порушуючи безпеки основної мережі.
• Оптимізація використання широкосмугового Інтернету (Bandwidth Optimization). Коли мережа зазнає перевантаження через великий обсяг даних (наприклад, при використанні хмарних сервісів або відеоконференцій), створюється VLAN для високошвидкісного трафіку (наприклад, для відео або важливих застосунків) та VLAN для менш важливих завдань.
• Ізоляція тестових середовищ (Testing Environments). Для тестування нових програм чи оновлень створюється окреме середовище, де можна тестувати нові рішення без ризику для основної мережі.

Як підключити VLAN

На практиці розповсюджені два способи підключення VLAN:

1. На базі власної мережі одного провайдера

Уявімо, що є компанія з центральним офісом в одному з міст України та філіями по всій Україні. І перед нею постає завдання об'єднати всі свої представництва — наприклад, магазини з термінальним обладнанням та головний офіс (або дата-центр) із сервером — в єдину локальну мережу без складної маршрутизації. Але один оператор зв'язку не може це зробити, оскільки не представлений в усіх містах, де вони розташовані.

У такому разі компанія може звернутися із запитом підключити до Інтернету центральний офіс компанії (або дата-центр) із сервером до одного з операторів зв’язку. Але якщо цей оператор не має розгалуженої мережі по всій Україні, за підключенням транспортної мережі до приміщення замовника він звертається до іншого оператора, з яким має точки обміну інтернет-трафіком. І в цій роли готова виступити наша компанія, яка підключає мережу обраним вами способом і налаштовує VLAN без підключення безпосередньо послуги Інтернет.

Також у наших силах підключити VLAN шляхом прямого взаємоз'єднання, що є кращим та більш стабільним варіантом. З нашого боку ми налаштовуємо прямий зв'язок між обладнанням абонента (кінцевого магазину) та точкою обміну даними з оператором. Останній так само налаштовує другу фазу мережі — від точки обміну трафіком до кінцевого обладнання замовника, тобто центрального офісу (або дата-центру). Таким чином, кожен магазин підключається на локальну мережу, але не має прямого доступу до Інтернету. Інтернет-доступ налаштовується вже на сервері за допомогою маршрутизації таким чином, щоб обмін даними відбувався лише між сервером та магазином (наприклад, з доступом лише до даних бухгалтерії, або документообігу, або внутрішнього сховища тощо).

2. Із залученням мережі стороннього провайдера

За такого способу підключення VLAN, розташовані по всій Україні представництва підключають до мережі Інтернет будь-якого провайдера, і маршрутизація здійснюється вже зворотним чином. В цьому разі Інтернет потрібен компанії лише для забезпечення прямого зв'язку між роутером та головним сервером, на якому знаходиться вся інформація та система обслуговування всієї мережі. А на локальних комп’ютерах операторів мережі (наприклад, такими виступають мережеві відділення компанії “Нова Пошта”) Інтернет буде відсутній — там буде лише доступ до сервера.

Резюме

Отже, можемо зробити висновок, що VLAN — це необхідний у сучасному середовищі інструмент, який дозволяє об’єднати різні мережі в одну простим способом. І Макснет є одним з тих операторів, фахівці якого за вашим запитом готові налаштувати VLAN для вашого бізнесу по всій Україні. Якщо ви бажаєте скористатися цією технологією на практиці, заповніть форму на сайті — і наш спеціаліст зв'яжеться з вами для уточнення деталей.