Что такое VLAN и как она помогает организовать сеть в бизнесе

VLAN: что это и как работает?

Иногда VLAN (Virtual Local Area Network) путают с VPN (Virtual Private Network). Однако это разные технологии, хоть обе они и направлены на повышение безопасности в сети и обеспечение определенного контроля за трафиком.

VPN — это сервис, который обеспечивает подключение пользователей к удаленной сети через Интернет. Тогда как VLAN — это виртуальная локальная сеть, созданная внутри физической инфраструктуры, и которая никак не зависит от физической топологии и может логически соединять географически распределенные устройства между собой. Устройства в одной VLAN могут общаться друг с другом без необходимости использования маршрутизатора, что делает такую сеть очень эффективной и простой в управлении.

VLAN создается с помощью управляемых или smart-коммутаторов, портам которых назначаются идентификаторы VLAN, к которым он принадлежит. Обычно один физический коммутатор может иметь несколько настроенных сетей VLAN. На порту коммутатора данные от устройства маркируются специальным идентификатором, который называется тегом. Тег определяет, к какой VLAN данные должны быть отправлены. После того, как коммутатор просмотрел тег, он пересылает данные на устройства в этой VLAN.

Типы VLAN

В зависимости от способа создания, в компьютерных сетях могут использоваться разные типы VLAN:

1. VLAN на основе портов или интерфейсов (Port-based). Такой тип сети является наиболее распространенным и используется в сетях малого либо домашнего офиса. В настройках VLAN на основе портов отдельным портам коммутатора назначаются определенные VLAN. Таким образом, когда устройство подключается к порту, оно становится членом VLAN, назначенной этому порту. Основное предназначение этого типа VLAN — облегчить управление сетевым трафиком и обеспечить связь между разными устройствами в пределах одного широковещательного домена. Администраторы могут переназначать порт коммутатора другой VLAN, чтобы изменить VLAN устройства.
2. VLAN на основе MAC-адресов. Это решение значительно повышает гибкость сети. Если пользователи часто меняют физическое местонахождение, системному администратору не нужно перенастраивать сеть.
3. VLAN на основе IP-сети. Это решение для упрощенного управления и с меньшими требованиями к безопасности. Этот тип VLAN позволяет рабочему ПК автоматически присоединиться к новому VLAN после изменения IP-адреса.
4. VLAN на основе протокола.
5. VLAN комбинированный.

Порты коммутатора во VLAN бывают двух типов:

• Порт доступа или нетегированный порт (access port, untagged) — порт, который принадлежит одной VLAN и передает трафик к устройству или с него без отметки VLAN. Поддерживает только одну VLAN. Любой кадр, который проходит от устройства через access-порт, обозначается номером, который принадлежит этому VLAN.
• Магистральный (тегированный) или транковый (trunk port, tagged) — порт, который используется для передачи трафика нескольких VLAN. Этот порт не изменяет тег, а лишь пропускает трафик VLAN, разрешенных на этом порту. Это позволяет одному физическому соединению передавать данные для разных VLAN без смешивания трафика между ними. Обычно используется между коммутаторами или между коммутатором и маршрутизатором.

Межвлановая маршрутизация

А что нам делать, когда нужно попасть с одной VLAN на другую? Ставим маршрутизатор. Маршрутизатор или роутер — это устройство, которое умеет выполнять маршрутизацию трафика, т.е. поиск оптимального пути доставки его получателю. Маршрутизация между VLAN называется межвлановой маршрутизацией (InterVLAN Routing), но, по сути, она ничем не отличается от обычной маршрутизации между IP-подсетями. Для обеспечения связи между VLAN добавляется маршрутизатор. Как правило, к нему от одного из коммутаторов идет магистральный канал (транк), который содержит все необходимые VLAN, и эта схема называется “роутер на палочке” (леденец, Router-on-a-Stick).

Говоря о межвлановой маршрутизации, нельзя оставить без внимания такие устройства, как L3 коммутаторы. Эти устройства содержат некоторые функции маршрутизации, но, в отличие от маршрутизаторов, эти функции существенно ограничены и реализованы аппаратно. Этим достигается более высокая скорость, но пропадает гибкость применения. Как правило, такие коммутаторы предлагают только функции маршрутизации, не поддерживают технологию подмены адресов и не имеют брандмауера. Но они позволяют быстро и эффективно осуществлять маршрутизацию между внутренними сегментами сети, в частности между VLAN.

Использование виртуальных LAN дает ряд преимуществ:

1. Улучшенная безопасность. VLAN позволяет изолировать разные группы пользователей или устройств в пределах одной физической сети. Это ограничивает доступ к чувствительным данным и снижает вероятность несанкционированного доступа. Например, финансовый отдел можно изолировать от других отделов компании.
2. Уменьшение широковещательного трафика. Широковещательный трафик — это данные, которые отправляются на все устройства в сети, независимо от того, нужны они им или нет. Поскольку устройства в разных VLAN не могут непосредственно обмениваться данными, уровень широковещательного трафика в пределах сети снижается. Это позволяет оптимизировать пропускную способность и эффективность сети.
3. Гибкость и масштабированность. VLAN дает возможность легко настраивать сети, создавая новые виртуальные сегменты без использования дополнительного физического оборудования. Это позволяет быстро адаптировать сеть под потребности компании.
4. Удобство администрирования. Администраторы могут легко менять настройки сети, перераспределяя устройства между VLAN, без необходимости менять физическое подключение. Это также помогает централизованно управлять разными группами устройств.
5. Облегчение поддержки и обслуживания. VLAN позволяет эффективно отделять разные типы сетевых ресурсов, что упрощает их мониторинг, диагностику и обслуживание. Ведь проблемы, локализованные до определенного VLAN, легче решить.
6. Интеграция с другими технологиями. VLAN можно интегрировать с другими технологиями, такими как QoS (Quality of Service) для приоритизации трафика или VPN (Virtual Private Network) для обеспечения удаленного доступа к сети.
7. Снижение стоимости. Поскольку VLAN позволяет использовать существующую физическую инфраструктуру для создания логических сетей, это позволяет существенно снизить расходы на дополнительное оборудование.

Когда рекомендуется использовать VLAN

Виртуальные LAN будут полезными в ряде ситуаций. Во-первых, такую форму построения можно использовать для сегментации крупной сети со значительным количеством устройств на мелкие части. Это упростит управление и поможет быстро обнаруживать неполадки. Подсети VLAN также повышают безопасность общей системы, изолируя трафик.

Во-вторых, это удобный способ организации временной сети для мероприятий или краткосрочных проектов. Наконец, если устройства по любым причинам должны быть в разных подсетях, не нужно убирать их из общей физической системы.

Возможные сценарии использования VLAN

Вот несколько сценариев использования VLAN:

• Распределение сети по отделам (Segmenting by Department). В одной организации можно создать VLAN для отделов HR, маркетинга, ІТ и т.п.
• Гостевая сеть (Guest Network). Для гостей можно создать отдельную VLAN, которая позволит подключаться к Интернету, но не будет иметь доступа к внутренним корпоративным ресурсам. Использование VPN дополнительно защитит подключение.
• Создание безопасной среды (Security Isolation). Если в вашей организации есть чувствительная информация, которую необходимо изолировать от остальной сети (например, финансовая или персональная), создается отдельная VLAN, доступ к которой имеет лишь ограниченный круг лиц или серверов.
• Разделение трафика по типам (Traffic Segmentation). Если в сети одновременнно работает несколько видов трафика (например, голосовой, видео и обычный трафик данных), можно создать отдельные VLAN для каждого типа трафика: VLAN 1 и VLAN 2 — для обычного пользовательского трафика, VLAN 3 — для голосовых вызовов (VoIP), VLAN 4 — для видеоконференций (как на рисунке ниже).

Обычно голосовому и видеотрафику предоставляется приоритет в сети, поэтому голоса и видео передаются плавно, без задержек. Трафик данных, обособленный в собственную VLAN, не мешает трафику в реальном времени.

• Расширение сети (Network Expansion). Если ваша организация имеет несколько филиалов или подразделений, которые требуют подключения к одной корпоративной сети, для каждого филиала или подразделения создается отдельный VLAN, даже если они физически подключены к тому же самому коммутатору или маршрутизатору. Это дает возможность сохранять логическую изоляцию между сетями филиалов.
• Подключение удаленных сотрудников (Remote Workers). Если в вашей компании некоторые сотрудники работают удаленно и требуют доступа к корпоративным ресурсам, для них можно создать отдельный VLAN, не нарушая безопасности основной сети.
• Оптимизация использования широкополосного Интернета (Bandwidth Optimization). Когда сеть испытывает перегрузку из-за большого объема данных (например, при использовании облачных сервисов или видеоконференций), создается VLAN для высокоскоростного трафика (например, для видео или важных приложений) и VLAN для менее важных задач.
• Изоляция тестовых сред (Testing Environments). Для тестирования новых программ или обновлений создается отдельная среда, где можно тестировать новые решения без риска для основной сети.

Как подключить VLAN

На практике распространены два способа подключения VLAN:

1. На базе собственной сети одного провайдера

Представим, что есть компания с центральным офисом в одном из городов Украины и филиалами по всей Украине. И перед ней возникает задача объединить все свои представительства — например, магазины с терминальным оборудованием и главный офис (или дата-центр) с сервером — в единую локальную сеть без сложной маршрутизации. Но один оператор связи не может это сделать, поскольку не представлен во всех городах, где они расположены.

В таком случае компания может обратиться с запросом подключить к Интернету центральный офис компании (или дата-центр) с сервером к одному из операторов связи. Но если у этого оператора нет разветвленной сети по всей Украине, за подключением транспортной сети к помещению заказчика он обращается к другому оператору, с которым имеет точки обмена интернет-трафиком. И в этой роли готова выступить наша компания, которая подключает сеть выбранным вами способом и настраивает VLAN без подключения непосредственно услуги Интернет.

Также в наших силах подключить VLAN путем прямого взаимосоединения, что является лучшим и более стабильным вариантом. С нашей стороны мы настраиваем прямую связь между оборудованием абонента (конечного магазина) и точкой обмена данными с оператором. Последний точно так же настраивает вторую фазу сети — от точки обмена трафиком до конечного оборудования заказчика, т.е. центрального офиса (или дата-центра). Таким образом, каждый магазин подключается на локальную сеть, но не имеет прямого доступа к Интернету. Интернет-доступ настраивается уже на сервере с помощью маршрутизации таким образом, чтобы обмен данными происходил только между сервером и магазином (например, с доступом только к данным бухгалтерии, либо документообороту, либо внутреннему хранилищу и т.п.).

2. С привлечением сети постороннего провайдера

При таком способе подключения VLAN, расположенные по всей Украине представительства подключают к сети Интернет любого провайдера, и маршрутизация осуществляется уже обратным образом. В этом случае Интернет нужен компании только для обеспечения прямой связи между роутером и главным сервером, на котором находится вся информация и система обслуживания всей сети. А на локальных компьютерах операторов сети (например, такими выступают сетевые отделения компании “Новая Почта”) Интернет будет отсутствовать — там будет только доступ к серверу.

Резюме

Итак, можем сделать вывод, что VLAN — это необходимый в современной среде инструмент, который позволяет объединить разные сети в одну простым способом. И Макснет является одним из тех операторов, специалисты которого по вашему запросу готовы настроить VLAN для вашего бизнеса по всей Украине. Если вы хотите воспользоваться этой технологией на практике, заполните форму на сайте — и наш специалист свяжется с вами для уточнения деталей.