Блог и Новости is*hosting - Хостинг-провайдер Нового Поколения

Виртуальная локальная сеть: принцип работы и настройка

Written by Команда is*hosting | 03.10.2024 10:00:00

Сегодня разделение на сегменты - правильная стратегия для улучшения безопасности, производительности и даже для масштабируемости. Технологии виртуализации позволяют взять максимум от собственного оборудования и повысит эффективность практически любой работы.

Так же, как разделить один сервер на несколько виртуальных или запустить виртуальную машину с новой операционной системой на компьютере, можно разделить локальную сеть на несколько частей.

Как создать виртуальную локальную сеть, для чего она используется и как она работает - ответы на все эти вопросы вы найдете в этой статье.

Что такое виртуальная локальная сеть?

Виртуальная локальная сеть (VLAN) - это логическая сеть, которая разделяет физическую локальную сеть на несколько небольших изолированных сетей. Хотя определение может показаться вам легким, на самом деле это комплексный процесс распределения данных по сегментам, требующих правильной настройки и понимания принципов его работы.

VLAN можно использовать для изоляции конфиденциальных данных от неавторизованных пользователей. Например, можно создать VLAN для финансовых данных компании, а другую VLAN - для данных клиентов. Это не позволит пользователям с недостаточными правами доступа добраться до закрытых данных.

Логично использование VLAN для управления потоком трафика в сети и разделения его по приоритетности. Например, одна вирутальная сеть для видеоконференций, а другая - для низкоприоритетного трафика, такого как передача файлов.

Ключевые особенности виртуальных локальных сетей

Можно сказать, что особенности VLAN заключаются в ее целях:

  • Изолировать взаимодействие между несколькими сегментами сети и доступ к ним.
  • Обезопасить конфиденциальные данные от неавторизованных пользователей или работников с низкими правами доступа.
  • Улучшить управление потоком трафика, установив приоритеты и направление данных.
  • Масштабировать сеть для более эффективной поддержки большего количества подключаемых устройств.

Однако виртуальные локальные сети неидеальны и в их же преимуществах можно найти узкие места.

Как использовать VLAN?

VLAN можно использовать в различных сценариях для повышения безопасности, производительности и управления сетью. В целом, это удобный инструмент для любых задач.

  • Сегментирование сети. VLAN можно использовать для разделения сети по отделам, чтобы сотрудники одного отдела не могли получить доступ к данным или ресурсам другого отдела.
  • Изоляция гостевого трафика. Виртуальные сети хорошо изолируют гостевой трафик от остальной сети. Это поможет защитить сеть от несанкционированного доступа и предотвратить доступ гостей к конфиденциальным данным.
  • Создание DMZ. Демилитаризованная зона (DMZ) может быть полезна для создания барьера между публичным Интернетом и внутренней сетью.
  • Повышение производительности. VLAN позволяют повысить производительность за счет снижения перегруженности. Это происходит потому, что трафик отправляется только на те устройства, которые должны его получать, а не транслируется на все устройства в сети.
  • Упрощение управления сетью. Виртуальные локальные сети могут упростить управление сетью и устранение неполадок за счет объединения устройств в группы.
  • Улучшение игрового опыта. VLAN могут быть полезны для улучшения игрового процесса за счет снижения задержек и потери пакетов. Например, для онлайн-игр, где даже небольшая задержка имеет большое значение. Могут также пригодиться VPS для улучшения игрового опыта.

Стоит отметить, что для разных задач понадобятся разные уровни настройки и, возможно, более расширенные технические знания.

VLAN в сравнении с традиционной локальной сетью

Традиционная локальная сеть - это единая физическая сеть, объединяющая все устройства в пределах определенной территории. Здесь все устройства могут взаимодействовать друг с другом, независимо от их местоположения. Главное - общее подключение к локальной сети.

С другой стороны, VLAN - это одна или несколько изолированных сетей внутри одной физической. Это напоминает виртуальные частные серверы, которые являются изолированными средами внутри одного физического сервера.

Хранение бэкапов

Надежное пространство для резервных копий вашего проекта. is*hosting гарантирует защиту данных.

Подробнее

Проблемы виртуальных локальных сетей

Теперь, когда вы знаете больше об особенностях VLAN и о том, как они способны помочь вам, пришло время поговорить о недостатках:

  • Ограниченная масштабируемость. VLAN ограничены количеством доступных идентификаторов VLAN (4 096 на домен коммутации), что может быть ограничением в больших средах облачных вычислений.
  • Сложность. Виртуальные локальные сети могут быть сложными в настройке и управлении, особенно в больших или динамичных средах облачных вычислений, требующих тщательного планирования и администрирования.
  • Ограниченная безопасность. VLAN не обеспечивают полной безопасности и могут быть скомпрометированы злоумышленниками, получившими доступ к сети, что требует дополнительных мер безопасности для защиты конфиденциальных данных.
  • Ограниченная совместимость. Сети VLAN могут быть не полностью совместимы со всеми типами сетевых устройств и протоколов, что может ограничить их использование с различными технологиями.

Хотя VLAN все еще помогают решать многие проблемы, недостатки технологии, включая ограничения масштабирования для сегментации и изоляции сети, блокировку сети из-за протокола Spanning Tree, виртуализацию MAC-адресов и перегрузку коммутатора, привели к созданию VXLAN, что расшифровывается как виртуальные расширяемые локальные сети.

С VLAN вы можете создать только 4096 административных доменов в своей сети. С другой стороны, с помощью VXLAN теоретически можно создать до 16 миллионов административных доменов. Но сейчас не об этом.

Как работают виртуальные локальные сети?

Виртуальные локальные сети позволяют разделить сеть на канальном уровне (уровень 2 модели OSI), даже если все устройства подключены к одному физическому коммутатору. Мы подготовили краткий обзор того, как работает это разделение:

  1. Идентификация виртуальных локальных сетей и назначение в них устройств для правильного направления пакетов данных.
  2. Тегирование фреймов для маршрутизации и их распределения по разным VLAN.
  3. Настройка портов доступа и транкинга для установления или ограничения взаимосвязи между разными виртуальными локальными сетями.
  4. Маршрутизация трафика между разными VLAN.

А теперь подробнее про каждый компонент.

Идентификатор VLAN и назначение устройств

Каждая VLAN идентифицируется уникальным идентификатором (VLAN ID), который варьируется от 1 до 4094. Устройства назначаются в виртуальную локальную сеть, будучи подключенными к порту коммутатора, сконфигурированному для этой VLAN.

Различают динамическое и статическое назначение устройства в определенную виртуальную локальную сеть:

  • При статическом методе устройства назначаются в VLAN на основе физического порта коммутатора, к которому они подключены. Например, все устройства, подключенные к портам 1-10, могут быть назначены в VLAN 10.
  • При динамическом методе принадлежность к VLAN определяется на основе таких критериев, как MAC-адрес, IP-адрес или имя пользователя устройства. Этот метод более гибкий и управляется с помощью VMPS (VLAN Management Policy Server).

Устройства в одной VLAN могут взаимодействовать друг с другом, как будто они находятся в одной сети, даже если они подключены к разным физическим коммутаторам, при условии, что эти коммутаторы поддерживают VLAN.

Тегирование VLAN и модификация кадров

Маркировка VLAN - это, по сути, просто добавление идентификатора VLAN (ID) во фреймы Ethernet, чтобы коммутаторы и маршрутизаторы могли правильно перенаправлять трафик. Вот как все это выглядит:

  1. Когда фрейм отправляется с устройства в VLAN, коммутатор добавляет тег, который идентифицирует, к какой VLAN он принадлежит. Тегирование 802.1Q добавляет 4-байтовый тег к фрейму Ethernet, который включает идентификатор VLAN (12 бит). Коммутатор использует этот идентификатор, чтобы убедиться, что фрейм пересылается в нужную VLAN.
  2. Когда фрейм достигает места назначения, метка снимается, прежде чем он будет доставлен на принимающее устройство. Это называется «зачисткой фрейма».

Допустим, устройство в VLAN 5 отправляет пакет данных. Коммутатор помечает фрейм меткой VLAN 5. Когда этот пакет достигает другого коммутатора или устройства, метка либо считывается (для целей маршрутизации), либо удаляется (для окончательной доставки).

Транкинг и порты доступа

Для управления и эффективной маршрутизации сетевого трафика внутри и между виртуальными локальными сетями в конфигурациях VLAN необходимы транкинговые порты и порты доступа.

Порты доступа назначаются одной VLAN и позволяют подключенным к ним устройствам взаимодействовать только в пределах этой VLAN.

Компьютер, подключенный к порту доступа в VLAN 10, будет отправлять и получать трафик только для VLAN 10, и получаемые им фреймы остаются нетегированными.

Порты транкинга, или магистральные порты, позволяют нескольким виртуальным локальным сетям проходить через один физический канал. Порты Trunking настраиваются на коммутаторах, соединяющих различные VLAN.

Магистральный порт между двумя коммутаторами может передавать трафик для VLAN 10, 20 и 30. Каждый фрейм имеет тег, указывающий, к какой VLAN он принадлежит, что позволяет коммутаторам посылать фреймы на нужные устройства.

Маршрутизация между VLAN

По умолчанию устройства в разных VLAN не могут взаимодействовать друг с другом из-за изоляции на уровне 2. Чтобы обеспечить связь между виртуальными локальными сетями, необходима маршрутизация на уровне 3 (сетевой уровень).

Давайте поговорим о методе «Router-on-a-Stick». В этом методе используется маршрутизатор с одним физическим интерфейсом, подключенным к коммутатору. Этот интерфейс разбит на подинтерфейсы, каждый из которых соответствует одной VLAN. Маршрутизатор собирает трафик из разных VLAN, маршрутизирует его на основе IP-адреса, а затем отправляет обратно на коммутатор, чтобы тот доставил его в нужную виртуальную локальную сеть.

Например, устройства в VLAN 10 (с подсетью 192.168.10.0/24) должны иметь возможность общаться с устройствами в VLAN 20 (192.168.20.0/24). Маршрутизатор в этом случае будет направлять трафик между этими виртуальными локальными сетями с помощью субинтерфейсов маршрутизатора.

Однако есть и более простой способ перенаправления трафика. Некоторые коммутаторы обладают возможностями уровня 3, то есть могут самостоятельно выполнять маршрутизацию, не нуждаясь в отдельном роутере. Такие коммутаторы используют виртуальные интерфейсы SVI (Switch Virtual Interfaces) для каждой виртуальной локальной сети, что позволяет перенаправлять данные внутри сети. Это более эффективный метод для больших сетей, поскольку он снижает потребность в дополнительных физических устройствах.

Типы виртуальных локальных сетей

На онлайн-просторах вы встретите разные классификации виртуальных локальных сетей, включая голосовые, встроенные и другие VLAN. Или же разделение на динамические (на основе использования) и статические (на основе портов). Также можно увидеть VLAN на основе MAC-адресов и частные VLAN.

Мы расскажем немного про каждый из этих типов:

Тип

Описание

Управляющая VLAN

Эта VLAN специально зарезервирована для устройств управления сетью, таких как коммутаторы, маршрутизаторы и точки доступа. Она обеспечивает безопасную и изолированную сеть для управления и мониторинга сетевой инфраструктуры.

VLAN данных

Используется для обычного трафика данных, такого как передача файлов, просмотр веб-страниц и работа с электронной почтой. Это наиболее часто используемая VLAN в корпоративных сетях.

Голосовая VLAN

Такая VLAN предназначена для голосового трафика, например VoIP-звонков и видеоконференций. Она обеспечивает приоритет голосового трафика и минимальную задержку, джиттер и потерю пакетов.

Стандартная VLAN (по умолчанию)

Эта сеть автоматически назначается устройствам при подключении к сети без явного назначения. Обычно она используется для нетегированного трафика или устройств, которым не требуется определенное членство в VLAN.

Встроенная (нативная) VLAN

Это VLAN по умолчанию для нетегированного трафика на порту коммутатора. Когда устройство отправляет нетегированный трафик, коммутатор автоматически назначает его в нативную VLAN.

Динамическая VLAN (на основе использования)

Они создаются и назначаются устройствам на основе определенных критериев, таких как IP-адрес устройства, MAC-адрес или группа пользователей. Это позволяет гибко и автоматически назначать VLAN на основе атрибутов устройства.

Статическая VLAN (на основе порта)

Такие сети настраиваются вручную на портах коммутатора, а устройства, подключенные к этим портам, автоматически назначаются в соответствующую VLAN. Это простой и понятный метод назначения VLAN, но он требует ручной настройки для каждого порта.

VLAN на основе MAC-адресов

Эти VLAN назначают устройства в виртуальную сеть на основе их уникальных MAC-адресов. Это позволяет давать назначения более детально.

Частные VLAN

Частные виртуальные локальные сети обеспечивают изоляцию между устройствами в одной виртуальной локальной сети, не позволяя им напрямую взаимодействовать друг с другом. Это повышает безопасность, ограничивая сферу взаимодействия внутри VLAN.

Сразу скажем, что самая базовая виртуальная локальная сеть - это VLAN по умолчанию. Она автоматически создается на всех коммутаторах и назначается всем портам по умолчанию.

VPS для любых задач

Виртуальные приватные серверы - эффективная работа по приятной цене. Быстрые NVMe диски, более 30 стран, масштабирование в любой момент.

Тарифы VPS

Основные шаги по настройке виртуальной локальной сети

Настройка виртуальных локальных сетей включает в себя процессы, аналогичные настройке физической сети. Необходимо обнаружить сетевые узлы, которыми нужно управлять. Следующий шаг - создание файлов конфигурации VLAN для отслеживания обнаруженных узлов. После завершения настройки их можно архивировать или редактировать для диагностики неисправностей.

Чтобы настроить VLAN, как сетевой администратор, нужно следовать этим базовым шагам:

  1. Выберите действительный номер виртуальной локальной сети.
  2. Выберите диапазон частных IP-адресов для устройств в этой VLAN.
  3. Настройте коммутатор, используя статические или динамические параметры: В статической конфигурации каждому порту коммутатора присваивается определенный номер VLAN.При динамической конфигурации номер VLAN назначается на основе списка MAC-адресов, IP или имен пользователей.
  4. Настройте маршрутизацию между виртуальными локальными сетями, если требуется. Для этого можно использовать либо маршрутизатор с поддержкой VLAN, либо коммутатор уровня 3.

Вы можете также изучить более подробные руководства по настройке VLAN, чтобы сделать сетевую среду более кастомизированной.

Заключение

В целом, виртуальные локальные сети - это удобный и мощный механизм для сегментации сети на логические группы, повышения безопасности, оптимизации производительности и упрощения управления сетью. Разделив сеть на отдельные виртуальные локальные сети, организации могут изолировать трафик, контролировать доступ и эффективно распределять ресурсы.

Более того, VLAN можно использовать в разных направлениях и эффективно подстраивать под собственные задачи. Все, что нужно, - это техническая подготовка и соответствующее оборудование.