Как настроить виртуальную локальную сеть (vlan)

VLAN есть везде. Вы можете найти их в большинстве организаций с правильно настроенной сетью. В случае, если это не было очевидно, VLAN расшифровывается как «Виртуальная локальная сеть», и они вездесущи в любой современной сети, выходящей за рамки крошечного дома или очень маленькой офисной сети.

Существует несколько различных протоколов, многие из которых зависят от поставщика, но по своей сути каждая VLAN делает примерно одно и то же, и преимущества масштаба VLAN растут по мере увеличения размера и сложности организации.

Эти преимущества являются большой частью того, почему на VLAN так сильно полагаются профессиональные сети всех размеров. Фактически, было бы трудно управлять или масштабировать сети без них.

Преимущества и масштабируемость сетей VLAN объясняют, почему они стали такими распространенными в современных сетевых средах. Было бы трудно управлять или масштабировать даже сети средней сложности с пользователем VLAN.

Что такое VLAN?

Быстрые ссылки

Что такое VLAN?
Как это устроено
- VLAN против подсети
  - IP-адрес подсети
  - VLAN
Преимущества VLAN
Статические и динамические VLAN
- Статическая VLAN
- Динамическая VLAN
Настройка VLAN
- Что вам нужно
  - маршрутизатор
  - Управляемый коммутатор
  - Клиентские сетевые интерфейсные карты (NIC)
- Базовая конфигурация
  - Настройка роутера
  - Настройка переключателей
  - Подключение клиентов
VLAN дома

Итак, вы знаете аббревиатуру, но что такое VLAN? Основная концепция должна быть знакома всем, кто работал с виртуальными серверами или использовал их.

Задумайтесь на секунду, как работают виртуальные машины. Несколько виртуальных серверов находятся в одном физическом оборудовании с операционной системой и гипервизором для создания и запуска виртуальных серверов на одном физическом сервере. Благодаря виртуализации вы можете эффективно превратить один физический компьютер в несколько виртуальных компьютеров, каждый из которых доступен для отдельных задач и пользователей.

Виртуальные локальные сети работают так же, как виртуальные серверы. Один или несколько управляемых коммутаторов запускают программное обеспечение (аналогично программному обеспечению гипервизора), которое позволяет коммутаторам создавать несколько виртуальных коммутаторов в одной физической сети.

Каждый виртуальный коммутатор является собственной автономной сетью. Основное различие между виртуальными серверами и виртуальными локальными сетями заключается в том, что виртуальные локальные сети могут быть распределены по нескольким физическим частям оборудования с помощью специального кабеля, называемого магистральной.

Как это устроено

Представьте, что вы управляете сетью для растущего малого бизнеса, добавляете сотрудников, делитесь на отдельные отделы и становитесь все более сложными и организованными.

Чтобы отреагировать на эти изменения, вы перешли на 24-портовый коммутатор для размещения новых устройств в сети.

Вы можете подумать о том, чтобы просто подключить кабель Ethernet к каждому из новых устройств и вызвать задачу, но проблема заключается в том, что хранилище файлов и службы, используемые каждым отделом, должны храниться отдельно. VLAN - лучший способ сделать это.

В веб-интерфейсе коммутатора вы можете настроить три отдельные VLAN, по одной для каждого отдела. Самый простой способ их разделения - по номерам портов. Вы можете назначить порты 1-8 первому отделу, назначить порты 9-16 второму отделу и, наконец, назначить порты 17-24g последнему отделу. Теперь вы организовали свою физическую сеть в три виртуальные сети.

Программное обеспечение на коммутаторе может управлять трафиком между клиентами в каждой VLAN. Каждая VLAN действует как собственная сеть и не может напрямую взаимодействовать с другими VLAN. Теперь у каждого отдела есть своя меньшая, менее загруженная и более эффективная сеть, и вы можете управлять ими через одно и то же оборудование. Это очень эффективный и экономически эффективный способ управления сетью.

Когда вам нужно, чтобы отделы могли взаимодействовать, вы можете сделать это через маршрутизатор в сети. Маршрутизатор может регулировать и контролировать трафик между VLAN и обеспечивать более строгие правила безопасности.

Во многих случаях департаменты должны будут работать вместе и взаимодействовать. Вы можете осуществлять связь между виртуальными сетями через маршрутизатор, устанавливая правила безопасности для обеспечения надлежащей безопасности и конфиденциальности отдельных виртуальных сетей.

VLAN против подсети

VLAN и подсети на самом деле очень похожи и выполняют аналогичные функции. И подсети, и VLAN разделяют сети и широковещательные домены. В обоих случаях взаимодействие между подразделениями может происходить только через маршрутизатор.

Различия между ними проявляются в форме их реализации и в том, как они изменяют структуру сети.

IP-адрес подсети

Подсети существуют на уровне 3 модели OSI, на сетевом уровне. Подсети являются структурой сетевого уровня и обрабатываются маршрутизаторами, организованными вокруг IP-адресов.

Маршрутизаторы распределяют диапазоны IP-адресов и согласовывают соединения между ними. Это помещает всю нагрузку управления сетью на маршрутизатор. Подсети также могут усложняться по мере увеличения размера и сложности вашей сети.

VLAN

Сети VLAN находят свой дом на уровне 2 модели OSI. Уровень канала передачи данных ближе к аппаратному обеспечению и менее абстрактен. Виртуальные локальные сети эмулируют оборудование, выступая в качестве отдельных коммутаторов.

Тем не менее, виртуальные локальные сети могут разбивать широковещательные домены без необходимости подключения к маршрутизатору, что снимает некоторые проблемы с управлением маршрутизатора.

Поскольку виртуальные локальные сети являются собственными виртуальными сетями, они должны вести себя как встроенный маршрутизатор. В результате VLAN содержат как минимум одну подсеть и могут поддерживать несколько подсетей.

VLAN распределяют нагрузку на сеть и. несколько коммутаторов могут обрабатывать трафик в VLAN без участия маршрутизатора, что делает систему более эффективной.

Преимущества VLAN

К настоящему времени вы уже видели пару преимуществ, которые VLAN предоставляют на стол. В силу того, что они делают, сети VLAN обладают рядом ценных атрибутов.

VLAN помогают с безопасностью. Разделение трафика ограничивает любую возможность несанкционированного доступа к частям сети. Это также помогает остановить распространение вредоносного программного обеспечения, если оно попадет в сеть. Потенциальные злоумышленники не могут использовать такие инструменты, как Wireshark, для обнаружения пакетов в любом месте за пределами виртуальной локальной сети, в которой они находятся, что также ограничивает эту угрозу.

Эффективность сети имеет большое значение. Внедрение VLAN может сэкономить или стоить бизнесу тысячи долларов. Разделение широковещательных доменов значительно повышает эффективность сети, ограничивая количество устройств, участвующих в обмене данными, за один раз. VLAN уменьшает необходимость развертывания маршрутизаторов для управления сетями.

Часто сетевые инженеры предпочитают создавать виртуальные ЛВС для каждой услуги, выделяя важный или интенсивный сетевой трафик, такой как сеть хранения данных (SAN) или передача голоса по IP (VOIP). Некоторые коммутаторы также позволяют администратору назначать приоритеты виртуальным локальным сетям, предоставляя больше ресурсов более требовательному и пропускающему критический трафик.

Было бы ужасно иметь независимую физическую сеть для разделения трафика. Представьте себе запутанный клубок кабелей, с которым вам придется сражаться, чтобы внести изменения. Это ничего не говорит о повышенной стоимости оборудования и энергопотреблении. Это также было бы крайне негибким. Виртуальные локальные сети решают все эти проблемы путем виртуализации нескольких коммутаторов на одном оборудовании.

Сети VLAN обеспечивают высокую степень гибкости для сетевых администраторов через удобный программный интерфейс. Скажем, два отдела меняются офисами. Должен ли ИТ-персонал перемещаться по оборудованию, чтобы приспособиться к изменениям? Нет. Они могут просто переназначить порты на коммутаторах на правильные VLAN. Некоторые конфигурации VLAN даже не требуют этого. Они будут динамически адаптироваться. Эти VLAN не требуют назначенных портов. Вместо этого они основаны на MAC или IP-адресах. В любом случае, перетасовка переключателей или кабелей не требуется. Гораздо эффективнее и экономичнее реализовать программное решение для изменения местоположения сети, чем перемещать физическое оборудование.

Статические и динамические VLAN

Существует два основных типа сетей VLAN, которые классифицируются по способу подключения машин к ним. Каждый тип имеет свои сильные и слабые стороны, которые следует учитывать в зависимости от конкретной сетевой ситуации.

Статическая VLAN

Статические VLAN часто называют VLAN на основе портов, потому что устройства подключаются, подключаясь к назначенному порту. До настоящего времени в этом руководстве использовались только статические VLAN.

При настройке сети со статическими виртуальными локальными сетями инженер разделяет коммутатор по его портам и назначает каждый порт виртуальной локальной сети. Любое устройство, которое подключается к этому физическому порту, присоединится к этой VLAN.

Статические VLAN предоставляют очень простые и легкие в настройке сети, не слишком полагаясь на программное обеспечение. Тем не менее, трудно ограничить доступ в физическом местоположении, потому что человек может просто подключить его. Статические VLAN также требуют, чтобы сетевой администратор изменил назначения портов в случае, если кто-то в сети меняет физическое местоположение.

Динамическая VLAN

Динамические VLAN в значительной степени зависят от программного обеспечения и обеспечивают высокую степень гибкости. Администратор может назначать MAC-адреса и IP-адреса конкретным сетям VLAN, обеспечивая свободное перемещение в физическом пространстве. Машины в динамической виртуальной ЛВС могут перемещаться в любую точку сети и оставаться в той же VLAN.

Хотя динамические VLAN непревзойденны с точки зрения адаптивности, у них есть некоторые серьезные недостатки. Коммутатор высокого уровня должен взять на себя роль сервера, известного как сервер политики управления VLAN (VMPS) (для хранения и доставки адресной информации другим коммутаторам в сети. VMPS, как и любой сервер, требует регулярного управления и обслуживания). и возможны простои.

Злоумышленники могут подделывать MAC-адреса и получать доступ к динамическим сетям VLAN, добавляя еще одну потенциальную проблему безопасности.

Настройка VLAN

Что вам нужно

Есть пара основных пунктов, которые вам нужны для настройки VLAN или нескольких VLAN. Как указывалось ранее, существует ряд различных стандартов, но наиболее универсальным является IEEE 802.1Q. Это тот, которому будет следовать этот пример.

маршрутизатор

Технически, вам не нужен маршрутизатор для настройки VLAN, но если вы хотите, чтобы несколько VLAN взаимодействовали, вам понадобится маршрутизатор.

Многие современные маршрутизаторы поддерживают функциональность VLAN в той или иной форме. Домашние маршрутизаторы могут не поддерживать VLAN или поддерживать его только в ограниченном объеме. Кастомные прошивки, такие как DD-WRT, поддерживают его более тщательно.

Говоря о пользовательских, вам не нужен готовый маршрутизатор для работы с виртуальными локальными сетями. Прошивка нестандартного маршрутизатора обычно основана на Unix-подобной ОС, такой как Linux или FreeBSD, поэтому вы можете создать свой собственный маршрутизатор, используя любую из этих операционных систем с открытым исходным кодом.

Все необходимые вам функции маршрутизации доступны для Linux, и вы можете индивидуально настроить установку Linux, чтобы настроить ваш маршрутизатор для удовлетворения ваших конкретных потребностей. Что-то более функциональное, посмотрите в pfSense. pfSense - превосходный дистрибутив FreeBSD, созданный как надежное решение для маршрутизации с открытым исходным кодом. Он поддерживает VLAN и включает в себя брандмауэр для лучшей защиты трафика между вашими виртуальными сетями.

Какой бы маршрут вы ни выбрали, убедитесь, что он поддерживает необходимые вам функции VLAN.

Управляемый коммутатор

Коммутаторы - это сердце сетей VLAN. Они там, где происходит волшебство. Однако вам нужен управляемый коммутатор, чтобы воспользоваться преимуществами функциональности VLAN.

Чтобы подняться на уровень выше, в буквальном смысле, доступны управляемые коммутаторы уровня 3. Эти коммутаторы способны обрабатывать некоторый сетевой трафик уровня 3 и в некоторых ситуациях заменять маршрутизатор.

Важно помнить, что эти коммутаторы не являются маршрутизаторами, и их функциональность ограничена. Коммутаторы уровня 3 действительно снижают вероятность задержки в сети, что может быть критическим в некоторых средах, где крайне важно иметь сеть с очень низкой задержкой.

Клиентские сетевые интерфейсные карты (NIC)

Сетевые карты, которые вы используете на своих клиентских компьютерах, должны поддерживать 802.1Q. Скорее всего, они делают, но это что-то посмотреть, прежде чем двигаться вперед.

Базовая конфигурация

Вот сложная часть. Существуют тысячи различных возможностей для настройки сети. Ни одно руководство не может охватить все из них. По сути, идеи почти любой конфигурации одинаковы, как и общий процесс.

Настройка роутера

Вы можете начать работу несколькими способами. Вы можете подключить маршрутизатор к каждому коммутатору или каждой VLAN. Если вы выбираете только каждый коммутатор, вам необходимо настроить маршрутизатор для дифференциации трафика.

Затем вы можете настроить маршрутизатор для обработки трафика между VLAN.

Настройка переключателей

Предполагая, что это статические VLAN, вы можете войти в утилиту управления VLAN вашего коммутатора через его веб-интерфейс и начать назначать порты различным VLAN. Многие коммутаторы используют макет таблицы, которая позволяет вам отмечать опции для портов.

Если вы используете несколько коммутаторов, назначьте один из портов для всех ваших VLAN и установите его в качестве магистрального порта. Делайте это на каждом переключателе. Затем используйте эти порты для подключения между коммутаторами и распределите свои VLAN-сети по нескольким устройствам.

Подключение клиентов

Наконец, получение клиентов в сети довольно очевидно. Подключите ваши клиентские машины к портам, соответствующим VLAN, на которых вы хотите их использовать.

VLAN дома

Несмотря на то, что это может не рассматриваться как логическая комбинация, виртуальные локальные сети на самом деле имеют отличное применение в домашнем сетевом пространстве, гостевых сетях. Если вы не хотите настраивать корпоративную сеть WPA2 в своем доме и индивидуально создавать учетные данные для входа в систему для своих друзей и семьи, вы можете использовать виртуальные локальные сети, чтобы ограничить доступ ваших гостей к файлам и службам в вашей домашней сети.

Многие высокопроизводительные домашние маршрутизаторы и встроенные микропрограммы настраиваемых маршрутизаторов поддерживают создание базовых VLAN. Вы можете настроить гостевую VLAN с собственной регистрационной информацией, чтобы ваши друзья могли подключать свои мобильные устройства. Если ваш маршрутизатор поддерживает это, гостевая VLAN - это отличный дополнительный уровень безопасности, который не позволяет испорченному вирусами ноутбуку испортить вашу чистую сеть.