Віртуальна локальна мережа: що це таке і навіщо вона потрібна?

Віртуальна локальна мережа: що це таке і навіщо вона потрібна?

Віртуальна локальна мережа - логічна незалежна структура, що знаходиться в одній фізичній мережі. Користувач може мати кілька VLAN в одному маршрутизаторі або комутаторі. Кожна з цих мереж об 'єднує команди певного сегмента, що має явні переваги, коли мова йде про управління і безпеку.

Еволюція дизайну віртуальної мережі

Організації, яким потрібно оновити свою застарілу мережу, можуть реалізувати архітектуру WLAN, керовану локальними контролерами, або архітектуру з контролерами, розташованими в хмарі. Обидва варіанти пропонують значні переваги. Визначення того, яка реалізація буде працювати краще, залежить від декількох факторів, включаючи структуру компанії, поточний дизайн мережі і вимог.


Коли корпоративні WLAN були розгорнуті спочатку, кожна точка доступу була налаштована і управлялася незалежно від інших в тій же мережі. У той час це не було проблемою, тому що більшість компаній визначали спеціальні зони для бездротових точок доступу. Зазвичай це були конференц-зали, вестибюлі та відкриті майданчики - будь-яке місце з великою кількістю користувачів і кількома дротовими портами.

У міру зростання попиту на Wi-Fi на підприємстві зростала інфраструктура, необхідна для його надання. Мережевим адміністраторам доводилося керувати сотнями, а то й тисячами точок доступу. Технічні проблеми, такі як перешкоди в суміщеному каналі, регулювання потужності і роумінг клієнтів, зробили багато мереж нестабільними і непередбачуваними.

Знадобилося створення віртуальної локальної мережі, в якій постачальники розміщували контролери, щоб примусово повертати дані назад. Вони стали єдиним дросельним пунктом для конфігурації точки доступу, зв 'язку і застосовуваної політики. Точки доступу втратили свою індивідуальність, а контролер став "мозком" для всієї WLAN.

Типи налаштувань

Можна виділити шість типів віртуальної локальної мережі. Проте більшість користувачів використовує тільки три: рівень портів, MAC і програми. Порт, точніше його комутація в меню конфігурації маршрутизаторів, є найбільш поширеним.

Кожен порт призначається віртуальною локальною мережею VLAN, а користувачі, підключені до цього порту, всередині бачать один одного. Сусідні віртуальні мережі для них недосяжні. Єдиним недоліком моделі є те, що вона не враховує динамізм при пошуку користувачів, і в разі, якщо вони змінюють фізичне місце розташування, програма віртуальної локальної мережі повинна бути переналаштована.

MAC замість призначення на рівні порту знаходиться на рівні MAC-адреси пристрою. Перевага полягає в тому, що він забезпечує мобільність без необхідності вносити зміни в конфігурацію комутатора або маршрутизатора. Проблема здається цілком зрозумілою, але додавання всіх користувачів може бути стомливим.


Програми - програми віртуальної локальної мережі, в них мережі призначаються залежно від використовуваного ПЗ із застосуванням декількох факторів, таких як час, MAC-адреса або підмережа, що дозволяють розрізняти SSH, FTP, Samba або SMTP.

Архітектура LAN

Бездротові локальні мережі, керовані хмаром, залежать від якості інтернету, і можуть вийти з ладу, якщо підключення ненадійне. Хмарний контролер часто виконує інші бездротові послуги, такі як підготовка та автентифікація протоколу динамічної конфігурації хосту.

Використання локальної мережі між віртуальними машинами створює додаткові накладні витрати на пропускну здатність інтернету. Тому, якщо підключення інтенсивно використовується, ненадійно або страждає від проблем із затримкою, краще дотримуватися локального підходу, що контролює ці функції.

У більшості ситуацій контролери пропонують набагато більшу гнучкість, коли мова йде про реальне проектування і розгортання WLAN. Це включає в себе розширену підтримку застарілих пристроїв і програм Wi-Fi і більш детальний контроль над певними параметрами налаштування віртуальної локальної мережі. Для підприємств, які використовують тисячі точок доступу, кілька локальних контролерів можуть працювати разом, щоб забезпечити надійний доступ до мережі та аварійне перемикання для клієнтів.

Плоска структура

Проект комутованої локальної мережі віртуальної машини другого рівня нагадує плоску мережу. Кожен пристрій у network може бачити передачу будь-якого широкомовного пакета, навіть якщо йому не потрібно отримувати дані. Маршрутизатори дозволяють таку розсилку тільки в межах вихідної мережі, коли вона перемикає пряму трансляцію в кожному відсіку або сегменті. Це називається плоскою мережею не через її конструкцію, а через те що вона має один широкомовний домен. Подібна розсилка хостом направляється на всі порти комутаторів, залишаючи той, який отримано спочатку.

Таким чином, найбільша перевага комутованої мережі рівня полягає в тому, що вона встановлює окремий сегмент або відсік домену конфлікту для кожного конкретного обладнання, підключеного до комутатора. У результаті можуть бути зібрані більш великі мережі, і відсутня необхідність встановлювати тривалий Ethernet.

Безпека може стати проблемою в типовій комутованій міжмережевій мережі, оскільки пристрої будуть видні всім акаунтам. Ще одним недоліком є те, що неможливо зупинити трансляцію і реакцію користувачів на неї. На жаль, вибір безпеки обмежений, коли мова йде про розміщення паролів на різних серверах та інших пристроях.


Асиметрична VLAN

Асиметричні віртуальні локальні мережі VLAN дозволяють сегментувати мережу, безпечно і ефективно розділяючи трафік між ними, одночасно зменшуючи розмір широкомовних доменів і, отже, мережевий трафік. Зазвичай використання VLAN орієнтоване на великі мережі із застосуванням керованих комутаторів, які є потужними і дорогими проектами.

Такі конструкції можуть бути корисні в малих і середніх мережевих середовищах. З міркувань безпеки важливо розділити мережу на дві абсолютно незалежні, які можуть підтримувати доступ до загальних ресурсів. Звичайне рішення полягає в тому, щоб використовувати комутатор з управлінням доступом між VLAN. Більш предметно можна розглянути застосування D-Link серії Smart. Ці інтелектуальні комутатори управляються через веб-інтерфейс і мають нижчу ціну.

Зокрема, можна використовувати функціональні можливості асиметричної VLAN в комутаторі D-Link DGS-1210-24. Це дозволить розділити мережу в незалежні VLAN, але в той же час підтримувати загальну лінію, до якої можуть звертатися машини з інших віртуальних мереж.

При цьому комп 'ютери, призначені VLAN, будуть невидимі, але всі вони отримають доступ до Інтернету або ресурсів, розташованих у загальних портах. Очевидно, що в цьому випадку всі ПК будуть перебувати в одній IP-підмережі. Можна поширити цю процедуру на корпоративну мережу Wi-Fi, наприклад, щоб створити гостьову мережу, яка матиме доступ до Інтернету.

Реалізація: загальний опис

Віртуальна локальна мережа є підрозділом у канальному рівні стека протоколів. Можна створювати її для локальних мереж (LAN), які використовують технологію вузлів. Призначаючи групи користувачів, покращують управління і безпеку мережі. І також можна призначити інтерфейси з однієї і тієї ж системи різним VLAN.


Рекомендується розділити локальну мережу на VLAN, якщо необхідно зробити наступне:

  1. Реалізувати створення віртуальної локальної мережі через логічний поділ робочих груп, наприклад коли всі хости на поверсі будівлі пов 'язані через LAN з вузлами.
  2. Призначити різні політики безпеки для робочих груп, наприклад для фінансового відділу та ІТ-відділу. Якщо системи обох відділів спільно використовують одну і ту ж лінію, можна створити окрему мережу VLAN для кожного відділу. Потім призначити відповідну політику безпеки для кожної.
  3. Розділити робочі групи на керовані домени видачі.

Використання VLAN зменшує розмір видаючих доменів і підвищує ефективність мережі.

Правила дозволених імен

Мережі VLAN демонструють перевагу вживання загальних або користувальницьких імен. Попередні версії VLAN ідентифікувалися за допомогою фізичної точки приєднання (PPA), яка вимагала поєднання апаратного імені каналу передачі даних та ідентифікатора при створенні віртуальної локальної мережі через інтернет.

У сучасних пристроях, наприклад Oracle Solaris 11, можна вибрати більш значущу назву для ідентифікації. Назва має відповідати порядку назви каналів даних, наведеним у правилах для допустимих імен в Oracle Solaris 11 Network, наприклад ім 'я sales0 або назва marketing1.

Імена працюють разом з VLAN ID. У локальній мережі вони визначаються ідентифікатором, також відомим як тег VLAN, встановлений під час налаштування. Для підтримки VLAN у комутаторах необхідно призначити ідентифікатор для кожного порту, що збігається з інтерфейсом.


Топологія ЛВС

Технологія ЛЗС з вузлами дозволяє організувати системи локальної мережі в мережі VLAN. Щоб мати можливість розділити її, у користувача повинні бути вузли, сумісні з віртуальною технологією. Можна налаштувати всі порти на вузлі для передачі даних для однієї або декількох віртуальних мереж, залежно від їх конфігурації. Кожен виробник комутатора використовує різні процедури для налаштування портів.

Наприклад, якщо мережа має адресу підмережі 192.168.84.0, ця ЛЗС може підрозділюватися на три VLAN, які будуть відповідати трьом робочим групам:

  • Acctg0 с VLAN ID 789: облікова група. У ній є хости D і E.
  • Humres0 с VLAN ID 456: група кадрів. У ній є хости B і F.
  • Infotech0 с VLAN ID 123: група комп 'ютерів. У ній є хости A і C.

Можна налаштувати декілька віртуальних мереж на одному мережевому диску, такому як комутатор, об 'єднуючи VLAN і Oracle Solaris Zones з трьома фізичними мережевими картами net0, net1 і net2.

Без VLAN довелося б налаштовувати різні системи для виконання певних функцій і підключати їх до окремих мереж. За допомогою VLAN і зон можна згорнути вісім систем і налаштувати їх як зони в одній.

Ризики безпеки VoIP

Зберігання даних і трафіку VoIP в окремих VLAN, безумовно, є хорошою практикою безпеки, але часом це легше сказати, ніж зробити. Якщо для відокремлення VoIP від трафіку даних на одній робочій станції потрібні додатковий мережевий адаптер і порт комутатора, реалізувати цю ідею в бізнес-середовищі буде складно.


Деякі IP-телефони мають програмовані первинні і вторинні порти Ethernet для телефону і настільного комп 'ютера, тобто кабель, призначений для ПК.

Комутатор, який підтримує цю модель, повинен мати можливість VLAN. Щоб мати доступ до уніфікованих комунікацій або дозволити настільним комп 'ютерам або серверам взаємодіяти з телефонною мережею, повинна виконуватися маршрутизація між VLAN і потрібен міжмережевий екран (firewall).

Якщо в мережі відсутній якийсь з перерахованих вище елементів, то нема чого використовувати IP-телефони. Без додаткової мережевої карти і порту комутатора немає сенсу навіть намагатися їх розгортати.

Розміщення даних в VLAN-1 і голосовому зв 'язку в VLAN-2 в якості базового прикладу дозволить підвищити загальну продуктивність мережі, оскільки вона ізолює широкомовний трафік на боці даних до VLAN і те ж саме для голосу. Таким чином, для того щоб отримати безпечне і економічно виправдане VoIP-рішення, знадобляться наступні основні елементи:

  • брандмауер (firewall);
  • роутер;
  • керовані комутатори.

Привілеї інтеграції

Після інтеграції ОС в локальну мережу можна використовувати віртуалізовану операційну систему, як якщо б це була фізична машина, інтегрована в мережу. Це дасть переваги в роботі:

  1. У разі нестачі обладнання можна використовувати віртуальну машину як сервер і налаштувати тип, наприклад DNS-сервер, веб-сервер, NFS-сервер, поштовий сервер, SSH-сервер і VPN-сервер.
  2. Користувач матиме можливість змоделювати невелику локальну мережу з кількома командами для виконання всіляких тестів.
  3. Можна легко обмінюватися інформацією між віртуалізованою ОС та операційною системою вузла, без необхідності мати спільну теку, запропоновану Virtualbox.
  4. Можна використовувати віртуальну машину для встановлення SSH-тунелю і таким чином шифрувати весь трафік, що генерується комп 'ютером.

Інтеграція ВМ в локальну мережу надзвичайно проста. Перед тим як створити віртуальну локальну мережу, встановлюють операційну систему на віртуальній машині Virtualbox, вона може бути будь-якою відомою ОС. Добре зарекомендувала в роботі з ВМ Xubuntu 12.10.

Послідовність інтеграції:

  1. Вибирають Xubuntu 12.10 і натискають на піктограму налаштувань.
  2. Опинившись всередині вікна, вибирають опцію мережі.
  3. Після вибору переконуються, що активована опція, щоб включити мережевий адаптер.
  4. Змінюють параметр у NAT до мосту адаптера.
  5. Перед тим як підключити віртуальну машину до локальної мережі, визначають параметр Name.
  6. Поле Name пропонує параметри wlan0 і eth0. Якщо з 'єднання через Wi-Fi, вибирають параметр wlan0 і натискають на кнопку, щоб прийняти зміни.
  7. Для кабельного з 'єднання зовні доведеться вибирати опцію eth0 і прийняти зміни.

Після виконання згаданих кроків інтеграція віртуальної машини в локальну буде завершена.

Для того щоб переконатися, що ВМ працює, відкривають термінал і набирають: sudo apt-get to establish nmap для встановлення пакунка nmap.

Потім перевіряють IP, який є у системи через термінал, і команду Ifconfig.

При цьому користувач повинен бути впевненим, що віртуальна машина інтегрована в локальну мережу, оскільки за замовчуванням Virtualbox призначає IP типу 10.0.2.x/24.

Далі перевіряють обладнання на віртуальній машині. Для цього відкривають термінал і використовують nmap: sudo nmap 192.1хх.1.1/24.

У цьому випадку команда може відрізнятися залежно від маски підмережі. Після набору nmap прописують порт входу маршрутизатора (192.1хх.1.1) плюс один і, нарешті, поміщають маску підмережі в канонічну форму. Що стосується безпеки, слід мати на увазі, що пристрої, що належать VLAN, не мають доступу до елементів, виявлених в інших мережах, і навпаки.

З того, що було сказано раніше, робиться простий висновок про те, для чого створюються віртуальні локальні мережі VLAN: керування стає набагато простішим, оскільки пристрої розділені на класи, навіть якщо вони належать одній і тій же мережі. VLAN може класифікувати багато широкомовних доменів за кількістю логічних підмереж і забезпечують угруповання кінцевих станцій, які фізично розосереджені в мережі.