Віртуальна локальна мережа — логічна незалежна структура, що знаходиться в одній фізичній мережі. Користувач може мати кілька VLAN в одному маршрутизаторі або комутаторі. Кожна з цих мереж об’єднує команди певного сегмента, що має явні переваги, коли мова йде про управління і безпеки.
Еволюція дизайну віртуальної мережі
Організації, яким потрібно оновити свою застарілу мережу, можуть реалізувати архітектуру WLAN, керовану локальними контролерами, або архітектуру з контролерами, розташованими в хмарі. Обидва варіанти пропонують значні переваги. Визначення того, яка реалізація буде працювати краще, залежить від декількох факторів, включаючи структуру компанії, поточний дизайн мережі і пропонованих вимог.
Коли корпоративні мережі WLAN були розгорнуті спочатку, кожна точка доступу була налаштована і управлялася незалежно від інших у тій же мережі. У той час це не було проблемою, тому що більшість компаній визначали спеціальні зони для бездротових точок доступу. Зазвичай це були конференц-зали, вестибюлі та відкриті майданчики — будь-яке місце з великою кількістю користувачів і кількома провідними портами.
У міру зростання попиту на Wi-Fi на підприємстві зростала інфраструктура, необхідна для його надання. Мережевим адміністраторам доводилося керувати сотнями, а то й тисячами точок доступу. Технічні проблеми, такі як перешкоди в суміщеному каналі, регулювання потужності і роумінг клієнтів, зробили багато мережі нестабільними та непередбачуваними.
Знадобилося створення віртуальної локальної мережі, в якій постачальники розміщували контролери, щоб примусово повертати дані назад. Вони стали єдиним дросельним пунктом для конфігурації точки доступу, зв’язку і застосовуваної політики. Точки доступу втратили свою індивідуальність, а контролер став «мозком» для всієї WLAN.
Типи конфігурації
Можна виділити шість типів віртуальної локальної мережі. Тим не менш більшість користувачів використовують тільки три: рівень портів, MAC і додатки. Порт, точніше його комутація в меню конфігурації маршрутизаторів, є найбільш поширеним.
Кожен порт призначається віртуальної локальної мережі VLAN, а користувачі, підключені до порту, всередині бачать один одного. Сусідні віртуальні мережі для них недосяжні. Єдиним недоліком моделі є те, що вона не враховує динамізм при пошуку користувачів, і в разі, якщо вони змінюють фізичне місце розташування, програма віртуальної локальної мережі повинна бути перенастроєна.
MAC замість призначення на рівні порту знаходиться на рівні MAC-адреси пристрою. Перевага полягає в тому, що він забезпечує мобільність без необхідності вносити зміни в конфігурацію комутатора або маршрутизатора. Проблема здається цілком зрозумілою, але додавання всіх користувачів може бути виснажливим.
Програми – програми віртуальної локальної мережі, в них мережі призначаються в залежності від використовуваного ПЗ із застосуванням кілька факторів, таких як час, MAC-адреси або підмережі, що дозволяють розрізняти SSH, FTP, Samba або SMTP.
Архітектура LAN
Бездротові локальні мережі, керовані хмарою, залежать від якості інтернету, і можуть вийти з ладу, якщо підключення ненадійне. Хмарний контролер часто виконує інші бездротові послуги, такі як підготовка і аутентифікація протоколу динамічної конфігурації хоста.
Використання локальної мережі між віртуальними машинами створює додаткові накладні витрати на пропускну здатність інтернету. Тому, якщо підключення інтенсивно використовується, ненадійно або страждає від проблем із затримкою, краще дотримуватися локального підходу, який контролює ці функції.
У більшості ситуацій контролери пропонують набагато більшу гнучкість, коли мова йде про реальному проектуванні та розгортання мережі WLAN. Це включає в себе розширену підтримку застарілих пристроїв і додатків Wi-Fi і більш детальний контроль над певними параметрами налаштування віртуальної локальної мережі. Для підприємств, які використовують тисячі точок доступу, кілька локальних контролерів можуть працювати разом, щоб забезпечити надійний доступ до мережі та аварійне перемикання для клієнтів.
Плоска структура
Проект комутованій локальної мережі віртуальної машини другого рівня нагадує плоску мережу. Кожний пристрій у мережі може бачити передачу будь-якого широкомовного пакету, навіть якщо йому не потрібно отримувати дані. Маршрутизатори дозволяють таку розсилку лише в межах вихідної мережі, коли вона перемикає пряму трансляцію в кожному відсіку або сегменті. Це називається плоскою мережею не з-за її конструкції, а із-за того що вона має один широкомовний домен. Така розсилка хостом спрямовується на всі порти комутаторів, залишаючи той, який отримано спочатку.
Таким чином, найбільша перевага комутованої мережі рівня полягає в тому, що вона встановлює окремий сегмент або відсік домену конфлікту для кожного конкретного обладнання, підключеного до комутатора. В результаті можуть бути зібрані більш великі мережі, і відсутня необхідність встановлювати тривалий Ethernet.
Безпека може стати проблемою у типовій комутованій міжмережевий мережі, оскільки пристрої будуть видні всім акаунтів. Ще одним недоліком є те, що неможливо зупинити трансляцію і реакцію користувачів на неї. На жаль, вибір безпеки обмежений, коли йдеться про розміщення паролів на різних серверах і інших пристроях.
Асиметрична VLAN
Асиметричні віртуальні локальні мережі VLAN дозволяють сегментувати мережа, безпечно і ефективно розділяючи трафік між ними, одночасно зменшуючи розмір широкомовних доменів і, отже, мережевий трафік. Зазвичай використання VLAN орієнтоване на великі мережі із застосуванням керованих комутаторів, які є потужними і дорогими проектами.
Такі конструкції можуть бути корисні в малих і середніх мережевих середовищах. З міркувань безпеки важливо розділити мережу на дві абсолютно незалежні, які можуть підтримувати доступ до загальних ресурсів. Звичайне рішення полягає в тому, щоб використовувати комутатор з керуванням доступом між VLAN. Більш предметно можна розглянути застосування D-Link серії Smart. Ці інтелектуальні комутатори управляються через веб-інтерфейс і мають більш низьку ціну.
Зокрема, можна використовувати функціональні можливості асиметричної VLAN в комутаторі D-Link DGS-1210-24. Це дозволить розділити мережу на незалежні VLAN, але в той же час підтримувати загальну лінію, до якої можуть звертатися машини з інших віртуальних мереж.
При цьому комп’ютери, призначені VLAN, невидимі, але всі вони отримають доступ до Інтернету або до ресурсів, розташованим в загальних портах. Очевидно, що в цьому випадку всі ПК будуть знаходитися в одній IP-підмережі. Можна поширити цю процедуру на корпоративну мережу Wi-Fi, наприклад, щоб створити гостьову мережу, яка буде мати доступ до Інтернету.
Реалізація: загальний опис
Віртуальна локальна мережа є підрозділом в канальному рівні стека протоколів. Можна створювати її для локальних мереж (LAN), які використовують технологію вузлів. Призначаючи групи користувачів, покращують управління і безпеку мережі. І також можна призначити інтерфейси з однієї і тієї ж системи різних VLAN.
Рекомендується розділити локальну мережу на VLAN, якщо необхідно зробити наступне:
Використання VLAN зменшує розмір видають доменів і підвищує ефективність мережі.
Правила допустимих імен
Мережі VLAN демонструють перевагу вживання загальних або користувальницьких імен. Попередні версії VLAN ідентифікувалися з допомогою фізичної точки приєднання (PPA), яка вимагала поєднання апаратного імені каналу передачі даних і ідентифікатора при створенні віртуальної локальної мережі через інтернет.
У більш сучасних пристроях, наприклад Oracle Solaris 11, можна вибрати більш значуще ім’я для ідентифікації. Ім’я повинно відповідати порядку іменування каналів даних, наведених в правилах для допустимих імен в Oracle Solaris 11 Network, наприклад ім’я sales0 або назва marketing1.
Імена працюють разом з VLAN ID. В локальній мережі вони визначаються ідентифікатором, також відомим як тег VLAN, що встановлюється під час налаштування. Для підтримки VLAN в комутаторах необхідно призначити ідентифікатор для кожного порту, що збігається з інтерфейсом.
Топологія ЛОМ
Технологія ЛВС з вузлами дозволяє організувати системи локальної мережі в мережі VLAN. Щоб мати можливість розділити її, у користувача повинні бути вузли, сумісні з віртуальної технологією. Можна налаштувати всі порти на сайті для передачі даних для однієї або декількох віртуальних мереж, в залежності від їх конфігурації. Кожен виробник комутатора використовують різні процедури для налаштування портів.
Наприклад, якщо мережа має адресу підмережі 192.168.84.0, ця ЛВС може підрозділяється на три VLAN, які будуть відповідати трьом робочим групам:
- Acctg0 з VLAN ID 789: облікова група. У ній є хости D і E.
- Humres0 з VLAN ID 456: група кадрів. У ній є хости B і F.
- Infotech0 з VLAN ID 123: група комп’ютерів. У ній є хости A і C.
Можна налаштувати декілька віртуальних мереж на одному мережному диску, такому як комутатор, об’єднуючи VLAN і Oracle Solaris Zones з трьома фізичними мережевими картами net0, net1 і net2.
Без VLAN довелося б налаштовувати різні системи для виконання певних функцій і підключати їх до окремих мереж. За допомогою VLAN і зон можна згорнути вісім систем і налаштувати їх як зони в одній.
Ризики безпеки VoIP
Зберігання даних і трафіку VoIP в окремих VLAN, безумовно, є гарною практикою безпеки, але деколи це легше сказати, ніж зробити. Якщо для відділення VoIP від трафіку даних на одній робочій станції потрібні додатковий мережевий адаптер і порт комутатора, реалізувати цю ідею в бізнес-середовищі буде складно.
Деякі IP-телефони мають програмовані первинні і вторинні порти Ethernet для телефону і настільного комп’ютера, тобто кабель, призначений для ПК.
Комутатор, який підтримує цю модель, повинен володіти можливістю VLAN. Щоб мати доступ до уніфікованих комунікацій або дозволити настільних комп’ютерів або серверів взаємодіяти з телефонною мережею, повинна виконуватися маршрутизація між VLAN і потрібно міжмережевий екран (firewall).
Якщо в мережі відсутній якийсь з перерахованих елементів, то нема чого використовувати IP-телефони. Без додаткової мережевої карти і порту комутатора немає сенсу навіть намагатися їх розгортати.
Розміщення даних в VLAN-1 і голосового зв’язку в VLAN-2 в якості базового прикладу дозволить підвищити загальну продуктивність мережі, оскільки вона ізолює широкомовний трафік на стороні даних до VLAN і те ж саме для голосу. Таким чином, для того щоб отримати безпечне та економічно виправдане VoIP-рішення, знадобляться наступні основні елементи:
- брандмауер (firewall);
- роутер;
- керовані комутатори.
Переваги інтеграції
Після інтеграції ОС в локальну мережу можна використовувати віртуалізоване операційну систему, як якщо б це була фізична машина, інтегрована в мережу. Це дасть переваги в роботі:
Інтеграція ВМ в локальну мережу надзвичайно проста. Перед тим як створити віртуальну локальну мережу, установлюють операційну систему на віртуальній машині Virtualbox, вона може бути будь-якої відомої ОС. Добре зарекомендувала в роботі з ВМ Xubuntu 12.10.
Послідовність інтеграції:
Після виконання згаданих кроків інтеграція віртуальної машини в локальну мережа буде завершена.
Для того щоб переконатися, що ВМ працює, відкривають термінал і набирають: sudo apt-get to establish nmap для установки пакета nmap.
Потім перевіряють IP, який є у системи через термінал, і команду Ifconfig.
При цьому користувач повинен бути впевненим, що віртуальна машина інтегрована в локальну мережу, оскільки за замовчуванням Virtualbox призначає IP типу 10.0.2.x/24.
Далі перевіряють обладнання на віртуальній машині. Для цього відкривають термінал і використовують nmap: sudo nmap 192.1 хх.1.1/24.
У цьому випадку команда може відрізнятися в залежності від маски підмережі. Після набору nmap прописують порт входу маршрутизатора (192.1 хх.1.1) плюс один і, нарешті, поміщають маску підмережі в канонічну форму. Що стосується безпеки, слід мати на увазі, що пристрої, що належать VLAN, не мають доступу до елементів, виявлених в інших мережах, і навпаки.
З того, що було сказано раніше, робиться простий висновок про те, для чого створюються віртуальні локальні мережі VLAN: управління стає набагато простіше, так як пристрої розділені на класи, навіть якщо вони належать одній і тій же мережі. VLAN може класифікувати багато широкомовні домени за кількістю логічних підмереж і забезпечують угруповання кінцевих станцій, які фізично розосереджені в мережі.
