Технология VLAN: разделяй и объединяй

Smart-Soft Team

05.06.2019

56772

Компания «Ромашки» из Иркутска открыла новое подразделение в Ангарске, где расположены несколько приоритетных клиентов. Начинающий системный администратор Роман взялся за голову: сеть компании состояла из нескольких изолированных сегментов, построенных на отдельных коммутаторах. В новом подразделении требовалось повторить такую же структуру, причём сделать так, чтобы, например, работники бухгалтерии в старом и новом офисе имели доступ к одним и тем же ресурсам и могли взаимодействовать друг с другом.

Приобретать для нового офиса такое же количество коммутаторов, как для главного, было нецелесообразно, поскольку там работало намного меньше сотрудников. Было непонятно, как объединять и разделять трафик от разных сегментов для передачи по WAN-каналу. И самое главное — казалось невозможным обеспечить изолированное взаимодействие пользователей в разных офисах.

Роман обратился за консультацией в компанию-интегратор и получил рекомендацию использовать технологию VLAN. Познакомившись с технологией, системный администратор понял, что это решит все его проблемы.

VLAN — это технология, которая позволяет строить виртуальные сети с независимой от физических устройств топологией. Например, можно объединить в одну сеть отдел компании, сотрудники которого работают в разных зданиях и подключены к разным коммутаторам. Или наоборот, создать отдельные сети для устройств, подключённых к одному коммутатору, если этого требует политика безопасности.

В этой публикации мы расскажем о принципах работы технологии, её возможностях и преимуществах, а также разберём типовые сценарии её применения.

Принципы работы VLAN

Компьютеры в локальной сети соединяются между собой с помощью сетевого оборудования — коммутаторов. По умолчанию все устройства, подключённые к портам одного коммутатора, могут взаимодействовать, обмениваясь сетевыми пакетами. Любой компьютер может направить широковещательный пакет, адресованный всем устройствам в этой сети, и все остальные компьютеры, подключённые к коммутатору, получат его. Все слышат всех.

Большое количество широковещательных пакетов, отправляемых устройствами, приводит к снижению производительности сети, поскольку вместо полезных операций коммутаторы заняты обработкой данных, адресованных сразу всем.

Чтобы снизить влияние широковещательных рассылок на производительность, сеть разделяют на изолированные сегменты. При этом каждый широковещательный пакет будет распространяться только в пределах сегмента, к которому подключен компьютер-отправитель.

Добиться такого результата можно, подключив разные сегменты к разным физическим коммутаторам, не соединённым между собой, либо соединить их через маршрутизаторы, которые не пропускают широковещательные рассылки.

На рисунке имеется четыре изолированных сегмента сети, каждый из которых подключён к отдельному физическому коммутатору. Взаимодействие между сегментами происходит через маршрутизаторы.

VLANы позволяют изолировать сегменты сети с помощью одного физического коммутатора. При этом функционально всё будет выглядеть полностью аналогично, но для каждого офиса используется один коммутатор с поддержкой VLAN.

В основе технологии VLAN лежит стандарт IEEE 802.1Q. Он позволяет добавлять в Ethernet-трафик информацию о принадлежности передаваемых данных к той или иной виртуальной сети — теги VLAN. С их помощью коммутаторы и маршрутизаторы могут выделить из общего потока передаваемых по сети кадров те, что относятся к конкретному сегменту.

Технология VLAN даёт возможность организовать функциональный эквивалент нескольких LAN-сетей без использования набора из коммутаторов и кабелей, которые понадобились бы для их реализации в физическом виде. Физическое сетевое оборудование заменяется виртуальным. Отсюда термин Virtual LAN.

Возможности VLAN

Используя виртуальные локальные сети, можно создавать конфигурации для решения различных задач:

Объединить в единую сеть группы компьютеров, подключённых к разным коммутаторам:

Компьютеры в VLAN 1 будут взаимодействовать между собой, хотя подключены к разным физическим коммутаторам, при этом сети VLAN 1 и VLAN 2 будут невидимы друг для друга.

Разделить на разные сети компьютеры, подключённые к одному коммутатору

При этом устройства в VLAN 1 и VLAN 2 не смогут взаимодействовать между собой.

Разделить гостевую и корпоративную беспроводную сеть компании:

Гости смогут подключаться к интернету, но не получат доступа к сети компании.

Обеспечить взаимодействие территориально распределённых отделов компании как единого целого:

Преимущества VLAN

Сокращение числа широковещательных запросов, которые снижают пропускную способность сети.
Повышение безопасности каждой виртуальной сети. Работники одного отдела офиса не смогут отслеживать трафик отделов, не входящих в их VLAN, и не получат доступ к их ресурсам.
Возможность разделять или объединять отделы или пользователей, территориально удаленных друг от друга. Это позволяет привлекать к рабочему процессу специалистов, не находящихся в здании офиса.
Создать новую виртуальную сеть можно без прокладки кабеля и покупки коммутатора.
Позволяет объединить в одну сеть компьютеры, подключенные к разным коммутаторам.
Упрощение сетевого администрирования. При переезде пользователя VLAN в другое помещение или здание сетевому администратору нет необходимости перекоммутировать кабели, достаточно со своего рабочего места перенастроить сетевое оборудование. А в случае использования динамических VLAN регистрация пользователя в «своём» VLAN на новом месте выполнится автоматически.

VLAN с Traffic Inspector Next Generation

Технология VLAN позволяет одному устройству Traffic Inspector Next Generation контролировать доступ в интернет для нескольких подразделений, причём для каждого сегмента можно установить свои правила взаимодействия с глобальной сетью.

На рисунке изображена сеть компании, подключенная к интернет через сервер Traffic Inspector Next Generation. Сеть организована на базе одного коммутатора, на котором создано два виртуальных сегмента — VLAN 2 и VLAN 6. В первом сегменте находятся компьютеры пользователей, во втором — серверы. Устройство Traffic Inspector Next Generation подключено к транковому порту коммутатора — специальному порту, который «слышит» пакеты от всех виртуальных сетей. Трафик, передаваемый или принимаемый на транковый порт, всегда образован тегированными кадрами.

Чтобы управлять работой двух виртуальных сетей на одном устройстве Traffic Inspector Next Generation, достаточно в настройках выполнить следующие операции:

1. Создать VLAN-интерфейсы (Интерфейсы → Другие типы → VLAN)

2. Добавить VLAN-интерфейсы в веб-интерфейс (Интерфейсы → Назначения портов, указать VLAN в поле «Новый интерфейс»)

3. Задать параметры TCP/IP для VLAN-интерфейсов (в разделе «Интерфейсы»)

4. Сохранить изменения.

Заключение

Использование VLAN не только упрощает жизнь системным администраторам, позволяя быстро вносить изменения в структуру сети, но и даёт организациям возможность экономить на сетевом оборудовании.

Администратор Роман, о котором шла речь в начале статьи, обошёлся без покупки дополнительного оборудования, настроив на коммутаторах VLAN для каждого отдела. Это позволило высвободить из старого офиса два коммутатора и использовать их для построения сети в новом офисе. Кроме того, благодаря VLAN решилась проблема с маршрутизацией трафика по WAN-каналу.