Виртуална LAN: какво представлява и защо е необходима?

Съдържание

Еволюция на дизайна на VLAN
Видове конфигурация
Архитектура на LAN
Плоска структура
Асиметрична VLAN
Изпълнение: Общо описание
Правила за приемливо име
Топология на VLAN
Рискове за сигурността на VoIP
Ползите от интеграцията

Виртуалната LAN е логическа, независима структура, разположена в една и съща физическа мрежа. Един потребител може да има няколко VLAN в един маршрутизатор или комутатор. Всяка от тези мрежи обединява екипите на определен сегмент, което има ясни предимства по отношение на управлението и сигурността.

Еволюция на дизайна на VLAN

Еволюция на дизайна на виртуалната мрежа

Организациите, които се нуждаят от модернизиране на своята наследена мрежа, могат да внедрят архитектура на WLAN, управлявана от локални контролери, или архитектура с контролери, хоствани в облака. И двете предлагат значителни предимства. Определянето на най-подходящото изпълнение зависи от няколко фактора, включително структурата на компанията, текущия дизайн на мрежата и изискванията.

При първоначалното разгръщане на корпоративните WLAN мрежи всяка точка за достъп се конфигурира и управлява независимо от останалите в същата мрежа. По онова време това не беше проблем, тъй като повечето компании определяха специални зони за точки за безжичен достъп. Обикновено това са конферентни зали, фоайета и открити пространства - всяко място с голям брой потребители и множество кабелни портове.

С нарастването на търсенето на Wi-Fi в предприятията нарасна и инфраструктурата, необходими за предоставянето му. Мрежовите администратори трябваше да управляват стотици, ако не и хиляди точки за достъп. Технически проблеми, като например съпътстващи канални смущения, регулиране на мощността и роуминг на клиенти, направиха много мрежи нестабилни и непредсказуеми.

Необходимо е да се създаде VLAN, в която доставчиците да поставят контролери, за да върнат данните обратно. Те се превърнаха в единствена точка на прекъсване за конфигуриране на точките за достъп, комуникацията и прилаганите политики. AP губят своята идентичност и контролерът се превръща в "мозъка" на цялата WLAN.

Видове конфигурация

Различават се шест вида VLAN. Повечето потребители обаче използват само три: ниво на порт, MAC и приложение. Портът, или по-скоро неговото превключване в менюто за конфигуриране на маршрутизатора, е най-често срещаните.

Всеки порт е присвоен на VLAN и потребителите, свързани към този порт, се виждат помежду си вътрешно. Съседните VLAN са недостъпни за тях. Единственият недостатък на модела е, че той не отчита динамиката при определяне на местоположението на потребителите и ако те променят физическото си местоположение, програмата VLAN трябва да бъде преконфигурирана.

MAC вместо на ниво порт дестинацията е на ниво MAC адрес на устройството. Предимството му е, че осигурява мобилност, без да е необходимо да се правят промени в конфигурацията на комутатора или маршрутизатора. Проблемът изглежда разбираем, но добавянето на всички потребители може да бъде досадно.

Приложения - софтуер VLAN, при който мрежите се разпределят в зависимост от използвания софтуер, като се прилагат няколко фактора, като например време, MAC адрес или подмрежа, за да се направи разграничение между SSH, FTP, Samba или SMTP.

Архитектура на LAN

Безжичните локални мрежи, управлявани от облака, зависят от качеството на интернет и могат да откажат, ако връзката е ненадеждна. Контролерът на облака често изпълнява други безжични услуги, като например подготовка на протокола за динамична конфигурация на хоста и удостоверяване.

Използването на локална мрежа между виртуалните машини създава допълнителни разходи за интернет трафик. Ето защо, ако свързаността се използва интензивно, ненадеждно или има проблеми с латентността, най-добре е да се следва локален подход за контрол на тези функции.

В повечето случаи контролерите предлагат много по-голяма гъвкавост, когато става въпрос за проектиране и внедряване на WLAN. Това включва подобрена поддръжка на по-стари Wi-Fi устройства и приложения, както и по-подробен контрол върху определени параметри на конфигурацията на VLAN. За предприятия, които използват хиляди точки за достъп, няколко локални контролера могат да работят заедно, за да осигурят надежден достъп до мрежата и отказ на клиентите.

Плоска структура

Виртуална машина от слой 2 Дизайнът на локалната мрежа с набиране наподобява плоска мрежа. Всяко устройство в мрежата може да види предаването на всеки излъчен пакет, дори ако не е необходимо да получава данни. Маршрутизаторите позволяват такова разпределение в рамките на изходната мрежа, само когато тя се превключва на живо във всеки отсек или сегмент. Нарича се плоска мрежа не заради дизайна си, а защото има един-единствен домейн за излъчване. Такова излъчване се изпраща от хоста до всички портове на комутатора, като се оставя този, който е получен първи.

Така, най-големият Предимството на комутируемата мрежа е, че тя създава отделен сегмент или част от конфликтния домейн за всяко конкретно оборудване, свързано към комутатора. В резултат на това тя може да се събират по-големи мрежи и не е необходимо да се инсталира дълъг Ethernet.

Сигурността може да бъде проблем в типичната комутируема мрежа, тъй като устройствата са видими за всички акаунти. Друг недостатък е, че не е възможно да се спре излъчването и реакциите на потребителите към него. За съжаление, възможностите за сигурност са ограничени, когато става въпрос за намиране на пароли на различни сървъри и други устройства.

Асиметрична VLAN

Асиметричните VLAN ви позволяват да сегментирате мрежата си, като сигурно и ефективно разделяте трафика между тях, като същевременно намалявате размера на домейните за излъчване и съответно мрежовия трафик. Обикновено използването на VLAN е насочено към големи мрежи, използващи управляеми комутатори, които са мощни и скъпи проекти.

Такива проекти могат могат да бъдат полезни В малки и средни мрежови среди. От съображения за сигурност е важно мрежата да бъде разделена на две напълно независими мрежи, които могат да поддържат достъп до споделени ресурси. Общото решение е да се използва комутатор с контрол на достъпа между VLAN. По-конкретен поглед към приложението на D-Link Smart Series. Тези интелигентни комутатори се управляват чрез уеб-базиран интерфейс и имат по-ниска цена.

По-специално, можете да използвате функционалността на асиметричната VLAN в комутатора D-Link DGS-1210-24. Това ще раздели мрежата на независими VLAN, но в същото време ще поддържа обща връзка, до която могат да имат достъп машини от други VLAN.

В този случай компютрите, присвоени към VLAN, ще бъдат невидими, но всички те ще имат достъп до интернет или до ресурси, разположени в споделени портове. Очевидно в този случай всички компютри ще бъдат в една и съща IP подмрежа. Можете да разширите тази процедура до корпоративна Wi-Fi мрежа, например за създаване на мрежа за гости, която ще има достъп до интернет.

Изпълнение: Общо описание

VLAN е подразделение в слоя за връзка с данни на стека от протоколи. Можете да го създадете за локални мрежи (LAN), които използват възлова технология. Присвояването на потребителски групи подобрява управлението и сигурността на мрежата. Можете също така да назначите интерфейси от една и съща система към различни VLAN.

Препоръчително е да разделите локалната мрежа на VLAN, ако трябва да се направи следното:

Създаване на VLAN чрез логическо разделяне на работни групи, например когато всички хостове на етажа на сградата са свързани чрез LAN към възли.
Присвояване на различни политики за сигурност за работни групи, напр. финансови и ИТ. Ако системи от двата отдела използват една и съща линия, можете да създадете отделна VLAN за всеки отдел. След това задайте съответната политика за сигурност на всеки.
Разделяне на работните групи на управлявани домейни за разпространение.

Използването на VLAN намалява размера на домейните на издаване и подобрява ефективността на мрежата.

Правила за приемливо име

VLANs да покажете ползата от използването на общи или потребителски имена. Предишните версии на VLAN се идентифицираха чрез физическа точка на свързване (PPA), която изискваше комбинация от хардуерно име и идентификатор на връзката за данни при създаване на VLAN през интернет.

При по-модерни устройства, като Oracle Solaris 11, може да се избере по-значимо име за идентифициране на. Името трябва да съответства на реда на именуване на пътя на данните, зададен в правила за разрешените имена в мрежата на Oracle Solaris 11, например името sales0 или името marketing1.

Имената работят в комбинация с идентификатора на VLAN. В локална мрежа те се определят от идентификатор, известен също като VLAN таг, зададен по време на конфигурирането. За да поддържате VLAN в комутаторите, трябва да зададете идентификатор за всеки портът, който съответства на интерфейса.

Топология на VLAN

Технологията LAN с възли ви позволява да организирате вашите LAN системи във VLAN. За да може да я споделя, потребителят трябва да разполага с възли, които са съвместими с технологията VLAN. Всички портове на възела могат да бъдат конфигурирани за една или повече виртуални мрежи, в зависимост от конфигурацията. Всеки производител на комутатори използва различни процедури за конфигуриране на портовете.

Например, ако дадена мрежа има адрес на подмрежа 192.168.84.0, тази VLAN може да бъде разделена на три VLAN, които ще съответстват на три работни групи:

Acctg0 с VLAN ID 789: група акаунти. Той има хостове D и E.
Humres0 с VLAN ID 456: група от кадри. Той разполага с хостове B и F.
Infotech0 с VLAN ID 123: компютърна група. Той има хостове A и C.

Можете да настроите няколко виртуални мрежи на едно мрежово устройство, например комутатор, като комбинирате VLAN и Oracle Solaris Zones с три физически мрежови карти net0, net1 и net2.

Без VLAN ще трябва да конфигурирате различни системи за изпълнение на определени функции и да ги свържете към отделни мрежи. С помощта на VLAN и зони можете да обедините осем системи и да ги конфигурирате като зони в една.

Рискове за сигурността на VoIP

Поддържането на трафика на данни и VoIP в отделни VLAN определено е добра практика за сигурност, но понякога е по-лесно да се каже, отколкото да се направи. Ако отделянето на VoIP от трафика на данни на една работна станция изисква допълнителна мрежова карта и порт на комутатора, прилагането на тази идея в бизнес среда ще бъде трудно.

Някои IP телефони имат програмируеми първични и вторични Ethernet портове за телефона и настолен компютър, т.е. кабел, предназначен за персонални компютри.

Комутаторът, който поддържа този модел, трябва да има възможност за VLAN. За да имате достъп до обединени комуникации или да позволите настолни компютри или Сървърите трябва да могат да комуникират с телефонната мрежа, трябва да има маршрутизация между VLAN и е необходима защитна стена.

Ако някой от горните елементи липсва във вашата мрежа, няма да е необходимо да използвате IP телефони. Без допълнителна мрежова карта и комутационен порт няма смисъл да се опитвате да ги внедрявате.

Поставянето на данни във VLAN-1 и на глас във VLAN-2, като основен пример, ще подобри цялостната производителност на мрежата, тъй като изолира излъчвания трафик от страна на данните във VLAN, а същото важи и за гласа. Следователно, за да се създаде сигурно и рентабилно VoIP решение, ще са необходими следните основни елементи:

защитна стена;
маршрутизатор;
управляеми комутатори.

Ползите от интеграцията

След като операционната система е интегрирана в локалната мрежа, можете да използвате виртуализираната операционна система така, сякаш тя е физическа машина, интегрирана в мрежата. Това ще осигури оперативни предимства:

В случай на недостиг на хардуер виртуална машина може да се използва като сървър и да се конфигурира като DNS сървър, уеб сървър, NFS сървър, пощенски сървър, SSH сървър и VPN сървър.
Потребителят ще има възможност да симулира малка локална мрежа с няколко команди, за да извършва всякакви тестове.
Информацията може лесно да се обменя между виртуализираната операционна система и операционна система Host, без да е необходимо да използвате споделена папка, предлагана от Virtualbox.
Можете да използвате виртуална машина, за да инсталирате SSH тунел и по този начин да криптирате целия трафик, генериран от компютъра.

Интегрирането на виртуалните машини в локалната мрежа е изключително лесно. Преди да създадете VLAN, инсталирайте операционната система на виртуалната машина на Virtualbox, като това може да бъде всяка известна операционна система. Добре доказано с Xubuntu 12 VMs.10.

Последователност на интегриране:

Изберете Xubuntu 12.10 и щракнете върху иконата за конфигуриране.
След като влезете в прозореца, изберете опцията за мрежа.
След като направите избора, се уверете, че опцията за активиране на мрежовия адаптер е активна.
Променете параметъра в адаптера NAT към мост.
Преди да свържете виртуалната машина към локалната мрежа, дефинирайте опцията Name.
Полето Name предлага опциите wlan0 и eth0. Ако се свързват чрез Wi-Fi, те избират wlan0 и щракват върху бутона за прилагане на промените.
За кабелна връзка с външната мрежа трябва да изберете eth0 и да приемете промените.

След извършване на горните стъпки интеграцията на виртуалната машина в локалната мрежа е завършена.

За да се уверите, че виртуалната машина работи, отворете терминал и въведете: sudo apt-get to establish nmap to install the nmap package.

След това проверете IP адреса на системата чрез терминала и командата Ifconfig.

Когато прави това, потребителят трябва да се увери, че виртуалната машина е интегрирана в локалната мрежа, тъй като Virtualbox по подразбиране задава IP адрес от тип 10.0.2.x/24.

След това проверете хардуера на виртуалната машина. За да направите това, отворете терминал и използвайте nmap: sudo nmap 192.1x.1.1/24.

В този случай командата може да варира в зависимост от маската на подмрежата. След като въведете nmap, изпишете входния порт на маршрутизатора (192.1x.1.1) плюс едно и накрая поставете маската на подмрежата в канонична форма. По отношение на сигурността трябва да се направи следното имайте предвид, че устройствата, принадлежащи към VLAN, нямат достъп до елементи, намиращи се в други мрежи, и обратното.

От казаното дотук може да се направи прост извод за причините за създаването на VLAN: управлението става много по-лесно, тъй като устройствата се разделят на класове, дори ако принадлежат към една и съща мрежа. VLAN могат да класифицират много излъчващи домейни по броя на логическите подмрежи и да осигурят групиране на крайни точки, които са физически разпръснати в мрежата.