Віртуальна локальна мережа: що це таке і навіщо вона потрібна?

Зміст

Еволюція дизайну віртуальної мережі
Типи конфігурації
Архітектура LAN
Плоска структура
Асиметрична VLAN
Реалізація: загальний опис
Правила допустимих імен
Топологія ЛВС
Ризики безпеки VoIP
Переваги інтеграції

Віртуальна локальна мережа-логічна незалежна структура, що знаходиться в одній фізичній мережі. Користувач може мати кілька VLAN в одному маршрутизаторі або комутаторі. Кожна з цих мереж об`єднує команди певного сегмента, що має явні переваги, коли мова йде про управління та безпеку.

Еволюція дизайну віртуальної мережі

Організації, яким потрібно оновити свою застарілу мережу, можуть реалізувати архітектуру WLAN, керовану локальними контролерами, або архітектуру з контролерами, розташованими в хмарі. Обидва варіанти пропонують значні переваги. Визначення того, яка реалізація буде працювати краще, залежить від кількох факторів, включаючи структуру компанії, поточний дизайн мережі та вимоги, що висуваються.

Коли корпоративні WLAN були розгорнуті спочатку, кожна точка доступу була налаштована і управлялася незалежно від інших в тій же мережі. На той час це не було проблемою, оскільки більшість компаній визначали спеціальні зони для бездротових точок доступу. Зазвичай це були конференц-зали, вестибюлі та відкриті майданчики - будь-яке місце з великою кількістю користувачів та кількома дротовими портами.

У міру зростання попиту на Wi-Fi на підприємстві зростала інфраструктура, необхідна для його надання. Адміністраторам мережі довелося керувати сотнями, а то й тисячами точок доступу. Технічні проблеми, такі як перешкоди спільного каналу, регулювання потужності та роумінг клієнтів, зробили багато мереж нестабільними та непередбачуваними.

Потрібно було створити віртуальну локальну мережу, в якій постачальники розміщували контролери, щоб примусово повертати дані назад. Вони стали єдиним дросельним пунктом для конфігурації точки доступу, зв`язку і застосовуваної політики. Точки доступу втратили свою індивідуальність, а контролер став "мозком" для всієї WLAN.

Типи конфігурації

Можна виділити шість типів віртуальної локальної мережі. Проте більшість користувачів використовує тільки три: рівень портів, MAC і додатки. Порт, точніше його комутація в меню конфігурації маршрутизаторів, є найбільш поширеним.

Кожен порт призначається віртуальною локальною мережею VLAN, а користувачі, підключені до цього порту, всередині бачать один одного. Сусідні віртуальні мережі для них недосяжні. Єдиним недоліком моделі є те, що вона не враховує динамізм при пошуку користувачів, і в разі, якщо вони змінюють фізичне місце розташування, програма віртуальної локальної мережі повинна бути переналаштована.

MAC замість призначення на рівні порту знаходиться на рівні MAC-адреси пристрою. Перевага полягає в тому, що він забезпечує мобільність без необхідності вносити зміни в конфігурацію комутатора або маршрутизатора. Проблема здається цілком зрозумілою, але додавання всіх користувачів може бути нудним.

Додатки - програми віртуальної локальної мережі, в них мережі призначаються в залежності від використовуваного ПЗ із застосуванням кілька факторів, таких як час, MAC-адреса або підмережа, що дозволяють розрізняти SSH, FTP, Samba або SMTP.

Архітектура LAN

Бездротові локальні мережі, керовані хмарою, залежать від якості Інтернету, і можуть вийти з ладу, якщо підключення ненадійне. Хмарний контролер часто виконує інші бездротові послуги, такі як підготовка та автентифікація протоколу динамічної конфігурації хоста.

Використання локальної мережі між віртуальними машинами створює додаткові накладні витрати на пропускну здатність Інтернету. Тому, якщо підключення інтенсивно використовується, ненадійне або страждає від проблем із затримкою, краще дотримуватися локального підходу, який контролює ці функції.

У більшості ситуацій контролери пропонують набагато більшу гнучкість, коли мова йде про фактичне проектування та розгортання WLAN. Це включає в себе розширену підтримку застарілих пристроїв і додатків Wi-Fi і більш детальний контроль над певними параметрами настройки віртуальної локальної мережі. Для підприємств, які використовують тисячі точок доступу, кілька локальних контролерів можуть працювати разом, щоб забезпечити надійний доступ до мережі та аварійне перемикання для клієнтів.

Плоска структура

Проект комутованої локальної мережі віртуальної машини другого рівня нагадує плоску мережу. Кожен пристрій у мережі може бачити передачу будь-якого широкомовного пакету, навіть якщо йому не потрібно отримувати дані. Маршрутизатори дозволяють таку розсилку тільки в межах вихідної мережі, коли вона перемикає пряму трансляцію в кожному відсіку або сегменті. Це називається плоскою мережею не через її конструкції, а через те що вона має один широкомовний домен. Подібна розсилка хостом направляється на всі порти комутаторів, залишаючи той, який отриманий спочатку.

Таким чином, найбільше перевага комутованої мережі рівня полягає в тому, що вона встановлює окремий сегмент або відсік домену конфлікту для кожного конкретного обладнання, підключеного до комутатора. В результаті можуть бути зібрані більші мережі, і відсутня необхідність встановлювати тривалий Ethernet.

Безпека може стати проблемою в типовій комутованої міжмережевої мережі, оскільки пристрої будуть видні всім акаунтам. Ще одним недоліком є те, що неможливо зупинити трансляцію і реакцію користувачів на неї. На жаль, вибір безпеки обмежений, коли мова йде про розміщення паролів на різних серверах та інших пристроях.

Асиметрична VLAN

Асиметричні VLAN VLAN дозволяють сегментувати мережу, безпечно та ефективно розподіляючи трафік між ними, одночасно зменшуючи розмір широкомовних доменів і, отже, мережевий трафік. Зазвичай використання VLAN орієнтоване на великі мережі із застосуванням керованих комутаторів, які є потужними і дорогими проектами.

Такі конструкції можуть бути корисними у малих і середніх мережевих середовищах. З міркувань безпеки важливо розділити мережу на дві абсолютно незалежні, які можуть підтримувати доступ до спільних ресурсів. Звичайним рішенням є використання комутатора з контролем доступу між VLAN. Більш предметно можна розглянути застосування D-Link серії Smart. Ці інтелектуальні Комутатори управляються через веб-інтерфейс і мають нижчу ціну.

Зокрема, можна використовувати функціональні можливості асиметричної VLAN в комутаторі D-Link DGS-1210-24. Це дозволить розділити мережу в незалежні VLAN, але в той же час підтримувати спільну лінію, до якої можуть звертатися машини з інших віртуальних мереж.

При цьому комп`ютери, призначені VLAN, будуть невидимі, але всі вони отримають доступ до Інтернету або ресурсів, розташованим в загальних портах. Очевидно, що в цьому випадку всі ПК будуть знаходитися в одній підмережі IP. Можна поширити цю процедуру на корпоративну мережу Wi-Fi, наприклад щоб створити гостьову мережу, яка матиме доступ до Інтернету.

Реалізація: загальний опис

Віртуальна локальна мережа є підрозділом в канальному рівні стека протоколів. Можна створювати її для локальних мереж (LAN) , які використовують технологію вузлів. Призначаючи групи користувачів, покращують управління та безпеку мережі. І також можна призначити інтерфейси з однієї системи різним VLAN.

Рекомендується розділити локальну мережу на VLAN, якщо необхідно зробити наступне:

Реалізувати створення віртуальної локальної мережі через логічне розділення робочих груп, наприклад коли всі хости на поверсі будівлі пов`язані через LAN з вузлами.
Призначити різні політики безпеки для робочих груп, наприклад для фінансового відділу та ІТ-відділу. Якщо Системи обох відділів поділяють одну і ту ж лінію, можна створити окрему мережу VLAN для кожного відділу. Потім призначити відповідну політику безпеки для кожної.
Розділити робочі групи на керовані домени видачі.

Використання VLAN зменшує розмір видають доменів і підвищує ефективність мережі.

Правила допустимих імен

Мережі VLAN демонструють перевагу вживання Загальних або користувальницьких імен. Попередні версії VLAN ідентифікувалися за допомогою фізичної точки приєднання (PPA), яка вимагала поєднання апаратного імені каналу передачі даних і ідентифікатора при створенні віртуальної локальної мережі через Інтернет.

У більш сучасних пристроях, наприклад Oracle Solaris 11, можна вибрати більш значуще ім`я для ідентифікації. Ім`я повинно відповідати порядку іменування каналів даних, наведеним в правилах для допустимих Імен в Oracle Solaris 11 Network, наприклад ім`я sales0 або назва marketing1.

Імена працюють разом з VLAN ID. У локальній мережі вони визначаються ідентифікатором, також відомим як тег VLAN, встановлений під час налаштування. Для підтримки VLAN в комутаторах необхідно призначити ідентифікатор для кожного порту, що збігається з інтерфейсом.

Топологія ЛВС

Технологія лом з вузлами дозволяє організувати системи локальної мережі в мережі VLAN. Щоб мати можливість розділити її, користувач повинен мати вузли, сумісні з віртуальною технологією. Можна налаштувати всі порти на вузлі для передачі даних для однієї або декількох віртуальних мереж, в залежності від їх конфігурації. Кожен виробник комутатора використовує різні процедури для налаштування портів.

Наприклад, якщо мережа має адресу підмережі 192.168.84.0, ця ЛВС може підрозділяється на три VLAN, які будуть відповідати трьом робочим групам:

Acctg0 з VLAN ID 789: облікова група. У ній є хости D і E.
Humres0 з VLAN ID 456: група кадрів. У ній є хости B і F.
Infotech0 з VLAN ID 123: група комп`ютерів. У ній є хости A і C.

Можна налаштувати кілька віртуальних мереж на одному мережевому диску, такому як комутатор, поєднуючи VLAN і Oracle Solaris Zones з трьома фізичними мережевими картами net0, net1 і net2.

Без VLAN потрібно було б налаштувати різні системи для виконання певних функцій і підключити їх до окремих мереж. За допомогою VLAN і зон можна згорнути вісім систем і налаштувати їх як зони в одній.

Ризики безпеки VoIP

Зберігання даних і трафіку VoIP в окремих VLAN, безумовно, є хорошою практикою безпеки, але часом це легше сказати, ніж зробити. Якщо для відокремлення VoIP від трафіку даних на одній робочій станції потрібні додатковий мережевий адаптер і порт комутатора, реалізувати цю ідею в бізнес-середовищі буде складно.

Деякі IP-телефони мають програмовані первинні та вторинні Порти Ethernet для телефону і настільного комп`ютера, тобто кабель, призначений для ПК.

Комутатор, який підтримує цю модель, повинен мати можливість VLAN. Щоб мати доступ до уніфікованих комунікацій або дозволити настільним комп`ютерів або серверам взаємодіяти з телефонною мережею, повинна виконуватися маршрутизація між VLAN і буде потрібно міжмережевий екран (firewall).

Якщо в мережі відсутній якийсь із перерахованих вище елементів, то нема чого використовувати IP-телефони. Без додаткової мережевої карти і порту комутатора немає сенсу навіть намагатися їх розгортати.

Розміщення даних у VLAN - 1 та голосовий зв`язок у VLAN-2 як основний приклад дозволить підвищити загальну продуктивність мережі, оскільки вона ізолює трафік трансляції на стороні даних до VLAN і те саме для голосу. Таким чином, для того щоб отримати безпечне і економічно виправдане VoIP-рішення, знадобляться наступні основні елементи:

брандмауер (firewall);
роутер;
керовані комутатори.

Переваги інтеграції

Після інтеграції ОС в локальну мережу можна використовувати віртуалізовану операційну систему так, ніби це фізична машина, інтегрована в мережу. Це дасть переваги в роботі:

У разі нестачі обладнання можна використовувати віртуальну машину як сервер і налаштувати тип, наприклад DNS-сервер, веб-сервер, NFS-сервер, поштовий сервер, SSH-сервер і VPN-сервер.
Користувач матиме можливість змоделювати невелику локальну мережу з кількома командами для виконання всіляких тестів.
Можна легко обмінюватися інформацією між віртуалізованої ОС і операційна система хоста, без необхідності мати спільну папку, пропоновану Virtualbox.
Можна використовувати віртуальну машину для установки SSH-тунелю і таким чином шифрувати весь трафік, що генерується комп`ютером.

Інтеграція ВМ в локальну мережу надзвичайно проста. Перед тим як створити віртуальну локальну мережу, встановлюють операційну систему на віртуальній машині Virtualbox, вона може бути будь-якої відомої ОС. Добре зарекомендувала в роботі з ВМ Xubuntu 12.10.

Послідовність інтеграції:

Вибирають Xubuntu 12.10 і натискають на значок конфігурації.
Опинившись всередині вікна, вибирають опцію мережі.
Після вибору переконуються, що активована опція, щоб включити мережевий адаптер.
Змінюють параметр в NAT до мосту адаптера.
Перед тим як підключити віртуальну машину до локальної мережі, визначають опцію Name.
Поле Name пропонує варіанти wlan0 та eth0. Якщо з`єднання через Wi-Fi, вибирають опцію wlan0 і натискають на кнопку, щоб прийняти зміни.
Для кабельного з`єднання зовні доведеться вибирати опцію eth0 і прийняти зміни.

Після виконання згаданих кроків інтеграція віртуальної машини в локальну буде мережа завершена.

Для того щоб переконатися, що ВМ працює, відкривають термінал і набирають: sudo apt-get to establish nmap для установки пакета nmap.

Потім перевіряють IP, який є у системи через термінал, і команду Ifconfig.

При цьому користувач повинен бути впевненим, що віртуальна машина інтегрована в локальну мережу, оскільки за замовчуванням Virtualbox призначає IP типу 10.0.2.x/24.

Далі перевіряють обладнання на віртуальній машині. Для цього відкривають термінал і використовують nmap: sudo nmap 192.1хх.1.1/24.

У цьому випадку команда може відрізнятися залежно від маски підмережі. Після набору nmap прописують порт входу маршрутизатора (192.1хх.1.1) плюс один і, нарешті, поміщають маску підмережі в канонічну форму. Що стосується безпеки, слід збиратися, що пристрої, що належать VLAN, не мають доступу до елементів, знайдених в інших мережах, і навпаки.

З того, що було сказано раніше, робиться простий висновок про те, для чого створюються віртуальні локальні мережі VLAN: управління стає набагато простіше, так як пристрої розділені на класи, навіть якщо вони належать одній і тій же мережі. VLAN може класифікувати багато широкомовні домени за кількістю логічних підмереж і забезпечують угруповання кінцевих станцій, які фізично розосереджені в мережі.