Содержание:
- Что такое VLAN
- Основы функционирования VLAN
- Преимущества VLAN
- Интеграция VLAN и Traffic Inspector Next Generation
- Заключение
Часто инфраструктуру компаний выстраивают в виде нескольких изолированных сегментов. Такая конструкция позволяет обеспечить наибольшую безопасность и исключить нежелательный обмен данных. Что делать, если необходимо добавить еще одно изолированное подразделение, но при этом наладить сетевое взаимодействие между ключевыми отделами? Как организовать документооборот и пользование единой базой данных? Можно установить дополнительный набор коммутаторов, но это слишком дорогостоящее решение при малом количестве сотрудников. Также достаточно трудно объединить и разделить идущий трафик от разных устройств. Поэтому гораздо проще и надежнее выглядит использование технологии VLAN.
Что такое VLAN
Иногда ситуация вынуждает развести большую сетевую инфраструктуру на несколько малых автономных подсетей. VLAN – это технология, которая дает возможность выстроить такую виртуальную сеть, которая будет независима от физических устройств. С ее помощью сотрудники, работающие в разных зданиях, могут подключаться к порту одного коммутатора или сразу к нескольким. По сути, это виртуальная локальная сеть, которая выглядит как группа хостов, взаимодействующих так, словно они подключены к широковещательному домену. VLAN обладает теми же свойствами, что и классическая физическая локальная сеть, но при этом дает возможность объединять устройства, не имея прямого физического доступа.
Основы функционирования VLAN
Элементы локальной сети объединяются при помощи сетевых коммутаторов. Как правило, все устройства, присоединенные к одному коммутатору, способны взаимодействовать друг с другом через обмен сетевыми пакетами. Любой компьютер в сети может отправить широковещательный пакет, который будет получен всеми устройствами в этой сети. Виртуальная сеть – это возможность слышать друг друга для участников сети. Однако избыток широковещательных пакетов, исходящих от различных устройств, может привести к ухудшению эффективности сети. Это происходит по причине того, что коммутаторы тратят время на обработку данных, направленных ко всем устройствам одновременно. Для уменьшения воздействия таких рассылок на производительность сети ее разбивают на изолированные сегменты. В этом случае каждый широковещательный пакет распространяется только в пределах своего сегмента.
Снизить общую нагрузку на производительность сети можно через присоединение различных сегментов к отдельным физическим коммутаторам, не связанным друг с другом. Также это можно сделать, объединив их через роутеры, которые не пропускают широковещательные рассылки. К примеру, можно взять 7 изолированных сегментов сети, каждый из которых связан с отдельным физическим коммутатором. После чего налаживается взаимодействие между ними через маршрутизаторы. Так сеть будет работать более надежно.
В отсутствие VLAN любая широковещательная рассылка, инициированная хостом A, будет проникать во все устройства в сети. Каждое устройство должно будет принимать и обрабатывать широковещательные кадры, что увеличивает нагрузку на ЦП каждого устройства и ставит под угрозу общую безопасность сети. Когда интерфейсы на обоих коммутаторах помещаются в отдельный виланный сегмент, широковещательная рассылка от хоста A будет достигать только устройств, присутствующих в одной и той же VLAN. Это связано с тем, что каждая VLAN представляет собой отдельный широковещательный домен. Хосты, расположенные в других сетях VLAN, не будут обращать внимания на произошедшую коммуникацию.
Преимущества VLAN
Возможности создания виртуальной сети, позволяют индивидуально настраивать конфигурацию сетевой инфраструктуры под конкретные нужды компании. С их помощью можно как объединять компьютеры в единые группы, так и, наоборот, разделять отделы друг от друга. Еще одно назначение виртуальной сети – отделять гостевой трафик от корпоративного, исключая нежелательный доступ к важным данным. То есть гости могут подключиться к интернету, но не иметь доступа к внутренней сети предприятия.
Плюсы сети VLAN:
- VLAN позволяет формировать сетевую конфигурацию, чья логическая архитектура в значительной степени независима от физической реальности. Иными словами, расположение элементов сети на канальном уровне не обусловлено географией их местоположения, не требует прокладывания кабеля и более гибко в возможностях установки;
- с помощью VLAN можно разделить один широковещательный домен на несколько. При этом широковещательный трафик одного домена не будет проникать в другой и обратно. Это ведет к уменьшению нагрузки на сетевые устройства, повышая их эффективность;
- VLAN обеспечивает дополнительную защиту сети и Windows от несанкционированного доступа. На канальном уровне кадры из других VLAN отсекаются коммутатором независимо от IP-адреса, использованного при инкапсуляции пакета;
- VLAN облегчает применение политик к группам устройств, находящихся внутри одной и той же VLAN. Это способствует эффективному управлению и поддержке сети;
- с использованием VLAN можно эффективно использовать виртуальные интерфейсы для маршрутизации, что позволяет расширить возможности сетевой инфраструктуры;
- VLAN существенно упрощает возможность масштабирования сети. Когда компания стремится к расширению и добавляет новые устройства, необходимы гибкие инструменты, которые позволят провести изменения в структуре с минимальными затратами. Виртуальные сети позволяют легко добавить новые элементы сети, что экономит время, деньги и прочие ресурсы.
Интеграция VLAN и Traffic Inspector Next Generation
Технологическое решение VLAN, воплощенное в устройстве Traffic Inspector Next Generation, открывает возможности управления доступом к интернету для различных подразделений. Это обеспечивает уникальный набор правил взаимодействия с глобальной сетью для каждого сегмента.
Разделение доступа на пользователей и группы позволяет применять индивидуальные ограничения для пользователей, компьютеров или групп. Существует возможность как использования внутренних учетных записей, так и импорта данных из Active Directory. Traffic Inspector предоставляет функционал идентификации с использованием SMS и через ЕСИА, что соответствует требованиям законодательства в области обеспечения публичного доступа к сети интернет.
Особое внимание уделено сетевой безопасности. Инструменты включают контекстный межсетевой экран, систему предотвращения чрезмерной сетевой активности, антивирусную проверку почтового и веб-трафика на уровне шлюза и систему обнаружения и предотвращения вторжений. Применяется фильтрация трафика по различным критериям, включая URL и MIME-типы. Инструменты также позволяют анализировать SSL/TLS, интерпретировать и декодировать HTTPS-соединения.
Меры контроля доступа включают блокировку доступа к нежелательным веб-сайтам и загрузке сомнительного контента. Система также поддерживает расширенную маршрутизацию и SMTP-шлюз для фильтрации нежелательной почты до того, как она попадет на внутренний почтовый сервер организации. Имеются функции биллинга и отчетности, обеспечивающие контроль, статистику и мониторинг сетевой активности пользователей в реальном времени.
Заключение
Использование VLAN существенно упрощает системное администрирование сетей, дает возможность применять более гибкие механизмы по реорганизации компании и экономит деньги предприятия. Технологии позволяют правильно выстроить информационную изоляцию разных отделов и создать грамотную маршрутизацию трафика.
Чтобы узнать больше о технологии VLAN, а также о том, как защитить информацию от утечки, свяжитесь с менеджером нашей компании по телефону, указанному на сайте.