Virtuelna lokalna mreža: šta je to i zašto je potrebno?

Evolucija dizajna virtuelne mreže
Vrste Podešavanja
Lan arhitektura
Ravna struktura
Asimetrični VLAN
Implementacija: opći opis
Pravila za prihvatljiva imena
LAN topology
VoIP Sigurnosni Rizik
Prednosti integracije

Virtuelna lokalna mreža je logička nezavisna struktura koja se nalazi u istoj fizičkoj mreži. Korisnik može imati više VLAN-ova u istom ruteru ili prekidaču. Svaka od ovih mreža ujedinjuje timove određenog segmenta, što ima jasne prednosti kada je u pitanju upravljanje i sigurnost.

Evolucija dizajna virtuelne mreže

Organizacije koje trebaju nadograditi svoju naslijeđenu mrežu mogu implementirati WLAN arhitekturu kojom upravljaju Lokalni kontrolori ili arhitekturu sa kontrolerima koji se nalaze u oblaku. Obje opcije nude značajne prednosti. Određivanje koja će implementacija najbolje funkcionisati zavisi od nekoliko faktora, uključujući strukturu kompanije, trenutni dizajn mreže i zahteve.

Kada su korporativni WLAN-ovi u početku bili raspoređeni, svaka pristupna tačka je konfigurisana i upravljana nezavisno od drugih na istoj mreži. U to vrijeme to nije bio problem, jer je većina kompanija definisala posebne zone za bežične pristupne tačke. Obično su to bile konferencijske sale, predvorji i vanjski prostori — bilo koje mjesto s velikim brojem korisnika i nekoliko žičanih portova.

Kako je potražnja za Wi-Fi-om rasla, infrastruktura, potrebno je osigurati da raste u preduzeću . Mrežni administratori morali su upravljati stotinama ili čak hiljadama pristupnih tačaka. Tehnički problemi, kao što su smetnje u kombinovanom kanalu, podešavanje snage i roming korisnika, učinili su mnoge mreže nestabilnim i nepredvidivim.

Bilo je potrebno stvaranje virtuelnog LAN-a u koji su prodavci postavili kontrolere da prisile podatke nazad. Postali su jedinstvena tačka prigušnice za konfiguraciju pristupnih tačaka, komunikaciju i primijenjenu politiku. Pristupne tačke su izgubile svoju individualnost, a kontrolor je postao "mozak" za cijeli WLAN.

Vrste Podešavanja

Postoji šest tipova virtuelnih LAN-ova. Međutim, većina korisnika koristi samo tri: nivo porta, MAC i aplikacije. Port, odnosno njegovo prebacivanje u konfiguracionom meniju rutera, je najčešći.

Svakom portu je dodijeljen Virtuelni LAN VLAN, a korisnici povezani na ovaj port mogu se vidjeti unutra. Susjedne virtuelne mreže za njih su nedostižne. Jedina mana modela je što ne uzima u obzir dinamiku prilikom traženja korisnika, a ako promijene svoju fizičku lokaciju, Virtuelni lan program mora biti rekonfigurisan.

MAC, umjesto da se dodjeljuje na nivou porta, nalazi se na nivou MAC adrese uređaja. Prednost je što pruža mobilnost bez potrebe za promjenama u konfiguraciji prekidača ili usmjerivača. Problem se čini sasvim razumljivim, ali dodavanje svih korisnika može biti zamorno.

Aplikacije su virtuelni lan programi, u kojima se mreže dodeljuju u zavisnosti od softvera koji se koristi koristeći nekoliko faktora, kao što su vreme, MAC adresa ili podmreža, što vam omogućava da razlikujete SSH, FTP, Samba ili SMTP.

Lan arhitektura

Bežične lokalne mreže kojima upravlja oblak zavise od kvaliteta Interneta i mogu propasti ako je veza nepouzdana. Cloud kontroler često obavlja i druge bežične usluge, kao što su priprema i autentifikacija protokola dynamic Host configuration.

Korišćenje lokalne mreže između virtuelnih mašina stvara dodatne troškove za Internet bandwidth. Stoga, ako se veza jako koristi, nepouzdana ili pati od problema sa kašnjenjem, bolje je držati se lokalnog pristupa koji kontroliše ove funkcije.

U većini situacija kontroleri nude mnogo više fleksibilnosti kada je u pitanju dizajn i implementacija WLAN-a u stvarnom svijetu. Ovo uključuje proširenu podršku za stare Wi-Fi uređaje i aplikacije i detaljniju kontrolu nad određenim virtuelnim lan postavkama. Za preduzeća koja koriste hiljade pristupnih tačaka, više lokalnih kontrolera može raditi zajedno kako bi korisnicima pružili pouzdan pristup mreži i prelazak na grešku.

Ravna struktura

Projekat komutirane lokalne mreže virtuelne mašine drugog nivoa podseća na ravnu mrežu. Svaki uređaj u mreži može vidjeti prijenos bilo kojeg paketa za emitovanje, čak i ako ne treba primati podatke. Ruteri omogućavaju takvu distribuciju samo unutar izvorne mreže kada prebaci prenos uživo u svaki odjeljak ili segment. Ovo se zove ravna mreža ne zbog svog dizajna, već zato što ima jedan domen za emitovanje. Takvu poštu domaćin šalje na sve portove prekidača, ostavljajući onu koja je primljena na početku.

Tako, , najveći prednost mreže preklopnog sloja je u tome što uspostavlja poseban segment ili odjeljak konfliktne domene za svaku specifičnu opremu spojenu na prekidač. Kao rezultat , veće mreže se mogu sastaviti i nema potrebe za instaliranjem dugotrajnog Etherneta.

Sigurnost može postati problem u tipičnom preklopnom vatrozidu, jer će uređaji biti vidljivi svim računima. Još jedan nedostatak je što je nemoguće zaustaviti emitovanje i reakciju korisnika na njega. Nažalost, izbor sigurnosti je ograničen kada je u pitanju postavljanje lozinki na razne servere i druge uređaje.

Asimetrični VLAN

Asimetrične virtuelne lokalne mreže (VLAN) omogućavaju segmentaciju mreže, bezbedno i efikasno dele saobraćaj između njih, uz smanjenje veličine domena emitovanja, a samim tim i mrežnog saobraćaja. Obično je upotreba VLAN-a usmjerena na velike mreže koje koriste upravljane prekidače, koji su moćni i skupi projekti.

Takve konstrukcije mogu budi koristan u malim i srednjim mrežnim okruženjima. Iz sigurnosnih razloga važno je podijeliti mrežu na dvije potpuno nezavisne koje mogu podržati pristup zajedničkim resursima. Uobičajeno rješenje je korištenje prekidača sa kontrolom pristupa između VLAN-ova. Detaljnije, možete uzeti u obzir korištenje D-Link Smart serije. Ovi pametni prekidači se kontrolišu preko web interfejsa i imaju nižu cenu.

Konkretno, možete koristiti funkcionalnost asimetričnog VLAN-a u D-Link DGS-1210-24 prekidaču. Ovo će vam omogućiti da podijelite mrežu na nezavisne VLAN-ove, ali istovremeno održavate zajedničku liniju kojoj mogu pristupiti mašine iz drugih virtuelnih mreža.

Istovremeno, Računari dodijeljeni VLAN-u bit će nevidljivi, ali svi će imati pristup Internetu ili resursima koji se nalaze u zajedničkim portovima. Očigledno je da će u ovom slučaju svi računari biti u istoj IP podmreži. Ovu proceduru možete proširiti na korporativnu Wi-Fi mrežu, na primjer, da kreirate mrežu za goste koja će imati pristup Internetu.

Implementacija: opći opis

Virtuelna LAN je podjela u sloju linkova steka protokola. Možete ga kreirati za lokalne mreže (LAN) koje koriste node tehnologiju. Dodjeljivanjem grupa korisnika poboljšavaju upravljanje mrežom i sigurnost. Takođe je moguće dodijeliti interfejse iz istog sistema različitim VLAN-ovima.

Preporučuje se da podijelite lokalnu mrežu na VLAN Ako trebate učiniti sljedeće:

Implementirajte kreiranje virtuelnog LAN-a kroz logičko razdvajanje radnih grupa, na primer, kada su svi domaćini na podu zgrade povezani preko LAN-a na čvorove.
Dodijelite različite sigurnosne politike za radne grupe, na primjer, za odjel finansija i IT odjel. Ako sistemi oba odjela dijele istu liniju, možete stvoriti zaseban VLAN za svako odjeljenje. Zatim dodijelite odgovarajuću sigurnosnu politiku za svaku.
Podijelite radne grupe na domene upravljanih izdanja.

Korišćenje VLAN-ova smanjuje veličinu izdavanja domena i povećava efikasnost mreže.

Pravila za prihvatljiva imena

VLAN mreže pokažite prednost korištenja zajedničkog ili prilagođenog imena. Prethodne verzije VLAN-a identifikovane su pomoću fizičke tačke veze (PPA), koja je zahtevala kombinaciju naziva hardverske veze za prenos podataka i identifikatora prilikom kreiranja virtuelnog LAN-a preko interneta.

U modernijim uređajima, kao što je Oracle Solaris 11, možete izabrati značajnije ime za identifikaciju. Ime mora odgovarati redoslijedu imenovanja kanala podataka datim u pravila za važeće imena u Oracle Solaris 11 mreži, na primjer ime sales0 ili ime marketing1.

Imena rade zajedno sa VLAN ID-om. U lokalnoj mreži, oni su identifikovani identifikatorom, takođe poznatim kao VLAN oznaka, postavljena tokom konfiguracije. Za podršku VLAN-ova u prekidačima morate dodijeliti identifikator za svaki port koji odgovara interfejsu.

LAN topology

Lan tehnologija sa čvorovima omogućava vam organizovanje lokalnih mrežnih sistema u VLAN mreži. Da bi mogao da ga deli, korisnik mora imati čvorove kompatibilne sa virtuelnom tehnologijom. Možete konfigurirati sve portove na čvoru za prijenos podataka za jednu ili više virtualnih mreža, ovisno o njihovoj konfiguraciji. Svaki proizvođač prekidača koristi različite procedure za konfigurisanje portova.

Na primjer, ako mreža ima adresu podmreže od 192.168.84.0, ovaj LAN se može podijeliti u tri VLAN-a, koji će odgovarati tri radne grupe:

Acctg0 sa VLAN ID 789: grupa računa. Ima domaćine D i E.
Humres0 sa VLAN ID 456: grupa okvira. Ima domaćine B I F.
Infotech0 sa VLAN ID-om 123: računarska grupa. Ima domaćine A i C.

Možete konfigurisati više virtuelnih mreža na jednom mrežnom pogonu, kao što je switch, kombinovanjem VLAN-ova i Oracle Solaris zona sa tri fizičke mrežne kartice net0, net1 i net2.

Bez VLAN-a, morali biste konfigurirati različite sisteme za obavljanje određenih funkcija i povezati ih na zasebne mreže. Koristeći VLAN-ove i zone, možete srušiti osam sistema i konfigurirati ih kao zone u jednom.

VoIP Sigurnosni Rizik

Čuvanje VoIP podataka i saobraćaja u odvojenim VLAN-ovima svakako je dobra sigurnosna praksa, ali ponekad je to lakše reći nego učiniti. Ako su potrebni dodatni mrežni adapter i prekidački port za odvajanje VoIP-a od saobraćaja podataka na jednoj radnoj stanici, biće teško implementirati ovu ideju u poslovno okruženje.

Neki IP telefoni imaju programabilne primarne i sekundarne Ethernet portove za telefon i desktop računar, odnosno kabl dizajniran za računar.

Prekidač koji podržava ovaj model mora imati VLAN mogućnost. Da imate pristup Ujedinjenim komunikacijama ili dozvolite desktop računari ili serveri za interakciju s telefonskom mrežom moraju se izvršiti usmjeravanje između VLAN-ova i bit će potreban zaštitni zid.

Ako bilo koji od gore navedenih elemenata nedostaje u mreži, tada nema potrebe za korištenjem IP telefona. Bez dodatne mrežne kartice i porta za prekidače, nema smisla ni pokušavati da ih implementirate.

Postavljanje podataka u VLAN-1 i glasovnu komunikaciju u VLAN - 2 kao osnovni primjer poboljšat će ukupne performanse mreže, jer izolira emitovani promet na strani podataka na VLAN i isto za Glas. Dakle, da bi se dobilo sigurno i ekonomski održivo VoIP rješenje, bit će potrebni sljedeći osnovni elementi:

firewall;
usmjerivač;
upravljani prekidači.

Prednosti integracije

Nakon integracije OS-a u lokalnu mrežu, možete koristiti virtualizovani operativni sistem kao da je fizička mašina integrisana u mrežu. To daje prednosti u radu:

U slučaju nedostatka hardvera, možete koristiti virtuelnu mašinu kao server i konfigurisati tip, na primer, DNS server, web server, NFS server, mail server, SSH server i VPN server.
Korisnik će imati priliku da simulira malu lokalnu mrežu sa nekoliko komandi za obavljanje svih vrsta testova.
Moguće je lako razmjenjivati informacije između virtualiziranog OS-a i glavni operativni sistem, bez potrebe za dijeljenom fasciklom koju nudi Virtualbox.
Možete koristiti virtuelnu mašinu da instalirate SSH tunel i tako šifrirate sav saobraćaj koji generiše računar.

VM integracija u lokalnu mrežu izuzetno je jednostavna. Prije stvaranja virtualnog LAN-a, instalirajte operativni sistem na Virtualbox virtualnu mašinu, to može biti bilo koji poznati OS. Dobro se pokazao u radu sa Xubuntu 12 VM.10.

Slijed integracije:

Odaberite Xubuntu 12.10 i kliknite na ikonu konfiguracije.
Kada uđete u prozor, Odaberite opciju mreža.
Nakon odabira provjerite je li aktivirana opcija za omogućavanje mrežnog adaptera.
Promijenite parametar u NAT-u na most adaptera.
Prije povezivanja virtualne mašine na lokalnu mrežu, Definirajte opciju imena.
Polje za naziv nudi opcije wlan0 i eth0. Ako je veza putem Wi-Fi-ja, odaberite opciju wlan0 i kliknite na dugme da prihvatite promjene.
Za kablovsku vezu spolja, moraćete da izaberete opciju eth0 i prihvatite promene.

Nakon završetka gore navedenih koraka, integracija virtuelne mašine u lokalnu mrežu će biti završena.

Da biste bili sigurni da VM radi, otvorite terminal i upišite: sudo apt-get za uspostavljanje nmap-a za instaliranje nmap paketa.

Zatim provjeravaju IP koji sistem ima preko terminala i naredbu Ifconfig.

Istovremeno, korisnik mora biti siguran da je virtuelna mašina integrisana u lokalnu mrežu, jer Virtualbox podrazumevano dodeljuje IP tipa 10.0.2.x/24.

Zatim provjeravaju hardver na virtualnoj mašini. Da biste to učinili, otvorite terminal i upotrijebite nmap: sudo nmap 192.1xx.1.1/24.

U ovom slučaju, komanda se može razlikovati u zavisnosti od maske podmreže. Nakon nmap set, ulazni port rutera je propisana (192.1xx.1.1) plus jedan i na kraju stavite masku podmreže u kanonski oblik. Što se tiče sigurnosti, trebali biste imajte na umu, da uređaji koji pripadaju VLAN-ima nemaju pristup elementima koji se nalaze u drugim mrežama, i obrnuto.

Iz ranije rečenog donosi se jednostavan zaključak zašto se stvaraju virtuelne lokalne mreže (VLAN): upravljanje postaje mnogo lakše, jer su uređaji podijeljeni u klase, čak i ako pripadaju istoj mreži. VLAN-ovi mogu klasifikovati mnoge domene emitovanja po broju logičkih podmreža i obezbediti grupisanje krajnjih stanica koje su fizički raspoređene u mreži.