VLAN: как разделить корпоративную сеть на изолированные сегменты
VLAN (Virtual Local Area Network) — это технология, которая позволяет одному физическому коммутатору обслуживать несколько независимых сетей одновременно, как если бы это были отдельные железки.
Зачем это нужно бизнесу
Представьте офис на 80 человек: бухгалтерия, продажи, разработчики, гостевой Wi-Fi для посетителей, IP-камеры, IP-телефоны, принтеры, серверы 1С. Если всё это в одной плоской сети — у вас проблема. Стажёр из отдела маркетинга в одном сегменте с серверами бухгалтерии. Гостевой ноутбук видит сетевые принтеры и сервер CRM. Камеры наблюдения «соседствуют» с компьютером гендиректора. С точки зрения безопасности это худший сценарий.
VLAN решает эту задачу логически, без прокладки новых кабелей. Один и тот же коммутатор обслуживает 5-10 виртуальных сетей, и каждое устройство «видит» только свой сегмент. Бухгалтерия — отдельная сеть. Гости — отдельная сеть с выходом только в интернет. Камеры — отдельная сеть, доступная только серверу видеоаналитики. Сервера — отдельный сегмент за межсетевым экраном.
Помимо безопасности это даёт две практические выгоды. Первая — порядок: в логах сразу видно, кто откуда подключается, проще искать проблемы. Вторая — производительность: широковещательный трафик одного сегмента не нагружает другие, что особенно важно при большом числе устройств.
Как это работает
В основе VLAN — стандарт IEEE 802.1Q, который добавляет к каждому Ethernet-кадру тег с номером VLAN (от 1 до 4094).
Access-порт на коммутаторе принадлежит одному VLAN. Например, порт, в который воткнут ноутбук бухгалтера, настроен как access в VLAN 20 «Accounting». Всё, что приходит с этого порта, помечается тегом 20 и пересылается только на порты с тем же VLAN.
Trunk-порт передаёт сразу несколько VLAN с тегами — обычно это аплинк от коммутатора доступа к коммутатору ядра или к маршрутизатору. По одному кабелю идёт трафик и бухгалтерии (VLAN 20), и продаж (VLAN 30), и серверов (VLAN 100), но кадры помечены разными тегами и не смешиваются.
Inter-VLAN routing — маршрутизация между сегментами. Сами по себе VLAN изолированы. Чтобы бухгалтерия могла обратиться к серверу 1С, который в другом VLAN, на маршрутизаторе или L3-коммутаторе настраивается интерфейс в каждом VLAN и правила доступа. Это удобное место для контроля: проще всего фильтровать трафик между сегментами именно тут или направлять его через NGFW.
Voice VLAN — отдельный сценарий для IP-телефонии. К одному порту коммутатора подключается IP-телефон, а в него — компьютер. Телефон работает в Voice VLAN с приоритетом QoS, компьютер — в Data VLAN. Один кабель, две сети, разный приоритет.
В современных сетях VLAN часто связывают с группами Active Directory через 802.1X: устройство при подключении проходит аутентификацию, и коммутатор автоматически кладёт его в нужный VLAN по итогу проверки.
Когда нужно компании
VLAN-сегментация имеет смысл практически в любом офисе от 30 человек, но особенно критична, если:
- Есть гостевой Wi-Fi, который не должен видеть корпоративные ресурсы
- В сети работают IoT-устройства: камеры, СКУД, датчики, IP-телефоны
- Регулятор требует разделения обработки персональных данных от остальной инфраструктуры
- Есть подрядчики или арендаторы, которым нужен только интернет, а не доступ ко всей сети
- Разные отделы работают с конфиденциальной информацией разного уровня (R&D, финансы, HR)
- Планируется внедрение IP-телефонии с приоритизацией голоса
- Идёт подготовка к аудиту по 152-ФЗ или внутренней политике ИБ
Что включает наша услуга
- Аудит текущей сети: какие устройства, в каких сегментах, как ходят потоки трафика
- Проектирование схемы VLAN — обычно 5-15 сегментов под типовой офис
- Настройка коммутаторов Cisco, MikroTik, Eltex и других вендоров по единой схеме
- Настройка inter-VLAN routing с правилами доступа между сегментами
- Интеграция с 802.1X и Active Directory для автоматического распределения устройств
- Документация — схемы, таблицы VLAN, правила доступа — передаём заказчику
- Поддержка изменений по мере роста сети
Связанные термины
- Wi-Fi enterprise — корпоративный Wi-Fi с SSO и сегментами — корпоративный Wi-Fi, где разные SSID мапятся в разные VLAN
- NGFW — межсетевой экран нового поколения — межсетевой экран между VLAN с глубокой инспекцией трафика
- Cisco и MikroTik — выбор сетевого оборудования для бизнеса — основное оборудование для построения VLAN-сегментации
- OSPF — динамическая маршрутизация внутри корпоративной сети — динамическая маршрутизация между VLAN в крупных сетях
- SD-WAN — программно-определяемая WAN-сеть — VLAN внутри офиса дополняется SD-WAN между офисами
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Проектирование и настройка офисной сети» и получите ориентир по цене. Финальная смета — после обследования физической инфраструктуры и согласования схемы сегментации.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП