Главная Вики Сеть

VLAN: как разделить корпоративную сеть на изолированные сегменты

VLAN (Virtual Local Area Network) — это технология, которая позволяет одному физическому коммутатору обслуживать несколько независимых сетей одновременно, как если бы это были отдельные железки.

Зачем это нужно бизнесу

Представьте офис на 80 человек: бухгалтерия, продажи, разработчики, гостевой Wi-Fi для посетителей, IP-камеры, IP-телефоны, принтеры, серверы 1С. Если всё это в одной плоской сети — у вас проблема. Стажёр из отдела маркетинга в одном сегменте с серверами бухгалтерии. Гостевой ноутбук видит сетевые принтеры и сервер CRM. Камеры наблюдения «соседствуют» с компьютером гендиректора. С точки зрения безопасности это худший сценарий.

VLAN решает эту задачу логически, без прокладки новых кабелей. Один и тот же коммутатор обслуживает 5-10 виртуальных сетей, и каждое устройство «видит» только свой сегмент. Бухгалтерия — отдельная сеть. Гости — отдельная сеть с выходом только в интернет. Камеры — отдельная сеть, доступная только серверу видеоаналитики. Сервера — отдельный сегмент за межсетевым экраном.

Помимо безопасности это даёт две практические выгоды. Первая — порядок: в логах сразу видно, кто откуда подключается, проще искать проблемы. Вторая — производительность: широковещательный трафик одного сегмента не нагружает другие, что особенно важно при большом числе устройств.

Как это работает

В основе VLAN — стандарт IEEE 802.1Q, который добавляет к каждому Ethernet-кадру тег с номером VLAN (от 1 до 4094).

Access-порт на коммутаторе принадлежит одному VLAN. Например, порт, в который воткнут ноутбук бухгалтера, настроен как access в VLAN 20 «Accounting». Всё, что приходит с этого порта, помечается тегом 20 и пересылается только на порты с тем же VLAN.

Trunk-порт передаёт сразу несколько VLAN с тегами — обычно это аплинк от коммутатора доступа к коммутатору ядра или к маршрутизатору. По одному кабелю идёт трафик и бухгалтерии (VLAN 20), и продаж (VLAN 30), и серверов (VLAN 100), но кадры помечены разными тегами и не смешиваются.

Inter-VLAN routing — маршрутизация между сегментами. Сами по себе VLAN изолированы. Чтобы бухгалтерия могла обратиться к серверу 1С, который в другом VLAN, на маршрутизаторе или L3-коммутаторе настраивается интерфейс в каждом VLAN и правила доступа. Это удобное место для контроля: проще всего фильтровать трафик между сегментами именно тут или направлять его через NGFW.

Voice VLAN — отдельный сценарий для IP-телефонии. К одному порту коммутатора подключается IP-телефон, а в него — компьютер. Телефон работает в Voice VLAN с приоритетом QoS, компьютер — в Data VLAN. Один кабель, две сети, разный приоритет.

В современных сетях VLAN часто связывают с группами Active Directory через 802.1X: устройство при подключении проходит аутентификацию, и коммутатор автоматически кладёт его в нужный VLAN по итогу проверки.

Когда нужно компании

VLAN-сегментация имеет смысл практически в любом офисе от 30 человек, но особенно критична, если:

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «Проектирование и настройка офисной сети» и получите ориентир по цене. Финальная смета — после обследования физической инфраструктуры и согласования схемы сегментации.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП