Настройка виртуальной локальной сети (VLAN) может оказаться сложным процессом, особенно если вы управляете крупной корпоративной сетью, сетью с устаревшей или гибридной архитектурой или сетью с определенными рабочими нагрузками, требующими дополнительных мер безопасности и соответствия нормативным требованиям.

Каждый процесс настройки VLAN будет выглядеть немного по-разному, в зависимости от спецификаций, которые вы представляете, и некоторые из этих шагов — особенно шаги с пятого по восьмой — могут выполняться одновременно, в немного другом порядке или даже более автоматизированным образом. если вы решите настроить динамическую VLAN.

Тем не менее, в целом ваша сеть имеет больше шансов на успех, если вы выполните следующие 12 шагов по настройке VLAN и документируете свои процессы, стратегии и требования на этом пути.

1. Мозговой штурм групп VLAN

В традиционной локальной сети без виртуализированных барьеров все устройства и сетевые компоненты взаимодействуют и обмениваются информацией друг с другом; вы, вероятно , в первую очередь настраиваете VLAN , потому что эта базовая настройка слишком свободна для ваших требований. Но каковы идеальные сегменты, которые обеспечат оптимальную и безопасную работу вашей сети?

На этом этапе создания и настройки VLAN пришло время определить, какие группы VLAN наиболее подходят для стратегических сложностей вашей сети. Подумайте не только о том, сколько VLAN вам понадобится, но и о цели, которой будет служить каждая VLAN, и о том, как их необходимо настроить для достижения этой цели. Хотя многие организации придерживаются более традиционных границ, таких как физическое местоположение или отделы, могут существовать более эффективные и безопасные способы группировки и настройки правил VLAN.

Например, если ваша компания тесно сотрудничает со сторонней фирмой, оказывающей профессиональные услуги, которой необходим доступ к определенным приложениям и данным по управлению персоналом и безопасности, но не к другим, вы можете разделить свои VLAN в зависимости от того, какие из них требуют более слабого, а какие более строгого контроля управления идентификацией и доступом. Оттуда определите, какие пользователи и устройства будут согласовываться и быть отнесены к каждой группе.

2. Подготовьте уникальные идентификаторы VLAN.

Каждой настроенной вами виртуальной локальной сети потребуется уникальный идентификационный номер виртуальной локальной сети, чтобы вы могли сегментировать сетевой трафик в нужные места и организовывать документацию для нескольких виртуальных локальных сетей одновременно. Идентификаторы VLAN являются чисто числовыми и находятся в диапазоне от одного до 4095. Хотя вам еще не обязательно, чтобы эти идентификаторы VLAN были в рабочем состоянии, рекомендуется выяснить их сейчас, чтобы вы могли использовать их при маркировке вашей сетевой диаграммы на следующем этапе.

3. Создайте логическую сетевую схему или карту.

Прежде чем вы начнете настраивать сети VLAN и подключать устройства и коммутаторы, лучший способ обеспечить успешную настройку сети VLAN — это отобразить особенности и взаимосвязи вашей сети с помощью сетевой диаграммы. Метки и соединения, которые вы демонстрируете на этом этапе создания VLAN, дадут вам метки и организационную структуру, необходимые для отслеживания всех устройств, коммутаторов, маршрутизаторов и других компонентов, необходимых для реализации ваших архитектурных планов.

Ваша команда может создать эту диаграмму вручную или с помощью инструментов, которые уже есть в вашем портфолио. Тем не менее, ряд бесплатных и недорогих инструментов построения сетевых диаграмм специально предлагают шаблоны и значки, которые упрощают иллюстрацию сети, которую вы настраиваете, часто с интерфейсами и инструментами с низким кодом или без него. Если вы заинтересованы в поиске инструмента для построения сетевых диаграмм, который сделает этот шаг более эффективным, рассмотрите возможность инвестирования в одно из этих лучших программных и инструментальных решений для построения сетевых диаграмм.

4. Необязательно: приобретите дополнительное оборудование.

Основываясь на требованиях к группировке VLAN и проектах, которые вы разработали на предыдущих трех шагах, вы должны иметь более четкое представление о недостающем оборудовании или программном обеспечении, которое вам необходимо приобрести. Возможно, у вас больше групп VLAN, чем вы ожидали, и вам необходимо подключить дополнительные коммутаторы и маршрутизаторы. Или, может быть, ваша организация быстро растет, и вы хотите приобрести новые коммутаторы с большим количеством портов для большего количества устройств. Также существует вероятность того, что вы переходите от настройки преимущественно локальной сети к гибридной или облачной настройке, которая требует нового программного обеспечения или связей со сторонними организациями.

Независимо от ваших новых требований, начните с создания инвентарного списка любого сетевого оборудования, которым вы в настоящее время владеете, включая информацию о форматах коммутаторов и маршрутизаторов, конфигурациях, количестве портов, скоростях и другие сведения, относящиеся к настройке VLAN. Далее составьте отдельный список недостающих сетевых инструментов, стоимость этих недостающих инструментов и любую другую специальную информацию, которую следует учитывать в процессе покупки.

5. Подключите сетевые устройства к соответствующим портам коммутатора.

Теперь вам следует подключить серверы VLAN, устройства конечных пользователей и другие соответствующие сетевые устройства — если их IP-адреса уже настроены — к портам коммутатора, которые были выбраны для соответствующей группы VLAN. Хотя отдельные устройства, порты, коммутаторы и маршрутизаторы еще не обязательно настроены в своих настройках для соответствия определенной VLAN и функциям, вы все равно должны знать, какие устройства и сетевые компоненты были зарезервированы для каких VLAN. Если вы не уверены в том, какие порты коммутатора следует подключать к каждому устройству, обратитесь к своей сетевой схеме (или вернитесь к этапу построения сетевой схемы и создайте более подробную схему).

Если вы решили создать динамическую VLAN вместо статической VLAN, шаги с пятого по восьмой могут выглядеть для вас немного иначе. Например, вы можете потратить эти шаги на создание или определение соответствующих протоколов на основе правил для ваших устройств и настройку правил автоматизации, а не на ручное подключение портов и устройств к VLAN.

6. Настройте порты коммутатора

Теперь, когда ваши устройства подключены к правильным портам коммутатора, пришло время настроить порты коммутатора, чтобы они могли выполнять назначенные им функции. Многие из ваших портов просто необходимо будет настроить как порты доступа в настройках коммутатора; порт доступа — это простое соединение, которое позволяет устройствам подключаться только к одной VLAN. Порты доступа наиболее подходят для устройств и пользователей, которые не будут использовать теги VLAN или участвовать в маршрутизации между VLAN.

Магистральные порты также настраиваются в настройках коммутатора, но они предназначены для управления трафиком с более высокой пропускной способностью и могут управлять трафиком для более чем одной VLAN. Устройства следует подключать к магистральным портам только в том случае, если они были авторизованы и настроены для маркировки VLAN и маршрутизации между VLAN. Прежде чем перейти к следующему шагу, еще раз проверьте, подключены ли устройства к порту коммутатора того типа, который соответствует их эксплуатационным потребностям.

7. Настройте характеристики VLAN через настройки сетевого коммутатора.

Вся предварительная работа завершена: пришло время создать нужные вам виртуальные локальные сети с помощью настроек сетевого коммутатора. Вы сделаете это, получив доступ к интерфейсам управления сетевыми коммутаторами и перейдя в раздел, где вы можете создавать VLAN. Создайте необходимое количество сетей VLAN, которые вы определили на предыдущих шагах, и назначьте им уникальные идентификаторы VLAN, выбранные на втором этапе.

8. Назначьте порты коммутатора VLAN.

Опять же, имейте в виду, что шаги с пятого по восьмой могут идти в несколько ином порядке, в зависимости от вашей команды и ее предпочтений. Поэтому, если вы еще не назначили порты коммутатора соответствующей VLAN, самое время сделать это сейчас. Тегированные порты (магистральные порты), скорее всего, уже связаны с правильными сетями VLAN, но на данный момент вам следует убедиться, что они настроены правильно. Для нетегированных портов (портов доступа) вам необходимо вручную подключить их к правильной VLAN. Помните, что магистральные порты могут быть связаны с более чем одной VLAN, если это необходимо.

9. Необязательно: добавьте теги VLAN.

Маркировка VLAN — это процесс, посредством которого сетевой трафик VLAN дополнительно сегментируется и специализирован. Когда используются теги VLAN, связанные устройства и порты автоматически взаимодействуют с устройствами и портами, которые используют те же теги; однако теги также дают сетевым администраторам возможность дальнейшего направления трафика и поддержки индивидуальных сценариев маршрутизации между VLAN.

Маркировка VLAN наиболее подходит для сетей со сложной структурой трафика и разнообразным диапазоном пользователей, устройств и разрешений безопасности. Если вы решите настроить магистральные порты с несколькими проходящими через них VLAN, как показано на шаге шесть, вам необходимо убедиться, что хотя бы некоторые из ваших VLAN получают теги, чтобы трафик не путался в магистральных портах.

Если вы не уверены, выиграют ли в вашей сети теги VLAN, прочитайте эту подробную статью по этой теме, которая поможет вам принять решение: Тегированные или нетегированные VLAN: когда следует использовать каждый .

10. Необязательно: настройка маршрутизации между VLAN.

Если ваша сеть требует связи между виртуальными локальными сетями в рамках своих обычных операций, вам нужно будет использовать теги VLAN, которые вы установили на предыдущем шаге, для управления маршрутизацией между VLAN. Открытие потока трафика между VLAN звучит нелогично, но многие организации предпочитают это делать, поскольку разные уровни, на которых работают маршрутизаторы, позволяют им по-прежнему контролировать, какие типы трафика проходят через VLAN, а также когда и как устройства и пользователи переходят из VLAN. в ВЛАН. В рамках этапа настройки между VLAN вам также может потребоваться настроить или перепроверить элементы управления доступом к VLAN, чтобы только утвержденные пользователи и устройства могли воспользоваться преимуществами маршрутизации между VLAN.

11. Проверьте качество вашей VLAN

Теперь, когда все настроено, пришло время проверить сетевое подключение и производительность. Убедитесь, что все устройства в одной VLAN могут взаимодействовать друг с другом и, наоборот, не могут связаться с устройствами в других VLAN. Ping и Traceroute являются эффективными инструментами для тестирования подключения и производительности VLAN, но также может подойти ряд других инструментов сетевой безопасности и управления .

12. Документируйте и периодически проводите повторную оценку производительности VLAN.

В частности, корпоративные сети часто меняются по мере появления большего количества устройств и пользователей, новых требований к аппаратному и программному обеспечению, а также новых вариантов использования в эксплуатации и безопасности. Сетевые администраторы и/или члены группы сетевой безопасности должны поддерживать в актуальном состоянии сетевую схему, инвентаризацию оборудования, журналы изменений и другую конфигурационную документацию, чтобы можно было легко увидеть, как сеть выглядит сейчас, если и где возникли какие-либо уязвимости. и необходимы ли какие-либо другие изменения для улучшения производительности сети. Каждый раз, когда вы выполняете этот процесс, обновляйте свою документацию, чтобы иметь полную историю сети и то, что вы сделали для ее обслуживания.

Стоит ли использовать статическую VLAN или динамическую VLAN?

Статические и динамические VLAN приносят сетевым администраторам различные преимущества в зависимости от размера, сложности и требований их сети. Ниже мы объяснили, как работает каждый тип и когда его следует использовать.

Статическая Виртуальная Локальная Сеть

Статические VLAN существуют, когда сетевые администраторы вручную подключают сетевые устройства к портам физического коммутатора, и эти устройства получают назначение VLAN на основе этого соединения. Если когда-либо устройству потребуется переназначить новую VLAN, сетевой администратор физически подключит его к новому порту коммутатора, который уже связан с этой VLAN. Другими словами, статическая VLAN — это сеть, в которой порты коммутатора назначены VLAN, а устройства не назначены VLAN; они получают свои заказы непосредственно из порта коммутатора, к которому они подключены.

Этот тип VLAN лучше всего подходит для небольших сетей или сетей, которые изменяются нечасто и включают меньше сегментов VLAN, поскольку сетевым администраторам приходится вручную подключать (а иногда и повторно подключать) устройства к нужным портам, чтобы они работали. В более крупной сети, которая часто меняется, эта задача сама по себе может стать работой на полный рабочий день и пронизана ошибками. Статические VLAN наиболее выгодны для сетевых администраторов, которым нужна простая в настройке VLAN с предсказуемой инфраструктурой и ограниченными потребностями в аутентификации.

Динамическая VLAN

Динамическая VLAN — это сеть, в которой устройства назначаются этой VLAN на динамической и полуавтоматической основе. Специализированные критерии определяют, какие устройства каким VLAN и когда назначаются. Эти критерии могут включать специализированные средства управления и протоколы доступа к сети, серверы политики членства в VLAN (VMPS) и базы данных или некоторую другую комбинацию серверов и правил, управляемых данными. При динамической VLAN устройства назначаются VLAN, а порты часто не назначаются конкретным VLAN; они являются просто каналом, по которому проходит трафик заранее назначенных устройств.

Динамические VLAN лучше всего подходят для более крупных и сложных сетей, в которых необходимо поддерживать часто меняющиеся правила аутентификации и использования. Это гораздо более сложный процесс реализации по сравнению со статической VLAN, но при более строгих сетевых правилах и требованиях динамическая VLAN в конечном итоге экономит время сетевых специалистов в долгосрочной перспективе, поскольку они могут просто обновлять протоколы и записи VMPS, когда требуются новые назначения VLAN. несколько устройств.

Итог: важность подготовки для оптимальной производительности VLAN

Хотя фактический процесс настройки VLAN может быть таким же простым, как обновление настроек сетевого коммутатора и подключение устройств к портам коммутатора VLAN, стратегия успешной настройки VLAN может быть гораздо более сложной. Вам необходимо будет учитывать любые специальные требования к безопасности или соответствию, различные типы устройств, к которым требуется доступ, а также ресурсы и мониторинг, которые потребуются для настройки и поддержания эффективной VLAN.

Все шаги, перечисленные выше, являются важными аспектами создания и настройки устойчивой сети VLAN. Но, возможно, самым важным шагом является документирование вашего мыслительного процесса и сетевой архитектуры, особенно с учетом того, что они меняются с течением времени. Ведение подробной документации поможет членам вашей существующей сети и группы безопасности оставаться в курсе наиболее важных сетевых обновлений и проблем, одновременно гарантируя, что все будущие члены команды получат базовое обучение, необходимое для успешной работы в вашей экосистеме VLAN.