Virtual Local Area Network (VLAN)

Виртуальная локальная сеть (Virtual Local Area Network, VLAN) — это технология, позволяющая на одном физическом сетевом оборудовании создать несколько логически изолированных сетей. Разделение трафика от разных приложений и устройств в одной сети позволяет повысить гибкость и безопасность. Без VLAN крупная сеть была бы похожа на телевизионный канал, по которому одновременно идут множество передач, и все видят и слышат друг друга.

Отличие VLAN от LANОтличие VLAN от LAN

LAN (Local Area Network) — это физическая локальная сеть, объединяющая устройства в пределах одного здания или помещения с помощью кабелей и коммутаторов. Все устройства в LAN находятся в одном широковещательном домене: они получают все широковещательные пакеты и могут напрямую обмениваться данными.

VLAN — это логическое расширение концепции LAN, при котором физическая LAN-инфраструктура делится на несколько изолированных виртуальных сетей. Каждая из них ведет себя как отдельная LAN, но не требует отдельного физического оборудования.

Сценарии использованияСценарии использования

VLAN применяется в разных типах сетей — от небольших офисов до крупных дата-центров. Основные сценарии использования:

• Сегментация по отделам организации. Каждый отдел — бухгалтерия, IT, маркетинг — получает отдельный VLAN. Это ограничивает доступ к данным других отделов и упрощает управление политиками безопасности.
• Разделение гостевого и корпоративного трафика. Гостевой Wi-Fi изолируется от внутренней корпоративной сети. Гости получают доступ в интернет, но не видят внутренние ресурсы компании.
• Изоляция устройств IoT и систем видеонаблюдения. Устройства интернета вещей (IoT) и камеры видеонаблюдения выносятся в отдельный VLAN. Это снижает риск компрометации основной сети через уязвимые IoT-устройства.
• Поддержка VoIP-телефонии. Голосовой трафик выделяется в отдельный VLAN с повышенным приоритетом QoS. Это обеспечивает стабильное качество звонков даже при высокой нагрузке на сеть.
• Виртуализация серверов. Виртуальные машины на одном физическом хосте разделяются по VLAN. Каждая группа ВМ работает в изолированной сети, что упрощает управление и повышает безопасность.
• Дата-центры и облачные среды. VLAN используется для разделения трафика разных клиентов или сервисов на общей физической инфраструктуре. В крупных компаниях VLAN часто дополняется технологиями VXLAN и Microsegmentation.

Принцип работыПринцип работы

Трафик виртуальных локальных сетей проходит через физические порты и находит нужную VLAN благодаря тегированию.

Маршрутизация между VLANМаршрутизация между VLAN

По умолчанию устройства из разных VLAN не могут обмениваться данными, для связи между ними нужна маршрутизация. Существует два основных подхода:

• Router-on-a-stick — маршрутизатор подключается к коммутатору одним физическим интерфейсом, который делится на логические. Каждый логический интерфейс обслуживает один VLAN и выступает шлюзом по умолчанию для устройств этого VLAN. Подход прост в настройке, но создает узкое место для пропускной способности.
• Layer 3 switch (многоуровневый коммутатор) — коммутатор с поддержкой маршрутизации на уровне L3. Для каждого VLAN создается виртуальный интерфейс с IP-адресом. Маршрутизация выполняется аппаратно внутри коммутатора, что обеспечивает высокую скорость и снижает задержки. Это предпочтительный вариант для корпоративных сетей.

ПортыПорты

Коммутатор взаимодействует с устройствами и другими коммутаторами через порты двух типов:

• Access-порт подключает конечное устройство — компьютер, IP-телефон, принтер. Такой порт может принадлежать только одному VLAN. При этом устройство не знает о существовании VLAN: оно отправляет обычные кадры трафика без тегов, а коммутатор сам добавляет нужный VLAN ID при получении и снимает его при отправке.
• Trunk-порт (магистральный порт) соединяет два коммутатора или коммутатор с маршрутизатором. Через него одновременно проходит трафик нескольких VLAN.

ТегированиеТегирование

Когда кадр проходит через trunk-порт, коммутатор добавляет тег — четырехбайтовое поле в заголовок кадра трафика по стандарту IEEE 802.1Q. Это необходимо, чтобы принимающая сторона знала, к какой сети он относится. Когда кадр выходит через access-порт к конечному устройству, тег снимается.

Тег содержит следующие данные:

• TPID (Tag Protocol Identifier) — идентификатор протокола тегирования. Всегда принимает значение 0x8100.
• PCP (Priority Code Point) — приоритет трафика от 0 до 7. Используется для QoS: например, голосовой трафик получает приоритет 5–6.
• DEI (Drop Eligible Indicator) — индикатор допустимости удаления кадра трафика в случае перегрузки сети.
• VID (VLAN Identifier) — идентификатор VLAN от 1 до 4 094.

Когда кадр проходит через trunk-порт, коммутатор добавляет тег. Когда кадр выходит через access-порт к конечному устройству, тег снимается.

Последовательность обработки трафикаПоследовательность обработки трафика

Разберем последовательность работы VLAN на простом примере разделения офисов в пределах одной физической сети:

1. В настройках коммутатора администратор создает виртуальные локальные сети для каждого офиса. Сетям присваиваются номера, которые называются VLAN ID и принимают значения от 1 до 4 094. Например, VLAN 10 — для офиса финансового отдела, VLAN 20 — для офиса команды разработки.
2. Администратор назначает access-порты коммутатора для каждой VLAN. Например, для финансового отдела он назначает порты 1–8, а для IT — 9–16. Устройства, подключенные к этим портам, теперь находятся в своих изолированных широковещательных доменах.
3. Начинается обмен данными между компьютерами, в котором коммутатор выступает распределителем трафика. Если данные идут от компьютера из порта 1, коммутатор отправляет их на устройства, подключенные к портам 2–8. Другие устройства эти данные не видят.
4. Если нужно передать трафик нескольких VLAN на другой коммутатор (например, на другой этаж), используется trunk-порт. Перед отправкой кадров трафика через этот порт коммутаторы тегируют их.
5. Принимающий коммутатор читает тег, а затем удаляет его и отправляет данные на порты, которые соответствуют указанному VLAN ID.

Преимущества использованияПреимущества использования

Виртуальные локальные сети дают следующие преимущества при работе в большой сети:

• Гибкое управление трафиком и производительностью. Виртуальное разделение позволяет применять разные политики QoS и лимиты полосы для разных VLAN. При низкой скорости сети это позволяет отдавать предпочтение обмену самыми важными данными.
• Доступ в свой VLAN без привязки к физическому расположению. Например, сотрудника можно переселить в другой офис, но он все равно останется в пределах своего VLAN.
• Экономия на сетевом оборудовании и упрощение инфраструктуры. Виртуальные локальные сети позволяют использовать один набор коммутаторов и маршрутизаторов для нескольких сотен VLAN.
• Соответствие лучшим практикам безопасности. В современных реализациях технологию активно совмещают с различными системами безопасности, препятствующими злоумышленникам перемещаться в другие VLAN, если они смогли преодолеть защиту одного из них.

ОграниченияОграничения

У технологии есть ряд ограничений:

• Максимальное количество VLAN в одной сети — 4 094. Для крупных дата-центров и облачных систем этого может не хватать, поэтому появились альтернативные решения.
• При большом количестве устройств в одной VLAN может упасть скорость сети, поскольку широковещательные запросы будут рассылаться всем устройствам.
• Возможны проблемы совместимости оборудования: производители часто по-разному реализуют технологию, а старые модели устройств могут и вовсе ее не поддерживать.
• Технология плохо масштабируется физически. Чем дальше устройства удалены друг от друга, тем выше будет задержка.
• Если при атаке злоумышленник получит доступ к trunk-порту, он получит доступ ко всем VLAN, которые отправляют через него данные.
• VLAN обычно настраивается вручную, поэтому в больших сетях это требует объемной работы и постоянной поддержки. Ошибки в конфигурации могут привести к потере связи или угрозе безопасности.

АльтернативыАльтернативы

Классический VLAN особенно актуален для большинства обычных сетей, в которых не более 500 устройств и нет повышенных требований к безопасности. Однако для крупных дата-центров и коммерческих организаций есть более сложные решения:

• Virtual Extensible LAN (VXLAN) — технология сетевой виртуализации, которая позволяет создавать до 16 миллионов виртуальных сетей.
• Microsegmentation (микросегментация сетей) — подход к сетевой безопасности, при котором изолируется не отдельная сеть, а приложение, сервер или конкретный процесс.

Рассмотрим различия между решениями в таблице:

Характеристика	VLAN	VXLAN	Micro-segmentation
Максимальное количество сетей	4094	До 16 миллионов	Без ограничений
Основная задача	Разделение одной физической сети	Масштабирование сети	Изоляция до уровня процесса
Сложность настройки	Простая	Повышенной сложности	Высокая
Безопасность	Средняя	Выше средней	Высокая
Где используется	Офисы в пределах одного здания	Крупные дата-центры, облачные системы	Государственные организации, банки, архитектуры нулевого доверия

БезопасностьБезопасность

Классический VLAN сам по себе не является безопасным — он лишь разделяет трафик. Без дополнительных мер его легко взломать. Для повышения безопасности рекомендуются следующие базовые меры:

• Не используйте VLAN ID 1 — он чаще всего становится целью атак.
• Ограничьте разрешенные VLAN на магистральных портах до минимально необходимых.
• Отключайте неиспользуемые порты на коммутаторах.
• Ограничьте количество MAC-адресов, которые могут подключиться к порту.
• Используйте аутентификацию устройств по стандарту IEEE 802.1X.

Дополнительные технологии для усиления безопасности:

• DHCP Snooping — проверяет DHCP-сообщения для фильтрации поддельных DHCP-серверов.
• Dynamic ARP Inspection — проверяет ARP запросы и ответы на соответствие доверенной таблице.
• IP Source Guard — ограничивает трафик с любых IP-адресов, кроме указанных.
• Private VLAN — дополнительно изолирует устройства друг от друга внутри одного VLAN.
• Access Control Lists (ACL) — списки правил, которые разрешают или запрещают трафик по IP-адресам, портам, протоколам и т. д.
• BPDU Guard — автоматически отключает порт, если на нем есть избыточные соединения.
• IEEE 802.1AE — стандарт шифрования трафика между устройствами и коммутаторами.

Виртуальные сети в Yandex CloudВиртуальные сети в Yandex Cloud

Yandex Cloud предлагает следующие сервисы для работы с виртуальными сетями и распределением трафика:

• Yandex Virtual Private Cloud — сервис для управления облачными сетями и связи облачных ресурсов между собой и с интернетом. Позволяет создавать изолированные подсети внутри одной сети. Подробнее в документации.
• Yandex Application Load Balancer — сервис для распределения входящего трафика между разными компонентами ваших веб‑приложений. Подробнее в документации.
• Yandex Cloud Interconnect — сервис для создания приватных выделенных сетевых соединений между локальной инфраструктурой и Yandex Cloud. Подробнее в документации.

Полезные материалыПолезные материалы

• Настройка дополнительных приватных подсетей с тегированным VLAN в BareMetal
• Создание нового транкового подключения через партнера и публичное соединение в нем в Cloud Interconnect
• Добавление приватного соединения в транковое подключение в Cloud Interconnect

QoS (Quality of Service) — технология приоритизации трафика в сети. Помогает сети эффективнее работать в условиях ограниченных ресурсов и в первую очередь обрабатывать критически важный трафик.

IEEE 802.1Q — стандарт, который определяет процедуру тегирования трафика VLAN и сопутствующие метки.

Zero Trust Architecture — архитектура безопасности, основанная на принципе, что пользователям и устройствам не следует доверять по умолчанию, даже если они подключены к привилегированной сети.

ARP — протокол, который используется для обмена информацией о сопоставлении IP- и MAC-адресов.