VLAN(VLAN)
Angleški izraz: Virtual LAN
Logično ločeno omrežje na isti fizični opremi, ki omogoča, da različne skupine naprav delujejo ločeno, kot da bi bile na različnih kablih.
Kaj pomeni VLAN?
VLAN (Virtual Local Area Network) je tehnologija, ki na enem fizičnem omrežju ustvari več logično ločenih omrežij. Naprave v različnih VLAN-ih druga druge ne 'vidijo' neposredno, čeprav so priključene na isto stikalo (switch).
Pravila, kateri VLAN sme komunicirati s katerim, se postavijo na požarni pregradi ali L3 stikalu. To pomeni, da promet med dvema VLAN-oma poteka skozi nadzorovano točko, kjer lahko beležimo in omejujemo, kdo do česa dostopa.
V poslovnih okoljih je segmentacija z VLAN-i danes standard. Brez nje so vse naprave — od kamere in tiskalnika do strežnika in računovodskega sistema — v istem 'plosko' omrežju.
Zakaj je to pomembno za podjetja?
Segmentacija omrežja z VLAN-i je ena najcenejših in najučinkovitejših varnostnih mer. Če okužen prenosnik ne more neposredno do strežnika ali kamerskega sistema, je škoda ob napadu bistveno manjša.
VLAN hkrati omogoča lažje delo z gosti, IoT napravami in zunanjimi izvajalci: vsaka skupina dobi svoj VLAN s svojimi pravicami. Brez VLAN-ov je vsako tako odpiranje izjema, ki povečuje tveganje za celotno podjetje.
Kje se to pojavi v praksi?
Tipična postavitev pri srednjem podjetju: ločeni VLAN-i za pisarno, strežnike, telefonijo (VoIP), IP kamere, gostujoči Wi-Fi in IoT naprave. Vsak VLAN ima svoj naslovni prostor, svoja pravila na požarni pregradi in svoj DHCP.
Gosti, ki se povežejo na gostujoči Wi-Fi, lahko dostopajo izključno do interneta. Kamere lahko pošiljajo posnetke izključno na nadzorni strežnik. Pisarniške delovne postaje lahko dostopajo do strežnikov in tiskalnikov, ne pa neposredno do kamer ali telefonije.
Najpogostejše težave ali napake
Najpogostejša napaka je delna segmentacija — VLAN-i obstajajo, a med njimi ni pravil na požarni pregradi. V tem primeru segmentacija obstaja le na papirju.
Druga pogosta težava: tovarniške nastavitve stikala, kjer so vse vrata v privzetem VLAN 1. Ena napačno priključena IP kamera lahko v takem okolju postane vstopna točka v notranje omrežje.
Tretja napaka: gostujoči Wi-Fi v istem VLAN-u kot pisarniške naprave — kar pomeni, da ima vsak obiskovalec dostop do internega omrežja.
Kako pri tem pomaga VitalIT
Pri VitalIT pri obstoječih omrežjih najprej naredimo zemljevid — kaj je priključeno kam in kako stvari komunicirajo med sabo. Šele nato predlagamo smiselno segmentacijo, ki upošteva dejansko strukturo podjetja, ne le tehnične 'lepote'.
V praksi to pomeni postopno uvedbo VLAN-ov: najprej ločimo najbolj očitne primere (gostje, kamere, IoT), nato še interne segmente. Vse spremembe izvedemo v dogovoru s stranko in tako, da motnje za uporabnike ostanejo minimalne.
Sorodni izrazi
Povezane storitve
Pogosta vprašanja
- Ali za VLAN-e potrebujemo posebno opremo?
- Potrebujemo upravljiva (managed) stikala in požarno pregrado, ki podpira več VLAN-ov. Operaterski routerji in nezahtevna neupravljiva stikala VLAN-ov ne podpirajo ustrezno.
- Ali VLAN upočasni omrežje?
- Ne. Sodobna stikala obravnavajo VLAN-e strojno in brez merljivega vpliva na hitrost. Edini možen vir upočasnitve je promet med dvema VLAN-oma, ki gre čez požarno pregrado — a tudi to je pri ustrezno dimenzionirani opremi nepomembno.
- Koliko VLAN-ov je smiselno imeti?
- Toliko, kolikor jih dejansko ločimo z različnimi pravili. V praksi pri manjšem podjetju med 3 in 6, pri večjih organizacijah lahko več deset. Več VLAN-ov pomeni tudi več dokumentacije in vzdrževanja.
- Ali lahko VLAN-i nadomestijo požarno pregrado?
- Ne. VLAN-i ločijo promet, pravila o tem, kdo sme komunicirati s kom, pa postavi požarna pregrada. Brez požarne pregrade je VLAN samo logična oznaka.