IT ENCYKLOPEDIE

Uživatelské nástroje

Nástroje pro tento web

Umístění: start » virtual_local_area_network
Historie: virtio zypper faas bitcoin 2gl sbc mean_absolute_error nunit rom virtual_local_area_network
virtual_local_area_network

Obsah

VLAN (Virtual Local Area Network)

VLAN je technologie, která umožňuje logicky rozdělit jednu fyzickou síťovou infrastrukturu (přepínače a kabely) na několik nezávislých virtuálních sítí. Zařízení v různých VLAN spolu nemohou přímo komunikovat, i když jsou zapojena do stejného fyzického přepínače, což zvyšuje bezpečnost a snižuje nežádoucí síťový provoz.

Proč používáme VLAN?

V rámci naší digitální infrastruktury plní VLAN několik zásadních funkcí:

  • Bezpečnost: Oddělení citlivých dat (např. účetnictví) od veřejně přístupných sítí (např. Wi-Fi pro hosty).
  • Výkon: Omezení tzv. broadcastových bouří. Síťový provoz je držen pouze v rámci dané skupiny, což šetří kapacitu pro aplikace jako VTC.
  • Organizace: Zaměstnanci mohou být v jedné síti na základě oddělení (Marketing, Vývoj), i když sedí v různých patrech budovy.

Naše standardní VLAN schéma

Pro přehlednost a snadnou správu ze strany IT oddělení používáme následující rozdělení:

ID Název Účel
10 Management Správa síťových prvků a serverů.
20 Data-Corp Standardní pracovní stanice a přístup k Jira.
30 Voice-VoIP Vyhrazeno pro VoIP telefony (vysoká priorita).
40 IoT-Net Izolovaná síť pro senzory a IoT zařízení.
50 Guest-Wifi Časově omezený přístup k internetu pro návštěvy.

Technické principy

Většina našich VLAN funguje na standardu IEEE 802.1Q, který využívá tzv. Tagging:

  • Tagging: Do hlavičky každého ethernetového rámce je přidána značka (ID), která říká, do které VLAN rámec patří.
  • Trunk Port: Speciální port na přepínači, který dokáže přenášet provoz více VLAN najednou (typicky propojení mezi přepínači nebo k routeru s VRRP).
  • Access Port: Port určený pro koncové zařízení (PC, tiskárna), které o existenci VLAN neví.

Propojení a směrování

Protože jsou VLAN od sebe izolované, pro komunikaci mezi nimi (např. tisk z pracovní sítě do sítě tiskáren) je nutný směrovač (router) nebo Layer 3 přepínač.

  • V našich pobočkách toto zajišťuje SD-WAN brána, která aplikuje bezpečnostní pravidla mezi jednotlivými segmenty.
  • Pro rozsáhlé sítě s mnoha VLAN používáme technologii VXLAN, která umožňuje přenášet VLAN tagy skrze celou naši WAN.

Bezpečnostní doporučení

V rámci kybernetické bezpečnosti dodržujeme: 

1. **VLAN 1:** Nikdy nepoužíváme výchozí VLAN 1 pro uživatelský provoz (riziko útoku VLAN Hopping).
2. **Nepoužité porty:** Všechny nepoužívané porty na switchích jsou standardně vypnuty a přiřazeny do "mrtvé" VLAN bez přístupu kamkoliv.
3. **Dynamické přiřazení:** Pomocí standardu 802.1X automaticky zařadíme uživatele do správné VLAN podle jeho přihlašovacích údajů.
Tip pro správce: Při potížích s konektivitou u IoT zařízení nejprve prověřte, zda je port na switchi správně nakonfigurován pro příslušné ID VLAN.

Související stránky: ZIF, VoIP, IoT zařízení, WAN, SD-WAN, Kybernetická bezpečnost, VXLAN

virtual_local_area_network.txt · Poslední úprava: autor: admin