«Разделяй и властвуй» или три рецепта по использованию VLANов

Одним из нововведений недавно вышедшей новой версии Kerio Control 7.4 является поддержка VLAN. Данная технология позволяет выполнить сегментацию сети на логическом уровне, не прибегая к кардинальным изменениям в оборудовании.

Как правило, администраторам сетей приходиться сталкиваться с решением типичного перечня задач, а именно:

  • обеспечение защиты информации;
  • оптимизация каналов для передачи больших объемов информации;
  • поддержка личных устройств пользователей, которые рано или поздно становятся узлами локальной сети, а значит и частью инфраструктуры предприятия.

Давайте рассмотрим, какую выгоду можно извлечь от задействования VLAN`ов.

Сценарий первый: Разделяя данные

Технология VLAN изначально проектировалась для обеспечения QoS путем уменьшения широковещательного (broadcast) трафика. Освободившуюся пропускную способность канала рациональнее использовать для нужд корпоративных служб и приложений.

В качестве примера возьмем VoIP трафик, доля которого постоянно возрастает за счет спроса на IP телефонию со стороны SMB.

Хорошим решением будет вынос всего VoIP оборудования в отдельный VLAN. Такой подход позволит улучшить производительность передачи голосовых пакетов. В результате мы получим улучшение качества звука, а также предотвратим возможные перебои связи.   

Сценарий второй: Разделяя пользователей

Безопасность и разграничение сетевого доступа являются нетривиальными, важными задачами. Порой физически разграничить пользователей не представляется возможным в виду ограничений, накладываемых размерами офисов SMB компаний.

Использование VLAN`ов позволяет разделить сетевой трафик пользователей, который могут находиться друг напротив друга.   Количество отдельных подсетей будет зависеть лишь от организации бизнес-процессов да фантазии ИТ-персонала.

Как правило, в целях безопасности сеть компании разделяют по отделам: отдельный VLAN для бухгалтерии, отдельный VLAN для маркетинга и т.д. Можно поступить и по-другому – выделить отдельный VLAN для систем, которые обрабатывают конфиденциальные данные.

Сценарий третий: Разделяя пользователей и данные

В некоторых случаях лучшим решением будет разделение, как пользователей, так и данных. С такой задачей чаще всего сталкиваются компании, которые имеют в составе своей сети «гостевые» точки доступа Wi-Fi. Отделить трафик важного гостя, который общается в соц. сети со своего персонального iPad, от трафика бизнес-приложений – это разумное желание, не только из соображений безопасности, но также ради лучшей производительности сети для нужд бизнеса.

Лучшей практикой в таком случае будет разделение сети на два сегмента – гостевой (внешний) и частный (внутренний). Это можно реализовать с помощью KerioControl (который будет выступать в роли VLANswitch) и двух беспроводных точек доступа. Каждая точка доступа подключается к отдельному VLAN`у. Таким образом, за счет разделения трафика между «внешним» и «внутренним» VLAN`ом, у нас появляется возможность применять разные политики к пользователям сети, в зависимости от принадлежности к конкретному VLAN`у. И поскольку это разные VLAN`ы – устройства гостей не будут иметь доступа к корпоративной сети, а значит будет в безопасности активов любого бизнеса – конфиденциальная информация.

По материалам: http://www.informationweek.com/smb/network/3-virtual-lan-tips-for-smbs/240115335

Tags: , , , , , ,

10 responses to “«Разделяй и властвуй» или три рецепта по использованию VLANов”

  1. Futsker says :

    А как так получилось, что керио со своими vpn-ами не умеет DHCP-Relay делать? Или мы не там искали?

    Like

  2. radetskiy says :

    Доброго времени суток!
    На данный момент такого функционала нет.
    Я могу оформить feature request разработчикам чтобы эту функцию добавили в следующее обновление.
    В этом плане Kerio весьма отзывчивый вендор.
    Отправьте, пожалуйста номер лицензии мне на почту (если тестировали на триалке, то ее регистрация занимает 3-5 минут).
    Для разработчиков также будет не лишним знать приблизительное кол-во лицензий, которое Вы бы хотели приобрести при условии, что функционал решения Вам подходит.

    Like

    • Futsker says :

      Смотрели триалку, даже две – моделировали работу филиала и главного офиса. Не регистрировали. Предполагаемое число пользователей около 150.

      Два Control-а связали по ipsec.
      Кроме отсутствия dhcp-relay (с этим еще как-то можно бороться, используя “умные свитчи” на филиале) всплыло досадное отсутствие возможности назначить туннель шлюзом по умолчанию с самой высокой метрикой и заворачивать весь филиальный трафик в этот туннель, а шлюзовать его на Control-е главного офиса, там же и фильтруя ip и http.
      Уверен, не многие компании с филиальной структурой согласятся прописывать и поддерживать правила фильтрации трафика и правила фильтрации контента по отдельности для каждого филиала.

      Like

      • radetskiy says :

        Спасибо за информацию.
        Я передам разработчикам, однако без логов и номеров триалок устранение этих проблем не будет эффективным.

        Like

      • radetskiy says :

        Информацию по DHCP Relay разработчикам передал.
        По поводу IPSec и маршрутов:
        Я могу ошибаться, но насколько помню IPSec не обеспечивает обмен маршрутной информации.
        Для протокола Kerio VPN (не IPSec) обмен маршрутами обеспечивался передачей другим узлам
        0.0.0.0 / 128.0.0.0
        128.0.0.0 / 128.0.0.0
        С IPSec я так не пробовал.
        Вас интересует схема роутинга трафика с филиалов в центральный офис по IPSec туннелю, верно?

        Like

      • radetskiy says :

        У меня большие сомнения в целесообразности роутинга локального трафика филиала в центр для “очистки”.
        Помня о реалиях нашей страны (медленные непостоянные каналы между филиалами) надежнее и быстрее фильтровать трафик на филиале, чем нагружать этим центральный офис.
        Из того, что можно реализовать на практике – создать бэкап конфига “центрального” Control`а, а затем использовать этот конфиг при развертывании на филиалах, корректируя сетевые параметры.
        Как только появится немного свободного времени – смогу проверить маршруты по IPSec и дать внятній ответ.

        Like

  3. Futsker says :

    Добрый,

    не согласен по-поводу отсутствия целесообразности гнать весь внешний трафик через главный офис.как минимум по нескольким причинам:

    1) Филиал может находиться в удаленном регионе, где есть разделение по скорости для зарубежного и украинского сегмента интернет – т.е. “Украина” быстрее и дешевле.

    2) Филиал может приобрести более дешевое скоростное подключение, попросив провайдера ограничить соединения только в сторону главного офиса (а-ля “транспорт”, а не “интернет”)

    3) Правила фильтрации HTTP и IP могут быть ну очень виттиеватыми, и будет очень трудоемко поддерживать такую филиальную структуру – ведь у Керио нет ни центральной консоли, ни кластеризации ни репликации. Если число пользователей достаточно большое, если изменения требований бизнеса достаточно динамичны, то поддержка такой структуры станет очень трудоемкой.

    Like

    • radetskiy says :

      Вопросы маршрутизации трафика через центральную площадку зависят от инфраструктуры и ТЗ заказчика.
      Мне чаще всего приходится сталкиваться с ситуацией, когда заказчик против роутинга филиального трафика в центр.

      ведь у Керио нет ни центральной консоли, ни кластеризации ни репликации

      Kerio изначально позиционирует свои решения для SMB сегмента.
      Если нужна кластеризация и центральная консоль – добро пожаловать в McAfee Web Gateway.

      т.е. “Украина” быстрее и дешевле.

      Хм, Вы себе немного противоречите.
      Как правило, заказчик, которому нужны “витиеватые правила фильтрации” и кластеризация не экономят на услугах ISP.
      Даже представители SMB в большинстве своем (я говорю о Киевской области) имеют безлимитный канал.
      Экономят разве-что на резервном канале.

      Филиал может приобрести более дешевое скоростное подключение

      Сомнительно, если мы говорим об украинских реалиях, то как правило у филиалов небогатый выбор провайдеров, а качество линий связи оставляет желать лучшего.
      Это, кстати, основная причина отказа от роутинга трафика через центр.

      Если число пользователей достаточно большое

      О каком ТЗ мы говорим?
      У Kerio Control на текущий момент действительно много чего нет, но внедрения для филиальных структур есть и не мало.
      Все зависит от ТЗ и инфраструктуры. Есть сценарии, когда Kerio достаточно, есть – иные.

      Like

  4. Sergey says :

    Не подскажете в KERIO до сих пор не появился DHCP RELAY?

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: