48. Виртуальные локальные сети.

Виртуальные локальные сети VLAN были созданы с одной единственной це­лью – предоставить администраторам возможность определять гибкие широкове­щательные домены с множеством коммутаторов.

С точки зрения перспектив быстродействия, идеальным вариантом является размещение часто общающихся друг с другом устройств в пределах одного широко­вещательного домена. Это вдвойне верно для тех систем, которые используют в сво­ей работе широковещательные протоколы типа NetBIOS или IPX SAP. Нередко быва­ет так, что физически разделенные между собой системы логически должны при­надлежать к одной подсети. Например, зарегистрированные пользователи могут сидеть на разных этажах, но обладать доступом к одному и тому же файлу или серве­ру печати. Виртуальные локальные сети предоставляют возможность группировать в широковещательный домен различные сетевые устройства без привязки к установ­ленным коммутатором границам подсети или, в некоторых случаях, без привязки к географическому местоположению. Правильно настроенная виртуальная сеть также способна оказать помощь в группировке ресурсов в соответствии с их функциональ­ностью и связанным с ними риском даже в том случае, если эти системы физически расположены на разных этажах здания, и не могут соединяться между собой посред­ством одного коммутатора.

Виртуальные сети часто применяются для определения на основе одного физи­ческого коммутатора множества виртуальных коммутаторов. Эта функция применя­ется в тех случаях, когда множество серверов должны находиться в относительной близости друг от друга, например, в условиях серверной площадки. Благодаря этой функции, один коммутатор способен управлять множеством виртуальных сетей, каждая из которых представляет свой широковещательный домен. Нередко исполь­зование виртуальных сетей для структурирования подсетей привлекательно с пози­ций освобождения от необходимости устанавливать в каждой подсети свой коммутатор. Появляется возможность добавления новых портов посредством простых изменений в конфигурации главного коммутатора без приобретения какого-либо до­полнительного оборудования. Очевидно, что использование одного-единственного коммутатора для реализации множества подсетей минимизирует количество уст­ройств, которые неизбежно нуждаются в поддержке и мониторинге. Гибкая природа настройки виртуальных сетей и обилие опций для внутри и межсетевых подсетей по умолчанию доступны в высококачественных реализациях VLAN. Все это делает вир­туальные сети крайне привлекательным средством для сетевых администраторов.

К сожалению, применение виртуальных сетей с целью определения границ зон безопасности менее надежно, чем использование для каждой подсети выделенных коммутаторов. Не очень надежная изоляция ресурсов при помощи VLAN порожда­ет ряд уязвимых мест в программных реализациях виртуальных сетей, а также лег­кость, с которой взломщик может преодолеть установленные виртуальной сетью границы в случае внесения нарушений в ее настройку.