• Partner24 Sp. z o.o. | ul. Fordońska 87 | 85-719 Bydgoszcz
Strona główna / Technologie

Segmentacja lokalnej sieci komputerowej

Fizyczna sieć komputerowa może być podzielona na logiczne segmenty, gdzie ruch będzie odseparowany i możliwy jedynie wewnątrz określonego segmentu. Przydzielanie portów do poszczególnych wirtualnych sieci lokalnych odbywa się poprzez konfigurację przełącznika i jest możliwe jedynie dla urządzeń zarządzalnych. Przełączniki przekazują ruch unicastowy, multicastowy i broadcastowy tylko w ramach jednego segmentu sieci LAN. Poza izolacją segmentów sieci podejście to pozwala ograniczyć zalewanie portów przełącznika rozgłoszeniami z protokołów ARP i DHCP, które nigdy nie przekraczają granic sieci VLAN. Przekazywanie ruchu pomiędzy VLAN’ami możliwe jest przy zastosowaniu dodatkowych urządzeń sieciowych takich jak routery, firewalle, gdzie ruch ten może być monitorowany i filtrowany. Istnieje możliwość zastosowania przełączników sieciowych warstwy trzeciej tak zwanych L3, w tym wypadku przy wykorzystaniu odpowiednich reguł przełącznik może przekazywać ruch pomiędzy segmentami zgodnie z określoną polityką podobnie jak router. 

Wykorzystanie segmentacji podczas projektowania sieci komputerowej dla firm przynosi szereg korzyści. Najczęściej spotykana praktyka uwzględnia:

  • Ze względów bezpieczeństwa niektóre stacje robocze przynależne do określonych działów np. dział księgowości powinny być odseparowane od pozostałej części sieci komputerowej,
  • Komputery Gości naszej firmy powinny znaleźć się w osobnym VLAN’ie bez dostępu do wewnętrznych zasobów. Nowoczesne przełącznik mogą autoryzować stacje robocze na podstawie adresów MAC, czy protokoły EAP i przydzielać je do odpowiednich segmentów zgodnie z określoną polityką,
  • Wydzielony VLAN to także obowiązkowy element każdej strefy DMZ, ruch zewnętrzny nie powinien być łączony z ruchem wewnętrznym,
  • Osobny segment administracyjny dla urządzeń zarządzanych infrastruktury IT takich jak karty zarządzające do serwerów ILO, iDrac, porty zarządzające macierze dyskowych, przełączników, kontrolerów sieci bezprzewodowej,
  • Wydzielony segment dla ruchu NFS – w przypadku wykorzystania wirtualizacji i macierzy, które wspierają wyżej wymieniony protokół – możliwość zastosowania ramek jumboframe, zwiększających wydajność przesytu danych,
  • Wydzielenie segmentu dla telefonii VoIP – z racji potrzeby wdrożenia mechanizmów QoS, 
  • Wirtualizacja – Maszyny wirtualne hostowane na jednym fizycznym serwerze często muszą mieć odrębną adresację sieciową i być przypisane do osobnych segmentów sieci, wykorzystuje się wirtualizacje sieci lokalnych na poziomie hosta maszyny wirtualnej, sam host może być połączony z przełącznikiem jednym przewodem, ruch sieciowy przekazywany jest w tak zwanym trunku

Techniczne aspekty segmentacji sieci zostały opisane w standardzie  802.1q. 


Nasza firma świadczy usługi informatyczne dla firm w zakresie projektowania i budowy sieci komputerowych, podczas naszych prac wykorzystujemy technologie wirtualnych sieci lokalnych