5.3 וילאנים הרצאה

חלוקת רשת החברה ליחידות לוגיות קטנות

חלוקת רשת הארגון ליחידות לוגיות קטנות, שנקראות VLANs (Virtual Local Area Networks), היא טכניקת ניהול רשת שמאפשרת ליצור רשתות פנימיות נפרדות בתוך הרשת הארגונית מבלי צורך בהתקנה פיזית של ציוד נוסף. פרקטיקה זו מאפשרת להפריד בין תחומים שונים ברשת בצורה גמישה ויעילה, ובכך לשפר את ניהול הרשת, האבטחה והביצועים.

מהו VLAN ואיך נעשה הפרדה של VLANים בחברה

טכניקת VLAN הוא טכניקת ניתוב רשת המאפשרת ליצור רשתות לוגיות, כלומר קבוצות של מחשבים שמחוברים באופן וירטואלי מבלי שיהיו קשורים פיזית או גיאוגרפית. כל VLAN משמשת כ"ערוץ" משלה ברשת, שבו כל המחשבים שייכים לאותה קבוצת עבודה או תחום. ההגדרה של VLAN לא מחייבת ששרתים או מחשבים פיזיים יהיו באותו מקום פיזי, אלא שהן יכולים להיות פרוסים על פני חיבורים שונים או אפילו בחדרים שונים במשרד.

לכל VLAN יש מזהה ייחודי (ID), וההגדרה שלה מתבצעת דרך Switches (מפסים) ברשת הארגונית. ברגע שנוצרים VLANים, המפסים (Switches) אחראיים לנהל את התעבורה בין המחשבים הנמצאים בתוך כל VLAN ובין VLANים שונים.

איך מתבצע תהליך ההפרדה של VLANים?

1. יצירת VLANים: כל מחשב או מכשיר רשת מקבל זיהוי ייחודי (ID), שמתואם ל-VLAN הספציפי שאליו הוא שייך. לדוגמה, מחשבים במשרד השיווק יכולים להיות ב-VLAN אחד, בעוד שמחשבים במחלקת הנהלת חשבונות יהיו ב-VLAN אחר.

2. הגדרת VLANים על מפס (Switch): המפסים ברשת מאפשרים יצירה של VLANים ותחום את התעבורה בין המחשבים השייכים לכל VLAN. כל מפס יכול לתמוך בכמה VLANים, והוא אחראי לזהות את ה-VLAN של כל מכשיר ברשת.

3. חיבור בין VLANים: ברוב המקרים, VLANים שונים לא יכולים לתקשר ישירות אחד עם השני, אלא אם כן קיימת רוטינג (Routing) בין ה-VLANים. זה מתבצע דרך מכשיר שנקרא Router או Layer 3 Switch, המאפשר "לנתב" את התעבורה בין VLANים נפרדים.

4. הגדרה של ה-VLAN בשרתים ובמחשבים: כל מחשב או מכשיר ברשת מקבל הגדרה שתואמת את ה-VLAN שהוא שייך אליו. במקרים מסוימים, המכשירים מחוברים למפסים שמבצעים את ההתאמה באופן אוטומטי.

דוגמאות לשימוש ב-VLANים

1. הפרדה בין מחלקות בארגון: מחלקת מכירות, מחלקת רכש, ומחלקת הנהלת חשבונות יכולות להיות כל אחת ב-VLAN נפרד, כך שהתעבורה ברשת של כל מחלקה תהיה מבודדת מהמחלקות האחרות. לדוגמה:

   • VLAN 10: שיווק
   • VLAN 20: הנהלת חשבונות
   • VLAN 30: IT

   הדבר מאפשר ניהול יותר ממוקד של הרשת בכל מחלקה, וכולל אבטחה חזקה יותר שכן המידע בין המחלקות לא עובר דרך אותו הערוץ הפיזי.

2. הפרדת רשתות פנימיות ו-Guest: לארגונים שמספקים חיבור לאורחים, יש צורך להפריד את הרשת הפנימית של החברה מהגישה של האורחים. ניתן להקים VLAN ייעודי לאורחים, כך שהאורחים יוכלו להתחבר לרשת האינטרנט אך לא לגשת למידע פנימי של החברה. לדוגמה:

   • VLAN 100: רשת פנימית
   • VLAN 200: רשת אורחים

   זה יבטיח שהאורחים לא יוכלו לגשת לנתונים רגישים או לבצע התקפות על הרשת הפנימית.

3. הפרדה בין תעבורת וידאו ותעבורה עסקית רגילה: בחברות המשתמשות בוידאו קונפרנסינג או אפליקציות סטרימינג, ניתן להקים VLAN ייעודי לתעבורת הוידאו. הפרדה זו מאפשרת לוודא שהתעבורה הזו לא תשפיע על יתר השירותים העסקיים. לדוגמה:

   • VLAN 50: תעבורת וידאו
   • VLAN 10: תעבורה רגילה של הארגון
   • אבטחה לשירותים קריטיים: שירותים קריטיים כמו שרתים של מסד נתונים או שרתים פיננסיים יכולים להיות ב-VLAN נפרד עם גישה מאוד מוגבלת. כך, גם אם רשת אחרת ב-VLAN אחר תהיה פגיעה, לא ניתן יהיה לגשת בקלות למידע רגיש.

מה זה יתן לנו? יתרונות של VLAN

1. שיפור האבטחה: באמצעות VLANים, ניתן להפריד את תחומי הגישה ברשת ולהגביל את גישת העובדים למידע רגיש, מה שמפחית את הסיכון לגישה לא מורשית. כמו כן, אם יש תקלה או מתקפה בתוך VLAN אחד, היא לא תעבור אוטומטית ל-VLANים אחרים.

2. שיפור ביצועים: כל VLAN מבודדת את התעבורה של המכשירים שמחוברים אליה, מה שמפחית את העומס על הרשת ומייעל את הביצועים. אין חפיפות של תעבורה בין קבוצות מחשבים שונות, כך שהמערכת פועלת בצורה חלקה יותר.

3. גמישות בניהול הרשת: עם VLANים, ניתן לשנות את מבנה הרשת בקלות יחסית, מבלי להזדקק לשינוי פיזי של החומרה. לדוגמה, אפשר להעביר מחשבים ממחלקה למחלקה אחרת על ידי שינוי הגדרה ב-VLAN ולא נדרש להעביר את המחשבים פיזית או לבצע שינויים פיזיים ברשת.

4. הגבלת גישה למשאבים: עם VLANים, ניתן להחיל מדיניות גישה על כל קבוצת VLAN בהתאם לצרכים שלה. זה מאפשר לארגון לשלוט בצורה יותר ממוקדת על מי יכול לגשת לאיזה משאב ומה יכול להיבצע ברשת.

5. ניהול טוב יותר של רוחב הפס: באמצעות חלוקה ל-VLANים, ניתן לקבוע חוקים לגבי תעבורת רוחב פס בכל VLAN ולהגביל את השימוש במשאבים רגישים כמו חיבורי אינטרנט או שירותי ענן.

דוגמה לסיכום: נניח בארגון יש מחלקת מכירות שמבצעת גישה למשאבים מסוימים, מחלקת הנהלת חשבונות עם גישה למערכות פיננסיות, ומחלקת שיווק. כל מחלקה תקבל VLAN שונה, מה שיבטיח אבטחה גבוהה יותר, שיפור הביצועים וניהול גמיש של הרשת.