VLAN dla głosu

Większość dostawców rozwiązań telefonii IP rekomenduje odseparowanie ruchu głosowego VoIP oraz regularnej transmisji danych. Oczywiście można wydzielić odrębną infrastrukturę fizyczną wyłącznie dla telefonii IP. W większości wdrożeń sieć głosowa koegzystuje w jednej sieci fizycznej z siecią transmisji danych. Jeżeli obie sieci mają bezpośrednią styczność, pojawią się naruszenia bezpieczeństwa telefonii IP. Przykładem takiego naruszenia może być możliwość podsłuchania rozmowy. Rozwiązaniem może być odseparowanie sieci głosowej od sieci transmisji danych za pomocą VLAN. Wówczas urządzenia VoIP nie mają dostępu do ruchu danych. Łatwiej także jest wprowadzić niezależne serwery do obsługi telefonii IP (DHCP, TFTP), ponieważ telefonia IP jest realizowana w niezależnej sieci.

Część producentów sprzętu do telefonii IP wprowadziło pojęcie głosowego VLAN (Voice VLAN). Tego typu rozwiązanie rozpoznaje przyłączenie telefonu do przełącznika i automatycznie przypisuje odpowiedni VLAN, a także QoS. Jeżeli wykorzystujemy mechanizm VLAN do odseparowania ruchu głosowego, znacznie łatwiejsze jest zrealizowanie zarządzania jakością pakietów QoS. Nie musimy określać zakresów portów TCP czy UDP, które wykorzystuje ruch głosowy, ponieważ możemy definiować QoS na podstawie Voice VLAN. Wszystkie pakiety z tej sieci automatycznie mają przypisany określony priorytet.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Cyberobrona? Mamy w planach

Konfiguracja VLAN będzie także niezbędna w przypadku, gdy telefon będzie posiadał port do przyłączenia komputera. Taka konfiguracja jest bardzo często stosowana w przypadku, gdy zamierzamy wykorzystać sieć z niewielką liczbą gniazd sieciowych na potrzeby telefonii IP. Komputer poprzez przełącznik umiejscowiony w telefonie może uzyskać dostęp do sieci. Telefon jest przyłączony jednym kablem do sieci, którym transmitowane są dane pochodzące zarówno do telefonii, jak i komputera. Powstaje pytanie, w jaki sposób zapewnić odseparowanie ruchu telefonu IP od komputera? Pomiędzy telefonem a portem przełącznika powinno zostać uruchomione połączenie typ trunk. Telefon powinien znakować pakiety głosowe odpowiednim VLAN-em lub przełącznik może rozpoznawać ruch z telefonu i przydzielać znaczniki automatycznie. Komputer powinien przesyłać nieznaczony ruch bez zmian. W ten sposób przełącznik będzie mógł potraktować inaczej ruch pochodzący z telefonu i oznakowany odpowiednim VLAN-em niż nieoznakowany ruch z komputera. Uzyskujemy separację sieci. Problemem w tym przypadku jest możliwość wykonania ataku VLAN Hopping.

VLAN a WLAN

Sieci bezprzewodowe w rozwiązaniach zaawansowanych pozwalają na obsługę 802.1Q. Punkt dostępowy WLAN lub infrastruktura realizowana przez kontroler sieci bezprzewodowej bardzo często ma możliwość stworzenia wielu wirtualnych sieci bezprzewodowych. Wirtualne sieci bezprzewodowe mogą być odseparowane z wykorzystaniem VLAN. Przy wykorzystaniu 802.1Q, można zamapować ruch bezprzewodowy na wiele różnych sieci VLAN oraz przypisać priorytety, zgodne ze standardem 802.1p. Poszczególne wirtualne sieci bezprzewodowe mogą charakteryzować się różnym poziomem bezpieczeństwa. Przykładowo możemy utworzyć słabo zabezpieczoną sieć dla gości i kilka sieci z większym poziomem bezpieczeństwa dla pracowników.

W takiej konfiguracji punkty dostępowe powinny posiadać móc znakować pakiety odpowiednimi VLAN od użytkowników przyłączonych do określonych sieci bezprzewodowych (SSID). Punkty dostępowe następnie przekazują oznakowane pakiety do kontrolera sieci bezprzewodowej, gdzie następują procesy uwierzytelniania, kontroli dostępu oraz przydział mechanizmów QoS w zależności od konfiguracji. Ważny jest fakt, że wszystkie wirtualne sieci dzięki VLAN korzystają z tych samych zasobów fizycznych, czyli jednej sieci bezprzewodowej.

W szczegółach wygląda to następująco – każdy punkt dostępowy może być skonfigurowany do wykorzystywania wielu SSID. Po stronie przewodowej punkt dostępowy realizuje połączenie typu trunk do przełącznika (kontrolera sieci bezprzewodowej). Po stronie radiowej punktu dostępowego transmisja odbywa się na jednej częstotliwości, niezależnie od SSID i VLAN. Każdy indywidualny SSID wspierany przez punkt dostępowy współdzieli te same zasoby radiowe. VLAN separuje sieci bezprzewodowe po stronie sieci przewodowej.