В большинстве домашних сетей используется неструктурированная однородная сеть. В такой сети все устройства могут соединяться друг с другом. Зачастую, это прекрасное решение. Однако есть ситуации, когда лучше использовать виртуальные локальные сети или VLAN.
Такие сети работают как физически разделённые, однако используют один и тот же роутер и одно подключение к Интернету. Устройства, находящиеся в разных виртуальных сетях, могут взаимодействовать друг с другом, только если это разрешено конкретными правилами.
Чаще всего VLAN применяются в корпоративных сетях, но они также могут быть полезны и дома. Посмотрим, какие преимущества предоставляют виртуальные сети в домашней сети.
Отдельная сеть для детей
Если вы немного знакомы с VLAN, то вряд ли первое о чём вы подумали, это отдельная сеть для детей. Однако есть ряд весомых причин, по которым вам следует создать отдельную VLAN для устройств, которыми пользуются ваши дети.
Пока дети не выросли, вы должны защищать их, когда они выходят онлайн или просматривают Интернет. Есть немало сайтов, которые бы вы не хотели им показывать, присутствие детей в социальных сетях также надо регулировать.
С помощью применения VLAN можно настроить автоматическое переключение поисковой системы и YouTube в безопасный режим. Большинство роутеров также позволяют блокировать контент по определённым категориям. Другая возможность — настройка для детской подсети отдельного провайдера DNS, например, Яндекс DNS, который предлагает DNS-серверы с семейной защитой.
Ещё один аспект связан с присущим детям любопытством. Использование VLAN оградит их от щёлканья и тапанья, где не следует. Тем не менее, это не панацея, и дети должны быть информированы о спаме, потенциальной опасности скачиваний, фишинге в электронной почте и других типичных угрозах в Интернете.
Если устройство ребёнка всё-таки оказалось поражено вирусом или программой-вымогателем, это плохо само по себе. Однако вам бы не хотелось, чтобы зловред распространился по всей сети. Простейшая виртуальная сеть спасёт вас от большой головной боли.
Безопасность для устройств Интернета вещей и умного дома
Устройства умного дома достаточно распространены, а для управления им часто требуется доступ в Интернет. Проблемой с этими устройствами является то, что их часто забывают обновлять, или обновления безопасности предусмотрены только в течение первых нескольких лет.
Здесь кроется угроза. Если устройство умного дома скомпрометировано, потенциально, через него можно получить доступ ко всем устройствам в подсети. Для уменьшения подобной угрозы следует использовать VLAN, выделенную для устройств Интернета вещей и умного дома, которая имеет доступ только в Интернет.
Другая причина использования отдельной подсети для умного дома связана с настройками беспроводной сети. Дело в том, что IoT-устройства часто поддерживают протокол безопасности, не выше устаревшего WPA2. WPA3, представленный в 2018 году, предлагает лучшую безопасность и более простую настройку со стандартизированным механизмом внедрения средств безопасности Wi-Fi Easy Connect.
Настройка отдельной VLAN для IoT позволяет ограничить использование устаревшего WPA2 для беспроводных устройств Интернета вещей и умного дома. При этом, в основной сети будет закреплён протокол WPA3, повышающий безопасность остальных устройств.
Ещё одна причина — регулярная смена беспроводного пароля для интерактивных устройств (смартфонов, планшетов, ноутбуков). Необходимость ввода пароля заново также и в устройствах IoT значительно усложняет задачу его обновления. Отдельная подсеть избавляет вас от этого труда.
Гостевая сеть
Гостевая сеть также легко настраивается на множестве роутеров и часто используется. Идея, стоящая за отдельной VLAN для гостевой сети, достаточно прозрачна: произвольным устройствам с неизвестным статусом безопасности, возможно также, чем-то заражённым, нечего делать в общей сети.
Кроме того, для гостевой сети можно установить простой, легко запоминающийся, пароль. Вашим гостям будет проще подключиться и получить доступ к Интернету.
А наличие отдельных настроек пропускной способности и максимального времени соединения для VLAN открывает море возможностей для ограничения гостевых соединений. Например, можно разрешить гостевому устройству быть подключённым не более 8 ч, после чего оно отключится. Лимит пропускной способности не позволит гостевому устройству занять всю полосу пропускания, необходимую для основной сети.
Удалённая работа
Когда вы работаете из дома, зачастую бывает очень важен быстрый и стабильный Интернет. Особенно это касается частых созвонов, когда чёткую и стабильную видеосвязь можно обеспечить, только имея в распоряжении гарантированную полосу пропускания.
Вам бы меньше всего хотелось, чтобы во время ответственной видеоконференции кто-то из домочадцев занял всю полосу пропускания скачиванием тяжёлого обновления для игры.
Создав отдельную VLAN для работы, вы можете ограничить доступную полосу пропускания для основной сети, обеспечив себе гарантированную пропускную способность для созвонов.
Маршрутизация всего трафика подсети через VPN
Некоторые домашние роутеры могут работать в роли клиентов VPN по разным протоколам. Не нужно объяснять актуальность VPN для каких бы то ни было применений.
Вы можете настроить подключение всей сети к Интернету через клиент VPN на роутере. Также можно настроить прохождение через VPN трафика только для отдельных устройств, например, умного телевизора и сетевого проигрывателя, выделив их в отдельную VLAN.
Создание VLAN
Алгоритм создания VLAN зависит от конкретного роутера, но, в целом, схож для маршрутизаторов, использующихся в домашнем сегменте. В линейке UniFi есть целый набор устройств, поддерживающих настройку VLAN для сетей домохозяйства или малого бизнеса. Их фирменная черта — простота сетевой настройки и богатый функционал, включающий также функции семейной безопасности и VPN.
Заключение
Виртуальные сети не являются необходимым атрибутом домашней сети, однако если у вас есть возможность настройки VLAN, они могут улучшить как безопасность домашней сети, так и опыт её использования. Если у вас есть дети, точно имеет смысл потратиться на роутер с поддержкой VLAN. Это избавит вас от множества головняков, связанных с посещением детьми Интернета и их социальной активностью в Сети.
Даже если ваш роутер не позволяет создавать VLAN, попробуйте настроить безопасные DNS-серверы для всей сети.