Перейти к содержимому

VLAN в компьютерном клубе

Опубликовано: · Обновлено: (13 дней назад)· IZI Team

VLAN (Virtual Local Area Network) — это виртуальная локальная сеть: логическое разделение одной физической кабельной инфраструктуры на несколько изолированных сегментов. Устройства в разных VLAN не видят друг друга напрямую — трафик между ними проходит только через маршрутизатор, который и решает, кому что разрешено. В контексте компьютерного клуба VLAN решает три практические задачи: изолирует гостевой Wi-Fi от игровых ПК (иначе телефоны клиентов конкурируют с игровым трафиком за полосу канала), защищает кассы и платёжные терминалы от доступа из игровой зоны, и отделяет NAS с образами IZI Boot от гостевого сегмента. Для работы VLAN нужен управляемый коммутатор (managed switch) с поддержкой стандарта 802.1Q. Подробная схема с рекомендуемыми сегментами и настройкой trunk/access-портов разобрана в Сетевой архитектуре клуба.

Без сетевой изоляции один гость, смотрящий видео на телефоне, может увеличить пинг всему залу — потому что гостевой и игровой трафик делят одну полосу без каких-либо приоритетов. VLAN в связке с QoS (приоритизацией трафика) решает это архитектурно: игровые ПК получают гарантированный приоритет, гостевая сеть работает с ограниченной полосой, и ни одна сторона не мешает другой.

Вторая задача — безопасность. Касса с IZI CRM и платёжный терминал не должны быть в одном L2-сегменте с игровыми ПК. Это минимальное требование любого аудита PCI DSS, если клуб принимает карточные платежи через платёжный терминал.

VLANНазначениеЧто подключеноДоступ в интернет
VLAN 10Игровая зонаИгровые ПК залаПолный
VLAN 20УправлениеКассы, ПК администратора, NASПолный
VLAN 30Гостевой Wi-FiТелефоны и ноутбуки клиентовС ограничением полосы
VLAN 40Платёжные терминалыплатёжный терминалы, эквайрингТолько HTTPS к платёжным шлюзам

Для небольшого клуба до 15 ПК без управляемого коммутатора минимальная изоляция достигается через опцию «Client Isolation» на точке доступа Wi-Fi — она запрещает устройствам гостевой сети видеть друг друга и соседние сегменты. Полного контроля полосы это не даёт, но базовую изоляцию обеспечивает.

IZI Boot разворачивает эталонный образ диска на ПК по сети. Скорость этого процесса напрямую зависит от того, в каком сегменте находится NAS с образом. Рекомендуемая схема: NAS в VLAN 20 (управление), игровые ПК в VLAN 10. Маршрутизатор разрешает трафик между ними на уровне файлового протокола (SMB/NFS), при этом гостевой VLAN 30 к NAS доступа не имеет. Это даёт и безопасность, и гигабитную скорость восстановления без нагрузки на внешний канал.

Wake-on-LAN в IZI работает через агент MeshCentral, а не через прямую UDP-трансляцию. Это означает, что WoL-команда доходит до ПК через интернет-соединение агента, а не через широковещательный пакет в локальной сети. Благодаря этому Wake-on-LAN работает даже при VLAN-изоляции — агент держит постоянное соединение с MeshCentral-сервером и принимает команды независимо от того, в каком VLAN находится ПК.

  • Сетевая архитектура клуба — подробная схема VLAN, выбор коммутатора, расчёт полосы
  • Сеть клуба: как настроить под IZI — практические требования к сети для IZI
  • NAS — сетевое хранилище для образов IZI Boot
  • QoS — приоритизация трафика между сегментами
  • IZI Boot — как NAS и сегментация влияют на восстановление ПК
  • DHCP — статические адреса и резервации для игровых ПК

Частые вопросы

Что такое VLAN?

VLAN (Virtual Local Area Network) — виртуальная локальная сеть. Это логическое разделение одной физической сети на несколько изолированных сегментов внутри одного управляемого коммутатора. Устройства в разных VLAN не видят друг друга без явного разрешения маршрутизатора.

Зачем VLAN в компьютерном клубе?

Три основных задачи: (1) изолировать гостевой Wi-Fi, чтобы телефоны клиентов не конкурировали с игровыми ПК за полосу; (2) защитить кассы и платёжные терминалы от игровой сети; (3) вынести NAS с образами IZI Boot в отдельный сегмент без прямого доступа гостей.

Обязателен ли VLAN для работы IZI?

Нет. IZI работает и без VLAN. Но без сегментации гостевой трафик конкурирует с игровым на одном канале, гости в одном L2-сегменте потенциально видят игровые ПК, а платёжные терминалы не защищены от игровой сети. VLAN закрывает эти проблемы архитектурно.

Нужен ли специальный коммутатор для VLAN?

Да, нужен управляемый (managed) коммутатор с поддержкой 802.1Q. Неуправляемые коммутаторы VLAN не поддерживают. Для небольшого клуба до 15 ПК минимальная изоляция достигается через отдельный SSID с опцией Client Isolation на точке доступа — без управляемого коммутатора.

Как VLAN соотносится с IZI Boot?

NAS с образами IZI Boot рекомендуется размещать в том же VLAN, что и игровые ПК (или в выделенном сегменте управления), чтобы гигабитная связь шла без маршрутизации через шлюз. Это напрямую влияет на скорость восстановления диска — 15–30 мин вместо часов.