Kako nastaviti navidezni LAN (VLAN)

VLAN-i so povsod. Najdete jih v večini organizacij s pravilno konfiguriranim omrežjem. Če to ni bilo očitno, VLAN pomeni »virtualno lokalno omrežje« in so povsod prisotni v katerem koli sodobnem omrežju, ki presega velikost majhnega domačega ali zelo majhnega pisarniškega omrežja.

Obstaja nekaj različnih protokolov, od katerih so mnogi specifični za proizvajalca, vendar v svojem bistvu vsak VLAN počne enako in koristi obsega VLAN, saj vaše omrežje raste po velikosti in organizacijski kompleksnosti.

Te prednosti so velik del tega, zakaj se profesionalna omrežja vseh velikosti tako močno zanašajo na VLAN. Pravzaprav bi bilo težko upravljati ali povečati omrežja brez njih.

Prednosti in razširljivost VLAN-ov pojasnjujejo, zakaj so postali tako vseprisotni v sodobnih omrežnih okoljih. Z uporabnikom VLAN bi bilo težko upravljati ali obsegati celo zmerno zapletena omrežja.

Kaj je VLAN?

V redu, torej poznate kratico, toda kaj pravzaprav je VLAN? Osnovni koncept bi moral biti znan vsem, ki so delali ali uporabljali virtualne strežnike.

Za trenutek pomislite, kako delujejo virtualni stroji. Več virtualnih strežnikov je znotraj enega fizičnega kosa strojne opreme, ki izvaja operacijski sistem in hipervizor za ustvarjanje in zagon navideznih strežnikov na enem fizičnem strežniku. Z virtualizacijo lahko en sam fizični računalnik učinkovito spremenite v več virtualnih računalnikov, od katerih je vsak na voljo za ločena opravila in uporabnike.

Navidezni LAN-ji delujejo na približno enak način kot navidezni strežniki. Eno ali več upravljanih stikal poganja programsko opremo (podobno programski opremi za hipervizor), ki stikalom omogoča ustvarjanje več virtualnih stikal znotraj enega fizičnega omrežja.

Vsako navidezno stikalo je lastno samostojno omrežje. Glavna razlika med navideznimi strežniki in navideznimi LAN-ji je v tem, da se lahko navidezna LAN-ja porazdelijo po več fizičnih delih strojne opreme z določenim kablom, imenovanim prtljažnik.

Kako deluje24-portno stikalo

Predstavljajte si, da vodite mrežo za rastoče malo podjetje, dodajate zaposlene, se delite na ločene oddelke in postajate bolj zapleteni in organizirani.

Da bi se odzvali na te spremembe, ste nadgradili na 24-vratno stikalo, da bi lahko prilagodili nove naprave v omrežju.

Morda bi razmislili o tem, da bi na vsako novo napravo zagnali kabel ethernet in poklicali opravilo, vendar je težava v tem, da je treba shranjevanje datotek in storitve, ki jih uporablja vsak oddelek, hraniti ločeno. VLAN so najboljši način za to.

V spletnem vmesniku stikala lahko konfigurirate tri ločena omrežja VLAN, enega za vsak oddelek. Najpreprostejši način za razdelitev je s številkami vrat. Prvemu oddelku lahko dodelite vrata 1-8, drugemu oddelku dodelite vrata 9-16 in na koncu dodelite vrata 17-24 g zadnjemu oddelku. Zdaj ste svoje fizično omrežje organizirali v tri virtualna omrežja.

Programska oprema na stikalu lahko upravlja promet med odjemalci v vsakem VLAN-u. Vsak VLAN deluje kot lastno omrežje in ne more neposredno komunicirati z drugimi VLAN-i. Zdaj ima vsak oddelek svoje manjše, manj obremenjeno in učinkovitejše omrežje, vse pa lahko upravljate z istim kosom strojne opreme. To je zelo učinkovit in stroškovno učinkovit način upravljanja omrežja.

Ko potrebujete, da lahko oddelki komunicirajo, jih lahko omogočite prek usmerjevalnika v omrežju. Usmerjevalnik lahko regulira in nadzoruje promet med VLAN-i ter uveljavlja strožja varnostna pravila.

V mnogih primerih bodo morali oddelki sodelovati in sodelovati. Komunikacijo med virtualnimi omrežji lahko izvajate prek usmerjevalnika, pri čemer nastavite varnostna pravila, da zagotovite ustrezno varnost in zasebnost posameznih virtualnih omrežij.

VLAN proti podomrežju

VLAN in podomrežja so pravzaprav precej podobna in opravljajo podobne funkcije. Tako podomrežja kot VLAN delijo omrežja in oddajne domene. V obeh primerih se lahko interakcija med podrazdelki zgodi le prek usmerjevalnika.

Razlike med njimi so v obliki njihove izvedbe in v tem, kako spreminjajo strukturo omrežja.

Podomrežje naslova IP

Podomrežja obstajajo na nivoju 3 modela OSI, omrežni plasti. Podomrežja so konstrukcija na ravni omrežja in jih upravljajo usmerjevalniki, ki se organizirajo okoli naslovov IP.

Usmerjevalniki izrezujejo obsege naslovov IP in se pogajajo o povezavah med njimi. To nalaga ves stres upravljanja omrežja na usmerjevalnik. Podomrežja se lahko zapletejo tudi, ko se vaše omrežje povečuje po velikosti in zapletenosti.

VLAN

VLAN najdejo svoj dom na nivoju 2 modela OSI. Raven podatkovne povezave je bližje strojni opremi in manj abstraktna. Navidezni LAN-ji posnemajo strojno opremo, ki deluje kot posamezna stikala.

Vendar pa lahko navidezni LAN-ji razbijejo oddajne domene, ne da bi se morali znova povezati z usmerjevalnikom, s čimer se z usmerjevalnika odvzame del bremena upravljanja.

Ker so VLAN njihova lastna navidezna omrežja, se morajo obnašati nekako tako, kot da imajo vgrajen usmerjevalnik. Zaradi tega VLAN-i vsebujejo vsaj eno podomrežje in lahko podpirajo več podomrežij.

VLAN-i porazdelijo obremenitev omrežja in. več stikal lahko upravlja promet znotraj VLAN brez vključevanja usmerjevalnika, kar zagotavlja učinkovitejši sistem.

Prednosti VLAN

Do zdaj ste že videli nekaj prednosti, ki jih prinašajo VLAN. Samo zaradi tega, kar počnejo, imajo VLAN številne dragocene lastnosti.

VLAN-i pomagajo pri varnosti. Razdelitev prometa omejuje vsako priložnost za nepooblaščen dostop do delov omrežja. Pomaga tudi ustaviti širjenje zlonamerne programske opreme, če katera koli najde pot v omrežje. Potencialni vsiljivci ne morejo uporabiti orodij, kot je Wireshark, da bi izvohali pakete kjer koli zunaj navideznega LAN-a, v katerem so, kar omejuje tudi to grožnjo.

Učinkovitost omrežja je velika stvar. Podjetje lahko prihrani ali stane na tisoče dolarjev za implementacijo VLAN. Prekinitev oddajnih domen močno poveča učinkovitost omrežja z omejevanjem števila naprav, vključenih v komunikacijo naenkrat. VLAN zmanjša potrebo po uvajanju usmerjevalnikov za upravljanje omrežij.

Pogosto se omrežni inženirji odločijo za izgradnjo navideznih LAN-ov na podlagi posamezne storitve, pri čemer ločijo pomemben ali omrežno intenziven promet, kot je Storage Area Network (SAN) ali Voice over IP (VOIP). Nekatera stikala omogočajo tudi skrbniku, da da prednost VLAN-om, kar daje več virov zahtevnejšemu in manjkajočemu kritičnemu prometu.

VLAN-i so pomembni

Bilo bi grozno, da bi morali zgraditi neodvisno fizično omrežje za ločevanje prometa. Predstavljajte si zapleteno prepletenost kablov, s katerimi bi se morali boriti za spremembe. To ne pomeni nič za povečane stroške strojne opreme in porabo energije. Bil bi tudi divje neprilagodljiv. VLAN-i rešujejo vse te težave z virtualizacijo več stikal na enem kosu strojne opreme.

VLAN-i zagotavljajo visoko stopnjo prilagodljivosti omrežnim skrbnikom prek priročnega programskega vmesnika. Recimo, da dva oddelka zamenjata pisarne. Ali se mora IT osebje premikati po strojni opremi, da se prilagodi spremembi? Ne. Lahko samo prerazporedijo vrata na stikalih pravilnim VLAN-om. Nekatere konfiguracije VLAN tega niti ne bi zahtevale. Dinamično se prilagajajo. Ti VLAN-i ne potrebujejo dodeljenih vrat. Namesto tega temeljijo na naslovih MAC ali IP. Kakorkoli že, premeščanje stikal ali kablov ni potrebno. Veliko bolj učinkovito in stroškovno učinkovito je implementirati programsko rešitev za spremembo lokacije omrežja kot premakniti fizično strojno opremo.

Statični vs. dinamični VLAN

Obstajata dve osnovni vrsti VLAN, razvrščeni glede na način, kako so stroji povezani z njimi. Vsaka vrsta ima prednosti in slabosti, ki jih je treba upoštevati glede na situacijo v omrežju.

Statični VLAN

Statični VLAN se pogosto imenujejo VLAN, ki temelji na vratih, ker se naprave pridružijo tako, da se povežejo na dodeljena vrata. Ta vodnik je doslej uporabljal le statične VLAN kot primere.

Pri vzpostavitvi omrežja s statičnimi VLAN-i bi inženir razdelil stikalo po njegovih vratih in vsaka vrata dodelil VLAN-u. Vsaka naprava, ki se poveže s temi fizičnimi vrati, se bo pridružila temu VLAN.

Statični VLAN zagotavljajo zelo enostavna in enostavna za konfiguriranje omrežij, ne da bi se preveč zanašali na programsko opremo. Vendar pa je težko omejiti dostop znotraj fizične lokacije, ker se posameznik lahko preprosto priključi. Statični VLAN zahtevajo tudi, da skrbnik omrežja spremeni dodelitve vrat, če nekdo v omrežju spremeni fizične lokacije.

Dinamični VLAN

Dinamični VLAN se močno zanašajo na programsko opremo in omogočajo visoko stopnjo prilagodljivosti. Skrbnik lahko dodeli naslove MAC in IP posebnim VLAN-om, kar omogoča neobremenjeno gibanje v fizičnem prostoru. Stroji v dinamičnem virtualnem LAN-u se lahko premikajo kamor koli znotraj omrežja in ostanejo v istem VLAN-u.

Čeprav so dinamični VLAN-i neprekosljivi v smislu prilagodljivosti, imajo nekaj resnih pomanjkljivosti. Stikalo višjega razreda mora prevzeti vlogo strežnika, znanega kot strežnik politike upravljanja VLAN (VMPS( za shranjevanje in dostavo naslovnih informacij drugim stikalom v omrežju. VMPS, tako kot vsak strežnik, zahteva redno upravljanje in vzdrževanje in je predmet možnih izpadov.

Napadalci lahko ponaredijo naslove MAC in pridobijo dostop do dinamičnih omrežij VLAN, kar predstavlja še en potencialni varnostni izziv.

Nastavitev VLAN

Kaj rabiš

Obstaja nekaj osnovnih elementov, ki jih potrebujete za nastavitev VLAN ali več VLAN. Kot smo že omenili, obstaja več različnih standardov, vendar je najbolj univerzalen IEEE 802.1Q. To je tisti, ki mu bo sledil ta primer.

Usmerjevalnik

Tehnično gledano ne potrebujete usmerjevalnika za nastavitev VLAN-a, če pa želite interakcijo več VLAN-ov, boste potrebovali usmerjevalnik.

Številni sodobni usmerjevalniki v takšni ali drugačni obliki podpirajo funkcionalnost VLAN. Domači usmerjevalniki morda ne podpirajo VLAN-a ali pa ga podpirajo le v omejeni zmogljivosti. Vdelana programska oprema po meri, kot je DD-WRT, jo temeljiteje podpira.

Ko že govorimo o meri, za delo z vašimi navideznimi LAN-ji ne potrebujete običajnega usmerjevalnika. Vdelana programska oprema usmerjevalnika po meri običajno temelji na operacijskem sistemu, podobnem Unixu, kot sta Linux ali FreeBSD, tako da lahko zgradite svoj usmerjevalnik s katerim koli od teh odprtokodnih operacijskih sistemov.

Vse funkcije usmerjanja, ki jih potrebujete, so na voljo za Linux, namestitev Linuxa pa lahko konfigurirate po meri, da prilagodite usmerjevalnik tako, da bo ustrezal vašim posebnim potrebam. Za nekaj, kar je bolj popolno, poiščite pfSense. pfSense je odlična distribucija FreeBSD, zgrajena kot robustna odprtokodna rešitev za usmerjanje. Podpira omrežja VLAN in vključuje požarni zid za boljšo zaščito prometa med vašimi virtualnimi omrežji.

Ne glede na to, katero pot izberete, se prepričajte, da podpira funkcije VLAN, ki jih potrebujete.

Upravljano stikalo

Stikala so v središču omrežja VLAN. Oni so tam, kjer se zgodi čarovnija. Vendar pa potrebujete upravljano stikalo, da lahko izkoristite funkcionalnost VLAN.

Če želite stvari dvigniti na višjo raven, so dobesedno na voljo upravljana stikala 3. ravni. Ta stikala so sposobna obvladati nekaj omrežnega prometa na ravni 3 in lahko v nekaterih situacijah nadomestijo usmerjevalnik.

Pomembno je upoštevati, da ta stikala niso usmerjevalniki in da je njihova funkcionalnost omejena. Stikala 3. sloja zmanjšajo verjetnost omrežne zamude, ki je lahko kritična v nekaterih okoljih, kjer je ključnega pomena imeti omrežje z zelo nizko zamudo.

Odjemalske omrežne kartice (NIC)

NIC, ki jih uporabljate na svojih odjemalskih računalnikih, morajo podpirati 802.1Q. Verjetno je, da, vendar je nekaj, kar je treba preučiti, preden gremo naprej.

Osnovna konfiguracija

Tukaj je najtežji del. Obstaja na tisoče različnih možnosti, kako lahko konfigurirate svoje omrežje. Noben vodnik ne more zajeti vseh. V njihovem srcu so ideje za skoraj vsako konfiguracijo enake, prav tako pa je tudi splošni proces.

Nastavitev usmerjevalnika

Začnete lahko na več različnih načinov. Usmerjevalnik lahko povežete z vsakim stikalom ali vsakim VLAN. Če se odločite samo za vsako stikalo, boste morali usmerjevalnik konfigurirati za razlikovanje prometa.

Nato lahko usmerjevalnik konfigurirate tako, da upravlja prenos prometa med VLAN-i.

Konfiguriranje stikal

VLAN potrebujejo stikala

Ob predpostavki, da so to statična omrežja VLAN, lahko vstopite v pripomoček za upravljanje VLAN stikala prek njegovega spletnega vmesnika in začnete dodeljevati vrata različnim omrežjem VLAN. Številna stikala uporabljajo postavitev tabele, ki vam omogoča, da označite možnosti za vrata.

Če uporabljate več stikal, dodelite eno od vrat vsem vašim VLAN-om in ga nastavite kot vrata prtljažnika. To storite na vsakem stikalu. Nato uporabite ta vrata za povezavo med stikali in razširite svoje VLAN-je na več naprav.

Povezovanje odjemalcev

Končno je pridobivanje strank v omrežju precej samoumevno. Svoje odjemalske stroje povežite z vrati, ki ustrezajo VLAN-om, na katerih jih želite.

VLAN doma

Čeprav morda ne velja za logično kombinacijo, imajo VLAN-i dejansko odlično uporabo v domačem omrežnem prostoru, omrežjih za goste. Če ne želite vzpostaviti omrežja WPA2 Enterprise v vašem domu in individualno ustvariti poverilnice za prijavo za svoje prijatelje in družino, lahko uporabite omrežja VLAN, da omejite dostop vaših gostov do datotek in storitev v vašem domačem omrežju.

Številni domači usmerjevalniki višjega razreda in strojna programska oprema usmerjevalnikov po meri podpirajo ustvarjanje osnovnih VLAN-jev. VLAN za goste lahko nastavite z lastnimi podatki za prijavo, da omogočite svojim prijateljem, da povežejo svoje mobilne naprave. Če vaš usmerjevalnik to podpira, je gostujoči VLAN odlična dodatna varnostna plast, ki preprečuje, da bi prenosnik vašega prijatelja, prepreden z virusi, pokvaril vaše čisto omrežje.