Kā iestatīt virtuālo LAN (VLAN)

VLAN ir visur. Tos var atrast lielākajā daļā organizāciju ar pareizi konfigurētu tīklu. Ja tas nebūtu acīmredzams, VLAN nozīmē "virtuālais lokālais tīkls", un tie ir visuresoši jebkurā modernā tīklā, kas pārsniedz mazas mājas vai ļoti maza biroja tīkla izmēru.

Ir daži dažādi protokoli, no kuriem daudzi ir atkarīgi no pārdevēja, taču būtībā katrs VLAN darbojas vienādi un sniedz VLAN mēroga priekšrocības, palielinoties tīkla izmēram un organizācijas sarežģītībai.

Šīs priekšrocības ir liela daļa no tā, kāpēc visu izmēru profesionālie tīkli tik ļoti paļaujas uz VLAN. Patiesībā bez tiem būtu grūti pārvaldīt vai paplašināt tīklus.

VLAN priekšrocības un mērogojamība izskaidro, kāpēc tie ir kļuvuši tik plaši izplatīti mūsdienu tīkla vidēs. Būtu grūti pārvaldīt vai mērogot pat vidēji sarežģītus tīklus ar VLAN lietotāju.

Kas ir VLAN?

Labi, jūs zināt saīsinājumu, bet kas īsti ir VLAN? Pamatkoncepcijai jābūt zināmai ikvienam, kurš ir strādājis ar virtuālajiem serveriem vai tos izmantojis.

Uz mirkli padomājiet, kā darbojas virtuālās mašīnas. Vairāki virtuālie serveri atrodas vienā fiziskajā aparatūras daļā, kurā darbojas operētājsistēma un hipervizors, lai izveidotu un palaistu virtuālos serverus vienā fiziskajā serverī. Izmantojot virtualizāciju, jūs varat efektīvi pārvērst vienu fizisko datoru vairākos virtuālos datoros, no kuriem katrs ir pieejams atsevišķiem uzdevumiem un lietotājiem.

Virtuālie LAN darbojas tāpat kā virtuālie serveri. Viens vai vairāki pārvaldīti slēdži palaiž programmatūru (līdzīgi hipervizora programmatūrai), kas ļauj slēdžiem izveidot vairākus virtuālos slēdžus vienā fiziskajā tīklā.

Katrs virtuālais slēdzis ir savs autonoms tīkls. Galvenā atšķirība starp virtuālajiem serveriem un virtuālajiem LAN ir tā, ka virtuālos LAN var izplatīt vairākās fiziskās aparatūras daļās, izmantojot tam paredzētu kabeli, ko sauc par maģistrāli.

Kā tas strādā24 portu slēdzis

Iedomājieties, ka izmantojat tīklu augošam mazam uzņēmumam, pievienojat darbiniekus, sadalāt atsevišķos departamentos un kļūstat sarežģītāki un organizētāki.

Lai reaģētu uz šīm izmaiņām, jūs jauninājāt uz 24 portu slēdzi, lai pielāgotos jaunām ierīcēm tīklā.

Varat apsvērt iespēju katrai no jaunajām ierīcēm vienkārši palaist Ethernet kabeli un izsaukt uzdevumu izpildītu, taču problēma ir tā, ka failu krātuve un pakalpojumi, ko izmanto katra nodaļa, ir jātur atsevišķi. VLAN ir labākais veids, kā to izdarīt.

Slēdža tīmekļa saskarnē varat konfigurēt trīs atsevišķus VLAN — pa vienam katrai nodaļai. Vienkāršākais veids, kā tos sadalīt, ir portu numuri. Jūs varētu piešķirt portus 1-8 pirmajai nodaļai, piešķirt portus 9-16 otrajai nodaļai un visbeidzot piešķirt portus 17-24 g pēdējai nodaļai. Tagad esat sakārtojis savu fizisko tīklu trīs virtuālos tīklos.

Slēdža programmatūra var pārvaldīt trafiku starp klientiem katrā VLAN. Katrs VLAN darbojas kā savs tīkls un nevar tieši mijiedarboties ar citiem VLAN. Tagad katrai nodaļai ir savs mazāks, mazāk pārblīvēts un efektīvāks tīkls, un jūs varat tos visus pārvaldīt, izmantojot vienu un to pašu aparatūru. Tas ir ļoti efektīvs un ekonomisks veids, kā pārvaldīt tīklu.

Ja jums ir nepieciešams, lai nodaļas varētu mijiedarboties, varat likt tām to darīt, izmantojot tīkla maršrutētāju. Maršrutētājs var regulēt un kontrolēt trafiku starp VLAN un ieviest stingrākus drošības noteikumus.

Daudzos gadījumos departamentiem būs jāsadarbojas un jāsadarbojas. Jūs varat ieviest saziņu starp virtuālajiem tīkliem, izmantojot maršrutētāju, iestatot drošības noteikumus, lai nodrošinātu atbilstošu atsevišķu virtuālo tīklu drošību un privātumu.

VLAN pret apakštīklu

VLAN un apakštīkli patiesībā ir diezgan līdzīgi un veic līdzīgas funkcijas. Gan apakštīkli, gan VLAN sadala tīklus un apraides domēnus. Abos gadījumos mijiedarbība starp apakšnodaļām var notikt tikai caur maršrutētāju.

Atšķirības starp tām izpaužas to ieviešanas veidā un tajā, kā tās maina tīkla struktūru.

IP adreses apakštīkls

Apakštīkli pastāv OSI modeļa 3. slānī, tīkla slānī. Apakštīkli ir tīkla līmeņa konstrukcija, un tos apstrādā ar maršrutētājiem, organizējot IP adreses.

Maršrutētāji izdala IP adrešu diapazonus un vienojas par savienojumiem starp tiem. Tas visu tīkla pārvaldības slodzi uzliek maršrutētājam. Apakštīkli var arī kļūt sarežģīti, jo jūsu tīkla apjoms un sarežģītība palielinās.

VLAN

VLAN atrodas OSI modeļa 2. slānī. Datu saites līmenis ir tuvāks aparatūrai un mazāk abstrakts. Virtuālie LAN emulē aparatūru, kas darbojas kā atsevišķi slēdži.

Tomēr virtuālie LAN var sadalīt apraides domēnus bez nepieciešamības atkal izveidot savienojumu ar maršrutētāju, tādējādi noņemot daļu pārvaldības sloga no maršrutētāja.

Tā kā VLAN ir viņu pašu virtuālie tīkli, tiem ir jārīkojas tā, it kā tiem būtu iebūvēts maršrutētājs. Rezultātā VLAN satur vismaz vienu apakštīklu un var atbalstīt vairākus apakštīklus.

VLAN sadala tīkla slodzi un. vairāki slēdži var apstrādāt trafiku VLAN, neiesaistot maršrutētāju, padarot sistēmu efektīvāku.

VLAN priekšrocības

Tagad jūs jau esat redzējuši dažas priekšrocības, ko sniedz VLAN. Tikai pateicoties tam, ko viņi dara, VLAN ir vairāki vērtīgi atribūti.

VLAN palīdz nodrošināt drošību. Datplūsmas sadalīšana ierobežo visas iespējas nesankcionētai piekļuvei tīkla daļām. Tas arī palīdz apturēt ļaunprātīgas programmatūras izplatīšanos, ja tā nonāk tīklā. Potenciālie iebrucēji nevar izmantot tādus rīkus kā Wireshark, lai izlaistu paketes jebkurā vietā ārpus virtuālā LAN, tādējādi ierobežojot arī šos draudus.

Tīkla efektivitāte ir ļoti svarīga. Tas var ietaupīt vai izmaksāt uzņēmumam tūkstošiem dolāru, lai ieviestu VLAN. Apraides domēnu sadalīšana ievērojami palielina tīkla efektivitāti, ierobežojot vienlaikus saziņā iesaistīto ierīču skaitu. VLAN samazina nepieciešamību izvietot maršrutētājus tīklu pārvaldībai.

Bieži vien tīkla inženieri izvēlas izveidot virtuālos LAN katram pakalpojumam, nodalot svarīgu vai tīkla intensīvu trafiku, piemēram, Storage Area Network (SAN) vai Voice over IP (VOIP). Daži slēdži arī ļauj administratoram noteikt VLAN prioritāti, piešķirot vairāk resursu prasīgākai un kritiskai trafikai.

VLAN ir svarīgi

Būtu briesmīgi izveidot neatkarīgu fizisko tīklu, lai atdalītu trafiku. Iedomājieties sarežģīto kabeļu mudžekli, ar kuru jums būtu jācīnās, lai veiktu izmaiņas. Tas neko nenozīmē palielinātās aparatūras izmaksas un enerģijas patēriņu. Tas arī būtu mežonīgi neelastīgi. VLAN atrisina visas šīs problēmas, virtualizējot vairākus slēdžus vienā aparatūras daļā.

VLAN nodrošina lielu elastības pakāpi tīkla administratoriem, izmantojot ērtu programmatūras interfeisu. Pieņemsim, ka divas nodaļas maina birojus. Vai IT personālam ir jāpārvietojas pa aparatūru, lai pielāgotos izmaiņām? Nē. Viņi var vienkārši atkārtoti piešķirt slēdžu portus pareizajiem VLAN. Dažām VLAN konfigurācijām tas pat nebūtu vajadzīgs. Viņi dinamiski pielāgotos. Šiem VLAN nav nepieciešami piešķirti porti. Tā vietā tie ir balstīti uz MAC vai IP adresēm. Jebkurā gadījumā nav nepieciešama slēdžu vai kabeļu jaukšana. Daudz efektīvāk un izdevīgāk ir ieviest programmatūras risinājumu, lai mainītu tīkla atrašanās vietu, nevis pārvietot fizisko aparatūru.

Statiskie un dinamiskie VLAN

Ir divi VLAN pamatveidi, kas iedalīti kategorijās pēc veida, kā mašīnas ir savienotas ar tiem. Katram veidam ir stiprās un vājās puses, kas jāņem vērā, ņemot vērā konkrēto tīkla situāciju.

Statiskais VLAN

Statiskie VLAN bieži tiek saukti par portiem balstītiem VLAN, jo ierīces pievienojas, izveidojot savienojumu ar piešķirto portu. Šajā rokasgrāmatā kā piemēri līdz šim ir izmantoti tikai statiskie VLAN.

Izveidojot tīklu ar statiskiem VLAN, inženieris sadala slēdzi pa tā portiem un piešķir katru portu VLAN. Jebkura ierīce, kas izveido savienojumu ar šo fizisko portu, pievienosies šim VLAN.

Statiskie VLAN nodrošina ļoti vienkāršus un viegli konfigurējamus tīklus bez pārāk lielas paļaušanās uz programmatūru. Tomēr ir grūti ierobežot piekļuvi fiziskai atrašanās vietai, jo persona var vienkārši pievienoties. Statiskajiem VLAN arī ir nepieciešams tīkla administrators, lai mainītu portu piešķiršanu gadījumā, ja kāds tīklā maina fizisko atrašanās vietu.

Dinamiskais VLAN

Dinamiskie VLAN ir lielā mērā atkarīgi no programmatūras un nodrošina augstu elastības pakāpi. Administrators var piešķirt MAC un IP adreses konkrētiem VLAN, ļaujot neapgrūtināti pārvietoties fiziskajā telpā. Mašīnas dinamiskā virtuālajā LAN var pārvietoties jebkur tīklā un palikt tajā pašā VLAN.

Lai gan dinamiskie VLAN ir nepārspējami pielāgojamības ziņā, tiem ir daži nopietni trūkumi. Augstākās klases slēdzim ir jāuzņemas servera, kas pazīstams kā VLAN pārvaldības politikas serveris (VMPS (lai saglabātu un piegādātu adreses informāciju citiem tīkla slēdžiem). VMPS, tāpat kā jebkuram serverim, nepieciešama regulāra pārvaldība un apkope. un ir pakļauts iespējamai dīkstāvei.

Uzbrucēji var viltot MAC adreses un iegūt piekļuvi dinamiskiem VLAN, pievienojot vēl vienu iespējamo drošības izaicinājumu.

VLAN iestatīšana

Ko tev vajag

Ir daži pamata vienumi, kas jums ir nepieciešami, lai iestatītu VLAN vai vairākus VLAN. Kā minēts iepriekš, ir vairāki dažādi standarti, taču universālākais no tiem ir IEEE 802.1Q. Tas ir tas, kam šis piemērs sekos.

Maršrutētājs

Tehniski jums nav nepieciešams maršrutētājs, lai iestatītu VLAN, taču, ja vēlaties, lai mijiedarbotos vairāki VLAN, jums būs nepieciešams maršrutētājs.

Daudzi mūsdienu maršrutētāji kaut kādā veidā atbalsta VLAN funkcionalitāti. Mājas maršrutētāji var neatbalstīt VLAN vai atbalsta to tikai ierobežotā ietilpībā. Pielāgota programmaparatūra, piemēram, DD-WRT, to atbalsta pilnīgāk.

Runājot par pielāgotu, jums nav nepieciešams gatavs maršrutētājs, lai strādātu ar saviem virtuālajiem LAN. Pielāgota maršrutētāja programmaparatūra parasti ir balstīta uz Unix līdzīgu operētājsistēmu, piemēram, Linux vai FreeBSD, tāpēc varat izveidot savu maršrutētāju, izmantojot kādu no šīm atvērtā pirmkoda operētājsistēmām.

Visa jums nepieciešamā maršrutēšanas funkcionalitāte ir pieejama operētājsistēmai Linux, un jūs varat pielāgot Linux instalēšanas konfigurāciju, lai pielāgotu maršrutētāju atbilstoši jūsu īpašajām vajadzībām. Lai uzzinātu vairāk par funkcijām, skatiet pfSense. pfSense ir lielisks FreeBSD izplatījums, kas izveidots, lai būtu spēcīgs atvērtā koda maršrutēšanas risinājums. Tas atbalsta VLAN un ietver ugunsmūri, lai labāk nodrošinātu trafiku starp jūsu virtuālajiem tīkliem.

Neatkarīgi no izvēlētā maršruta pārliecinieties, vai tas atbalsta jums nepieciešamās VLAN funkcijas.

Pārvaldīts slēdzis

Slēdži ir VLAN tīkla pamatā. Viņi ir vieta, kur notiek burvība. Tomēr jums ir nepieciešams pārvaldīts slēdzis, lai izmantotu VLAN funkcionalitāti.

Lai lietas būtu augstākas, burtiski ir pieejami 3. slāņa pārvaldītie slēdži. Šie slēdži spēj apstrādāt noteiktu 3. slāņa tīkla trafiku un dažās situācijās var aizstāt maršrutētāju.

Ir svarīgi paturēt prātā, ka šie slēdži nav maršrutētāji un to funkcionalitāte ir ierobežota. 3. slāņa slēdži samazina tīkla latentuma iespējamību, kas var būt kritiska dažās vidēs, kur ir ļoti svarīgi, lai tīkls būtu ļoti zems.

Klientu tīkla interfeisa kartes (NIC)

NIC, ko izmantojat savās klientu iekārtās, jāatbalsta 802.1Q. Iespējams, ka viņi to dara, taču tas ir kaut kas, kas jāņem vērā, pirms virzīties uz priekšu.

Pamatkonfigurācija

Šeit ir grūtākā daļa. Ir tūkstošiem dažādu iespēju tīkla konfigurēšanai. Neviens ceļvedis nevar aptvert visus. Viņu pamatā gandrīz jebkuras konfigurācijas idejas ir vienādas, tāpat kā vispārējais process.

Maršrutētāja iestatīšana

Varat sākt darbu vairākos dažādos veidos. Varat pievienot maršrutētāju katram slēdzim vai katram VLAN. Ja izvēlaties tikai katru slēdzi, jums būs jākonfigurē maršrutētājs, lai atšķirtu trafiku.

Pēc tam varat konfigurēt maršrutētāju, lai tas apstrādātu caurlaides trafiku starp VLAN.

Slēdžu konfigurēšana

VLAN ir nepieciešami slēdži

Pieņemot, ka tie ir statiski VLAN, varat ievadīt slēdža VLAN pārvaldības utilītu, izmantojot tā tīmekļa saskarni, un sākt piešķirt portus dažādiem VLAN. Daudzi slēdži izmanto tabulas izkārtojumu, kas ļauj pārbaudīt portu opcijas.

Ja izmantojat vairākus slēdžus, piešķiriet vienu no portiem visiem saviem VLAN un iestatiet to kā maģistrālo portu. Dariet to katrā slēdžā. Pēc tam izmantojiet šos portus, lai izveidotu savienojumu starp slēdžiem un izplatītu savus VLAN starp vairākām ierīcēm.

Klientu savienošana

Visbeidzot, klientu piesaistīšana tīklā ir diezgan pašsaprotami. Savienojiet klientu iekārtas ar portiem, kas atbilst tiem VLAN, kuros vēlaties tos izmantot.

VLAN mājās

Pat ja to var neuzskatīt par loģisku kombināciju, VLAN faktiski ir lielisks pielietojums mājas tīkla telpā, viesu tīklos. Ja nevēlaties izveidot WPA2 Enterprise tīklu savās mājās un individuāli izveidot pieteikšanās akreditācijas datus saviem draugiem un ģimenei, varat izmantot VLAN, lai ierobežotu viesu piekļuvi failiem un pakalpojumiem jūsu mājas tīklā.

Daudzi augstākās klases mājas maršrutētāji un pielāgota maršrutētāju programmaparatūra atbalsta pamata VLAN izveidi. Varat iestatīt viesa VLAN ar savu pieteikšanās informāciju, lai jūsu draugi varētu savienot savas mobilās ierīces. Ja jūsu maršrutētājs to atbalsta, viesu VLAN ir lielisks papildu drošības slānis, lai novērstu jūsu drauga vīrusu pārņemto klēpjdatoru, lai sabojātu jūsu tīro tīklu.