VLAN-id on kõikjal. Need leiate enamikust õigesti konfigureeritud võrguga organisatsioonidest. Kui see pole ilmne, tähistab VLAN "virtuaalset kohtvõrku" ja neid leidub kõikjal igas kaasaegses võrgus, mis ei ületa väikese kodu või väga väikese kontorivõrgu suurust.
On mõned erinevad protokollid, millest paljud on müüjapõhised, kuid põhiolemuselt teeb iga VLAN sama asja ja VLAN-i skaala eeliseid, kui teie võrgu suurus ja organisatsiooniline keerukus kasvab.
Need eelised on suur osa sellest, miks igas suuruses professionaalsed võrgud VLAN-idele nii tugevalt toetuvad. Tegelikult oleks ilma nendeta raske võrke hallata või skaleerida.
VLAN-ide eelised ja mastaapsus selgitavad, miks need on tänapäevastes võrgukeskkondades nii üldlevinud. Isegi mõõdukalt keerukaid võrke oleks VLAN-ide kasutajaga keeruline hallata või skaleerida.
Mis on VLAN?
Okei, nii et teate lühendit, aga mis täpselt on VLAN? Põhikontseptsioon peaks olema tuttav kõigile, kes on virtuaalserveritega töötanud või neid kasutanud.
Mõelge korraks, kuidas virtuaalmasinad töötavad. Mitu virtuaalserverit asuvad ühes füüsilises riistvaraosas, mis töötab operatsioonisüsteemi ja hüperviisoriga, et luua ja käitada virtuaalservereid ühes füüsilises serveris. Virtualiseerimise abil saate tõhusalt muuta ühe füüsilise arvuti mitmeks virtuaalseks arvutiks, millest igaüks on saadaval erinevate ülesannete ja kasutajate jaoks.
Virtuaalsed kohtvõrgud töötavad samamoodi nagu virtuaalserverid. Üks või mitu hallatavat lülitit käitavad tarkvara (sarnaselt hüperviisori tarkvaraga), mis võimaldab lülititel luua ühes füüsilises võrgus mitu virtuaalset lülitit.
Iga virtuaalne lüliti on eraldiseisev võrk. Peamine erinevus virtuaalserverite ja virtuaalsete kohtvõrkude vahel on see, et virtuaalseid kohtvõrke saab jaotada mitme füüsilise riistvara vahel, kasutades selleks määratud kaablit, mida nimetatakse pagasiruumiks.
Kuidas see töötab
Kujutage ette, et juhite võrgustikku kasvava väikeettevõtte jaoks, lisate töötajaid, jagunete eraldi osakondadeks ning muutute keerukamaks ja organiseeritumaks.
Nendele muudatustele reageerimiseks läksite üle 24-pordilisele lülitile, et mahutada võrku uusi seadmeid.
Võiksite kaaluda lihtsalt Etherneti kaabli ühendamist iga uue seadmega ja ülesande lõpetamist, kuid probleem on selles, et iga osakonna failide salvestusruum ja teenused tuleb eraldi hoida. VLAN-id on selleks parim viis.
Switchi veebiliideses saate konfigureerida kolm eraldi VLAN-i, üks iga osakonna jaoks. Lihtsaim viis nende jagamiseks on pordi numbrite järgi. Sa võid määrata esimesele osakonnale pordid 1-8, teisele osakonnale pordid 9-16 ja lõpuks pordid 17-24 g viimasele osakonnale. Nüüd olete korraldanud oma füüsilise võrgu kolmeks virtuaalseks võrguks.
Switchi tarkvara saab hallata iga VLAN-i klientide vahelist liiklust. Iga VLAN toimib oma võrguna ega saa teiste VLAN-idega otse suhelda. Nüüd on igal osakonnal oma väiksem, vähem segane ja tõhusam võrk ning saate neid kõiki hallata sama riistvara abil. See on väga tõhus ja kulutõhus viis võrgu haldamiseks.
Kui vajate, et osakonnad saaksid suhelda, saate neid teha võrgus oleva ruuteri kaudu. Ruuter saab reguleerida ja juhtida liiklust VLAN-ide vahel ning jõustada tugevamaid turvareegleid.
Paljudel juhtudel peavad osakonnad koostööd tegema ja suhtlema. Saate rakendada ruuteri kaudu suhtlust virtuaalsete võrkude vahel, seades turvareeglid, et tagada üksikute virtuaalsete võrkude sobiv turvalisus ja privaatsus.
VLAN vs alamvõrk
VLAN-id ja alamvõrgud on tegelikult üsna sarnased ja täidavad sarnaseid funktsioone. Nii alamvõrgud kui ka VLAN-id jagavad võrke ja levidomeene. Mõlemal juhul saab alajaotuste vaheline suhtlus toimuda ainult ruuteri kaudu.
Erinevused nende vahel tulenevad nende rakendamisest ja sellest, kuidas need võrgu struktuuri muudavad.
IP-aadressi alamvõrk
Alamvõrgud eksisteerivad OSI mudeli 3. kihis ehk võrgukihis. Alamvõrgud on võrgutaseme konstruktsioon ja neid käsitletakse ruuteritega, korraldades IP-aadresside ümber.
Ruuterid eraldavad IP-aadresside vahemikke ja loovad nendevahelisi ühendusi. See asetab kogu võrguhalduse stressi ruuterile. Alamvõrgud võivad muutuda keeruliseks, kuna teie võrgu suurus ja keerukus suureneb.
VLAN
VLAN-id leiavad oma kodu OSI mudeli 2. kihilt. Andmeside tase on riistvarale lähemal ja vähem abstraktne. Virtuaalsed kohtvõrgud emuleerivad riistvara, mis toimib üksikute lülititena.
Kuid virtuaalsed kohtvõrgud suudavad leviedomeene lõhkuda, ilma et oleks vaja uuesti ruuteriga ühendust luua, vähendades sellega osa halduskoormust ruuterilt.
Kuna VLAN-id on nende endi virtuaalsed võrgud, peavad nad käituma mõneti nagu neil oleks sisseehitatud ruuter. Selle tulemusena sisaldavad VLAN-id vähemalt ühte alamvõrku ja võivad toetada mitut alamvõrku.
VLAN-id jaotavad võrgukoormust ja. mitu lülitit saavad VLAN-ides liiklust hallata ilma ruuterit kaasamata, muutes süsteemi tõhusamaks.
VLAN-ide eelised
Nüüdseks olete juba näinud mõnda eelist, mida VLAN-id lauale toovad. Juba tänu sellele, mida nad teevad, on VLAN-idel mitmeid väärtuslikke atribuute.
VLAN-id aitavad turvalisuse tagamisel. Liikluse eraldamine piirab volitamata juurdepääsu võrgu osadele. Samuti aitab see peatada ründetarkvara levikut, kui see peaks leidma tee võrku. Potentsiaalsed sissetungijad ei saa kasutada selliseid tööriistu nagu Wireshark, et nuusutada pakette mujal kui virtuaalses kohtvõrgus, piirates ka seda ohtu.
Võrgu tõhusus on suur asi. VLAN-ide kasutuselevõtt võib säästa või maksta ettevõttele tuhandeid dollareid. Edastusdomeenide purustamine suurendab oluliselt võrgu tõhusust, piirates korraga suhtluses osalevate seadmete arvu. VLAN vähendab võrkude haldamiseks ruuterite juurutamise vajadust.
Sageli otsustavad võrguinsenerid luua virtuaalsed kohtvõrgud teenusepõhiselt, eraldades olulise või võrgumahuka liikluse, näiteks salvestuspiirkonna võrk (SAN) või Voice over IP (VOIP). Mõned lülitid võimaldavad ka administraatoril VLAN-e prioriteediks seada, andes rohkem ressursse nõudlikumale ja puuduva kriitilise liikluse jaoks.
Oleks kohutav, kui oleks vaja ehitada liikluse eraldamiseks sõltumatu füüsiline võrk. Kujutage ette keerulist kaablite sasipundart, millega peaksite muudatuste tegemiseks võitlema. See ei tähenda midagi suurenenud riistvarakulude ja energiatarbimise kohta. See oleks ka metsikult paindumatu. VLAN-id lahendavad kõik need probleemid, virtualiseerides mitu lülitit ühel riistvaraosal.
VLAN-id pakuvad mugava tarkvaraliidese kaudu võrguadministraatoritele suurt paindlikkust. Oletame, et kaks osakonda vahetavad kontorit. Kas IT-töötajad peavad muudatusega kohanemiseks riistvaraga ringi liikuma? Ei. Nad saavad lihtsalt ümber määrata lülitite pordid õigetele VLAN-idele. Mõned VLAN-i konfiguratsioonid seda isegi ei nõuaks. Nad kohaneksid dünaamiliselt. Need VLAN-id ei vaja määratud porte. Selle asemel põhinevad need MAC- või IP-aadressil. Mõlemal juhul pole vaja lüliteid ega kaableid segada. Võrgu asukoha muutmiseks mõeldud tarkvaralahenduse juurutamine on palju tõhusam ja kulutõhusam kui füüsilise riistvara teisaldamine.
Staatilised vs dünaamilised VLAN-id
VLAN-e on kahte põhitüüpi, mis on kategoriseeritud selle järgi, kuidas masinad on nendega ühendatud. Igal tüübil on tugevad ja nõrgad küljed, mida tuleks konkreetse võrguolukorra põhjal arvesse võtta.
Staatiline VLAN
Staatilisi VLAN-e nimetatakse sageli pordipõhisteks VLAN-ideks, kuna seadmed ühinevad, luues ühenduse määratud pordiga. Selles juhendis on seni näidetena kasutatud ainult staatilisi VLAN-e.
Staatiliste VLAN-idega võrgu seadistamisel jagab insener lüliti selle portide kaupa ja määrab iga pordi VLAN-ile. Kõik selle füüsilise pordiga ühenduses olevad seadmed liituvad selle VLAN-iga.
Staatilised VLAN-id pakuvad väga lihtsaid ja hõlpsasti konfigureeritavaid võrke ilma liigse tarkvarale sõltumata. Juurdepääsu piiramine füüsilises asukohas on aga keeruline, kuna üksikisik saab lihtsalt vooluvõrku ühendada. Staatilised VLAN-id nõuavad ka võrguadministraatorit pordi määrangute muutmiseks juhuks, kui keegi võrgus muudab füüsilist asukohta.
Dünaamiline VLAN
Dünaamilised VLAN-id sõltuvad suuresti tarkvarast ja võimaldavad suurt paindlikkust. Administraator saab määrata konkreetsetele VLAN-idele MAC- ja IP-aadressid, võimaldades füüsilises ruumis koormamata liikumist. Dünaamilise virtuaalse LAN-i masinad võivad liikuda võrgus kõikjale ja jääda samasse VLAN-i.
Kuigi dünaamilised VLAN-id on kohanemisvõime osas ületamatud, on neil tõsiseid puudusi. Tipptasemel kommutaator peab võtma VLAN-i halduspoliitika serverina tuntud serveri rolli (VMPS (aadresside teabe salvestamiseks ja edastamiseks teistele võrgu lülititele. VMPS, nagu iga server, vajab regulaarset haldust ja hooldust). ja võib esineda seisakuid.
Ründajad võivad võltsida MAC-aadresse ja pääseda juurde dünaamilistele VLAN-idele, lisades veel ühe potentsiaalse turvaprobleemi.
VLAN-i seadistamine
Mida sa vajad
VLAN-i või mitme VLAN-i seadistamiseks on vaja paar põhielementi. Nagu varem öeldud, on mitmeid erinevaid standardeid, kuid kõige universaalsem neist on IEEE 802.1Q. See on see, mida see näide järgib.
Ruuter
Tehniliselt ei vaja te VLAN-i seadistamiseks ruuterit, kuid kui soovite, et mitu VLAN-i suhtleks, on teil vaja ruuterit.
Paljud kaasaegsed ruuterid toetavad mingil või teisel kujul VLAN-i funktsioone. Koduruuterid ei pruugi VLAN-i toetada või toetavad seda ainult piiratud mahus. Kohandatud püsivara, nagu DD-WRT, toetab seda põhjalikumalt.
Rääkides kohandatud, ei vaja te oma virtuaalse kohtvõrguga töötamiseks valmis ruuterit. Kohandatud ruuteri püsivara põhineb tavaliselt Unixi sarnasel OS-il, nagu Linux või FreeBSD, nii et saate luua oma ruuteri, kasutades üht neist avatud lähtekoodiga operatsioonisüsteemidest.
Kõik marsruutimise funktsioonid, mida vajate, on Linuxi jaoks saadaval ja saate kohandada Linuxi installi konfigureerida, et kohandada ruuter teie konkreetseid vajadusi rahuldama. Midagi, mis on funktsioonide poolest täielikum, otsige pfSense'i. pfSense on suurepärane FreeBSD distributsioon, mis on loodud tugevaks avatud lähtekoodiga marsruutimislahenduseks. See toetab VLAN-e ja sisaldab tulemüüri, et paremini kaitsta teie virtuaalsete võrkude vahelist liiklust.
Ükskõik millise marsruudi valite, veenduge, et see toetaks vajalikke VLAN-i funktsioone.
Hallatud lüliti
Lülitid on VLAN-võrgu keskmes. Need on koht, kus maagia juhtub. VLAN-i funktsioonide kasutamiseks vajate siiski hallatavat lülitit.
Asjade tõstmiseks on sõna otseses mõttes saadaval 3. kihi hallatavad lülitid. Need lülitid saavad hakkama teatud kihi 3 võrguliiklusega ja võivad mõnes olukorras asendada ruuteriga.
Oluline on meeles pidada, et need lülitid ei ole ruuterid ja nende funktsionaalsus on piiratud. 3. kihi lülitid vähendavad võrgu latentsusaja tõenäosust, mis võib olla kriitilise tähtsusega mõnes keskkonnas, kus on oluline omada väga madala latentsusega võrku.
Kliendi võrguliidese kaardid (NIC-id)
NIC-id, mida kasutate oma klientarvutites, peaksid toetama 802.1Q-d. Tõenäoliselt nad seda teevad, kuid enne edasiliikumist tasub seda uurida.
Põhikonfiguratsioon
Siin on raske osa. Võrgu seadistamiseks on tuhandeid erinevaid võimalusi. Ükski juhend ei suuda neid kõiki hõlmata. Nende südames on peaaegu iga konfiguratsiooni ideed samad, nagu ka üldine protsess.
Ruuteri seadistamine
Saate alustada paaril erineval viisil. Saate ühendada ruuteri iga lüliti või iga VLAN-iga. Kui valite ainult iga lüliti, peate liikluse eristamiseks konfigureerima ruuteri.
Seejärel saate konfigureerida oma ruuteri VLAN-ide vahelist liiklust haldama.
Lülitite seadistamine
Eeldades, et need on staatilised VLAN-id, saate selle veebiliidese kaudu siseneda oma lüliti VLAN-i haldusutiliiti ja alustada portide määramist erinevatele VLAN-idele. Paljud lülitid kasutavad tabelipaigutust, mis võimaldab teil portide valikuid välja lülitada.
Kui kasutate mitut lülitit, määrake üks portidest kõigile oma VLAN-idele ja määrake see magistraalpordiks. Tehke seda iga lülitiga. Seejärel kasutage neid porte lülitite vahelise ühenduse loomiseks ja oma VLAN-ide levitamiseks mitme seadme vahel.
Klientide ühendamine
Lõpuks on klientide võrku saamine üsna iseenesestmõistetav. Ühendage oma klientseadmed VLAN-idele vastavate portidega, milles soovite neid kasutada.
VLAN kodus
Kuigi seda ei pruugita pidada loogiliseks kombinatsiooniks, on VLAN-idel tegelikult suurepärane rakendus koduvõrgus, külalisvõrkudes. Kui te ei soovi oma kodus WPA2 Enterprise võrku seadistada ja oma sõpradele ja perele individuaalselt sisselogimismandaate luua, saate VLAN-ide abil piirata külaliste juurdepääsu teie koduvõrgu failidele ja teenustele.
Paljud kõrgema klassi koduruuterid ja kohandatud ruuteri püsivara toetavad põhiliste VLAN-ide loomist. Saate seadistada külalis-VLAN-i oma sisselogimisandmetega, et sõbrad saaksid oma mobiilseadmeid ühendada. Kui teie ruuter seda toetab, on külalis-VLAN suurepärane lisaturvakiht, mis takistab teie sõbra viirustest pungil sülearvutil teie puhast võrku rikkumast.
