Cum se configurează o rețea LAN virtuală (VLAN)

VLAN-urile sunt peste tot. Le puteți găsi în majoritatea organizațiilor cu o rețea configurată corespunzător. În cazul în care nu era evident, VLAN înseamnă „Virtual Local Area Network” și sunt omniprezente în orice rețea modernă, dincolo de dimensiunea unei rețele de locuințe mici sau de birouri foarte mici.

Există câteva protocoale diferite, dintre care multe sunt specifice furnizorului, dar în esență, fiecare VLAN face aproape același lucru și beneficiile VLAN-ului se extind pe măsură ce rețeaua dumneavoastră crește în dimensiune și complexitate organizațională.

Aceste avantaje reprezintă o mare parte din motivul pentru care VLAN-urile sunt atât de puternic bazate pe rețelele profesionale de toate dimensiunile. De fapt, ar fi dificil să gestionați sau să scalați rețelele fără ele.

Beneficiile și scalabilitatea VLAN-urilor explică de ce au devenit atât de omniprezente în mediile de rețea moderne. Ar fi dificil să gestionați sau să scalați chiar și rețelele moderat complexe cu utilizatorul VLAN-urilor.

Ce este un VLAN?

Bine, deci cunoști acronimul, dar ce este exact un VLAN? Conceptul de bază ar trebui să fie familiar pentru oricine a lucrat cu sau a folosit servere virtuale.

Gândiți-vă pentru o secundă cum funcționează mașinile virtuale. Mai multe servere virtuale se află într-o singură piesă fizică de hardware care rulează un sistem de operare și un hypervisor pentru a crea și rula serverele virtuale pe un singur server fizic. Prin virtualizare, puteți transforma eficient un singur computer fizic în mai multe computere virtuale, fiecare disponibil pentru sarcini și utilizatori separate.

LAN-urile virtuale funcționează în același mod ca și serverele virtuale. Unul sau mai multe switch-uri gestionate rulează software-ul (similar cu software-ul hypervisor) care permite comutatoarelor să creeze mai multe switch-uri virtuale într-o singură rețea fizică.

Fiecare comutator virtual este propria sa rețea autonomă. Principala diferență dintre serverele virtuale și LAN-urile virtuale este că LAN-urile virtuale pot fi distribuite pe mai multe piese fizice de hardware cu un cablu desemnat numit trunchi.

Cum functioneazaSwitch cu 24 de porturi

Imaginați-vă că conduceți o rețea pentru o afacere mică în creștere, adăugați angajați, împărțiți-vă în departamente separate și deveniți mai complex și organizat.

Pentru a răspunde la aceste modificări, ați făcut upgrade la un comutator cu 24 de porturi pentru a găzdui dispozitive noi în rețea.

S-ar putea să vă gândiți doar să rulați un cablu ethernet la fiecare dintre noile dispozitive și să apelați sarcina efectuată, dar problema este că stocarea fișierelor și serviciile utilizate de fiecare departament trebuie păstrate separate. VLAN-urile sunt cea mai bună modalitate de a face asta.

În interfața web a comutatorului, puteți configura trei VLAN-uri separate, câte unul pentru fiecare departament. Cel mai simplu mod de a le împărți este după numerele de port. Puteți atribui porturile 1-8 primului departament, alocați porturile 9-16 celui de-al doilea departament și, în final, alocați porturile 17-24 g ultimului departament. Acum v-ați organizat rețeaua fizică în trei rețele virtuale.

Software-ul de pe switch poate gestiona traficul dintre clienții din fiecare VLAN. Fiecare VLAN acționează ca o rețea proprie și nu poate interacționa direct cu celelalte VLAN-uri. Acum, fiecare departament are propria sa rețea mai mică, mai puțin aglomerată și mai eficientă și le puteți gestiona pe toate prin aceeași piesă hardware. Acesta este un mod foarte eficient și rentabil de a gestiona o rețea.

Când aveți nevoie ca departamentele să poată interacționa, le puteți face să facă acest lucru prin routerul din rețea. Routerul poate regla și controla traficul dintre VLAN-uri și poate aplica reguli de securitate mai puternice.

În multe cazuri, departamentele vor trebui să lucreze împreună și să interacționeze. Puteți implementa comunicarea între rețelele virtuale prin intermediul routerului, stabilind reguli de securitate pentru a asigura securitatea și confidențialitatea corespunzătoare a rețelelor virtuale individuale.

VLAN vs. subrețea

VLAN-urile și subrețelele sunt de fapt destul de similare și au funcții similare. Atât subrețelele, cât și VLAN-urile împart rețelele și domeniile de difuzare. În ambele cazuri, interacțiunile dintre subdiviziuni pot avea loc doar printr-un router.

Diferențele dintre ele vin sub forma implementării lor și a modului în care modifică structura rețelei.

Subrețea Adresă IP

Subrețelele există la nivelul 3 al modelului OSI, nivelul de rețea. Subrețelele sunt o construcție la nivel de rețea și sunt gestionate cu routere, organizându-se în jurul adreselor IP.

Routerele creează intervale de adrese IP și negociază conexiunile dintre ele. Acest lucru pune tot stresul gestionării rețelei pe router. De asemenea, subrețelele pot deveni complicate pe măsură ce rețeaua dvs. crește în dimensiune și complexitate.

VLAN

VLAN-urile își găsesc casa pe stratul 2 al modelului OSI. Nivelul de legătură de date este mai apropiat de hardware și mai puțin abstract. Rețelele LAN virtuale emulează hardware-ul acționând ca switch-uri individuale.

Cu toate acestea, rețelele LAN virtuale pot sparge domeniile de difuzare fără a fi nevoie să se conecteze înapoi la un router, eliminând unele dintre sarcinile de gestionare de pe router.

Deoarece VLAN-urile sunt propriile lor rețele virtuale, trebuie să se comporte oarecum ca și cum ar avea un router încorporat. Ca rezultat, VLAN-urile conțin cel puțin o subrețea și pot suporta mai multe subrețele.

VLAN-urile distribuie încărcarea rețelei și. switch-urile multiple pot gestiona traficul în VLAN-uri fără a implica routerul, ceea ce face un sistem mai eficient.

Avantajele VLAN-urilor

Până acum, ați văzut deja câteva dintre avantajele pe care le aduc VLAN-urile. Doar în virtutea a ceea ce fac, VLAN-urile au o serie de atribute valoroase.

VLAN-urile ajută la securitate. Compartimentarea traficului limitează orice oportunitate de acces neautorizat la părți ale unei rețele. De asemenea, ajută la oprirea răspândirii software-ului rău intenționat, în cazul în care cineva își găsește drumul în rețea. Intrușii potențiali nu pot folosi instrumente precum Wireshark pentru a detecta pachetele oriunde dincolo de rețeaua LAN virtuală în care se află, limitând și această amenințare.

Eficiența rețelei este o mare problemă. Poate economisi sau costa o afacere mii de dolari pentru implementarea VLAN-urilor. Distrugerea domeniilor de difuzare crește foarte mult eficiența rețelei prin limitarea numărului de dispozitive implicate în comunicare în același timp. VLAN reduce nevoia de a implementa routere pentru a gestiona rețelele.

Adesea, inginerii de rețea aleg să construiască rețele LAN virtuale pe bază de serviciu, separând traficul important sau intensiv în rețea, cum ar fi o rețea de stocare (SAN) sau Voice over IP (VOIP). Unele comutatoare permit, de asemenea, unui administrator să prioritizeze VLAN-urile, oferind mai multe resurse unui trafic mai solicitant și lipsă de critici.

VLAN-urile sunt importante

Ar fi groaznic să fie nevoie să construim o rețea fizică independentă pentru a separa traficul. Imaginați-vă încurcatura încurcată de cablare cu care va trebui să vă luptați pentru a face modificări. Asta pentru a nu spune nimic pentru costul hardware crescut și consumul de energie. Ar fi, de asemenea, extrem de inflexibil. VLAN-urile rezolvă toate aceste probleme prin virtualizarea mai multor switch-uri pe o singură bucată de hardware.

VLAN-urile oferă un grad ridicat de flexibilitate administratorilor de rețea printr-o interfață software convenabilă. Să zicem că două departamente își schimbă birourile. Personalul IT trebuie să se deplaseze în jurul hardware-ului pentru a se adapta la schimbare? Nu. Ei pot realoca pur și simplu porturile de pe switch-uri la VLAN-urile corecte. Unele configurații VLAN nici nu ar necesita asta. Ei s-ar adapta dinamic. Aceste VLAN-uri nu necesită porturi alocate. În schimb, se bazează pe adrese MAC sau IP. În orice caz, nu este necesară amestecarea întrerupătoarelor sau a cablurilor. Este mult mai eficient și mai rentabil să implementezi o soluție software pentru a schimba locația unei rețele decât să muți hardware-ul fizic.

VLAN-uri statice vs. dinamice

Există două tipuri de bază de VLAN-uri, clasificate în funcție de modul în care mașinile sunt conectate la ele. Fiecare tip are puncte forte și puncte slabe care ar trebui luate în considerare în funcție de situația particulară a rețelei.

VLAN static

VLAN-urile statice sunt adesea denumite VLAN-uri bazate pe porturi, deoarece dispozitivele se conectează prin conectarea la un port alocat. Acest ghid a folosit până acum doar VLAN-uri statice ca exemple.

În configurarea unei rețele cu VLAN-uri statice, un inginer ar împărți un comutator pe porturile sale și ar atribui fiecare port unui VLAN. Orice dispozitiv care se conectează la acel port fizic se va alătura acelui VLAN.

VLAN-urile statice oferă rețele foarte simple și ușor de configurat, fără a se baza prea mult pe software. Cu toate acestea, este dificil să restricționați accesul într-o locație fizică, deoarece o persoană se poate conecta pur și simplu. VLAN-urile statice necesită, de asemenea, ca un administrator de rețea să schimbe atribuirea portului în cazul în care cineva din rețea schimbă locațiile fizice.

VLAN dinamic

VLAN-urile dinamice se bazează în mare măsură pe software și permit un grad ridicat de flexibilitate. Un administrator poate atribui adrese MAC și IP anumitor VLAN-uri, permițând mișcarea liberă în spațiul fizic. Mașinile dintr-o rețea LAN virtuală dinamică se pot deplasa oriunde în rețea și rămân pe același VLAN.

Deși VLAN-urile dinamice sunt imbatabile în ceea ce privește adaptabilitatea, ele au unele dezavantaje serioase. Un switch high-end trebuie să preia rolul unui server cunoscut sub numele de VLAN Management Policy Server (VMPS (pentru a stoca și a livra informații despre adresă celorlalte switch-uri din rețea. Un VMPS, ca orice server, necesită o gestionare și întreținere regulată). și este supus unui posibil timp de nefuncționare.

Atacatorii pot falsifica adresele MAC și pot obține acces la VLAN-uri dinamice, adăugând o altă potențială provocare de securitate.

Configurarea unui VLAN

De ce ai nevoie

Există câteva elemente de bază de care aveți nevoie pentru a configura un VLAN sau mai multe VLAN-uri. După cum sa menționat anterior, există o serie de standarde diferite, dar cel mai universal este IEEE 802.1Q. Acesta este cel pe care îl va urma acest exemplu.

Router

Din punct de vedere tehnic, nu aveți nevoie de un router pentru a configura un VLAN, dar dacă doriți să interacționeze mai multe VLAN-uri, veți avea nevoie de un router.

Multe routere moderne acceptă funcționalitatea VLAN într-o formă sau alta. Routerele de acasă ar putea să nu accepte VLAN sau să-l accepte doar într-o capacitate limitată. Firmware-ul personalizat, cum ar fi DD-WRT, îl acceptă mai bine.

Vorbind despre personalizare, nu aveți nevoie de un router disponibil pentru a lucra cu rețelele LAN virtuale. Firmware-ul ruterului personalizat se bazează de obicei pe un sistem de operare asemănător Unix, cum ar fi Linux sau FreeBSD, astfel încât să vă puteți construi propriul router folosind oricare dintre aceste sisteme de operare open source.

Toate funcționalitățile de rutare de care aveți nevoie sunt disponibile pentru Linux și puteți configura personalizat o instalare Linux pentru a vă adapta routerul pentru a răspunde nevoilor dvs. specifice. Pentru ceva care este mai complet cu funcții, căutați în pfSense. pfSense este o distribuție excelentă a FreeBSD construită pentru a fi o soluție de rutare open source robustă. Acceptă VLAN-uri și include un firewall pentru a securiza mai bine traficul dintre rețelele dvs. virtuale.

Indiferent de ruta pe care o alegeți, asigurați-vă că acceptă caracteristicile VLAN de care aveți nevoie.

Comutator gestionat

Switch-urile sunt în centrul rețelei VLAN. Ei sunt locul unde se întâmplă magia. Cu toate acestea, aveți nevoie de un comutator gestionat pentru a profita de funcționalitatea VLAN.

Pentru a duce lucrurile la un nivel mai sus, la propriu, există switch-uri gestionate de Layer 3 disponibile. Aceste comutatoare sunt capabile să gestioneze traficul de rețea de nivel 3 și pot lua locul unui router în unele situații.

Este important să rețineți că aceste comutatoare nu sunt routere, iar funcționalitatea lor este limitată. Switch-urile de nivel 3 scad probabilitatea de latență a rețelei, care poate fi critică în unele medii în care este esențial să existe o rețea cu latență foarte scăzută.

Carduri de interfață de rețea client (NIC)

NIC-urile pe care le utilizați pe computerele client ar trebui să accepte 802.1Q. Sunt șanse să o facă, dar este ceva de analizat înainte de a merge mai departe.

Configurație de bază

Iată partea grea. Există mii de posibilități diferite pentru cum vă puteți configura rețeaua. Niciun ghid nu le poate acoperi pe toate. În esenta lor, ideile din spatele aproape oricărei configurații sunt aceleași, la fel și procesul general.

Configurarea routerului

Puteți începe în câteva moduri diferite. Puteți conecta fie routerul la fiecare comutator, fie la fiecare VLAN. Dacă optați doar pentru fiecare comutator, va trebui să configurați routerul pentru a diferenția traficul.

Puteți configura apoi routerul pentru a gestiona traficul de trecere între VLAN-uri.

Configurarea comutatoarelor

VLAN-urile au nevoie de comutatoare

Presupunând că acestea sunt VLAN-uri statice, puteți intra în utilitatea de gestionare a VLAN-urilor switch-ului dvs. prin interfața sa web și puteți începe să atribuiți porturi diferitelor VLAN-uri. Multe comutatoare folosesc un aspect de tabel care vă permite să bifați opțiunile pentru porturi.

Dacă utilizați mai multe comutatoare, atribuiți unul dintre porturi tuturor VLAN-urilor și setați-l ca port trunchi. Faceți acest lucru pe fiecare comutator. Apoi, utilizați acele porturi pentru a vă conecta între switch-uri și a vă răspândi VLAN-urile pe mai multe dispozitive.

Conectarea clienților

În cele din urmă, atragerea clienților în rețea se explică de la sine. Conectați mașinile client la porturile corespunzătoare VLAN-urilor pe care doriți să le conectați.

VLAN Acasă

Chiar dacă s-ar putea să nu fie văzută ca o combinație logică, VLAN-urile au de fapt o aplicație excelentă în spațiul de rețea de acasă, rețelele pentru oaspeți. Dacă nu aveți chef să configurați o rețea WPA2 Enterprise în casa dvs. și să creați individual acreditări de conectare pentru prietenii și familia dvs., puteți utiliza VLAN-urile pentru a restricționa accesul pe care îl au oaspeții dvs. la fișierele și serviciile din rețeaua dvs. de acasă.

Multe routere de acasă de ultimă generație și firmware personalizat de router acceptă crearea de VLAN-uri de bază. Puteți configura un VLAN invitat cu propriile informații de conectare pentru a le permite prietenilor să-și conecteze dispozitivele mobile. Dacă routerul dvs. îl acceptă, un VLAN invitat este un strat de securitate suplimentar excelent pentru a preveni laptopul plin de viruși al prietenului dvs. să vă distrugă rețeaua curată.


Posturi Populare

Postări recente

Copyright ro.ariadnadoccat.com 2024
$config[zx-auto] not found$config[zx-overlay] not found