VLAN yra visur. Juos galite rasti daugumoje organizacijų su tinkamai sukonfigūruotu tinklu. Jei tai nebūtų akivaizdu, VLAN reiškia „virtualus vietinis tinklas“ ir jie yra visur bet kuriame šiuolaikiniame tinkle, kurio dydis neviršija mažo namo ar labai mažo biuro tinklo.
Yra keletas skirtingų protokolų, kurių daugelis priklauso nuo pardavėjo, tačiau iš esmės kiekvienas VLAN daro tą patį ir VLAN masto privalumai didėja, kai jūsų tinklas auga ir tampa sudėtingesnis.
Šie pranašumai yra didelė dalis, kodėl VLAN taip stipriai pasitiki visų dydžių profesionalūs tinklai. Tiesą sakant, be jų būtų sunku valdyti ar išplėsti tinklus.
VLAN pranašumai ir mastelio keitimas paaiškina, kodėl jie tapo tokie visur paplitę šiuolaikinėje tinklo aplinkoje. Su VLAN vartotoju būtų sunku valdyti ar išplėsti net ir vidutiniškai sudėtingus tinklus.
Kas yra VLAN?
Gerai, kad žinote akronimą, bet kas tiksliai yra VLAN? Pagrindinė koncepcija turėtų būti žinoma visiems, kurie dirbo su virtualiais serveriais arba juos naudojo.
Pagalvokite, kaip veikia virtualios mašinos. Keli virtualūs serveriai yra vienoje fizinėje aparatūros dalyje, kurioje veikia operacinė sistema ir hipervizorius, kad būtų galima sukurti ir paleisti virtualius serverius viename fiziniame serveryje. Naudodami virtualizaciją, vieną fizinį kompiuterį galite efektyviai paversti keliais virtualiais kompiuteriais, kurių kiekvienas gali atlikti atskiras užduotis ir vartotojus.
Virtualūs LAN veikia taip pat, kaip ir virtualūs serveriai. Viename ar keliuose valdomuose jungikliuose veikia programinė įranga (panaši į hipervizoriaus programinę įrangą), kuri leidžia jungikliams sukurti kelis virtualius jungiklius viename fiziniame tinkle.
Kiekvienas virtualus jungiklis yra atskiras tinklas. Pagrindinis skirtumas tarp virtualių serverių ir virtualių LAN yra tas, kad virtualūs LAN gali būti paskirstyti keliose fizinės aparatinės įrangos dalyse naudojant tam skirtą kabelį, vadinamą magistraliniu tinklu.
Kaip tai veikia
Įsivaizduokite, kad valdote augančios smulkaus verslo tinklą, pridedate darbuotojų, skirstotės į atskirus skyrius ir tampate sudėtingesni bei organizuotesni.
Norėdami reaguoti į šiuos pakeitimus, atnaujinote į 24 prievadų jungiklį, kad tinkle tilptų nauji įrenginiai.
Galite apsvarstyti galimybę tiesiog prijungti eterneto kabelį prie kiekvieno naujo įrenginio ir iškviesti užduotį atlikta, tačiau problema ta, kad failų saugykla ir paslaugos, kurias naudoja kiekvienas skyrius, turi būti atskirtos. VLAN yra geriausias būdas tai padaryti.
Komutatoriaus žiniatinklio sąsajoje galite konfigūruoti tris atskirus VLAN, po vieną kiekvienam skyriui. Paprasčiausias būdas juos padalyti pagal prievadų numerius. Galite priskirti 1-8 prievadus pirmajam skyriui, 9-16 prievadus priskirti antrajam skyriui ir galiausiai 17-24 g prievadus priskirti paskutiniam skyriui. Dabar suskirstėte savo fizinį tinklą į tris virtualius tinklus.
Komutatoriaus programinė įranga gali valdyti srautą tarp klientų kiekviename VLAN. Kiekvienas VLAN veikia kaip atskiras tinklas ir negali tiesiogiai bendrauti su kitais VLAN. Dabar kiekvienas skyrius turi savo mažesnį, mažiau netvarkingą ir efektyvesnį tinklą, ir jūs galite juos visus valdyti naudodami tą pačią aparatinę įrangą. Tai labai efektyvus ir ekonomiškas būdas valdyti tinklą.
Kai jums reikia, kad skyriai galėtų bendrauti, galite priversti juos tai padaryti naudodami tinkle esantį maršruto parinktuvą. Maršrutizatorius gali reguliuoti ir valdyti srautą tarp VLAN ir užtikrinti griežtesnes saugumo taisykles.
Daugeliu atvejų skyriai turės dirbti kartu ir bendrauti. Galite įdiegti ryšį tarp virtualių tinklų per maršrutizatorių, nustatydami saugos taisykles, užtikrinančias tinkamą atskirų virtualių tinklų saugą ir privatumą.
VLAN prieš potinklį
VLAN ir potinkliai iš tikrųjų yra gana panašūs ir atlieka panašias funkcijas. Tiek potinkliai, tiek VLAN padalija tinklus ir transliavimo domenus. Abiem atvejais sąveika tarp padalinių gali vykti tik per maršrutizatorių.
Skirtumai tarp jų atsiranda dėl jų įgyvendinimo ir dėl to, kaip jie keičia tinklo struktūrą.
IP adreso potinklis
Potinkliai egzistuoja 3 OSI modelio lygmenyje, tinklo lygyje. Potinkliai yra tinklo lygio konstrukcija ir tvarkomi su maršrutizatoriais, organizuojant IP adresus.
Maršrutizatoriai išskiria IP adresų diapazonus ir derasi dėl ryšių tarp jų. Tai kelia visą tinklo valdymo įtampą maršrutizatoriui. Potinkliai taip pat gali tapti sudėtingi, nes didėja jūsų tinklo dydis ir sudėtingumas.
VLAN
VLAN savo namus randa 2 OSI modelio sluoksnyje. Duomenų ryšio lygis yra arčiau aparatinės įrangos ir mažiau abstraktus. Virtualūs LAN imituoja aparatinę įrangą, kuri veikia kaip atskiri jungikliai.
Tačiau virtualūs LAN gali išskaidyti transliavimo domenus, neprisijungdami prie maršrutizatoriaus, o tai pašalina dalį valdymo naštos nuo maršruto parinktuvo.
Kadangi VLAN yra jų pačių virtualūs tinklai, jie turi šiek tiek elgtis taip, kaip turėtų integruotą maršrutizatorių. Dėl to VLAN yra bent vienas potinklis ir gali palaikyti kelis potinklius.
VLAN paskirsto tinklo apkrovą ir. keli jungikliai gali valdyti srautą VLAN nenaudojant maršrutizatoriaus, todėl sistema veikia efektyviau.
VLAN pranašumai
Iki šiol jau matėte keletą privalumų, kuriuos suteikia VLAN. Vien dėl to, ką jie daro, VLAN turi daug vertingų savybių.
VLAN padeda užtikrinti saugumą. Srauto skirstymas riboja bet kokią neteisėtos prieigos prie tinklo dalių galimybę. Tai taip pat padeda sustabdyti kenkėjiškos programinės įrangos plitimą, jei kuri nors atsidurtų tinkle. Potencialūs įsibrovėliai negali naudoti tokių įrankių kaip „Wireshark“, kad galėtų išgauti paketus bet kurioje vietoje už virtualiojo LAN, o tai taip pat apribotų šią grėsmę.
Tinklo efektyvumas yra didelis dalykas. Įdiegti VLAN verslui gali sutaupyti arba kainuoti tūkstančius dolerių. Transliavimo domenų išskaidymas labai padidina tinklo efektyvumą, nes ribojamas vienu metu komunikacijoje dalyvaujančių įrenginių skaičius. VLAN sumažina poreikį diegti maršrutizatorius tinklams valdyti.
Dažnai tinklo inžinieriai nusprendžia kurti virtualius LAN kiekvienai paslaugai, atskirdami svarbų arba intensyvų tinklo srautą, pvz., saugojimo zonos tinklą (SAN) arba balso per IP (VOIP). Kai kurie jungikliai taip pat leidžia administratoriui teikti pirmenybę VLAN, suteikiant daugiau išteklių reiklesniam ir trūkstamam srautui.
Būtų baisu sukurti nepriklausomą fizinį tinklą, kad būtų atskirtas srautas. Įsivaizduokite sudėtingą laidų raizginį, su kuriuo turėsite kovoti norėdami atlikti pakeitimus. Tai nieko nereiškia dėl padidėjusios aparatinės įrangos kainos ir energijos suvartojimo. Tai taip pat būtų nepaprastai nelanksti. VLAN išsprendžia visas šias problemas virtualizuodami kelis jungiklius vienoje aparatūros dalyje.
VLAN suteikia didelį lankstumą tinklo administratoriams per patogią programinės įrangos sąsają. Tarkime, kad du skyriai keičia biurus. Ar IT darbuotojai turi judėti su technine įranga, kad prisitaikytų prie pokyčių? Ne. Jie gali tiesiog perskirti jungiklių prievadus tinkamiems VLAN. Kai kurioms VLAN konfigūracijoms to net nereikėtų. Jie dinamiškai prisitaikytų. Šiems VLAN nereikia priskirtų prievadų. Vietoj to, jie yra pagrįsti MAC arba IP adresais. Bet kuriuo atveju nereikia maišyti jungiklių ar laidų. Daug efektyviau ir ekonomiškiau įdiegti programinės įrangos sprendimą, kad būtų galima pakeisti tinklo vietą, nei perkelti fizinę aparatinę įrangą.
Statiniai ir dinaminiai VLAN
Yra du pagrindiniai VLAN tipai, suskirstyti pagal mašinų prijungimo prie jų būdą. Kiekvienas tipas turi stipriąsias ir silpnąsias puses, į kurias reikėtų atsižvelgti atsižvelgiant į konkrečią tinklo situaciją.
Statinis VLAN
Statiniai VLAN dažnai vadinami prievadais paremtais VLAN, nes įrenginiai prisijungia prisijungdami prie priskirto prievado. Šiame vadove iki šiol buvo naudojami tik statiniai VLAN kaip pavyzdžiai.
Nustatydamas tinklą su statiniais VLAN, inžinierius padalintų jungiklį pagal prievadus ir kiekvieną prievadą priskirtų VLAN. Bet kuris įrenginys, kuris prisijungs prie to fizinio prievado, prisijungs prie to VLAN.
Statiniai VLAN suteikia labai paprastus ir lengvai konfigūruojamus tinklus per daug nepasikliaujant programine įranga. Tačiau sunku apriboti prieigą fizinėje vietovėje, nes asmuo gali tiesiog prisijungti. Statiniams VLAN taip pat reikia, kad tinklo administratorius pakeistų prievadų priskyrimus, jei kas nors tinkle pakeistų fizinę vietą.
Dinaminis VLAN
Dinaminiai VLAN labai priklauso nuo programinės įrangos ir suteikia didelį lankstumą. Administratorius gali priskirti MAC ir IP adresus konkretiems VLAN, leisdamas nevaržomai judėti fizinėje erdvėje. Įrenginiai dinaminiame virtualiame LAN gali judėti bet kur tinkle ir likti tame pačiame VLAN.
Nors dinaminiai VLAN yra neprilygstami pritaikomumo požiūriu, jie turi rimtų trūkumų. Aukštos klasės jungiklis turi atlikti serverio, žinomo kaip VLAN valdymo strategijos serveris (VMPS (skirti saugoti ir pateikti adreso informaciją kitiems tinklo jungikliams), vaidmenį. VMPS, kaip ir bet kurį serverį, reikalauja reguliaraus valdymo ir priežiūros ir galimos prastovos.
Užpuolikai gali suklaidinti MAC adresus ir gauti prieigą prie dinaminių VLAN, pridėdami dar vieną galimą saugumo iššūkį.
VLAN nustatymas
Ko tau reikia
Yra keletas pagrindinių elementų, kurių reikia norint nustatyti VLAN arba kelis VLAN. Kaip minėta anksčiau, yra daugybė skirtingų standartų, tačiau universaliausias yra IEEE 802.1Q. Būtent tuo ir bus sekamas šis pavyzdys.
Maršrutizatorius
Techniškai jums nereikia maršrutizatoriaus, kad nustatytumėte VLAN, bet jei norite, kad sąveikautų keli VLAN, jums reikės maršrutizatoriaus.
Daugelis šiuolaikinių maršrutizatorių tam tikra forma palaiko VLAN funkcijas. Namų maršrutizatoriai gali nepalaikyti VLAN arba palaikyti jį tik ribotu pajėgumu. Pasirinktinė programinė įranga, tokia kaip DD-WRT, ją palaiko nuodugniau.
Kalbant apie užsakymą, jums nereikia paruošto maršruto parinktuvo, kad galėtumėte dirbti su virtualiais LAN. Pasirinktinė maršrutizatoriaus programinė įranga paprastai yra pagrįsta „Unix“ tipo OS, pvz., „Linux“ arba „FreeBSD“, todėl galite sukurti savo maršrutizatorių naudodami bet kurią iš šių atvirojo kodo operacinių sistemų.
Visos jums reikalingos maršruto parinkimo funkcijos yra prieinamos „Linux“, be to, galite tinkinti „Linux“ diegimą, kad maršruto parinktuvas atitiktų jūsų konkrečius poreikius. Jei reikia daugiau funkcijų, pažiūrėkite į pfSense. pfSense yra puikus FreeBSD platinimas, sukurtas kaip patikimas atvirojo kodo maršruto parinkimo sprendimas. Jis palaiko VLAN ir apima ugniasienę, kad būtų geriau apsaugotas srautas tarp jūsų virtualių tinklų.
Kad ir kurį maršrutą pasirinktumėte, įsitikinkite, kad jis palaiko reikalingas VLAN funkcijas.
Valdomas jungiklis
Jungikliai yra VLAN tinklo pagrindas. Juose vyksta magija. Tačiau norint pasinaudoti VLAN funkcijomis, reikalingas valdomas jungiklis.
Kad viskas būtų aukštesnė, tiesiogine prasme, yra 3 lygmens valdomų jungiklių. Šie jungikliai gali valdyti tam tikrą 3 sluoksnio tinklo srautą ir kai kuriose situacijose gali pakeisti maršrutizatorių.
Svarbu nepamiršti, kad šie jungikliai nėra maršrutizatoriai, o jų funkcionalumas yra ribotas. 3 sluoksnio jungikliai sumažina tinklo delsos tikimybę, kuri gali būti labai svarbi kai kuriose aplinkose, kur labai svarbu turėti labai mažą delsos laiką.
Kliento tinklo sąsajos kortelės (NIC)
NIC, kuriuos naudojate savo klientų įrenginiuose, turėtų palaikyti 802.1Q. Yra tikimybė, kad jie tai daro, tačiau prieš judant į priekį reikia į tai atsižvelgti.
Pagrindinė konfigūracija
Čia yra sunkioji dalis. Yra tūkstančiai skirtingų tinklo konfigūravimo galimybių. Nė vienas vadovas negali aprėpti jų visų. Jų širdyje beveik bet kokios konfigūracijos idėjos yra vienodos, taip pat ir bendras procesas.
Maršrutizatoriaus nustatymas
Galite pradėti keliais skirtingais būdais. Maršrutizatorių galite prijungti prie kiekvieno jungiklio arba kiekvieno VLAN. Jei pasirinksite tik kiekvieną jungiklį, turėsite sukonfigūruoti maršruto parinktuvą, kad atskirtumėte srautą.
Tada galite sukonfigūruoti maršruto parinktuvą, kad jis tvarkytų eismą tarp VLAN.
Jungiklių konfigūravimas
Darant prielaidą, kad tai yra statiniai VLAN, galite įvesti savo jungiklio VLAN valdymo įrankį per jo žiniatinklio sąsają ir pradėti priskirti prievadus skirtingiems VLAN. Daugelyje jungiklių naudojamas lentelės išdėstymas, leidžiantis patikrinti prievadų parinktis.
Jei naudojate kelis jungiklius, priskirkite vieną iš prievadų visiems savo VLAN ir nustatykite jį kaip magistralinį prievadą. Atlikite tai su kiekvienu jungikliu. Tada naudokite tuos prievadus, kad prisijungtumėte tarp jungiklių ir paskirstytumėte savo VLAN keliuose įrenginiuose.
Klientų prijungimas
Galiausiai, klientų įtraukimas į tinklą yra gana savaime aišku. Prijunkite savo kliento įrenginius prie prievadų, atitinkančių VLAN, kuriuose norite juos prijungti.
VLAN namuose
Net jei tai gali būti nelaikoma logišku deriniu, VLAN iš tikrųjų puikiai tinka namų tinklo erdvėje, svečių tinkluose. Jei nenorite sukurti WPA2 Enterprise tinklo savo namuose ir individualiai kurti prisijungimo kredencialus savo draugams ir šeimos nariams, galite naudoti VLAN, kad apribotumėte svečių prieigą prie failų ir paslaugų jūsų namų tinkle.
Daugelis aukštesnės klasės namų maršrutizatorių ir pasirinktinės maršrutizatoriaus programinės įrangos palaiko pagrindinių VLAN kūrimą. Galite nustatyti svečio VLAN su savo prisijungimo informacija, kad jūsų draugai galėtų prisijungti prie savo mobiliųjų įrenginių. Jei jūsų maršruto parinktuvas jį palaiko, svečio VLAN yra puikus papildomas saugos sluoksnis, neleidžiantis jūsų draugo virusų užkrėstam nešiojamajam kompiuteriui sugadinti švaraus tinklo.
