VLANeja on kaikkialla. Löydät ne useimmista organisaatioista, joissa verkko on määritetty oikein. Jos se ei olisi ilmeistä, VLAN tarkoittaa "virtuaalista lähiverkkoa", ja niitä on kaikkialla missä tahansa nykyaikaisessa verkossa, pienemmän kodin tai erittäin pienen toimistoverkon kokoa pidemmälle.
On olemassa muutamia erilaisia protokollia, joista monet ovat toimittajakohtaisia, mutta pohjimmiltaan jokainen VLAN tekee saman asian ja VLAN-mittakaavan edut verkkosi koon ja organisaation monimutkaisuuden kasvaessa.
Nämä edut ovat suuri osa sitä, miksi kaikenkokoiset ammattiverkot luottavat niin voimakkaasti VLAN-verkkoihin. Itse asiassa verkkoja olisi vaikea hallita tai skaalata ilman niitä.
VLAN-verkkojen edut ja skaalautuvuus selittävät, miksi niistä on tullut niin kaikkialla nykyaikaisissa verkkoympäristöissä. Kohtalaisenkin monimutkaisia verkkoja olisi vaikea hallita tai skaalata VLAN-verkkojen käyttäjän kanssa.
Mikä on VLAN?
Okei, joten tiedät lyhenteen, mutta mikä tarkalleen on VLAN? Peruskonseptin pitäisi olla tuttu jokaiselle, joka on työskennellyt virtuaalipalvelimien kanssa tai käyttänyt niitä.
Ajattele hetki, kuinka virtuaalikoneet toimivat. Useita virtuaalipalvelimia on yhdessä fyysisessä laitteistossa, joka käyttää käyttöjärjestelmää ja hypervisoria virtuaalisten palvelimien luomiseksi ja käyttämiseksi yhdellä fyysisellä palvelimella. Virtualisoinnin avulla pystyt tehokkaasti muuttamaan yhden fyysisen tietokoneen useiksi virtuaalitietokoneiksi, joista jokainen on käytettävissä eri tehtäviin ja käyttäjille.
Virtuaaliset lähiverkot toimivat samalla tavalla kuin virtuaalipalvelimet. Yhdessä tai useammassa hallitussa kytkimessä on ohjelmisto (samanlainen kuin hypervisor-ohjelmisto), jonka avulla kytkimet voivat luoda useita virtuaalisia kytkimiä yhdessä fyysisessä verkossa.
Jokainen virtuaalikytkin on oma itsenäinen verkkonsa. Suurin ero virtuaalipalvelimien ja virtuaalisten LAN-verkkojen välillä on se, että virtuaaliset lähiverkot voidaan jakaa useille fyysisille laitteistoille niille tarkoitetulla kaapelilla, jota kutsutaan runkojohdoksi.
Kuinka se toimii
Kuvittele, että sinulla on verkosto kasvavalle pienyritykselle, lisäät työntekijöitä, jaat eri osastoihin ja muutut monimutkaisemmiksi ja organisoidummaksi.
Vastataksesi näihin muutoksiin päivitit 24-porttiseen kytkimeen, jotta voit ottaa käyttöön uusia laitteita verkossa.
Voit harkita vain Ethernet-kaapelin kytkemistä kuhunkin uuteen laitteeseen ja tehtävän kutsumista suoritetuksi, mutta ongelmana on, että tiedostojen tallennus ja kunkin osaston käyttämät palvelut on pidettävä erillään. VLAN-verkot ovat paras tapa tehdä se.
Kytkimen verkkokäyttöliittymässä voit määrittää kolme erillistä VLAN-verkkoa, yksi kullekin osastolle. Yksinkertaisin tapa jakaa ne on porttinumeroilla. Voit määrittää portit 1-8 ensimmäiselle osastolle, portit 9-16 toiselle osastolle ja lopuksi portit 17-24 g viimeiselle osastolle. Nyt olet järjestänyt fyysisen verkkosi kolmeen virtuaaliseen verkkoon.
Kytkimen ohjelmisto voi hallita liikennettä asiakkaiden välillä kussakin VLANissa. Jokainen VLAN toimii omana verkkonaan, eikä se voi olla suoraan vuorovaikutuksessa muiden VLAN-verkkojen kanssa. Nyt jokaisella osastolla on oma pienempi, vähemmän sotkuinen ja tehokkaampi verkko, ja voit hallita niitä kaikkia saman laitteiston avulla. Tämä on erittäin tehokas ja kustannustehokas tapa hallita verkkoa.
Kun tarvitset osastojen olevan vuorovaikutuksessa, voit saada ne toimimaan verkon reitittimen kautta. Reititin voi säädellä ja ohjata liikennettä VLAN-verkkojen välillä ja valvoa tiukempia turvallisuussääntöjä.
Monissa tapauksissa osastojen on työskenneltävä yhdessä ja vuorovaikutuksessa. Voit toteuttaa virtuaaliverkkojen välistä kommunikointia reitittimen kautta asettamalla suojaussääntöjä yksittäisten virtuaaliverkkojen asianmukaisen turvallisuuden ja yksityisyyden varmistamiseksi.
VLAN vs. aliverkko
VLAN-verkot ja aliverkot ovat itse asiassa melko samanlaisia ja palvelevat samanlaisia toimintoja. Sekä aliverkot että VLAN-verkot jakavat verkot ja lähetysalueet. Molemmissa tapauksissa alaosastojen välinen vuorovaikutus voi tapahtua vain reitittimen kautta.
Niiden väliset erot ilmenevät niiden toteutuksesta ja siitä, miten ne muuttavat verkon rakennetta.
IP-osoitteen aliverkko
Aliverkot ovat OSI-mallin tasolla 3, verkkokerroksessa. Aliverkot ovat verkkotason rakennelmia, ja niitä käsitellään IP-osoitteiden ympärille järjestetyillä reitittimillä.
Reitittimet luovat IP-osoitteita ja neuvottelevat yhteyksistä niiden välillä. Tämä asettaa kaiken verkonhallinnan stressin reitittimelle. Aliverkot voivat myös monimutkaistaa verkkosi koon ja monimutkaisuuden kasvaessa.
VLAN
VLANit löytävät kotinsa OSI-mallin kerroksesta 2. Datalinkkitaso on lähempänä laitteistoa ja vähemmän abstraktia. Virtuaaliset lähiverkot emuloivat laitteistoa, joka toimii yksittäisinä kytkiminä.
Virtuaaliset lähiverkot voivat kuitenkin hajottaa lähetysalueita tarvitsematta muodostaa yhteyttä takaisin reitittimeen, mikä poistaa osan hallintataakasta reitittimeltä.
Koska VLAN-verkot ovat omia virtuaalisia verkkojaan, niiden on toimittava jonkin verran kuin niillä olisi sisäänrakennettu reititin. Tämän seurauksena VLAN-verkot sisältävät vähintään yhden aliverkon ja voivat tukea useita aliverkkoja.
VLANit jakavat verkon kuormituksen ja. Useat kytkimet voivat käsitellä VLAN-verkkojen liikennettä ilman reititintä, mikä tekee järjestelmästä tehokkaamman.
VLAN-verkkojen edut
Tähän mennessä olet jo nähnyt pari VLAN-verkkojen tuomaa etua. Pelkästään toimintansa perusteella VLAN:illa on useita arvokkaita ominaisuuksia.
VLAN-verkot auttavat turvassa. Liikenteen osittaminen rajoittaa mahdollisuutta luvatta pääsyyn verkon osiin. Se auttaa myös pysäyttämään haittaohjelmien leviämisen, jos joku löytää tiensä verkkoon. Mahdolliset tunkeilijat eivät voi käyttää Wiresharkin kaltaisia työkaluja haistaakseen paketteja missä tahansa virtuaalisen lähiverkon ulkopuolella, mikä rajoittaa myös tätä uhkaa.
Verkon tehokkuus on iso asia. VLAN-verkkojen käyttöönotto voi säästää tai maksaa yritykselle tuhansia dollareita. Lähetysverkkotunnusten hajottaminen lisää huomattavasti verkon tehokkuutta rajoittamalla viestintään samanaikaisesti osallistuvien laitteiden määrää. VLAN vähentää tarvetta ottaa käyttöön reitittimiä verkkojen hallintaan.
Usein verkkosuunnittelijat päättävät rakentaa virtuaalisia lähiverkkoja palvelukohtaisesti erottaen tärkeän tai verkkointensiivisen liikenteen, kuten tallennusalueverkon (SAN) tai Voice over IP (VOIP). Jotkut kytkimet antavat myös järjestelmänvalvojan mahdollisuuden priorisoida VLAN-verkkoja, mikä antaa enemmän resursseja vaativammalle ja puuttuvalle kriittiselle liikenteelle.
Olisi kauheaa rakentaa itsenäinen fyysinen verkko liikenteen erottamiseksi. Kuvittele kaapeloinnin mutkikas sotku, josta sinun on taisteltava tehdäksesi muutoksia. Se ei kerro mitään lisääntyneistä laitteistokustannuksista ja virrankulutuksesta. Se olisi myös villin joustamatonta. VLANit ratkaisevat kaikki nämä ongelmat virtualisoimalla useita kytkimiä yhteen laitteistoon.
VLAN-verkot tarjoavat suuren joustavuuden verkon järjestelmänvalvojille kätevän ohjelmistorajapinnan kautta. Oletetaan, että kaksi osastoa vaihtavat toimistoa. Pitääkö IT-henkilöstön liikkua laitteiston ympärillä mukautuakseen muutokseen? Ei. He voivat vain määrittää kytkimien portit uudelleen oikeisiin VLAN-verkkoihin. Jotkut VLAN-kokoonpanot eivät edes vaadi sitä. Ne mukautuivat dynaamisesti. Nämä VLAN-verkot eivät vaadi määritettyjä portteja. Sen sijaan ne perustuvat MAC- tai IP-osoitteisiin. Joka tapauksessa kytkimiä tai kaapeleita ei tarvitse sekoittaa. On paljon tehokkaampaa ja kustannustehokkaampaa toteuttaa ohjelmistoratkaisu verkon sijainnin muuttamiseksi kuin fyysisen laitteiston siirtäminen.
Staattiset vs. dynaamiset VLANit
VLAN-verkkoja on kahta perustyyppiä, jotka on luokiteltu sen mukaan, miten koneet on kytketty niihin. Jokaisella tyypillä on vahvuudet ja heikkoudet, jotka tulee ottaa huomioon kunkin verkkotilanteen mukaan.
Staattinen VLAN
Staattisia VLAN-verkkoja kutsutaan usein porttipohjaisiksi VLANeiksi, koska laitteet liittyvät toisiinsa muodostamalla yhteyden määritettyyn porttiin. Tässä oppaassa on toistaiseksi käytetty vain staattisia VLAN-verkkoja esimerkkeinä.
Perustaessaan verkkoa, jossa on staattisia VLAN-verkkoja, insinööri jakaa kytkimen sen porttien mukaan ja määrittää jokaisen portin VLAN:ille. Kaikki kyseiseen fyysiseen porttiin muodostavat laitteet liittyvät kyseiseen VLAN-verkkoon.
Staattiset VLAN-verkot tarjoavat erittäin yksinkertaisia ja helposti konfiguroitavia verkkoja ilman liiallista riippuvuutta ohjelmistoista. On kuitenkin vaikeaa rajoittaa pääsyä fyysisen sijainnin sisällä, koska henkilö voi yksinkertaisesti kytkeä verkkoon. Staattiset VLAN-verkot vaativat myös verkon järjestelmänvalvojan muuttamaan porttimäärityksiä, jos joku verkossa vaihtaa fyysistä sijaintia.
Dynaaminen VLAN
Dynaamiset VLAN-verkot ovat vahvasti riippuvaisia ohjelmistoista ja mahdollistavat suuren joustavuuden. Järjestelmänvalvoja voi määrittää MAC- ja IP-osoitteita tietyille VLAN-verkoille, mikä mahdollistaa rasittamattoman liikkumisen fyysisessä tilassa. Dynaamisen virtuaalisen lähiverkon koneet voivat liikkua missä tahansa verkossa ja pysyä samassa VLANissa.
Vaikka dynaamiset VLAN-verkot ovat lyömättömiä sopeutumiskyvyn suhteen, niillä on joitain vakavia haittoja. Huippuluokan kytkimen on otettava VLAN Management Policy Server -palvelimena tunnetun palvelimen rooli (VMPS( tallentaa ja toimittaa osoitetiedot muille verkon kytkimille. VMPS, kuten mikä tahansa palvelin, vaatii säännöllistä hallintaa ja ylläpitoa ja se on alttiina mahdollisille seisokkeille.
Hyökkääjät voivat huijata MAC-osoitteita ja päästä dynaamisiin VLAN-verkkoihin, mikä lisää uuden mahdollisen tietoturvahaasteen.
VLAN:in määrittäminen
Mitä tarvitset
VLAN-verkon tai useiden VLAN-verkkojen määrittämiseen tarvitaan muutama perusasia. Kuten aiemmin mainittiin, on olemassa useita erilaisia standardeja, mutta yleisin niistä on IEEE 802.1Q. Sitä tämä esimerkki seuraa.
Reititin
Teknisesti et tarvitse reititintä VLAN-verkon määrittämiseen, mutta jos haluat useiden VLAN-verkkojen olevan vuorovaikutuksessa, tarvitset reitittimen.
Monet nykyaikaiset reitittimet tukevat VLAN-toiminnallisuutta tavalla tai toisella. Kotireitittimet eivät ehkä tue VLAN-verkkoa tai tukevat sitä vain rajoitetusti. Mukautettu laiteohjelmisto, kuten DD-WRT, tukee sitä perusteellisemmin.
Mukautetusta puhuttaessa et tarvitse valmiina olevaa reititintä toimiaksesi virtuaalisten lähiverkkojesi kanssa. Mukautetun reitittimen laiteohjelmisto perustuu yleensä Unix-tyyppiseen käyttöjärjestelmään, kuten Linux tai FreeBSD, joten voit rakentaa oman reitittimen käyttämällä jompaakumpaa näistä avoimen lähdekoodin käyttöjärjestelmistä.
Kaikki tarvitsemasi reititystoiminnot ovat saatavilla Linuxille, ja voit mukauttaa Linux-asennuksen räätälöidäksesi reitittimesi tarpeitasi vastaavaksi. Jos haluat jotain, joka on kattavampi, katso pfSense. pfSense on erinomainen FreeBSD-jakelu, joka on rakennettu kestäväksi avoimen lähdekoodin reititysratkaisuksi. Se tukee VLAN-verkkoja ja sisältää palomuurin, joka suojaa virtuaaliverkkojesi välistä liikennettä paremmin.
Minkä tahansa reitin valitsetkin, varmista, että se tukee tarvitsemiasi VLAN-ominaisuuksia.
Hallittu kytkin
Kytkimet ovat VLAN-verkon ytimessä. He ovat siellä, missä taika tapahtuu. Tarvitset kuitenkin hallitun kytkimen, jotta voit hyödyntää VLAN-toimintoja.
Layer 3:n hallittuja kytkimiä on saatavilla kirjaimellisesti. Nämä kytkimet pystyvät käsittelemään jonkin verran Layer 3 -verkkoliikennettä ja voivat joissain tilanteissa korvata reitittimen.
On tärkeää pitää mielessä, että nämä kytkimet eivät ole reitittimiä ja niiden toiminnallisuus on rajoitettu. Layer 3 kytkimet vähentävät verkon latenssin todennäköisyyttä, mikä voi olla kriittistä joissakin ympäristöissä, joissa on kriittistä, että verkko on erittäin alhainen.
Client Network Interface Cards (NIC)
Asiakaskoneissasi käyttämiesi verkkokorttien tulee tukea 802.1Q:ta. Mahdollisuudet ovat, mutta se on jotain, joka on otettava huomioon ennen eteenpäin siirtymistä.
Peruskokoonpano
Tässä on vaikea osa. Verkkosi määrittämiseen on tuhansia erilaisia mahdollisuuksia. Yksikään opas ei voi kattaa niitä kaikkia. Heidän sydämessään ajatukset lähes minkä tahansa kokoonpanon takana ovat samat, samoin kuin yleinen prosessi.
Reitittimen määrittäminen
Voit aloittaa parilla eri tavalla. Voit yhdistää reitittimen jokaiseen kytkimeen tai jokaiseen VLAN-verkkoon. Jos valitset vain jokaisen kytkimen, sinun on määritettävä reititin erottamaan liikenne.
Tämän jälkeen voit määrittää reitittimesi käsittelemään VLAN-verkkojen välistä kulkevaa liikennettä.
Kytkimien konfigurointi
Olettaen, että nämä ovat staattisia VLAN-verkkoja, voit siirtyä kytkimesi VLAN-hallintatyökaluun sen verkkoliittymän kautta ja alkaa määrittää portteja eri VLAN-verkkoihin. Monet kytkimet käyttävät taulukkoasettelua, jonka avulla voit tarkistaa porttien vaihtoehdot.
Jos käytät useita kytkimiä, määritä yksi porteista kaikille VLAN-verkoille ja aseta se runkoportiksi. Tee tämä jokaisella kytkimellä. Käytä sitten näitä portteja kytkimien väliseen yhteyden muodostamiseen ja VLAN-verkkojen levittämiseen useiden laitteiden välillä.
Asiakkaiden yhdistäminen
Lopuksi asiakkaiden saaminen verkkoon on melko itsestään selvää. Yhdistä asiakaskoneesi portteihin, jotka vastaavat niitä VLAN-verkkoja, joihin haluat ne kytkeä.
VLAN kotona
Vaikka sitä ei ehkä pidetäkään loogisena yhdistelmänä, VLAN:illa on itse asiassa loistava sovellus kotiverkkotilassa, vierasverkoissa. Jos et halua luoda WPA2 Enterprise -verkkoa kotonasi ja luoda yksilöllisesti kirjautumistietoja ystävillesi ja perheellesi, voit käyttää VLAN-verkkoja rajoittaaksesi vieraillasi pääsyä kotiverkon tiedostoihin ja palveluihin.
Monet korkealuokkaiset kotireitittimet ja mukautetut reitittimen laiteohjelmistot tukevat perus-VLAN-verkkojen luomista. Voit määrittää vieras-VLANin omilla kirjautumistiedoillaan, jotta ystäväsi voivat yhdistää mobiililaitteitaan. Jos reitittimesi tukee sitä, vieras-VLAN on loistava lisäsuojauskerros, joka estää ystäväsi virusten täyttämää kannettavaa tietokonetta pilaamasta puhdasta verkkoasi.
