Internet

Cara Menyiapkan LAN Maya (VLAN)

VLAN ada di mana-mana. Anda dapat menjumpainya di kebanyakan organisasi dengan rangkaian yang dikonfigurasi dengan betul. Sekiranya tidak jelas, VLAN adalah singkatan, "Virtual Local Area Network", dan mereka terdapat di mana-mana rangkaian moden di luar ukuran rumah kecil atau rangkaian pejabat yang sangat kecil.

Terdapat beberapa protokol yang berbeza, yang kebanyakannya khusus untuk vendor, tetapi pada dasarnya, setiap VLAN melakukan perkara yang sama dan manfaat skala VLAN apabila rangkaian anda bertambah dari segi ukuran dan kerumitan organisasi.

Kelebihan tersebut adalah sebahagian besar mengapa VLAN sangat bergantung pada rangkaian profesional dari semua saiz. Sebenarnya, sukar untuk mengurus atau menskalakan rangkaian tanpa mereka.

Manfaat dan skalabilitas VLAN menjelaskan mengapa mereka menjadi begitu banyak di persekitaran rangkaian moden. Sukar untuk mengurus atau menskalakan rangkaian yang agak kompleks dengan pengguna VLAN.

Apa itu VLAN?

Baiklah, jadi anda tahu akronimnya, tetapi apa sebenarnya VLAN? Konsep asasnya harus diketahui oleh sesiapa sahaja yang pernah bekerja dengan atau menggunakan pelayan maya.

Fikirkan sebentar bagaimana mesin maya berfungsi. Pelbagai pelayan maya berada dalam satu perkakasan fizikal yang menjalankan sistem operasi dan penyelia untuk membuat dan menjalankan pelayan maya pada pelayan fizikal tunggal. Melalui virtualisasi, anda dapat dengan berkesan mengubah satu komputer fizikal menjadi beberapa komputer maya yang masing-masing tersedia untuk tugas dan pengguna yang berasingan.

LAN maya berfungsi dengan cara yang hampir sama dengan pelayan maya. Satu atau lebih suis terurus menjalankan perisian (serupa dengan perisian hypervisor) yang membolehkan suis membuat banyak suis maya dalam satu rangkaian fizikal.

Setiap suis maya adalah rangkaiannya sendiri. Perbezaan utama antara pelayan maya dan LAN maya ialah LAN maya dapat diedarkan di beberapa bahagian perkakasan fizikal dengan kabel yang ditentukan yang disebut trunk.

Bagaimana ia berfungsiSuis 24-port

Bayangkan bahawa anda menjalankan rangkaian untuk perniagaan kecil yang berkembang, menambah pekerja, membahagikan kepada jabatan yang terpisah, dan menjadi lebih kompleks dan teratur.

Untuk menanggapi perubahan ini, anda menaikkan suis 24 port untuk menampung peranti baru di rangkaian.

Anda mungkin mempertimbangkan hanya menjalankan kabel ethernet ke setiap peranti baru dan memanggil tugas yang telah selesai, tetapi masalahnya ialah penyimpanan fail dan perkhidmatan yang digunakan oleh setiap jabatan mesti disimpan terpisah. VLAN adalah kaedah terbaik untuk melakukannya.

Di antara muka web suis, anda boleh mengkonfigurasi tiga VLAN berasingan, satu untuk setiap jabatan. Kaedah paling mudah untuk membaginya adalah dengan nombor port. Anda boleh menetapkan Port 1-8 ke jabatan pertama, menetapkan port 9-16 ke jabatan kedua, dan akhirnya menetapkan port 17-24 g ke jabatan terakhir. Sekarang anda telah mengatur rangkaian fizikal anda ke dalam tiga rangkaian maya.

Perisian di suis dapat menguruskan lalu lintas antara klien di setiap VLAN. Setiap VLAN bertindak sebagai rangkaiannya sendiri dan tidak dapat berinteraksi secara langsung dengan VLAN lain. Sekarang, setiap jabatan mempunyai rangkaian yang lebih kecil, kurang berantakan, dan lebih cekap, dan anda boleh menguruskan semuanya melalui perkakasan yang sama. Ini adalah kaedah yang sangat cekap dan menjimatkan untuk mengurus rangkaian.

Apabila anda memerlukan jabatan untuk berinteraksi, anda boleh membuatnya melalui penghala di rangkaian. Penghala dapat mengatur dan mengawal lalu lintas antara VLAN dan menguatkuasakan peraturan keselamatan yang lebih kuat.

Dalam banyak kes, jabatan perlu bekerjasama dan berinteraksi. Anda dapat melaksanakan komunikasi antara rangkaian maya melalui penghala, menetapkan peraturan keselamatan untuk memastikan keselamatan dan privasi rangkaian maya individu yang sesuai.

VLAN lwn Subnet

VLAN dan subnet sebenarnya serupa dan berfungsi dengan fungsi yang serupa. Kedua-dua subnet dan VLAN membahagikan rangkaian dan domain siaran. Dalam kedua kes tersebut, interaksi antara subdivisi hanya dapat terjadi melalui penghala.

Perbezaan antara mereka datang dalam bentuk pelaksanaannya dan bagaimana mereka mengubah struktur rangkaian.

Subnet Alamat IP

Subnet ada di Layer 3 Model OSI, lapisan rangkaian. Subnet adalah konstruk peringkat rangkaian dan ditangani dengan router, mengatur sekitar alamat IP.

Router membuat rangkaian alamat IP dan merundingkan hubungan antara mereka. Ini meletakkan semua tekanan pengurusan rangkaian pada penghala. Subnet juga boleh menjadi rumit ketika rangkaian anda bertambah besar dari segi ukuran dan kerumitannya.

VLAN

VLAN mencari rumah mereka di Lapisan 2 Model OSI. Tahap pautan data lebih dekat dengan perkakasan dan kurang abstrak. LAN maya meniru perkakasan yang bertindak sebagai suis individu.

Walau bagaimanapun, LAN maya dapat memecah domain siaran tanpa perlu menyambung kembali ke penghala, dengan mengambil sebahagian daripada beban pengurusan dari penghala.

Oleh kerana VLAN adalah rangkaian maya mereka sendiri, mereka harus berkelakuan seperti mereka mempunyai penghala terbina dalam. Akibatnya, VLAN mengandungi sekurang-kurangnya satu subnet, dan dapat menyokong beberapa subnet.

VLAN mengedarkan beban rangkaian, dan. pelbagai suis dapat menangani lalu lintas dalam VLAN tanpa melibatkan penghala, menjadikan sistem yang lebih cekap.

Kelebihan VLAN

Sekarang, anda sudah melihat beberapa kelebihan yang dibawa oleh VLAN. Hanya berdasarkan apa yang mereka lakukan, VLAN mempunyai sejumlah sifat berharga.

VLAN membantu keselamatan. Mengasingkan lalu lintas membatasi peluang untuk akses tanpa izin ke bahagian rangkaian. Ini juga membantu menghentikan penyebaran perisian berniat jahat, sekiranya ada jalan masuk ke rangkaian. Penceroboh yang berpotensi tidak dapat menggunakan alat seperti Wireshark untuk mengendus paket di mana sahaja di luar LAN maya yang mereka gunakan, membatasi ancaman itu juga.

Kecekapan rangkaian adalah masalah besar. Ia dapat menjimatkan atau menelan belanja ribuan dolar untuk melaksanakan VLAN. Memecah domain siaran sangat meningkatkan kecekapan rangkaian dengan menghadkan bilangan peranti yang terlibat dalam komunikasi dalam satu masa. VLAN mengurangkan keperluan untuk menggunakan router untuk menguruskan rangkaian.

Selalunya, jurutera rangkaian memilih untuk membina LAN maya berdasarkan setiap perkhidmatan, memisahkan lalu lintas yang penting atau berintensifkan rangkaian seperti Storage Area Network (SAN) atau Voice over IP (VOIP). Beberapa suis juga membolehkan pentadbir memprioritaskan VLAN, memberikan lebih banyak sumber untuk lalu lintas yang lebih menuntut dan tidak penting.

VLAN adalah penting

Amat mengerikan apabila perlu membina rangkaian fizikal bebas untuk memisahkan lalu lintas. Bayangkan kekusutan kabel yang berbelit-belit yang harus anda tempuh untuk membuat perubahan. Ini untuk meningkatkan kos perkakasan dan tarikan kuasa. Ia juga tidak fleksibel. VLAN menyelesaikan semua masalah ini dengan memvisualisasikan banyak suis pada satu bahagian perkakasan.

VLAN memberikan tahap fleksibiliti yang tinggi kepada pentadbir rangkaian melalui antara muka perisian yang mudah digunakan. Katakan dua jabatan bertukar pejabat. Adakah kakitangan IT mesti bergerak di sekitar perkakasan untuk menampung perubahan tersebut? Tidak. Mereka hanya dapat menetapkan semula port pada suis ke VLAN yang betul. Beberapa konfigurasi VLAN bahkan tidak memerlukannya. Mereka menyesuaikan diri secara dinamik. VLAN ini tidak memerlukan port yang ditetapkan. Sebaliknya, mereka berdasarkan alamat MAC atau IP. Walau apa pun, tidak perlu penggantian suis atau kabel. Lebih efektif dan menjimatkan kos untuk melaksanakan penyelesaian perisian untuk mengubah lokasi rangkaian daripada memindahkan perkakasan fizikal.

VLAN Statik vs Dinamik

Terdapat dua jenis VLAN asas, dikategorikan dengan cara mesin dihubungkan dengannya. Setiap jenis mempunyai kekuatan dan kelemahan yang harus diambil kira berdasarkan situasi rangkaian tertentu.

VLAN statik

VLAN statik sering disebut sebagai VLAN berasaskan port kerana peranti bergabung dengan menghubungkan ke port yang ditetapkan. Panduan ini hanya menggunakan VLAN statik sebagai contoh setakat ini.

Dalam membangun jaringan dengan VLAN statis, seorang jurutera akan membagi suis dengan portnya dan menetapkan setiap port ke VLAN. Sebarang peranti yang menyambung ke port fizikal akan bergabung dengan VLAN tersebut.

VLAN statik menyediakan rangkaian yang sangat mudah dan mudah dikonfigurasi tanpa terlalu bergantung pada perisian. Namun, sukar untuk menyekat akses dalam lokasi fizikal kerana seseorang hanya boleh memasukkannya. VLAN statik juga memerlukan pentadbir rangkaian untuk menukar penugasan port sekiranya seseorang di rangkaian mengubah lokasi fizikal.

VLAN dinamik

VLAN dinamik sangat bergantung pada perisian dan membenarkan tahap fleksibiliti yang tinggi. Pentadbir boleh memberikan alamat MAC dan IP ke VLAN tertentu, yang membolehkan pergerakan tanpa beban di ruang fizikal. Mesin dalam LAN maya dinamik boleh bergerak ke mana sahaja dalam rangkaian dan tetap menggunakan VLAN yang sama.

Walaupun VLAN Dinamik tidak dapat dikalahkan dari segi kemampuan menyesuaikan diri, ia mempunyai beberapa kelemahan yang serius. Suis kelas atas harus mengambil peranan pelayan yang dikenali sebagai Pelayan Polisi Pengurusan VLAN (VMPS (untuk menyimpan dan menyampaikan maklumat alamat ke suis lain di rangkaian. VMPS, seperti pelayan lain, memerlukan pengurusan dan penyelenggaraan berkala. dan tertakluk kepada kemungkinan waktu henti.

Penyerang dapat menipu alamat MAC dan mendapatkan akses ke VLAN dinamik, menambah satu lagi cabaran keselamatan yang berpotensi.

Menyiapkan VLAN

Apa yang kamu perlu

Terdapat beberapa item asas yang anda perlukan untuk menyediakan VLAN atau beberapa VLAN. Seperti yang dinyatakan sebelumnya, terdapat sejumlah standard yang berbeza, tetapi yang paling universal adalah IEEE 802.1Q. Itulah yang akan diikuti oleh contoh ini.

Penghala

Secara teknikal, anda tidak memerlukan penghala untuk menyiapkan VLAN, tetapi jika anda mahu beberapa VLAN berinteraksi, anda memerlukan penghala.

Banyak penghala moden menyokong fungsi VLAN dalam beberapa bentuk atau yang lain. Penghala rumah mungkin tidak menyokong VLAN atau hanya menyokongnya dalam kapasiti terhad. Firmware tersuai seperti DD-WRT memang menyokongnya dengan lebih menyeluruh.

Bercakap mengenai kebiasaan, anda tidak memerlukan penghala luar rak untuk bekerja dengan LAN maya anda. Firmware penghala khusus biasanya didasarkan pada OS seperti Unix seperti Linux atau FreeBSD, jadi anda boleh membina penghala anda sendiri menggunakan salah satu sistem operasi sumber terbuka tersebut.

Semua fungsi penghalaan yang anda perlukan tersedia untuk Linux, dan anda dapat mengkonfigurasi pemasangan Linux untuk menyesuaikan router anda untuk memenuhi keperluan khusus anda. Untuk sesuatu yang lebih lengkap, lihat pfSense. pfSense adalah pengedaran FreeBSD yang sangat baik yang dibina untuk menjadi penyelesaian penghalaan sumber terbuka yang mantap. Ia menyokong VLAN dan termasuk firewall untuk melindungi lalu lintas antara rangkaian maya anda dengan lebih baik.

Apa sahaja laluan yang anda pilih, pastikan ia menyokong ciri VLAN yang anda perlukan.

Suis Terurus

Suis berada di tengah-tengah rangkaian VLAN. Di sinilah keajaiban berlaku. Walau bagaimanapun, anda memerlukan suis terurus untuk memanfaatkan fungsi VLAN.

Untuk meningkatkan tahap, secara harfiah, terdapat suis terurus Lapisan 3 yang tersedia. Suis ini dapat menangani beberapa lalu lintas rangkaian Layer 3 dan dapat menggantikan router dalam beberapa situasi.

Penting untuk diingat bahawa suis ini bukan penghala, dan fungsinya terhad. Suis lapisan 3 mengurangkan kemungkinan latensi rangkaian yang boleh menjadi kritikal di beberapa persekitaran di mana sangat penting untuk mempunyai rangkaian latensi yang sangat rendah.

Kad Antara Muka Rangkaian Pelanggan (NIC)

NIC yang anda gunakan pada mesin pelanggan anda harus menyokong 802.1Q. Kemungkinan, memang ada, tetapi itu adalah sesuatu yang perlu diperhatikan sebelum melangkah ke hadapan.

Konfigurasi Asas

Inilah bahagian yang sukar. Terdapat ribuan kemungkinan yang berbeza untuk bagaimana anda dapat mengkonfigurasi rangkaian anda. Tidak ada satu panduan pun yang dapat merangkumi semuanya. Pada intinya, idea di sebalik hampir semua konfigurasi adalah sama, dan begitu juga proses umum.

Menyiapkan Penghala

Anda boleh memulakan dengan beberapa cara yang berbeza. Anda boleh menyambungkan penghala ke setiap suis atau setiap VLAN. Sekiranya anda memilih setiap suis, anda perlu mengkonfigurasi penghala untuk membezakan lalu lintas.

Anda kemudian boleh mengkonfigurasi penghala anda untuk menangani lalu lintas antara VLAN.

Mengkonfigurasi Suis

VLAN memerlukan suis

Dengan andaian bahawa ini adalah VLAN statik, anda boleh memasukkan utiliti pengurusan VLAN suis anda melalui antara muka webnya dan mula menetapkan port ke VLAN yang berbeza. Banyak suis menggunakan susun atur jadual yang membolehkan anda menyemak pilihan port.

Sekiranya anda menggunakan beberapa suis, tetapkan salah satu port ke semua VLAN anda dan tetapkan sebagai port trunk. Lakukan ini pada setiap suis. Kemudian, gunakan port tersebut untuk menghubungkan antara suis dan menyebarkan VLAN anda ke pelbagai peranti.

Menghubungkan Pelanggan

Akhirnya, mendapatkan pelanggan di rangkaian cukup jelas. Sambungkan mesin pelanggan anda ke port yang sesuai dengan VLAN yang anda mahukan.

VLAN Di Rumah

Walaupun mungkin tidak dilihat sebagai kombinasi logik, VLAN sebenarnya memiliki aplikasi yang bagus di ruang jaringan rumah, jaringan tamu. Sekiranya anda tidak mahu membuat rangkaian WPA2 Enterprise di rumah anda dan membuat bukti kelayakan masuk untuk rakan dan keluarga anda secara individu, anda boleh menggunakan VLAN untuk menyekat akses tetamu anda ke fail dan perkhidmatan di rangkaian rumah anda.

Banyak router rumah mewah dan firmware penghalaan khas menyokong pembuatan VLAN asas. Anda boleh menyediakan VLAN tetamu dengan maklumat log masuk sendiri untuk membiarkan rakan anda menyambungkan peranti mudah alih mereka. Sekiranya penghala anda menyokongnya, VLAN tetamu adalah lapisan keselamatan tambahan yang bagus untuk mengelakkan komputer riba yang diserang virus rakan anda merosakkan rangkaian bersih anda.