Sieci VLAN są wszędzie. Można je znaleźć w większości organizacji z odpowiednio skonfigurowaną siecią. Na wypadek, gdyby nie było to oczywiste, VLAN oznacza „Virtual Local Area Network” i są one wszechobecne w każdej nowoczesnej sieci poza rozmiarem małego domu lub bardzo małej sieci biurowej.
Istnieje kilka różnych protokołów, z których wiele jest specyficznych dla dostawcy, ale w istocie każda sieć VLAN robi to samo i korzyści płynące ze skalowania sieci VLAN wraz ze wzrostem rozmiaru i złożoności organizacyjnej sieci.
Te zalety są głównym powodem, dla którego sieci VLAN są tak mocno wykorzystywane przez profesjonalne sieci każdej wielkości. W rzeczywistości bez nich trudno byłoby zarządzać sieciami lub je skalować.
Korzyści i skalowalność sieci VLAN wyjaśniają, dlaczego stały się one tak wszechobecne w nowoczesnych środowiskach sieciowych. Trudno byłoby zarządzać lub skalować nawet umiarkowanie złożone sieci z wykorzystaniem sieci VLAN.
Co to jest sieć VLAN?
Dobrze, więc znasz akronim, ale czym właściwie jest sieć VLAN? Podstawowa koncepcja powinna być znana każdemu, kto pracował z serwerami wirtualnymi lub korzystał z nich.
Zastanów się przez chwilę, jak działają maszyny wirtualne. Wiele serwerów wirtualnych znajduje się w jednym fizycznym sprzęcie, na którym działa system operacyjny i hiperwizor, aby tworzyć i uruchamiać serwery wirtualne na jednym serwerze fizycznym. Dzięki wirtualizacji można skutecznie zamienić jeden fizyczny komputer w wiele komputerów wirtualnych, z których każdy jest dostępny dla osobnych zadań i użytkowników.
Wirtualne sieci LAN działają w podobny sposób jak serwery wirtualne. Co najmniej jeden zarządzany przełącznik uruchamia oprogramowanie (podobne do oprogramowania hiperwizora), które umożliwia przełącznikom tworzenie wielu przełączników wirtualnych w ramach jednej sieci fizycznej.
Każdy przełącznik wirtualny jest własną niezależną siecią. Główna różnica między serwerami wirtualnymi a wirtualnymi sieciami LAN polega na tym, że wirtualne sieci LAN mogą być rozproszone na wiele fizycznych elementów sprzętu za pomocą wyznaczonego kabla zwanego trunkiem.
Jak to działa
Wyobraź sobie, że prowadzisz sieć dla rozwijającej się małej firmy, dodajesz pracowników, dzielisz się na osobne działy i stajesz się bardziej złożony i zorganizowany.
Aby odpowiedzieć na te zmiany, uaktualniono do przełącznika 24-portowego, aby pomieścić nowe urządzenia w sieci.
Możesz rozważyć po prostu podłączenie kabla Ethernet do każdego z nowych urządzeń i wywołanie zadania wykonanego, ale problem polega na tym, że przechowywanie plików i usługi używane przez każdy dział muszą być przechowywane oddzielnie. Sieci VLAN są na to najlepszym sposobem.
W interfejsie internetowym przełącznika można skonfigurować trzy oddzielne sieci VLAN, po jednej dla każdego działu. Najprościej podzielić je według numerów portów. Możesz przypisać porty 1-8 do pierwszego działu, porty 9-16 do drugiego działu, a na końcu porty 17-24 g do ostatniego działu. Teraz zorganizowałeś swoją sieć fizyczną w trzy sieci wirtualne.
Oprogramowanie przełącznika może zarządzać ruchem między klientami w każdej sieci VLAN. Każda sieć VLAN działa jak własna sieć i nie może wchodzić w bezpośrednią interakcję z innymi sieciami VLAN. Teraz każdy dział ma swoją własną, mniejszą, mniej zagraconą i bardziej wydajną sieć, którą można zarządzać za pomocą tego samego sprzętu. Jest to bardzo wydajny i opłacalny sposób zarządzania siecią.
Gdy potrzebujesz, aby działy miały możliwość interakcji, możesz zmusić je do tego za pośrednictwem routera w sieci. Router może regulować i kontrolować ruch między sieciami VLAN oraz egzekwować silniejsze zasady bezpieczeństwa.
W wielu przypadkach działy będą musiały współpracować i współdziałać. Możesz zaimplementować komunikację między sieciami wirtualnymi za pośrednictwem routera, ustawiając reguły bezpieczeństwa, aby zapewnić odpowiednie bezpieczeństwo i prywatność poszczególnych sieci wirtualnych.
VLAN a podsieć
Sieci VLAN i podsieci są w rzeczywistości dość podobne i pełnią podobne funkcje. Zarówno podsieci, jak i sieci VLAN dzielą sieci i domeny rozgłoszeniowe. W obu przypadkach interakcje między podpodziałami mogą zachodzić tylko za pośrednictwem routera.
Różnice między nimi dotyczą sposobu ich implementacji i sposobu, w jaki zmieniają strukturę sieci.
Podsieć adresu IP
Podsieci istnieją w warstwie 3 modelu OSI, warstwie sieci. Podsieci są konstrukcją na poziomie sieci i są obsługiwane przez routery, organizujące się wokół adresów IP.
Routery wycinają zakresy adresów IP i negocjują połączenia między nimi. To powoduje, że cały stres związany z zarządzaniem siecią jest obciążany routerem. Podsieci mogą się również komplikować, gdy sieć zwiększa swój rozmiar i złożoność.
VLAN
Sieci VLAN znajdują swoje miejsce w warstwie 2 modelu OSI. Poziom łącza danych jest bliższy sprzętowi i mniej abstrakcyjny. Wirtualne sieci LAN emulują sprzęt działający jako indywidualne przełączniki.
Jednak wirtualne sieci LAN są w stanie rozbić domeny rozgłoszeniowe bez konieczności ponownego łączenia się z routerem, zdejmując z routera niektóre obciążenia związane z zarządzaniem.
Ponieważ sieci VLAN są ich własnymi sieciami wirtualnymi, muszą zachowywać się tak, jak mają wbudowany router. W rezultacie sieci VLAN zawierają co najmniej jedną podsieć i mogą obsługiwać wiele podsieci.
Sieci VLAN rozprowadzają obciążenie sieci i. wiele przełączników może obsługiwać ruch w sieciach VLAN bez angażowania routera, dzięki czemu system jest bardziej wydajny.
Zalety sieci VLAN
Do tej pory widziałeś już kilka korzyści, jakie wnoszą do gry sieci VLAN. Z racji tego, co robią, sieci VLAN mają wiele cennych atrybutów.
Sieci VLAN pomagają w bezpieczeństwie. Podział ruchu na segmenty ogranicza wszelkie możliwości nieautoryzowanego dostępu do części sieci. Pomaga również powstrzymać rozprzestrzenianie się złośliwego oprogramowania, jeśli którekolwiek znajdzie się w sieci. Potencjalni intruzi nie mogą używać narzędzi, takich jak Wireshark, do wykrywania pakietów w dowolnym miejscu poza wirtualną siecią LAN, w której się znajdują, co również ogranicza to zagrożenie.
Wydajność sieci to wielka sprawa. Wdrożenie sieci VLAN może zaoszczędzić lub kosztować firmę tysiące dolarów. Podział domen rozgłoszeniowych znacznie zwiększa wydajność sieci poprzez ograniczenie liczby urządzeń zaangażowanych w jednoczesną komunikację. VLAN zmniejsza potrzebę wdrażania routerów do zarządzania sieciami.
Często inżynierowie sieci decydują się na budowę wirtualnych sieci LAN na podstawie usługi, oddzielając ważny lub intensywny ruch sieciowy, taki jak sieć pamięci masowej (SAN) lub Voice over IP (VOIP). Niektóre przełączniki umożliwiają również administratorowi nadawanie priorytetów sieciom VLAN, zapewniając więcej zasobów dla bardziej wymagającego i krytycznego ruchu.
To byłoby straszne, gdyby trzeba było zbudować niezależną sieć fizyczną w celu oddzielenia ruchu. Wyobraź sobie zawiłą plątaninę okablowania, z którą musiałbyś walczyć, aby wprowadzić zmiany. To nic nie mówi o zwiększonym koszcie sprzętu i poborze mocy. Byłoby też szalenie nieelastyczne. Sieci VLAN rozwiązują wszystkie te problemy poprzez wirtualizację wielu przełączników na jednym sprzęcie.
Sieci VLAN zapewniają administratorom sieci wysoki stopień elastyczności dzięki wygodnemu interfejsowi programowemu. Powiedzmy, że dwa działy zamieniają się biurami. Czy personel IT musi przemieszczać sprzęt, aby dostosować się do zmiany? Nie. Mogą po prostu ponownie przypisać porty przełączników do właściwych sieci VLAN. Niektóre konfiguracje VLAN nawet tego nie wymagają. Dynamicznie się dostosowywali. Te sieci VLAN nie wymagają przypisanych portów. Zamiast tego są oparte na adresach MAC lub IP. Tak czy inaczej, nie jest wymagane tasowanie przełączników ani kabli. Wdrożenie oprogramowania do zmiany lokalizacji sieci jest znacznie bardziej wydajne i opłacalne niż przenoszenie fizycznego sprzętu.
Statyczne a dynamiczne sieci VLAN
Istnieją dwa podstawowe typy sieci VLAN, podzielone na kategorie według sposobu, w jaki komputery są do nich podłączone. Każdy typ ma mocne i słabe strony, które należy wziąć pod uwagę w zależności od konkretnej sytuacji sieci.
Statyczna sieć VLAN
Statyczne sieci VLAN są często nazywane sieciami VLAN opartymi na portach, ponieważ urządzenia łączą się, łącząc się z przypisanym portem. W tym przewodniku do tej pory używano tylko statycznych sieci VLAN jako przykładów.
Konfigurując sieć ze statycznymi sieciami VLAN, inżynier dzieli przełącznik według jego portów i przypisuje każdy port do sieci VLAN. Każde urządzenie, które łączy się z tym portem fizycznym, dołączy do tej sieci VLAN.
Statyczne sieci VLAN zapewniają bardzo proste i łatwe w konfiguracji sieci bez zbytniego polegania na oprogramowaniu. Jednak trudno jest ograniczyć dostęp w fizycznej lokalizacji, ponieważ osoba może po prostu się podłączyć. Statyczne sieci VLAN wymagają również, aby administrator sieci zmienił przypisanie portów w przypadku, gdy ktoś w sieci zmieni fizyczne lokalizacje.
Dynamiczna sieć VLAN
Dynamiczne sieci VLAN w dużym stopniu opierają się na oprogramowaniu i zapewniają wysoki stopień elastyczności. Administrator może przypisać adresy MAC i IP do określonych sieci VLAN, umożliwiając nieskrępowane przemieszczanie się w przestrzeni fizycznej. Maszyny w dynamicznej wirtualnej sieci LAN mogą poruszać się w dowolnym miejscu sieci i pozostawać w tej samej sieci VLAN.
Chociaż dynamiczne sieci VLAN są bezkonkurencyjne pod względem zdolności adaptacyjnych, mają pewne poważne wady. Wysokiej klasy przełącznik musi przejąć rolę serwera znanego jako VLAN Management Policy Server (VMPS (do przechowywania i dostarczania informacji adresowych do innych przełączników w sieci). VMPS, jak każdy serwer, wymaga regularnego zarządzania i konserwacji i podlega możliwym przestojom.
Atakujący mogą sfałszować adresy MAC i uzyskać dostęp do dynamicznych sieci VLAN, co stanowi kolejne potencjalne wyzwanie w zakresie bezpieczeństwa.
Konfigurowanie sieci VLAN
Czego potrzebujesz
Istnieje kilka podstawowych elementów potrzebnych do skonfigurowania sieci VLAN lub wielu sieci VLAN. Jak wspomniano wcześniej, istnieje wiele różnych standardów, ale najbardziej uniwersalnym jest IEEE 802.1Q. To jest ten, za którym będzie podążał ten przykład.
Router
Technicznie rzecz biorąc, do skonfigurowania sieci VLAN nie potrzebujesz routera, ale jeśli chcesz współdziałać z wieloma sieciami VLAN, będziesz potrzebować routera.
Wiele nowoczesnych routerów obsługuje funkcjonalność sieci VLAN w takiej czy innej formie. Routery domowe mogą nie obsługiwać sieci VLAN lub obsługują ją tylko w ograniczonej przepustowości. Niestandardowe oprogramowanie układowe, takie jak DD-WRT, obsługuje je dokładniej.
Mówiąc o niestandardowych, nie potrzebujesz gotowego routera do pracy z wirtualnymi sieciami LAN. Niestandardowe oprogramowanie sprzętowe routera jest zwykle oparte na systemie operacyjnym podobnym do Uniksa, takim jak Linux lub FreeBSD, więc możesz zbudować własny router przy użyciu jednego z tych systemów operacyjnych typu open source.
Cała funkcja routingu, której potrzebujesz, jest dostępna dla systemu Linux i możesz skonfigurować instalację systemu Linux, aby dostosować router do swoich konkretnych potrzeb. Aby uzyskać coś, co jest bardziej kompletne, zajrzyj do pfSense. pfSense to doskonała dystrybucja FreeBSD, zbudowana jako solidne rozwiązanie routingu typu open source. Obsługuje sieci VLAN i zawiera zaporę sieciową, aby lepiej zabezpieczać ruch między sieciami wirtualnymi.
Niezależnie od wybranej trasy upewnij się, że obsługuje ona potrzebne funkcje sieci VLAN.
Przełącznik zarządzany
Przełączniki są sercem sieci VLAN. To tam dzieje się magia. Jednak do korzystania z funkcji sieci VLAN potrzebny jest przełącznik zarządzany.
Aby wznieść się na wyższy poziom, dosłownie, dostępne są przełączniki zarządzane warstwy 3. Przełączniki te są w stanie obsłużyć część ruchu sieciowego w warstwie 3 iw niektórych sytuacjach mogą zastąpić router.
Należy pamiętać, że te przełączniki nie są routerami, a ich funkcjonalność jest ograniczona. Przełączniki warstwy 3 zmniejszają prawdopodobieństwo opóźnień w sieci, co może mieć krytyczne znaczenie w niektórych środowiskach, w których bardzo ważne jest posiadanie sieci o bardzo niskim opóźnieniu.
Karty interfejsu sieciowego klienta (karty sieciowe)
Karty sieciowe używane na komputerach klienckich powinny obsługiwać 802.1Q. Szanse są, tak, ale warto się temu przyjrzeć, zanim przejdziemy dalej.
Konfiguracja podstawowa
Oto najtrudniejsza część. Istnieją tysiące różnych możliwości konfiguracji sieci. Żaden przewodnik nie jest w stanie omówić ich wszystkich. W ich sercu idee stojące za niemal każdą konfiguracją są takie same, podobnie jak ogólny proces.
Konfiguracja routera
Możesz zacząć na kilka różnych sposobów. Możesz podłączyć router do każdego przełącznika lub do każdej sieci VLAN. Jeśli wybierzesz tylko każdy przełącznik, będziesz musiał skonfigurować router, aby różnicował ruch.
Następnie możesz skonfigurować router do obsługi ruchu przechodzącego między sieciami VLAN.
Konfiguracja przełączników
Zakładając, że są to statyczne sieci VLAN, możesz wejść do narzędzia do zarządzania siecią VLAN przełącznika przez jego interfejs sieciowy i rozpocząć przypisywanie portów do różnych sieci VLAN. Wiele przełączników używa układu tabeli, który umożliwia zaznaczenie opcji portów.
Jeśli używasz wielu przełączników, przypisz jeden z portów do wszystkich sieci VLAN i ustaw go jako port trunk. Zrób to na każdym przełączniku. Następnie użyj tych portów, aby połączyć się między przełącznikami i rozdzielić sieci VLAN na wiele urządzeń.
Łączenie Klientów
Wreszcie, pozyskiwanie klientów w sieci jest dość oczywiste. Podłącz komputery klienckie do portów odpowiadających sieciom VLAN, w których chcesz je włączyć.
VLAN w domu
Nawet jeśli nie jest to postrzegane jako logiczne połączenie, sieci VLAN w rzeczywistości mają świetne zastosowanie w domowej przestrzeni sieciowej, sieciach dla gości. Jeśli nie masz ochoty konfigurować sieci WPA2 Enterprise w domu i samodzielnie tworzyć danych logowania dla znajomych i rodziny, możesz użyć sieci VLAN, aby ograniczyć dostęp gości do plików i usług w sieci domowej.
Wiele domowych routerów wyższej klasy i niestandardowe oprogramowanie układowe obsługuje tworzenie podstawowych sieci VLAN. Możesz skonfigurować gościnną sieć VLAN z własnymi danymi logowania, aby Twoi znajomi mogli łączyć się ze swoimi urządzeniami mobilnymi. Jeśli Twój router to obsługuje, sieć VLAN dla gości jest świetną dodatkową warstwą bezpieczeństwa, która zapobiega zakłóceniom czystej sieci przez zarażonego wirusami laptopa Twojego przyjaciela.