VLAN: kaj je in zakaj je potreben?

Vsebina

Razvoj zasnove virtualnega omrežja
Vrste konfiguracije
Arhitektura LAN
ravna struktura
Asimetrični VLAN
Izvajanje: splošni opis
Dovoljena pravila za imena
Topologija omrežja LAN
Varnostna tveganja VoIP
Prednosti povezovanja

VLAN je logična, neodvisna struktura, ki se nahaja v istem fizičnem omrežju. Uporabnik ima lahko na istem usmerjevalniku ali stikalu več VLAN-ov. Vsako od teh omrežij združuje ukaze določenega segmenta, kar ima posebne prednosti pri upravljanju in varnosti.

Razvoj zasnove virtualnega omrežja

Razvijajoče se oblikovanje virtualnega omrežja

Organizacije, ki želijo posodobiti svoje starejše omrežje, lahko uvedejo arhitekturo WLAN, ki jo upravljajo lokalni krmilniki, ali arhitekturo s krmilniki v oblaku. Obe možnosti prinašata pomembne prednosti. Odločitev, katera izvedba bo najboljša, je odvisna od več dejavnikov, vključno s strukturo podjetja, trenutno zasnovo omrežja in zahtevami.

Ko so bila omrežja WLAN v podjetjih prvič vzpostavljena, je bil vsak dostopni točki konfiguriran in upravljan neodvisno od drugih v istem omrežju. Takrat to ni bilo problematično, saj je večina podjetij določila posebna območja za brezžične dostopne točke. Pogoste lokacije so bile konferenčne sobe, avle in zunanji prostori - vse lokacije z velikim številom uporabnikov in številnimi žičnimi priključki.

Z naraščajočim povpraševanjem po brezžičnem omrežju Wi-Fi v podjetjih narašča tudi infrastruktura, se zahteva, da zagotavljanje. Upravitelji omrežij morajo upravljati na stotine, če ne celo tisoče dostopnih točk. Zaradi tehničnih težav, kot so souporaba kanalov, prilagajanje moči in gostovanje odjemalcev, so številna omrežja nestabilna in nepredvidljiva.

VLAN je bil potreben tam, kjer so prodajalci namestili krmilnike, da bi se podatki vrnili. Postali so enotna točka za konfiguracijo dostopnih točk, komunikacijo in uporabljene politike. dostopne točke so izgubile svojo individualnost, krmilnik pa je postal "možgani" celotnega omrežja WLAN.

Vrste konfiguracije

Ločimo šest vrst VLAN. Vendar večina uporabnikov uporablja le tri: na ravni vrat, MAC in aplikacij. Vrata oziroma njihovo preklapljanje v meniju za konfiguracijo usmerjevalnikov je najpogostejši.

Vsaka vrata so dodeljena VLAN in uporabniki, povezani z njimi, se lahko vidijo med seboj v notranjosti. Sosednja virtualna omrežja so zanje nedosegljiva. Edina pomanjkljivost tega modela je, da ne upošteva dinamike pri lociranju uporabnikov, in če ti spremenijo fizično lokacijo, je treba program VLAN ponovno konfigurirati.

Namesto dodelitve na ravni vrat je dodelitev MAC na ravni naslova MAC v napravi. Prednost je, da omogoča mobilnost, ne da bi bilo treba spreminjati konfiguracijo stikala ali usmerjevalnika. Problem se zdi povsem jasen, vendar je dodajanje vseh uporabnikov lahko zamudno.

Aplikacije - programi VLAN, kjer so omrežja dodeljena glede na uporabljeno programsko opremo z uporabo več dejavnikov, kot so čas, naslov MAC ali podomrežje za razlikovanje med SSH, FTP, Samba ali SMTP.

Arhitektura LAN

Brezžična omrežja LAN, ki se upravljajo v oblaku, so odvisna od kakovosti interneta in lahko odpovedo, če je povezava nezanesljiva. Krmilnik v oblaku pogosto izvaja druge brezžične storitve, kot sta priprava protokola za dinamično konfiguracijo gostitelja in preverjanje pristnosti.

Uporaba omrežja LAN med navideznimi stroji ustvarja dodatne režijske stroške za internetno pasovno širino. Če je povezljivost zelo uporabljena, nezanesljiva ali ima težave z zakasnitvijo, je zato bolje uporabiti lokalni pristop, ki nadzoruje te lastnosti.

V večini primerov krmilniki omogočajo veliko večjo prilagodljivost pri dejanskem načrtovanju in uvajanju omrežja WLAN. To vključuje izboljšano podporo za starejše naprave in aplikacije Wi-Fi ter bolj podroben nadzor nad določenimi nastavitvami VLAN. V podjetjih, ki uporabljajo na tisoče dostopnih točk, lahko več VLAN deluje skupaj, da bi zagotovili zanesljiv dostop do omrežja in preklop na drugo omrežje za odjemalce.

ravna struktura

Zasnova klicnega lokalnega omrežja navideznega stroja s plastjo 2 je podobna ravnemu omrežju. Vsaka naprava v omrežju lahko vidi vsak oddajni paket, ki se prenaša, tudi če ji ni treba sprejemati podatkov. Usmerjevalniki omogočajo takšno oddajanje v izvornem omrežju samo, ko se v vsakem polju ali segmentu preklopi v živo. Tega omrežja ne imenujemo ravno omrežje zaradi njegove zasnove, temveč zato, ker ima eno samo domeno oddajanja. Gostitelj tako oddajanje usmeri v vsa vrata na stikalih, pri čemer tisto, ki ga prejme, ostane prvo.

Tako, največji prednost omrežja s preklopno plastjo je, da vzpostavi ločen segment ali predel konfliktne domene za vsak posamezen kos opreme, ki je priključen na stikalo. Zaradi tega lahko se sestavi Večja omrežja in ni potrebe po namestitvi dolge ethernetne povezave.

Varnost je pri tipičnem klicnem požarnem zidu lahko težava, saj so naprave vidne vsem računom. Druga pomanjkljivost je, da ni mogoče ustaviti oddaj in odzivov uporabnikov nanje. Na žalost so varnostne možnosti pri iskanju gesel v različnih strežnikih in drugih napravah omejene.

Asimetrični VLAN

Asimetrične mreže VLAN Mreže VLAN omogočajo segmentacijo omrežja, varno in učinkovito ločevanje prometa med njimi, hkrati pa zmanjšujejo velikost oddajnih domen in s tem omrežni promet. Omrežja VLAN so običajno namenjena velikim omrežjem z upravljanimi stikali, ki so zmogljiva in draga.

Takšne zasnove lahko biti uporaben V majhnih in srednje velikih omrežnih okoljih. Iz varnostnih razlogov je pomembno omrežje razdeliti na dve popolnoma neodvisni omrežji, ki lahko podpirata dostop do skupnih virov. Običajna rešitev je uporaba stikala z nadzorom dostopa med VLAN-i. Bolj vsebinsko uporabo serije D-Link Smart je mogoče obravnavati kot. Ta pametna stikala se upravljajo prek spletnega vmesnika in so cenejša.

Funkcijo asimetričnih VLAN lahko uporabite zlasti v stikalu D-Link DGS-1210-24. To omogoča, da se omrežje razdeli na neodvisne VLAN-e, hkrati pa se ohrani skupna povezava, do katere lahko dostopajo stroji iz preostalih VLAN-ov.

Računalniki, dodeljeni v VLAN, ne bodo vidni, vendar bodo imeli vsi dostop do interneta ali virov, ki so na skupnih vratih. V tem primeru bodo vsi računalniki v istem podomrežju IP. To lahko razširite na omrežje Wi-Fi v podjetju, na primer za ustvarjanje omrežja za goste z dostopom do interneta.

Izvajanje: splošni opis

VLAN je podrazdelek v podatkovno povezovalni plasti protokolnega sklada. lahko se ustvari za lokalna omrežja (LAN), ki uporabljajo tehnologijo vozlišč. Z dodeljevanjem uporabniških skupin izboljšajte upravljanje in varnost omrežja. Vmesnike iz istega sistema lahko dodelite tudi različnim VLAN-om.

Priporočljivo je razdeliti lokalno omrežje na VLAN, če želite narediti naslednje:

Vzpostavitev VLAN z logično ločitvijo delovnih skupin, na primer kadar so vsi gostitelji v nadstropju stavbe povezani z vozlišči prek omrežja LAN.
dodeljevanje različnih varnostnih politik delovnim skupinam, na primer finančnim in informacijskim. Če si sistema obeh oddelkov delita isto linijo, lahko za vsak oddelek ustvarite ločen VLAN. Nato za vsako posamezno varnostno politiko.
Delovne skupine razdelite na obvladljiva področja.

Uporaba VLAN zmanjša velikost domen izdajanja in poveča učinkovitost omrežja.

Dovoljena pravila za imena

Omrežja VLAN prikazati prednosti uporabe skupnih ali lastnih imen. Prejšnje različice VLAN-ov so bile identificirane s fizično točko priključitve (PPA), ki je pri ustvarjanju VLAN-a prek interneta zahtevala kombinacijo imena strojne opreme podatkovne povezave in ID VLAN-a.

V novejših napravah, kot je Oracle Solaris 11, lahko izberete bolj smiselno ime za identiteto. Ime mora upoštevati vrstni red poimenovanja podatkovnih povezav, ki je naveden v pravila za veljavne imena v omrežju Oracle Solaris 11 Network, na primer ime sales0 ali ime marketing1.

Imena delujejo skupaj z ID VLAN. V omrežju LAN so opredeljeni z identifikatorjem, znanim tudi kot oznaka VLAN, ki se nastavi med konfiguracijo. Če želite podpirati VLAN v stikalih, morate dodeliti ID za vsako vrata, ki ustrezajo vmesniku.

Topologija omrežja LAN

Tehnologija VLAN z vozlišči vam omogoča, da svoje sisteme VLAN organizirate v VLAN. Da bi ga lahko delil, mora imeti uporabnik gostitelje, ki so skladni z VLAN. Vsa vrata na gostitelju lahko konfigurirate za eno ali več VLAN-ov, odvisno od konfiguracije. Vsak proizvajalec stikal uporablja različne postopke za konfiguracijo vrat.

Če ima omrežje na primer naslov podomrežja 192.168.84.0, se lahko ta VLAN razdeli na tri VLAN, ki ustrezajo trem delovnim skupinam:

Acctg0 z VLAN ID 789: računovodska skupina. Ima gostitelja D in E.
Humres0 z VLAN ID 456: skupina okvirjev. Ima gostitelja B in F.
Infotech0 z VLAN ID 123: skupina računalnikov. Ima gostitelja A in C.

Na enem omrežnem pogonu, kot je stikalo, lahko vzpostavite več navideznih omrežij, ki združujejo VLAN in območja Oracle Solaris s tremi fizičnimi omrežnimi karticami net0, net1 in net2.

Brez VLAN bi morali za izvajanje določenih funkcij konfigurirati različne sisteme in jih povezati v ločena omrežja. Z VLAN-i in območji lahko združite osem sistemov in jih konfigurirate kot območja v enem.

Varnostna tveganja VoIP

Shranjevanje podatkov in prometa VoIP v ločenih omrežjih VLAN je vsekakor dobra varnostna praksa, vendar je to včasih lažje reči kot storiti. Če je za ločevanje VoIP od podatkovnega prometa na posamezni delovni postaji potrebna dodatna omrežna kartica in vrata stikala, bo izvajanje te zamisli v poslovnem okolju težavno.

Nekateri telefoni IP imajo programabilne primarne in sekundarne ethernetne priključke za telefon in namiznim računalnikom, tj. kabel, ki je namenjen računalniku.

Stikalo, ki podpira ta model, mora imeti možnost VLAN. dostop do poenotenih komunikacij ali omogočanje namiznih računalniki ali Če želite, da strežniki komunicirajo s telefonskim omrežjem, je treba zagotoviti usmerjanje med VLAN-i in potreben je požarni zid.

Če v omrežju ni nobenega od zgornjih elementov, je uporaba telefonov IP nesmiselna. Brez dodatne omrežne kartice in stikalnih vrat jih nima smisla niti poskušati namestiti.

Namestitev podatkov v VLAN-1 in glasu v VLAN-2 bo v osnovnem primeru izboljšala splošno zmogljivost omrežja, saj bo oddajni promet na podatkovni strani izoliran v VLAN-ih, enako pa velja za glas. Za varno in stroškovno učinkovito rešitev VoIP so torej potrebni naslednji osnovni elementi:

požarni zid;
usmerjevalnik;
Upravljana stikala.

Prednosti povezovanja

Ko je operacijski sistem integriran v omrežje LAN, lahko virtualizirani operacijski sistem uporabljate, kot da bi bil fizični stroj, integriran v omrežje. To vam bo prineslo operativne prednosti:

V primeru pomanjkanja strojne opreme lahko virtualni stroj uporabite kot strežnik in konfigurirate vrsto, npr. strežnik DNS, spletni strežnik, strežnik NFS, poštni strežnik, strežnik SSH in strežnik VPN.
Uporabnik bo lahko z nekaj ukazi simuliral majhno lokalno omrežje in izvedel vse vrste testov.
Informacije se lahko preprosto izmenjujejo med navideznim operacijskim sistemom in operacijski sistem Gostitelj, ne da bi bilo treba uporabljati mapo v skupni rabi, ki jo ponuja Virtualbox.
Virtualni stroj lahko uporabite za vzpostavitev tunela SSH in tako šifrirate ves promet, ki ga ustvari stroj.

Vključevanje virtualnih računalnikov v lokalno omrežje je zelo enostavno. Preden ustvarite VLAN, v navidezni stroj Virtualbox namestite operacijski sistem, ki je lahko kateri koli znan operacijski sistem. Dobro dokazano v VM Xubuntu 12.10.

Zaporedje vključevanja:

Izberite Xubuntu 12.10 in kliknite ikono za konfiguracijo.
Ko ste v oknu, izberite možnost omrežja.
Po izbiri se prepričajte, da je možnost aktivirana, da omogočite omrežno kartico.
Spremenite parameter v adapterju NAT na most.
Preden virtualni stroj povežete z omrežjem LAN, določite možnost Ime.
V polju Ime sta na voljo možnosti wlan0 in eth0. Če ste povezani prek omrežja Wi-Fi, izberite wlan0 in pritisnite gumb, da sprejmete spremembe.
Za kabelsko povezavo z zunanjostjo je treba izbrati možnost eth0 in sprejeti spremembe.

Ko so zgornji koraki opravljeni, je integracija navideznega stroja v lokalno omrežje končana.

Če želite preveriti, ali VM deluje, odprite terminal in vnesite: sudo apt-get za namestitev paketa nmap.

Nato prek terminala in ukaza Ifconfig preverite IP, ki ga ima sistem.

Pri tem mora uporabnik zagotoviti, da je virtualni stroj vključen v omrežje LAN, saj Virtualbox privzeto uporablja IP tipa 10.0.2.x/24.

Nato preverite strojno opremo v navideznem računalniku. To storite tako, da odprete terminal in uporabite nmap: sudo nmap 192.1x.1.1/24.

V tem primeru je lahko ukaz drugačen, odvisno od maske podomrežja. Po vnosu nmap vnesite vhodna vrata usmerjevalnika (192.1x.1.1) plus ena in na koncu masko podomrežja vpišite v kanonično obliko. Kar zadeva varnost, sledi upoštevajte, da naprave, ki pripadajo VLAN, nimajo dostopa do elementov v drugih omrežjih in obratno.

Na podlagi povedanega lahko preprosto sklepamo, zakaj so bile ustvarjene VLAN: upravljanje je veliko lažje, saj so naprave razdeljene v razrede, tudi če pripadajo istemu omrežju. Omrežja VLAN lahko razvrstijo veliko oddajnih domen glede na število logičnih podomrežij in zagotavljajo združevanje končnih postaj, ki so fizično razpršene po omrežju.