VLAN мрежите са навсякъде. Можете да ги намерите в повечето организации с правилно конфигурирана мрежа. В случай, че не е очевидно, VLAN означава „Виртуална локална мрежа“ и те са повсеместни във всяка модерна мрежа извън размера на мъничка домашна или много малка офисна мрежа.
Има няколко различни протокола, много от които са специфични за доставчика, но в основата му всяка VLAN прави почти едно и също нещо и предимствата на мащаба на VLAN, тъй като мрежата ви нараства по размер и организационна сложност.
Тези предимства са голяма част от причините, поради които VLAN се разчитат толкова много от професионални мрежи от всякакъв размер. Всъщност би било трудно да се управляват или мащабират мрежи без тях.
Ползите и мащабируемостта на VLAN обясняват защо те са станали толкова повсеместни в съвременните мрежови среди. Би било трудно да се управлява или мащабира дори умерено сложни мрежи с потребителя на VLAN.
Какво е VLAN?
бързи връзки
- Какво е VLAN?
- Как работи
- VLAN срещу подмрежа
- Подмрежа на IP адрес
- VLAN
- VLAN срещу подмрежа
- Предимства на VLAN
- Статични срещу динамични VLAN
- Статична VLAN
- Динамична VLAN
- Настройка на VLAN
- От какво имаш нужда
- Router
- Управление на превключвател
- Клиентски мрежови интерфейсни карти (NIC)
- Основна конфигурация
- Настройка на рутера
- Конфигуриране на превключвателите
- Свързване на клиенти
- От какво имаш нужда
- VLAN у дома
Добре, така че знаете съкращението, но какво точно е VLAN? Основната концепция трябва да бъде позната на всеки, който е работил или е използвал виртуални сървъри.
Помислете за секунда как работят виртуалните машини. Множество виртуални сървъри се намират в рамките на един физически хардуер, който работи с операционна система и хипервизор за създаване и стартиране на виртуалните сървъри на единичния физически сървър. Чрез виртуализацията вие можете ефективно да превърнете един физически компютър в множество виртуални компютри, всеки от които е наличен за отделни задачи и потребители.
Виртуалните LAN работят по същия начин като виртуалните сървъри. Един или повече управлявани превключватели управляват софтуера (подобно на софтуера за хипервизори), който позволява на превключвателите да създават множество виртуални превключватели в рамките на една физическа мрежа.
Всеки виртуален превключвател е собствена самостоятелна мрежа. Основната разлика между виртуалните сървъри и виртуалните локални мрежи е, че виртуалните локални мрежи могат да бъдат разпределени в множество физически части хардуер с определен кабел, наречен багажник.
Как работи
Представете си, че управлявате мрежа за разрастващ се малък бизнес, добавяте служители, разделяте се на отделни отдели и ставате по-сложни и организирани.
За да отговорите на тези промени, вие надградихте до 24-портов превключвател за настаняване на нови устройства в мрежата.
Може да помислите само за пускане на ethernet кабел към всяко от новите устройства и да извикате извършената задача, но проблемът е, че съхранението на файлове и услугите, използвани от всеки отдел, трябва да се държат отделно. VLAN мрежите са най-добрият начин за това.
В рамките на уеб интерфейса на превключвателя можете да конфигурирате три отделни VLAN, по една за всеки отдел. Най-простият начин да ги разделите е по номера на пристанищата. Можете да зададете портове 1-8 на първия отдел, да присвоите портове 9-16 на втория отдел и накрая да присвоите портове 17-24 g на последния отдел. Сега сте организирали вашата физическа мрежа в три виртуални мрежи.
Софтуерът на превключвателя може да управлява трафика между клиентите във всяка VLAN. Всяка VLAN действа като собствена мрежа и не може да взаимодейства директно с другите VLAN мрежи. Сега всеки отдел има своя собствена по-малка, по-малко затрупана и по-ефективна мрежа и можете да ги управлявате чрез един и същ хардуер. Това е много ефикасен и рентабилен начин за управление на мрежа.
Когато се нуждаете от отделите, за да могат да си взаимодействат, можете да ги накарате да правят това чрез рутера в мрежата. Рутерът може да регулира и контролира трафика между VLAN и да прилага по-строги правила за сигурност.
В много случаи отделите ще трябва да работят заедно и да си взаимодействат. Можете да осъществите комуникация между виртуалните мрежи чрез рутера, като зададете правила за сигурност, за да осигурите подходяща сигурност и поверителност на отделните виртуални мрежи.
VLAN срещу подмрежа
VLAN и подмрежите всъщност са доста сходни и обслужват подобни функции. И подмрежите, и VLAN мрежите разделят мрежите и излъчващите домейни. И в двата случая взаимодействието между подразделенията може да възникне само чрез рутер.
Разликите между тях идват под формата на тяхното изпълнение и как променят мрежовата структура.
Подмрежа на IP адрес
Подмрежи съществуват на ниво 3 на мрежовия слой на OSI Model. Подмрежите са конструкция на мрежово ниво и се обработват с рутери, като се организират около IP адреси.
Маршрутизаторите избират диапазони от IP адреси и договарят връзките между тях. Това поставя целия стрес от управлението на мрежата върху рутера. Подмрежите също могат да станат сложни, тъй като мрежата ви се увеличава по размер и сложност.
VLAN
VLAN мрежите намират своя дом на слой 2 на OSI модела. Нивото на връзката за данни е по-близко до хардуера и по-малко абстрактно. Виртуалните локални мрежи подражават на хардуера, действащ като ndividual комутатори.
Въпреки това, виртуалните локални мрежи са в състояние да разбият излъчващите домейни, без да е необходимо да се свързват обратно към рутер, като отнемат част от управленските тежести на рутера.
Тъй като VLAN мрежите са свои собствени виртуални мрежи, те трябва да се държат донякъде, като че имат вграден рутер. В резултат на това VLAN съдържат поне една подмрежа и могат да поддържат множество подмрежи.
VLAN разпределят натоварването на мрежата и. множество превключватели могат да управляват трафика във VLAN мрежи, без да включват рутера, което прави по-ефективна система.
Предимства на VLAN
Досега вече видяхте няколко предимства, които VLAN-тата носят на масата. Само по силата на това, което правят, VLAN мрежите имат редица ценни атрибути.
VLAN помагат за сигурност. Разделянето на трафика ограничава всяка възможност за неоторизиран достъп до части от мрежата. Освен това помага да се спре разпространението на злонамерен софтуер, ако някой намери път в мрежата. Потенциалните натрапници не могат да използват инструменти като Wireshark, за да издушат пакети навсякъде извън виртуалната локална мрежа, в която са включени, ограничавайки и тази заплаха.
Ефективността на мрежата е голяма работа. Това може да спести или струва на бизнеса хиляди долари за внедряване на VLAN. Разбиването на излъчваните домейни значително повишава ефективността на мрежата, като ограничава броя на устройствата, участващи в комуникацията наведнъж. VLAN намалява необходимостта от внедряване на рутери за управление на мрежи.
Често мрежовите инженери избират да конструират виртуални локални мрежи на база услуга, отделяйки важен или интензивен мрежов трафик, като мрежа за съхранение на данни (SAN) или гласов достъп по IP (VOIP). Някои превключватели също позволяват на администратора да дава приоритет на VLAN, като предоставя повече ресурси на по-взискателния и липсващ критичен трафик.
Би било ужасно да се наложи изграждането на независима физическа мрежа, която да отделя трафика. Представете си сплетената плетеница от окабеляването, с която ще трябва да се биете, за да направите промени. Това не означава нищо за увеличения хардуерен разход и мощност. Освен това би било диво негъвкаво. VLAN мрежите решават всички тези проблеми, като виртуализират множество превключватели на един хардуерен елемент.
VLAN мрежите осигуряват висока степен на гъвкавост на администраторите на мрежата чрез удобен софтуерен интерфейс. Кажете два отдела за смяна на офиси. Трябва ли ИТ персоналът да се движи около хардуер, за да отговори на промяната? Не. Те могат просто да пренасочат портовете на превключвателите към правилните VLAN мрежи. Някои конфигурации на VLAN дори не биха изисквали това. Те динамично ще се адаптират. Тези VLAN мрежи не изискват присвоени портове. Вместо това те са базирани на MAC или IP адреси. Така или иначе, не се изисква разбъркване на превключватели или кабели. Много по-ефикасно и рентабилно е да внедрите софтуерно решение, за да промените местоположението на мрежата, отколкото да премествате физическия хардуер.
Статични срещу динамични VLAN
Има два основни типа VLAN, категоризирани по начина, по който машините са свързани към тях. Всеки тип има силни и слаби страни, които трябва да се вземат предвид въз основа на конкретната ситуация в мрежата.
Статична VLAN
Статичните VLAN често се наричат VLAN базирани на портове, тъй като устройствата се присъединяват, като се свързват към присвоен порт. Това ръководство досега използва само статични VLAN като примери.
При създаването на мрежа със статични VLAN, инженер ще раздели комутатор по своите портове и ще присвои всеки порт на VLAN. Всяко устройство, което се свързва с този физически порт, ще се присъедини към тази VLAN.
Статичните VLAN мрежи осигуряват много проста и лесна за конфигуриране на мрежи, без много да разчитат на софтуера. Въпреки това е трудно да се ограничи достъпа във физическо местоположение, тъй като човек може просто да се включи. Статичните VLAN също изискват мрежов администратор да промени присвояване на пристанища, в случай че някой в мрежата промени физически местоположения.
Динамична VLAN
Динамичните VLAN разчитат до голяма степен на софтуера и позволяват висока степен на гъвкавост. Администраторът може да назначи MAC и IP адреси на конкретни VLAN, позволявайки безпрепятствено движение във физическото пространство. Машините в динамична виртуална локална мрежа могат да се движат навсякъде в мрежата и да останат в същата VLAN.
Въпреки че динамичните VLAN мрежи са непобедими по отношение на адаптивността, те имат някои сериозни недостатъци. Превключвателят от висок клас трябва да поеме ролята на сървър, известен като сървър на политиката за управление на VLAN (VMPS (за съхраняване и доставяне на информация за адреса към другите комутатори в мрежата. VMPS, като всеки сървър, изисква редовно управление и поддръжка и е обект на евентуален престой.
Нападателите могат да излъжат MAC адреси и да получат достъп до динамични VLAN, добавяйки още едно предизвикателство за сигурността.
Настройка на VLAN
От какво имаш нужда
Има няколко основни елемента, които трябва да настроите VLAN или няколко VLAN. Както бе посочено по-горе, има редица различни стандарти, но най-универсалният е IEEE 802.1Q. Това е този, който ще последва този пример.
Router
Технически не ви е необходим рутер, за да настроите VLAN, но ако искате да комуникират няколко VLAN, ще ви е необходим рутер.
Много съвременни рутери поддържат VLAN функционалност под някаква или друга форма. Домашните рутери може да не поддържат VLAN или да го поддържат само в ограничен капацитет. Персонализиран фърмуер като DD-WRT го поддържа по-задълбочено.
Говорейки за обичай, не ви е необходим офлайн рутер, за да работите с вашите виртуални локални мрежи. Фърмуерът на персонализирания рутер обикновено се базира на подобна на Unix операционна система като Linux или FreeBSD, така че можете да изградите свой собствен рутер, като използвате някоя от тези операционни системи с отворен код.
Цялата функционалност за маршрутизиране, от която се нуждаете, е достъпна за Linux и можете да персонализирате инсталирането на Linux, за да адаптирате вашия маршрутизатор, за да обслужва вашите специфични нужди. За нещо, което е по-пълнофункционално, погледнете в pfSense. pfSense е отлична дистрибуция на FreeBSD, създаден да бъде стабилно решение за маршрутизиране с отворен код. Той поддържа VLAN и включва защитна стена за по-добро осигуряване на трафика между вашите виртуални мрежи.
Който и маршрут да изберете, уверете се, че той поддържа функциите на VLAN, от които се нуждаете.
Управление на превключвател
Превключвателите са в основата на VLAN мрежите. Те са там, където се случва магията. Все пак се нуждаете от управляван превключвател, за да се възползвате от функционалността на VLAN.
За да се изкарат нещата по-високо, буквално, има на разположение управлявани превключватели на слой 3. Тези превключватели са в състояние да се справят с някои мрежови трафик Layer 3 и в някои ситуации могат да заемат мястото на рутер.
Важно е да се има предвид, че тези превключватели не са рутери и тяхната функционалност е ограничена. Превключвателите на ниво 3 намаляват вероятността от закъснение в мрежата, което може да бъде от решаващо значение в някои среди, където е изключително важно да има много ниска латентна мрежа.
Клиентски мрежови интерфейсни карти (NIC)
NIC, които използвате на вашите клиентски машини, трябва да поддържат 802.1Q. Шансовете са, че го правят, но е нещо, което трябва да разгледаме, преди да продължите напред.
Основна конфигурация
Ето и трудната част. Има хиляди различни възможности за това как можете да конфигурирате вашата мрежа. Нито един водач не може да обхване всички тях. В основата им идеите, стоящи зад почти всяка конфигурация, са едни и същи, както и общият процес.
Настройка на рутера
Можете да започнете по няколко различни начина. Можете или да свържете рутера към всеки превключвател или към всеки VLAN. Ако изберете само всеки превключвател, ще трябва да конфигурирате маршрутизатора, за да разграничите трафика.
След това можете да конфигурирате вашия рутер за обработка на преминаващ трафик между VLAN.
Конфигуриране на превключвателите
Ако приемем, че това са статични VLAN, можете да въведете помощната програма за управление на VLAN на вашия превключвател чрез неговия уеб интерфейс и да започнете да присвоявате портове на различни VLAN. Много превключватели използват оформление на таблицата, което ви позволява да проверите опциите за портовете.
Ако използвате няколко превключвателя, присвойте един от портовете на всичките си VLAN мрежи и го задайте като trunk порт. Направете това на всеки превключвател. След това използвайте тези портове, за да се свържете между превключвателите и да разпространите вашите VLAN мрежи на множество устройства.
Свързване на клиенти
И накрая, получаването на клиенти в мрежата е доста обясняващо. Свържете вашите клиентски машини към портовете, съответстващи на VLAN мрежите, на които ги искате.
VLAN у дома
Въпреки че може да не се разглежда като логична комбинация, VLAN мрежите всъщност имат чудесно приложение в домашното мрежово пространство, мрежите за гости. Ако не искате да настроите WPA2 Enterprise мрежа в дома си и да създадете индивидуално идентификационни данни за вход за вашите приятели и семейство, можете да използвате VLAN, за да ограничите достъпа, който вашите гости имат до файловете и услугите в домашната ви мрежа.
Много домашни рутери от по-висок клас и фърмуер за персонализиран рутер поддържат създаването на основни VLAN. Можете да настроите гост VLAN със собствена информация за вход, за да оставите приятелите си да свързват мобилните си устройства. Ако вашият маршрутизатор го поддържа, гост VLAN е страхотен добавен слой за защита, за да попречи на заредения от вируси лаптоп на вашия приятел да прецака чистата ви мрежа.
