A VLAN mindenhol megtalálható. A legtöbb szervezetben megtalálhatóak megfelelően konfigurált hálózattal. Abban az esetben, ha ez nem lenne nyilvánvaló, a VLAN a „virtuális helyi hálózat” rövidítése, és minden modern hálózatban jelen vannak, egy apró otthoni vagy nagyon kis irodai hálózat méretén túl.
Létezik néhány különböző protokoll, amelyek közül sok gyártó-specifikus, de lényegében minden VLAN nagyjából ugyanazt végzi, és a VLAN méretarányának előnyeit a hálózat méretének és szervezeti összetettségének növekedésével növeli.
Ezek az előnyök nagy részét képezik annak, hogy a VLAN-okra miért támaszkodnak olyan erősen a bármilyen méretű professzionális hálózatok. Valójában nehéz lenne a hálózatokat kezelni vagy méretezni nélkülük.
A VLAN-ok előnyei és méretezhetősége megmagyarázza, hogy miért váltak olyan általánossá a modern hálózati környezetekben. Még közepesen összetett hálózatokat is nehéz lenne kezelni vagy méretezni a VLAN-ok felhasználójával.
Mi az a VLAN?
Oké, akkor ismeri a rövidítést, de mi is az a VLAN? Az alapkoncepciót mindenkinek ismernie kell, aki virtuális szerverekkel dolgozott vagy használt.
Gondoljon egy pillanatra a virtuális gépek működésére. Több virtuális szerver található egyetlen fizikai hardveren belül, amely operációs rendszert és hipervizort futtat, hogy létrehozzák és futtassák a virtuális szervereket egyetlen fizikai szerveren. A virtualizáció révén egyetlen fizikai számítógépből hatékonyan több virtuális számítógépet alakíthat át, amelyek mindegyike külön-külön elérhető feladatok és felhasználók számára.
A virtuális LAN-ok nagyjából ugyanúgy működnek, mint a virtuális szerverek. Egy vagy több felügyelt kapcsoló futtatja azt a szoftvert (hasonlóan a hypervisor szoftverhez), amely lehetővé teszi a kapcsolók számára több virtuális kapcsoló létrehozását egy fizikai hálózaton belül.
Minden virtuális kapcsoló egy önálló hálózat. A fő különbség a virtuális szerverek és a virtuális LAN-ok között az, hogy a virtuális LAN-ok több fizikai hardver között oszthatók szét egy kijelölt kábellel, amelyet trönknek neveznek.
Hogyan működik
Képzelje el, hogy egy növekvő kisvállalkozás hálózatát működteti, alkalmazottakat vesz fel, külön részlegekre oszt fel, és egyre összetettebbé és szervezettebbé válik.
A változásokra való reagálás érdekében frissített egy 24 portos kapcsolóra, hogy új eszközöket fogadhasson a hálózaton.
Megfontolhatja, hogy minden egyes új eszközhöz csatlakoztat egy ethernet-kábelt, és késznek nevezi a feladatot, de a probléma az, hogy az egyes részlegek által használt fájltárolókat és szolgáltatásokat külön kell tartani. A VLAN a legjobb módja ennek.
A switch webes felületén belül három külön VLAN konfigurálható, részlegenként egy-egy. A legegyszerűbb módja a portszámok szerinti felosztásnak. Hozzárendelheti az 1-8-as portokat az első osztályhoz, a 9-16-os portokat a második osztályhoz, végül a 17-24 g-os portokat az utolsó osztályhoz. Most három virtuális hálózatba szervezte fizikai hálózatát.
A switch szoftvere képes kezelni az egyes VLAN-okban lévő kliensek közötti forgalmat. Minden VLAN saját hálózatként működik, és nem tud közvetlenül kommunikálni a többi VLAN-nal. Mostantól minden részlegnek megvan a saját kisebb, kevésbé zsúfolt és hatékonyabb hálózata, és ugyanazon a hardveren keresztül kezelheti őket. Ez egy nagyon hatékony és költséghatékony módja a hálózat kezelésének.
Ha szüksége van arra, hogy a részlegek interakcióba lépjenek, ezt a hálózat útválasztóján keresztül is megteheti. Az útválasztó szabályozhatja és szabályozhatja a VLAN-ok közötti forgalmat, és szigorúbb biztonsági szabályokat kényszeríthet ki.
Sok esetben az osztályoknak együtt kell működniük és együttműködniük. A virtuális hálózatok közötti kommunikációt az útválasztón keresztül valósíthatja meg, és olyan biztonsági szabályokat állíthat be, amelyek biztosítják az egyes virtuális hálózatok megfelelő biztonságát és adatvédelmét.
VLAN vs. alhálózat
A VLAN-ok és az alhálózatok valójában meglehetősen hasonlóak, és hasonló funkciókat látnak el. Mind az alhálózatok, mind a VLAN-ok felosztják a hálózatokat és a szórási tartományokat. Mindkét esetben az alosztályok közötti interakció csak útválasztón keresztül történhet.
A köztük lévő különbségek a megvalósításban és a hálózati struktúra megváltoztatásában jelentkeznek.
IP-cím alhálózat
Az alhálózatok az OSI-modell 3. rétegében, a hálózati rétegben léteznek. Az alhálózatok hálózati szintű konstrukciók, és útválasztókkal kezelik őket, IP-címek köré szervezve.
Az útválasztók IP-címtartományokat választanak ki, és egyeztetik a köztük lévő kapcsolatokat. Ez a hálózatkezeléssel kapcsolatos összes stresszt az útválasztóra helyezi. Az alhálózatok is bonyolulttá válhatnak, ahogy a hálózat mérete és összetettsége növekszik.
VLAN
A VLAN-ok az OSI-modell 2. rétegében találják meg otthonukat. Az adatkapcsolati szint közelebb áll a hardverhez és kevésbé absztrakt. A virtuális LAN-ok egyedi kapcsolóként működő hardvert emulálnak.
A virtuális LAN-ok azonban képesek szétszedni a szórási tartományokat anélkül, hogy vissza kellene kapcsolódniuk egy útválasztóhoz, így lekerülnek az útválasztóról a kezelési terhek egy része.
Mivel a VLAN-ok saját virtuális hálózataik, úgy kell viselkedniük, mintha beépített útválasztójuk lenne. Ennek eredményeként a VLAN-ok legalább egy alhálózatot tartalmaznak, és több alhálózatot is támogathatnak.
A VLAN-ok elosztják a hálózati terhelést, és. több kapcsoló képes kezelni a VLAN-on belüli forgalmat az útválasztó bevonása nélkül, ami hatékonyabb rendszert eredményez.
A VLAN-ok előnyei
Mostanra már láthatott néhány előnyt, amelyet a VLAN-ok jelentenek. A VLAN-ok tevékenységüknek köszönhetően számos értékes tulajdonsággal rendelkeznek.
A VLAN-ok segítenek a biztonságban. A forgalom felosztása korlátozza a hálózat egyes részeihez való jogosulatlan hozzáférés lehetőségét. Segít megállítani a rosszindulatú szoftverek terjedését is, ha valamelyik a hálózatra kerül. A potenciális behatolók nem használhatnak olyan eszközöket, mint a Wireshark, hogy kiszimatolják a csomagokat a virtuális LAN-on kívül bárhol, amivel korlátozzák ezt a fenyegetést.
A hálózat hatékonysága nagy dolog. A VLAN-ok megvalósítása több ezer dollárt takaríthat meg vagy kerülhet egy vállalkozásnak. A szórási tartományok felosztása nagymértékben növeli a hálózat hatékonyságát azáltal, hogy korlátozza az egyszerre kommunikációban részt vevő eszközök számát. A VLAN csökkenti az útválasztók telepítésének szükségességét a hálózatok kezeléséhez.
A hálózati mérnökök gyakran úgy döntenek, hogy szolgáltatásonként hoznak létre virtuális LAN-okat, különválasztva a fontos vagy hálózatintenzív forgalmat, mint például a Storage Area Network (SAN) vagy a Voice over IP (VOIP). Egyes kapcsolók azt is lehetővé teszik a rendszergazdáknak, hogy prioritást állítsanak fel a VLAN-ok számára, így több erőforrást biztosítanak az igényesebb és hiányzó kritikus forgalom számára.
Szörnyű lenne egy független fizikai hálózat kiépítése a forgalom elkülönítésére. Képzelje el a kábelezés szövevényes szövevényét, amellyel meg kell küzdenie a változtatások érdekében. Ez nem mond semmit a megnövekedett hardverköltségről és az energiafogyasztásról. Az is vadul rugalmatlan lenne. A VLAN-ok ezeket a problémákat úgy oldják meg, hogy több kapcsolót virtualizálnak egyetlen hardveren.
A VLAN-ok nagyfokú rugalmasságot biztosítanak a hálózati rendszergazdák számára egy kényelmes szoftveres felületen keresztül. Tegyük fel, hogy két osztály irodát cserél. Kell-e az informatikai személyzetnek a hardver körül mozognia, hogy alkalmazkodjon a változáshoz? Nem. Csak át tudják rendelni a kapcsolók portjait a megfelelő VLAN-okhoz. Egyes VLAN-konfigurációk nem is igényelnék ezt. Dinamikusan alkalmazkodtak. Ezek a VLAN-ok nem igényelnek hozzárendelt portokat. Ehelyett MAC- vagy IP-címeken alapulnak. Akárhogy is, nincs szükség a kapcsolók vagy a kábelek keverésére. Sokkal hatékonyabb és költséghatékonyabb szoftveres megoldást megvalósítani a hálózat helyének megváltoztatására, mint a fizikai hardver áthelyezésére.
Statikus vs. dinamikus VLAN
A VLAN-oknak két alapvető típusa van, amelyek a gépek hozzájuk való csatlakoztatásának módja szerint vannak csoportosítva. Mindegyik típusnak megvannak az erősségei és gyengeségei, amelyeket figyelembe kell venni az adott hálózati helyzet alapján.
Statikus VLAN
A statikus VLAN-okat gyakran port-alapú VLAN-oknak nevezik, mivel az eszközök egy hozzárendelt porthoz csatlakozva csatlakoznak. Ez az útmutató eddig csak példaként használt statikus VLAN-okat.
A statikus VLAN-okkal rendelkező hálózat felállításakor a mérnök felosztja a kapcsolót a portjaira, és mindegyik portot hozzárendel egy VLAN-hoz. Minden eszköz, amely ehhez a fizikai porthoz csatlakozik, csatlakozik ehhez a VLAN-hoz.
A statikus VLAN-ok nagyon egyszerűen és könnyen konfigurálható hálózatokat biztosítanak anélkül, hogy túlzottan kellene támaszkodniuk a szoftverre. Nehéz azonban korlátozni a hozzáférést egy fizikai helyen, mivel az egyén egyszerűen csatlakoztathatja a hálózatot. A statikus VLAN-ok esetében a port-hozzárendelések megváltoztatásához is szükség van a hálózati rendszergazdára, ha valaki a hálózaton fizikai helyet változtat.
Dinamikus VLAN
A dinamikus VLAN-ok nagymértékben támaszkodnak a szoftverre, és nagyfokú rugalmasságot tesznek lehetővé. Az adminisztrátor hozzárendelhet MAC- és IP-címeket adott VLAN-okhoz, lehetővé téve a fizikai térben való megterhelésmentes mozgást. A dinamikus virtuális LAN-ban lévő gépek bárhová elköltözhetnek a hálózaton belül, és ugyanazon a VLAN-on maradhatnak.
Bár a dinamikus VLAN-ok verhetetlenek az alkalmazkodóképesség szempontjából, vannak komoly hátrányaik. A csúcskategóriás switch-nek fel kell vennie a VLAN Management Policy Server néven ismert kiszolgáló szerepét (VMPS( címinformációk tárolására és a hálózat többi kapcsolójához való eljuttatására. A VMPS, mint minden szerver, rendszeres kezelést és karbantartást igényel) és ki van téve az esetleges leállásoknak.
A támadók meghamisíthatják a MAC-címeket, és hozzáférhetnek a dinamikus VLAN-okhoz, ami újabb potenciális biztonsági kihívást jelent.
VLAN beállítása
Amire szükséged van
Van néhány alapvető elem, amelyekre szükség van egy VLAN vagy több VLAN beállításához. Mint korábban említettük, számos különböző szabvány létezik, de a leguniverzálisabb az IEEE 802.1Q. Ez az, amit ez a példa követni fog.
Router
Technikailag nincs szükség útválasztóra a VLAN beállításához, de ha több VLAN-t szeretne együttműködni, akkor szükség lesz egy útválasztóra.
Sok modern útválasztó valamilyen formában támogatja a VLAN funkciót. Előfordulhat, hogy az otthoni útválasztók nem támogatják a VLAN-t, vagy csak korlátozott kapacitással támogatják. Az egyéni firmware, mint például a DD-WRT, alaposabban támogatja.
Ha már az egyéniről beszélünk, nincs szükség kész routerre a virtuális LAN-ok használatához. Az egyéni útválasztó firmware általában Unix-szerű operációs rendszeren, például Linuxon vagy FreeBSD-n alapul, így saját útválasztót készíthet a nyílt forráskódú operációs rendszerek bármelyikével.
Az összes szükséges útválasztási funkció elérhető Linuxon, és egyénileg beállíthat egy Linux-telepítést, hogy az útválasztót az Ön egyedi igényeihez igazítsa. Ha olyan funkciót szeretne, amely teljesebb, nézze meg a pfSense-t. A pfSense a FreeBSD kiváló disztribúciója, amely robusztus nyílt forráskódú útválasztási megoldásnak készült. Támogatja a VLAN-okat, és tűzfalat is tartalmaz a virtuális hálózatok közötti forgalom jobb biztonsága érdekében.
Bármelyik útvonalat is választja, győződjön meg arról, hogy támogatja a szükséges VLAN-szolgáltatásokat.
Felügyelt kapcsoló
A kapcsolók a VLAN hálózatok középpontjában állnak. Náluk történik a varázslat. A VLAN-funkciók kihasználásához azonban felügyelt kapcsolóra van szüksége.
Hogy egy szinttel feljebb vigyük a dolgokat, szó szerint, rendelkezésre állnak a 3. rétegű kezelt kapcsolók. Ezek a kapcsolók képesek kezelni a 3. rétegbeli hálózati forgalmat, és bizonyos helyzetekben átvehetik a router helyét.
Fontos szem előtt tartani, hogy ezek a kapcsolók nem routerek, és funkciójuk korlátozott. A 3. rétegbeli kapcsolók csökkentik a hálózati késleltetés valószínűségét, ami kritikus lehet bizonyos környezetekben, ahol kritikus a nagyon alacsony késleltetésű hálózat.
Kliens hálózati interfész kártyák (NIC)
Az ügyfélgépeken használt hálózati kártyáknak támogatniuk kell a 802.1Q-t. Valószínű, hogy megteszik, de ezt meg kell vizsgálni, mielőtt továbblépnénk.
Alapkonfiguráció
Itt van a nehéz rész. Több ezer különböző lehetőség kínálkozik a hálózat konfigurálására. Egyetlen útmutató sem fedheti le mindegyiket. Szívük szerint szinte minden konfiguráció mögött ugyanazok az ötletek, és az általános folyamat is.
A router beállítása
Többféleképpen is elkezdheti. Az útválasztót csatlakoztathatja minden kapcsolóhoz vagy minden VLAN-hoz. Ha csak az egyes kapcsolókat választja, be kell állítania az útválasztót a forgalom megkülönböztetésére.
Ezután beállíthatja az útválasztót a VLAN-ok közötti átmenő forgalom kezelésére.
A kapcsolók konfigurálása
Feltéve, hogy ezek statikus VLAN-ok, beléphet a switch VLAN-kezelő segédprogramjába a webes felületén keresztül, és megkezdheti a portok hozzárendelését a különböző VLAN-okhoz. Sok kapcsoló táblázat-elrendezést használ, amely lehetővé teszi a portok opcióinak kijelölését.
Ha több kapcsolót használ, rendelje hozzá az egyik portot az összes VLAN-hoz, és állítsa be fővonali portként. Ezt minden kapcsolónál végezze el. Ezután használja ezeket a portokat a kapcsolók közötti csatlakozáshoz, és ossza meg VLAN-jait több eszköz között.
Ügyfelek összekapcsolása
Végül, az ügyfelek hálózatba vétele eléggé magától értetődő. Csatlakoztassa az ügyfélgépeket azokhoz a VLAN-okhoz, amelyeken használni szeretné őket.
VLAN Otthon
Bár ez nem tekinthető logikus kombinációnak, a VLAN-ok valójában nagyszerű alkalmazást kínálnak az otthoni hálózati térben, a vendéghálózatokban. Ha nincs kedve WPA2 Enterprise hálózatot felállítani otthonában, és egyénileg létrehozni a bejelentkezési adatokat barátainak és családtagjainak, akkor a VLAN-ok segítségével korlátozhatja vendégei hozzáférését az otthoni hálózaton található fájlokhoz és szolgáltatásokhoz.
Számos felső kategóriás otthoni útválasztó és egyedi router firmware támogatja az alapvető VLAN-ok létrehozását. Beállíthat egy vendég VLAN-t saját bejelentkezési adataival, hogy barátai csatlakozhassák mobileszközeiket. Ha az útválasztó támogatja, a vendég VLAN egy nagyszerű kiegészítő biztonsági réteg, amely megakadályozza, hogy barátja vírusokkal teli laptopja felborítsa a tiszta hálózatot.