VLAN jsou všude. Najdete je ve většině organizací se správně nakonfigurovanou sítí. V případě, že to nebylo zřejmé, VLAN znamená „virtuální místní síť“ a jsou všudypřítomné v jakékoli moderní síti přesahující velikost malé domácí nebo velmi malé kancelářské sítě.
Existuje několik různých protokolů, z nichž mnohé jsou specifické pro dodavatele, ale v jádru každá VLAN dělá totéž a výhody škálování VLAN, jak vaše síť roste ve velikosti a organizační složitosti.
Tyto výhody jsou velkou součástí toho, proč profesionální sítě všech velikostí tak silně spoléhají na sítě VLAN. Ve skutečnosti by bez nich bylo obtížné spravovat nebo škálovat sítě.
Výhody a škálovatelnost sítí VLAN vysvětlují, proč se staly v moderních síťových prostředích tak všudypřítomné. Bylo by obtížné spravovat nebo škálovat i středně složité sítě s uživatelem VLAN.
Co je VLAN?
Dobře, zkratku tedy znáte, ale co přesně je VLAN? Základní koncept by měl znát každý, kdo s virtuálními servery pracoval nebo je používal.
Zamyslete se na chvíli, jak virtuální stroje fungují. Více virtuálních serverů je umístěno v jednom fyzickém hardwaru, na kterém běží operační systém a hypervizor, který vytváří a provozuje virtuální servery na jediném fyzickém serveru. Prostřednictvím virtualizace jste schopni efektivně přeměnit jeden fyzický počítač na více virtuálních počítačů, z nichž každý je k dispozici pro samostatné úkoly a uživatele.
Virtuální sítě LAN fungují v podstatě stejným způsobem jako virtuální servery. Jeden nebo více spravovaných přepínačů provozuje software (podobný softwaru hypervisoru), který umožňuje přepínačům vytvářet více virtuálních přepínačů v rámci jedné fyzické sítě.
Každý virtuální přepínač je svou vlastní samostatnou sítí. Hlavní rozdíl mezi virtuálními servery a virtuálními sítěmi LAN je v tom, že virtuální sítě LAN lze distribuovat mezi více fyzických kusů hardwaru pomocí určeného kabelu nazývaného trunk.
Jak to funguje
Představte si, že provozujete síť pro rostoucí malou firmu, přidáváte zaměstnance, rozdělujete se do samostatných oddělení a stáváte se komplexnějšími a organizovanějšími.
Chcete-li na tyto změny reagovat, upgradovali jste na 24portový přepínač, který umožňuje připojení nových zařízení v síti.
Můžete zvážit pouze připojení ethernetového kabelu ke každému z nových zařízení a volání úkolu jako hotovo, ale problém je v tom, že úložiště souborů a služby používané každým oddělením musí být odděleny. VLAN jsou nejlepší způsob, jak toho dosáhnout.
V rámci webového rozhraní přepínače můžete nakonfigurovat tři samostatné VLAN, jednu pro každé oddělení. Nejjednodušší způsob, jak je rozdělit, je podle čísel portů. Můžete přiřadit porty 1-8 prvnímu oddělení, porty 9-16 druhému oddělení a nakonec porty 17-24 g poslednímu oddělení. Nyní jste svou fyzickou síť zorganizovali do tří virtuálních sítí.
Software na přepínači může řídit provoz mezi klienty v každé VLAN. Každá VLAN funguje jako vlastní síť a nemůže přímo interagovat s ostatními VLAN. Nyní má každé oddělení svou vlastní menší, méně přeplněnou a efektivnější síť a všechny je můžete spravovat prostřednictvím stejného hardwaru. Jedná se o velmi efektivní a nákladově efektivní způsob správy sítě.
Když potřebujete, aby oddělení mohla komunikovat, můžete jim to zajistit prostřednictvím směrovače v síti. Router může regulovat a řídit provoz mezi VLAN a prosazovat přísnější bezpečnostní pravidla.
V mnoha případech budou muset oddělení spolupracovat a interagovat. Prostřednictvím routeru můžete implementovat komunikaci mezi virtuálními sítěmi, nastavením bezpečnostních pravidel pro zajištění odpovídající bezpečnosti a soukromí jednotlivých virtuálních sítí.
VLAN vs. podsíť
VLAN a podsítě jsou ve skutečnosti dost podobné a slouží podobným funkcím. Podsítě i VLAN rozdělují sítě a vysílací domény. V obou případech mohou interakce mezi pododděleními probíhat pouze prostřednictvím směrovače.
Rozdíly mezi nimi spočívají ve formě jejich implementace a v tom, jak mění strukturu sítě.
Podsíť IP adresy
Podsítě existují na vrstvě 3 modelu OSI, síťové vrstvě. Podsítě jsou konstrukcí na úrovni sítě a jsou spravovány směrovači, které se organizují podle IP adres.
Směrovače vyčleňují rozsahy IP adres a vyjednávají mezi nimi spojení. To klade veškerý stres správy sítě na router. Podsítě se také mohou zkomplikovat, protože se vaše síť zvětšuje a zvyšuje její složitost.
VLAN
VLAN nacházejí svůj domov na vrstvě 2 modelu OSI. Úroveň datového spojení je bližší hardwaru a méně abstraktní. Virtuální sítě LAN emulují hardware fungující jako jednotlivé přepínače.
Virtuální sítě LAN však dokážou rozdělit domény vysílání, aniž by se musely připojovat zpět ke směrovači, což routeru ubírá část administrativní zátěže.
Protože VLAN jsou jejich vlastní virtuální sítě, musí se chovat tak, jako by měly vestavěný router. Výsledkem je, že VLAN obsahují alespoň jednu podsíť a mohou podporovat více podsítí.
VLAN distribuují zatížení sítě a. více přepínačů dokáže zpracovat provoz v rámci VLAN bez zapojení routeru, což vede k efektivnějšímu systému.
Výhody VLAN
Nyní jste již viděli několik výhod, které VLAN přináší. Jen díky tomu, co dělají, mají VLAN řadu cenných atributů.
VLAN pomáhají s bezpečností. Rozdělení provozu omezuje jakoukoli možnost neoprávněného přístupu k částem sítě. Pomáhá také zastavit šíření škodlivého softwaru, pokud by si nějaký našel cestu do sítě. Potenciální vetřelci nemohou používat nástroje, jako je Wireshark, k odposlouchávání paketů kdekoli mimo virtuální LAN, na které jsou, a omezují tak i tuto hrozbu.
Efektivita sítě je velký problém. Implementace VLAN může firmě ušetřit nebo stát tisíce dolarů. Rozdělení domén vysílání výrazně zvyšuje efektivitu sítě omezením počtu zařízení zapojených do komunikace najednou. VLAN snižuje potřebu nasazování směrovačů pro správu sítí.
Síťoví inženýři se často rozhodnou vytvářet virtuální sítě LAN na bázi jednotlivých služeb, přičemž oddělují důležitý nebo síťově intenzivní provoz, jako je SAN (Storage Area Network) nebo Voice over IP (VOIP). Některé přepínače také umožňují správci upřednostňovat sítě VLAN, čímž poskytují více zdrojů náročnějšímu a chybějícímu kritickému provozu.
Bylo by hrozné, kdyby bylo potřeba vybudovat nezávislou fyzickou síť, která by oddělila provoz. Představte si tu spletitou změť kabeláže, se kterou byste museli bojovat, abyste provedli změny. To neříká nic o zvýšených nákladech na hardware a spotřebě energie. Bylo by to také divoce nepružné. VLAN řeší všechny tyto problémy virtualizací více přepínačů na jednom hardwaru.
VLAN poskytují správcům sítí vysoký stupeň flexibility prostřednictvím pohodlného softwarového rozhraní. Řekněme, že dvě oddělení si vymění kanceláře. Musí se pracovníci IT pohybovat po hardwaru, aby se přizpůsobili změně? Ne. Mohou pouze přiřadit porty na přepínačích správným sítím VLAN. Některé konfigurace VLAN by to ani nevyžadovaly. Dynamicky by se přizpůsobili. Tyto sítě VLAN nevyžadují přiřazené porty. Místo toho jsou založeny na MAC nebo IP adresách. Ať tak či onak, není potřeba žádné přehazování vypínačů nebo kabelů. Je mnohem efektivnější a nákladově efektivnější implementovat softwarové řešení pro změnu umístění sítě než přesun fyzického hardwaru.
Statické vs. dynamické VLAN
Existují dva základní typy sítí VLAN, rozdělené do kategorií podle způsobu, jakým jsou k nim stroje připojeny. Každý typ má silné a slabé stránky, které je třeba vzít v úvahu na základě konkrétní situace v síti.
Statická VLAN
Statické VLAN se často označují jako VLAN založené na portech, protože zařízení se připojují připojením k přiřazenému portu. Tato příručka zatím jako příklady používala pouze statické VLAN.
Při nastavování sítě se statickými VLAN by technik rozdělil přepínač podle jeho portů a každý port přiřadil k VLAN. Jakékoli zařízení, které se připojí k tomuto fyzickému portu, se připojí k této VLAN.
Statické VLAN poskytují velmi jednoduché a snadno konfigurovatelné sítě bez přílišného spoléhání na software. Je však obtížné omezit přístup v rámci fyzického umístění, protože jednotlivec se může jednoduše připojit. Statické VLAN také vyžadují správce sítě, aby změnil přiřazení portů v případě, že někdo v síti změní fyzické umístění.
Dynamická VLAN
Dynamické sítě VLAN silně spoléhají na software a umožňují vysoký stupeň flexibility. Administrátor může přiřadit MAC a IP adresy konkrétním VLAN, což umožňuje neomezený pohyb ve fyzickém prostoru. Stroje v dynamické virtuální LAN se mohou pohybovat kdekoli v síti a zůstat na stejné VLAN.
Ačkoli jsou dynamické VLAN nepřekonatelné, pokud jde o přizpůsobivost, mají některé vážné nevýhody. Špičkový přepínač musí převzít roli serveru známého jako VLAN Management Policy Server (VMPS (k ukládání a doručování informací o adresách ostatním přepínačům v síti. VMPS, jako každý server, vyžaduje pravidelnou správu a údržbu). a podléhá možným výpadkům.
Útočníci mohou podvrhnout MAC adresy a získat přístup k dynamickým sítím VLAN, což představuje další potenciální bezpečnostní výzvu.
Nastavení VLAN
Co potřebuješ
Existuje několik základních položek, které potřebujete k nastavení VLAN nebo více VLAN. Jak již bylo řečeno, existuje řada různých standardů, ale nejuniverzálnější je IEEE 802.1Q. To je ten, který bude následovat tento příklad.
Směrovač
Technicky k nastavení VLAN nepotřebujete router, ale pokud chcete, aby více VLAN spolupracovalo, budete potřebovat router.
Mnoho moderních routerů v té či oné formě podporuje funkcionalitu VLAN. Domácí routery nemusí podporovat VLAN nebo ji podporují pouze v omezené kapacitě. Vlastní firmware jako DD-WRT to podporuje důkladněji.
Když už mluvíme o vlastním, nepotřebujete k práci s virtuálními sítěmi LAN standardní router. Vlastní firmware routeru je obvykle založen na OS typu Unix, jako je Linux nebo FreeBSD, takže si můžete vytvořit svůj vlastní router pomocí jednoho z těchto operačních systémů s otevřeným zdrojovým kódem.
Všechny funkce směrování, které potřebujete, jsou k dispozici pro Linux a můžete si vlastní konfiguraci instalace Linuxu přizpůsobit tak, aby váš směrovač vyhovoval vašim konkrétním potřebám. Chcete-li něco, co má více funkcí, podívejte se na pfSense. pfSense je vynikající distribuce FreeBSD vytvořená jako robustní open source routovací řešení. Podporuje VLAN a obsahuje firewall pro lepší zabezpečení provozu mezi vašimi virtuálními sítěmi.
Ať už zvolíte jakoukoli trasu, ujistěte se, že podporuje funkce VLAN, které potřebujete.
Řízený přepínač
Přepínače jsou jádrem sítí VLAN. Jsou tam, kde se děje kouzlo. Abyste však mohli využívat funkce VLAN, potřebujete spravovaný přepínač.
Abychom to posunuli o úroveň výš, doslova, jsou k dispozici řízené přepínače na 3. vrstvě. Tyto přepínače jsou schopny zpracovat část síťového provozu na 3. vrstvě a v některých situacích mohou nahradit směrovač.
Je důležité mít na paměti, že tyto přepínače nejsou směrovače a jejich funkčnost je omezená. Přepínače vrstvy 3 snižují pravděpodobnost latence sítě, která může být kritická v některých prostředích, kde je kritické mít síť s velmi nízkou latencí.
Klientské síťové karty (NIC)
Síťové karty, které používáte na klientských počítačích, by měly podporovat 802.1Q. Šance jsou, ale je to něco, na co se musíte podívat, než se pohnete vpřed.
Základní konfigurace
Tady je ta nejtěžší část. Existují tisíce různých možností, jak nakonfigurovat svou síť. Žádný průvodce nemůže pokrýt všechny. V jejich jádru jsou myšlenky za téměř jakoukoli konfigurací stejné, stejně jako obecný proces.
Nastavení routeru
Začít můžete několika různými způsoby. Router můžete připojit ke každému přepínači nebo každé VLAN. Pokud se rozhodnete pouze pro každý přepínač, budete muset nakonfigurovat router tak, aby rozlišoval provoz.
Poté můžete nakonfigurovat směrovač tak, aby zpracovával přenos mezi sítěmi VLAN.
Konfigurace přepínačů
Za předpokladu, že se jedná o statické sítě VLAN, můžete vstoupit do nástroje pro správu VLAN svého přepínače prostřednictvím jeho webového rozhraní a začít přiřazovat porty různým VLAN. Mnoho přepínačů používá rozložení tabulky, které vám umožňuje zaškrtnout možnosti pro porty.
Pokud používáte více přepínačů, přiřaďte jeden z portů všem svým VLAN a nastavte jej jako trunk port. Udělejte to na každém spínači. Poté pomocí těchto portů propojte přepínače a rozšiřte své sítě VLAN mezi více zařízení.
Připojování klientů
Konečně, získávání klientů na síti je docela samovysvětlující. Připojte své klientské počítače k portům odpovídajícím sítím VLAN, na kterých je chcete mít.
VLAN Doma
I když to nemusí být vnímáno jako logická kombinace, VLAN mají ve skutečnosti skvělé uplatnění v domácím síťovém prostoru, v sítích pro hosty. Pokud se vám nechce doma nastavovat podnikovou síť WPA2 a individuálně vytvářet přihlašovací údaje pro své přátele a rodinu, můžete pomocí sítí VLAN omezit přístup vašich hostů k souborům a službám ve vaší domácí síti.
Mnoho domácích směrovačů vyšší třídy a vlastní firmware směrovačů podporuje vytváření základních sítí VLAN. Můžete nastavit hostující VLAN s vlastními přihlašovacími údaji, aby vaši přátelé mohli připojit svá mobilní zařízení. Pokud to váš router podporuje, je hostující VLAN skvělou přidanou vrstvou zabezpečení, která zabrání tomu, aby notebook vašeho přítele napadený viry zničil vaši čistou síť.