VLAN-ovi su posvuda. Možete ih pronaći u većini organizacija s ispravno konfiguriranom mrežom. U slučaju da to nije očito, VLAN je skraćenica za "Virtual Local Area Network", a oni su sveprisutni u svakoj modernoj mreži izvan veličine male kućne ili vrlo male uredske mreže.
Postoji nekoliko različitih protokola, od kojih su mnogi specifični za dobavljača, ali u svojoj srži, svaki VLAN radi gotovo istu stvar i koristi VLAN razmjera kako vaša mreža raste u veličini i organizacijskoj složenosti.
Te su prednosti veliki dio zašto se profesionalne mreže svih veličina toliko oslanjaju na VLAN-ove. Zapravo, bilo bi teško upravljati mrežama ili ih skalirati bez njih.
Prednosti i skalabilnost VLAN-a objašnjavaju zašto su postali tako sveprisutni u modernim mrežnim okruženjima. Bilo bi teško upravljati ili skalirati čak i umjereno složene mreže s korisnikom VLAN-a.
Što je VLAN?
Dobro, znate akronim, ali što je zapravo VLAN? Osnovni koncept trebao bi biti poznat svakome tko je radio ili koristio virtualne poslužitelje.
Razmislite na trenutak kako virtualni strojevi rade. Više virtualnih poslužitelja nalazi se unutar jednog fizičkog komada hardvera koji pokreće operativni sustav i hipervizor za stvaranje i pokretanje virtualnih poslužitelja na jednom fizičkom poslužitelju. Kroz virtualizaciju, možete učinkovito pretvoriti jedno fizičko računalo u više virtualnih računala od kojih je svako dostupno za zasebne zadatke i korisnike.
Virtualni LAN-ovi rade na isti način kao i virtualni poslužitelji. Jedan ili više upravljanih prekidača pokreću softver (slično softveru hipervizora) koji omogućuje prekidačima stvaranje više virtualnih prekidača unutar jedne fizičke mreže.
Svaki virtualni prekidač je vlastita samostalna mreža. Glavna razlika između virtualnih poslužitelja i virtualnih LAN-ova je u tome što se virtualni LAN-ovi mogu distribuirati na više fizičkih dijelova hardvera s određenim kabelom koji se naziva trunk.
Kako radi
Zamislite da vodite mrežu za rastuću malu tvrtku, dodajete zaposlenike, dijelite se u zasebne odjele i postajete složeniji i organiziraniji.
Kako biste odgovorili na ove promjene, nadogradili ste se na prekidač s 24 porta kako biste prilagodili nove uređaje na mreži.
Mogli biste razmisliti o jednostavnom provođenju ethernet kabela na svaki od novih uređaja i pozivanju zadatka dovršenog, ali problem je u tome što se pohrana datoteka i usluge koje koristi svaki odjel moraju držati odvojeno. VLAN-ovi su najbolji način za to.
Unutar web sučelja prekidača možete konfigurirati tri odvojena VLAN-a, po jedan za svaki odjel. Najjednostavniji način da ih podijelite je brojevima portova. Možete dodijeliti portove 1-8 prvom odjelu, dodijeliti portove 9-16 drugom odjelu i na kraju dodijeliti portove 17-24 g posljednjem odjelu. Sada ste svoju fizičku mrežu organizirali u tri virtualne mreže.
Softver na prekidaču može upravljati prometom između klijenata u svakom VLAN-u. Svaki VLAN djeluje kao vlastita mreža i ne može izravno komunicirati s drugim VLAN-ovima. Sada svaki odjel ima svoju manju, manje pretrpanu i učinkovitiju mrežu, a svima njima možete upravljati putem istog komada hardvera. Ovo je vrlo učinkovit i isplativ način upravljanja mrežom.
Kada trebate da odjeli mogu komunicirati, možete ih natjerati da to učine putem usmjerivača na mreži. Usmjerivač može regulirati i kontrolirati promet između VLAN-ova i provoditi jača sigurnosna pravila.
U mnogim slučajevima, odjeli će morati raditi zajedno i biti u interakciji. Komunikaciju između virtualnih mreža možete implementirati putem usmjerivača, postavljajući sigurnosna pravila kako biste osigurali odgovarajuću sigurnost i privatnost pojedinačnih virtualnih mreža.
VLAN naspram podmreže
VLAN i podmreže su zapravo prilično slične i služe sličnim funkcijama. I podmreže i VLAN-ovi dijele mreže i domene emitiranja. U oba slučaja, interakcije između podjela mogu se dogoditi samo putem usmjerivača.
Razlike između njih dolaze u obliku njihove implementacije i načina na koji mijenjaju strukturu mreže.
Podmreža IP adrese
Podmreže postoje na sloju 3 OSI modela, mrežnom sloju. Podmreže su konstrukcija na razini mreže i njima se rukuje usmjerivačima, organizirajući se oko IP adresa.
Usmjerivači izrezuju raspon IP adresa i dogovaraju veze između njih. To stavlja sav stres upravljanja mrežom na usmjerivač. Podmreže također mogu postati komplicirane kako se vaša mreža povećava u veličini i složenosti.
VLAN
VLAN-ovi nalaze svoj dom na sloju 2 OSI modela. Razina podatkovne veze bliža je hardveru i manje apstraktna. Virtualni LAN-ovi oponašaju hardver koji djeluje kao pojedinačni prekidači.
Međutim, virtualni LAN-ovi mogu razbiti domene emitiranja bez potrebe za ponovnim povezivanjem s usmjerivačem, skidajući dio upravljačkog opterećenja s usmjerivača.
Budući da su VLAN-ovi njihove vlastite virtualne mreže, moraju se ponašati kao da imaju ugrađeni usmjerivač. Kao rezultat toga, VLAN-ovi sadrže barem jednu podmrežu i mogu podržavati više podmreža.
VLAN-ovi distribuiraju mrežno opterećenje i. više prekidača može upravljati prometom unutar VLAN-ova bez uključivanja usmjerivača, što čini učinkovitiji sustav.
Prednosti VLAN-a
Do sada ste već vidjeli nekoliko prednosti koje VLAN-ovi donose na stol. Samo na temelju onoga što rade, VLAN-ovi imaju niz vrijednih atributa.
VLAN-ovi pomažu u sigurnosti. Raspodjela prometa ograničava svaku priliku za neovlašteni pristup dijelovima mreže. Također pomaže u zaustavljanju širenja zlonamjernog softvera, ako se itko nađe na mreži. Potencijalni uljezi ne mogu koristiti alate kao što je Wireshark kako bi nanjušili pakete bilo gdje izvan virtualnog LAN-a na kojem se nalaze, ograničavajući i tu prijetnju.
Učinkovitost mreže je velika stvar. Uvođenje VLAN-a može uštedjeti ili koštati tvrtku tisuće dolara. Razbijanje domena emitiranja uvelike povećava učinkovitost mreže ograničavanjem broja uređaja uključenih u komunikaciju u isto vrijeme. VLAN smanjuje potrebu za postavljanjem usmjerivača za upravljanje mrežama.
Često mrežni inženjeri odlučuju konstruirati virtualne LAN-ove na osnovi svake usluge, odvajajući važan ili mrežno intenzivan promet kao što je mreža za pohranu podataka (SAN) ili Voice over IP (VOIP). Neki prekidači također omogućuju administratoru da odredi prioritete VLAN-ova, dajući više resursa zahtjevnijem prometu koji je kritičan.
Bilo bi strašno imati potrebu za izgradnjom neovisne fizičke mreže za odvajanje prometa. Zamislite zamršeni splet kablova s kojim biste se morali boriti da napravite promjene. To ne znači ništa za povećanu cijenu hardvera i potrošnju energije. Također bi bilo divlje nefleksibilno. VLAN-ovi rješavaju sve ove probleme virtualizacijom više prekidača na jednom komadu hardvera.
VLAN-ovi pružaju visok stupanj fleksibilnosti mrežnim administratorima putem praktičnog softverskog sučelja. Recimo da dva odjela mijenjaju ured. Mora li se IT osoblje pomicati oko hardvera kako bi se prilagodilo promjenama? Ne. Oni samo mogu preraspodijeliti portove na prekidačima ispravnim VLAN-ovima. Neke VLAN konfiguracije to ne bi ni zahtijevale. Dinamički bi se prilagođavali. Ovi VLAN-ovi ne zahtijevaju dodijeljene portove. Umjesto toga, temelje se na MAC ili IP adresama. U svakom slučaju, nije potrebno miješanje prekidača ili kabela. Mnogo je učinkovitije i isplativije implementirati softversko rješenje za promjenu lokacije mreže nego premjestiti fizički hardver.
Statički vs. dinamički VLAN-ovi
Postoje dvije osnovne vrste VLAN-a, kategorizirane prema načinu na koji su strojevi spojeni na njih. Svaki tip ima prednosti i nedostatke koje treba uzeti u obzir na temelju konkretne situacije u mreži.
Statički VLAN
Statički VLAN-ovi se često nazivaju VLAN-ovima koji se temelje na portovima jer se uređaji pridružuju povezivanjem na dodijeljeni port. Ovaj vodič je do sada koristio samo statičke VLAN-ove kao primjere.
Prilikom postavljanja mreže sa statičkim VLAN-ovima, inženjer bi podijelio prekidač po njegovim portovima i svaki port dodijelio VLAN-u. Svaki uređaj koji se povezuje na taj fizički priključak pridružit će se tom VLAN-u.
Statički VLAN-ovi pružaju vrlo jednostavne i jednostavne za konfiguriranje mreža bez previše oslanjanja na softver. Međutim, teško je ograničiti pristup unutar fizičke lokacije jer se pojedinac može jednostavno priključiti. Statički VLAN-ovi također zahtijevaju od mrežnog administratora da promijeni dodjelu portova u slučaju da netko na mreži promijeni fizičke lokacije.
Dinamički VLAN
Dinamički VLAN-ovi uvelike se oslanjaju na softver i omogućuju visok stupanj fleksibilnosti. Administrator može dodijeliti MAC i IP adrese određenim VLAN-ovima, dopuštajući neopterećeno kretanje u fizičkom prostoru. Strojevi u dinamičkom virtualnom LAN-u mogu se kretati bilo gdje unutar mreže i ostati na istom VLAN-u.
Iako su dinamički VLAN-ovi nenadmašni u smislu prilagodljivosti, imaju neke ozbiljne nedostatke. High-end switch mora preuzeti ulogu poslužitelja poznatog kao poslužitelj politike upravljanja VLAN-om (VMPS( za pohranu i isporuku informacija o adresi drugim prekidačima na mreži. VMPS, kao i svaki poslužitelj, zahtijeva redovito upravljanje i održavanje i podložan je mogućim zastojima.
Napadači mogu lažirati MAC adrese i dobiti pristup dinamičkim VLAN-ovima, dodajući još jedan potencijalni sigurnosni izazov.
Postavljanje VLAN-a
Što trebaš
Postoji nekoliko osnovnih stavki koje su vam potrebne za postavljanje VLAN-a ili više VLAN-ova. Kao što je već rečeno, postoji niz različitih standarda, ali najuniverzalniji je IEEE 802.1Q. To je onaj koji će ovaj primjer slijediti.
Usmjerivač
Tehnički, ne treba vam usmjerivač za postavljanje VLAN-a, ali ako želite da više VLAN-ova komunicira, trebat će vam usmjerivač.
Mnogi moderni usmjerivači podržavaju VLAN funkcionalnost u nekom ili onom obliku. Kućni usmjerivači možda ne podržavaju VLAN ili ga podržavaju samo u ograničenom kapacitetu. Prilagođeni firmware poput DD-WRT ga temeljitije podržava.
Govoreći o prilagođenim potrebama, ne treba vam gotov usmjerivač za rad s vašim virtualnim LAN-ovima. Prilagođeni firmver usmjerivača obično se temelji na OS-u sličnom Unixu kao što je Linux ili FreeBSD, tako da možete izraditi vlastiti usmjerivač koristeći bilo koji od tih operativnih sustava otvorenog koda.
Sve funkcije usmjeravanja koje su vam potrebne dostupne su za Linux, a možete konfigurirati instalaciju Linuxa kako biste prilagodili svoj usmjerivač tako da služi vašim specifičnim potrebama. Za nešto što ima više značajki, potražite pfSense. pfSense je izvrsna distribucija FreeBSD-a napravljena da bude robusno rješenje za usmjeravanje otvorenog koda. Podržava VLAN-ove i uključuje vatrozid za bolje osiguranje prometa između vaših virtualnih mreža.
Koju god rutu odaberete, provjerite podržava li VLAN značajke koje su vam potrebne.
Upravljani prekidač
Prekidači su u srcu VLAN umrežavanja. Oni su tamo gdje se čarolija događa. Međutim, potreban vam je upravljani prekidač kako biste iskoristili funkcionalnost VLAN-a.
Da bismo stvari podigli na višu razinu, doslovno, dostupni su Layer 3 upravljani prekidači. Ovi prekidači su sposobni nositi se s nekim mrežnim prometom sloja 3 i u nekim situacijama mogu zamijeniti usmjerivač.
Važno je imati na umu da ovi prekidači nisu usmjerivači i da je njihova funkcionalnost ograničena. Prekidači sloja 3 smanjuju vjerojatnost kašnjenja mreže što može biti kritično u nekim okruženjima gdje je ključno imati mrežu s vrlo niskom latencije.
Kartice mrežnog sučelja klijenta (NIC)
NIC-ovi koje koristite na svojim klijentskim računalima trebaju podržavati 802.1Q. Vjerojatno jesu, ali to je nešto što treba razmotriti prije nego što krene naprijed.
Osnovna konfiguracija
Ovdje je teži dio. Postoje tisuće različitih mogućnosti kako možete konfigurirati svoju mrežu. Nijedan vodič ne može ih sve pokriti. U njihovom srcu, ideje iza gotovo svake konfiguracije su iste, kao i opći proces.
Postavljanje usmjerivača
Možete započeti na nekoliko različitih načina. Možete spojiti usmjerivač na svaki prekidač ili svaki VLAN. Ako se odlučite samo za svaki prekidač, morat ćete konfigurirati usmjerivač da razlikuje promet.
Zatim možete konfigurirati svoj usmjerivač za rukovanje prolaznim prometom između VLAN-ova.
Konfiguriranje prekidača
Pod pretpostavkom da su to statični VLAN-ovi, možete ući u uslužni program za upravljanje VLAN-om vašeg prekidača preko njegovog web sučelja i početi dodjeljivati portove različitim VLAN-ovima. Mnogi prekidači koriste raspored tablice koji vam omogućuje da označite opcije za portove.
Ako koristite više prekidača, dodijelite jedan od portova svim svojim VLAN-ovima i postavite ga kao trunk port. Učinite to na svakom prekidaču. Zatim upotrijebite te portove za povezivanje između prekidača i širenje VLAN-ova na više uređaja.
Povezivanje klijenata
Konačno, dobivanje klijenata na mreži prilično je samo po sebi razumljivo. Povežite svoje klijentske strojeve na portove koji odgovaraju VLAN-ovima na kojima ih želite.
VLAN kod kuće
Iako se to možda ne smatra logičnom kombinacijom, VLAN-ovi zapravo imaju sjajnu primjenu u prostoru kućnog umrežavanja, mrežama za goste. Ako ne želite postaviti WPA2 Enterprise mrežu u svom domu i pojedinačno kreirati vjerodajnice za prijavu za svoje prijatelje i obitelj, možete koristiti VLAN-ove da ograničite pristup vašim gostima datotekama i uslugama na vašoj kućnoj mreži.
Mnogi kućni usmjerivači višeg ranga i prilagođeni firmver usmjerivača podržavaju stvaranje osnovnih VLAN-ova. Možete postaviti VLAN za goste s vlastitim podacima za prijavu kako biste svojim prijateljima omogućili povezivanje svojih mobilnih uređaja. Ako vaš usmjerivač to podržava, VLAN za goste odličan je dodatni sigurnosni sloj koji sprječava prijenos virusa prožetog virusom vašeg prijatelja da zezne vašu čistu mrežu.
