ВЛАН-ови су свуда. Можете их пронаћи у већини организација са правилно конфигурисаном мрежом. У случају да то није очигледно, ВЛАН је скраћеница за „Виртуелна локална мрежа“, и они су свеприсутни у свакој модерној мрежи изван величине мале кућне или веома мале канцеларијске мреже.
Постоји неколико различитих протокола, од којих су многи специфични за добављача, али у својој основи, сваки ВЛАН ради скоро исту ствар и користи ВЛАН размере како ваша мрежа расте у величини и организационој сложености.
Те предности су велики део зашто се на ВЛАН-ове толико ослањају професионалне мреже свих величина. У ствари, било би тешко управљати или скалирати мреже без њих.
Предности и скалабилност ВЛАН-ова објашњавају зашто су постали тако свеприсутни у савременим мрежним окружењима. Било би тешко управљати или скалирати чак и умерено сложене мреже са корисником ВЛАН-а.
Шта је ВЛАН?
У реду, знате акроним, али шта је тачно ВЛАН? Основни концепт треба да буде познат свима који су радили или користили виртуелне сервере.
Размислите на тренутак како виртуелне машине раде. Више виртуелних сервера се налази унутар једног физичког комада хардвера који покреће оперативни систем и хипервизор за креирање и покретање виртуелних сервера на једном физичком серверу. Кроз виртуелизацију, можете ефикасно да претворите један физички рачунар у више виртуелних рачунара, од којих је сваки доступан за различите задатке и кориснике.
Виртуелни ЛАН функционишу на исти начин као виртуелни сервери. Један или више управљаних прекидача покрећу софтвер (слично софтверу хипервизора) који омогућава прекидачима да креирају више виртуелних прекидача унутар једне физичке мреже.
Сваки виртуелни прекидач је сопствена самостална мрежа. Главна разлика између виртуелних сервера и виртуелних ЛАН-ова је у томе што виртуелни ЛАН-ови могу бити распоређени на више физичких делова хардвера помоћу одређеног кабла који се назива трунк.
Како то ради
Замислите да водите мрежу за растуће мало предузеће, додајете запослене, делите се на одвојена одељења и постајете сложенији и организованији.
Да бисте одговорили на ове промене, надоградили сте се на прекидач са 24 порта да бисте прилагодили нове уређаје на мрежи.
Можда бисте размислили о томе да једноставно покренете етернет кабл на сваком од нових уређаја и позовете задатак довршен, али проблем је у томе што складиште датотека и услуге које користи свако одељење морају бити одвојене. ВЛАН-ови су најбољи начин за то.
Унутар веб интерфејса прекидача можете да конфигуришете три одвојена ВЛАН-а, по један за свако одељење. Најједноставнији начин да их поделите је бројевима портова. Можете доделити портове 1-8 првом одељењу, доделити портове 9-16 другом одељењу и коначно доделити портове 17-24 г последњем одељењу. Сада сте организовали своју физичку мрежу у три виртуелне мреже.
Софтвер на комутатору може управљати саобраћајем између клијената у сваком ВЛАН-у. Сваки ВЛАН делује као сопствена мрежа и не може директно да комуницира са другим ВЛАН-овима. Сада, свако одељење има сопствену мању, мање претрпану и ефикаснију мрежу и свима њима можете управљати преко истог комада хардвера. Ово је веома ефикасан и исплатив начин управљања мрежом.
Када вам је потребно да одељења могу да комуницирају, можете их натерати да то ураде преко рутера на мрежи. Рутер може регулисати и контролисати саобраћај између ВЛАН-ова и спроводити јача безбедносна правила.
У многим случајевима, одељења ће морати да раде заједно и да комуницирају. Можете да имплементирате комуникацију између виртуелних мрежа преко рутера, постављајући безбедносна правила како бисте осигурали одговарајућу безбедност и приватност појединачних виртуелних мрежа.
ВЛАН против подмреже
ВЛАН и подмреже су заправо прилично сличне и служе сличним функцијама. И подмреже и ВЛАН деле мреже и домене емитовања. У оба случаја, интеракције између подела могу се десити само преко рутера.
Разлике између њих долазе у облику њихове имплементације и начина на који мењају структуру мреже.
Подмрежа ИП адресе
Подмреже постоје на слоју 3 ОСИ модела, мрежном слоју. Подмреже су конструкција на нивоу мреже и њима се рукује помоћу рутера, организујући се око ИП адреса.
Рутери изрезују опсеге ИП адреса и преговарају о везама између њих. Ово ставља сав стрес управљања мрежом на рутер. Подмреже такође могу постати компликоване како се ваша мрежа повећава у величини и сложености.
ВЛАН
ВЛАН-ови налазе свој дом на слоју 2 ОСИ модела. Ниво везе података је ближи хардверском и мање апстрактан. Виртуелне ЛАН мреже емулирају хардвер који се понаша као појединачни прекидачи.
Међутим, виртуелне ЛАН мреже су у стању да разбију домене емитовања без потребе да се поново повежу са рутером, скидајући део управљања са рутера.
Пошто су ВЛАН-ови њихове сопствене виртуелне мреже, оне морају да се понашају као да имају уграђен рутер. Као резултат тога, ВЛАН-ови садрже најмање једну подмрежу и могу подржавати више подмрежа.
ВЛАН-ови дистрибуирају оптерећење мреже, и. више прекидача може управљати саобраћајем унутар ВЛАН-а без укључивања рутера, што чини ефикаснијим систем.
Предности ВЛАН-а
До сада сте већ видели неколико предности које ВЛАН-ови доносе на стол. Само на основу онога што раде, ВЛАН-ови имају низ вредних атрибута.
ВЛАН-ови помажу у безбедности. Компартментализација саобраћаја ограничава сваку прилику за неовлашћени приступ деловима мреже. Такође помаже да се заустави ширење злонамерног софтвера, ако било који нађе пут до мреже. Потенцијални уљези не могу да користе алате као што је Виресхарк да нањуше пакете било где изван виртуелне ЛАН мреже на којој се налазе, ограничавајући и ту претњу.
Ефикасност мреже је велика ствар. Може уштедети или коштати предузеће хиљаде долара за имплементацију ВЛАН-а. Разбијање домена емитовања у великој мери повећава ефикасност мреже ограничавањем броја уређаја укључених у комуникацију у једном тренутку. ВЛАН смањује потребу за постављањем рутера за управљање мрежама.
Често, мрежни инжењери одлучују да конструишу виртуелне ЛАН мреже на основу услуге, одвајајући важан или мрежно интензиван саобраћај као што је мрежа за складиштење података (САН) или Воице овер ИП (ВОИП). Неки прекидачи такође омогућавају администратору да одреди приоритете ВЛАН-ова, дајући више ресурса захтевнијем саобраћају који недостаје.
Било би страшно имати потребу за изградњом независне физичке мреже за раздвајање саобраћаја. Замислите замршен сплет каблова са којим бисте се морали борити да бисте извршили промене. То не значи ништа за повећану цену хардвера и потрошњу енергије. Такође би било веома нефлексибилно. ВЛАН-ови решавају све ове проблеме виртуелизацијом више прекидача на једном комаду хардвера.
ВЛАН мреже пружају висок степен флексибилности мрежним администраторима кроз погодан софтверски интерфејс. Рецимо да два одељења мењају канцеларије. Да ли ИТ особље мора да се креће око хардвера да би се прилагодило промени? Не. Они могу само да доделе портове на прекидачима исправним ВЛАН-овима. Неке ВЛАН конфигурације то не би ни захтевале. Они би се динамички прилагођавали. Ови ВЛАН-ови не захтевају додељене портове. Уместо тога, засновани су на МАЦ или ИП адресама. У сваком случају, није потребно мешање прекидача или каблова. Много је ефикасније и исплативије имплементирати софтверско решење за промену локације мреже него преместити физички хардвер.
Статички вс. динамички ВЛАН
Постоје две основне врсте ВЛАН-а, категорисане према начину на који су машине повезане са њима. Сваки тип има предности и недостатке које треба узети у обзир на основу специфичне ситуације на мрежи.
Статички ВЛАН
Статичке ВЛАН мреже се често називају ВЛАН-овима заснованим на портовима јер се уређаји придружују повезивањем на додељени порт. Овај водич је до сада користио само статичке ВЛАН мреже као примере.
У постављању мреже са статичким ВЛАН-овима, инжењер би поделио свич по његовим портовима и доделио сваки порт ВЛАН-у. Сваки уређај који се повеже на тај физички порт придружиће се том ВЛАН-у.
Статичке ВЛАН мреже пружају веома једноставне и једноставне за конфигурисање мрежа без превише ослањања на софтвер. Међутим, тешко је ограничити приступ унутар физичке локације јер појединац може једноставно да се укључи. Статички ВЛАН-ови такође захтевају да администратор мреже промени додељене портове у случају да неко на мрежи промени физичке локације.
Динамички ВЛАН
Динамички ВЛАН-ови се у великој мери ослањају на софтвер и омогућавају висок степен флексибилности. Администратор може да додели МАЦ и ИП адресе одређеним ВЛАН-овима, омогућавајући неоптерећено кретање у физичком простору. Машине у динамичком виртуелном ЛАН-у могу да се крећу било где унутар мреже и да остану на истом ВЛАН-у.
Иако су динамички ВЛАН-ови непобедиви у погледу прилагодљивости, они имају неке озбиљне недостатке. Врхунски комутатор мора да преузме улогу сервера познатог као сервер политике управљања ВЛАН-ом (ВМПС( за складиштење и испоруку информација о адреси другим комутаторима на мрежи. ВМПС, као и сваки сервер, захтева редовно управљање и одржавање и подложан је могућим застојима.
Нападачи могу да лажирају МАЦ адресе и добију приступ динамичким ВЛАН-овима, додајући још један потенцијални безбедносни изазов.
Подешавање ВЛАН-а
Шта вам је потребно
Постоји неколико основних ставки које су вам потребне да бисте подесили ВЛАН или више ВЛАН-ова. Као што је раније речено, постоји велики број различитих стандарда, али најуниверзалнији је ИЕЕЕ 802.1К. То је оно што ће овај пример пратити.
Рутер
Технички, не треба вам рутер да бисте поставили ВЛАН, али ако желите да више ВЛАН-ова комуницира, требаће вам рутер.
Многи савремени рутери подржавају ВЛАН функционалност у неком или оном облику. Кућни рутери можда не подржавају ВЛАН или га подржавају само у ограниченом капацитету. Прилагођени фирмвер као што је ДД-ВРТ га темељније подржава.
Говорећи о прилагођеном, не треба вам готов рутер за рад са вашим виртуелним ЛАН мрежама. Прилагођени фирмвер рутера се обично заснива на ОС-у сличном Уник-у као што је Линук или ФрееБСД, тако да можете да направите сопствени рутер користећи било који од тих оперативних система отвореног кода.
Све функције рутирања које су вам потребне доступне су за Линук, а ви можете да конфигуришете инсталацију Линука тако да прилагодите свој рутер тако да задовољи ваше специфичне потребе. За нешто што има више функција, погледајте пфСенсе. пфСенсе је одлична дистрибуција ФрееБСД-а направљена да буде робусно решење за рутирање отвореног кода. Подржава ВЛАН и укључује заштитни зид за боље обезбеђење саобраћаја између ваших виртуелних мрежа.
Коју год руту одаберете, уверите се да подржава ВЛАН функције које су вам потребне.
Манагед Свитцх
Прекидачи су у срцу ВЛАН умрежавања. Они су тамо где се магија дешава. Међутим, потребан вам је управљани прекидач да бисте искористили ВЛАН функционалност.
Да бисмо ствари подигли на виши ниво, буквално, доступни су прекидачи којима се управља на нивоу 3. Ови прекидачи су у стању да управљају неким мрежним саобраћајем слоја 3 и могу да заузму место рутера у неким ситуацијама.
Важно је имати на уму да ови прекидачи нису рутери и да је њихова функционалност ограничена. Прекидачи слоја 3 смањују вероватноћу кашњења мреже што може бити критично у неким окружењима где је критично имати мрежу са веома малим кашњењем.
Клијентске мрежне картице (НИЦ)
НИЦ-ови које користите на својим клијентским машинама треба да подржавају 802.1К. Шансе су, јесу, али то је нешто што треба размотрити пре него што кренете напред.
Основна конфигурација
Ево тешког дела. Постоје хиљаде различитих могућности како можете да конфигуришете своју мрежу. Ниједан водич не може покрити све њих. У њиховом срцу, идеје иза скоро сваке конфигурације су исте, као и општи процес.
Подешавање рутера
Можете започети на неколико различитих начина. Можете или да повежете рутер на сваки прекидач или сваки ВЛАН. Ако се одлучите само за сваки прекидач, мораћете да конфигуришете рутер да разликује саобраћај.
Затим можете да конфигуришете свој рутер да управља пролазним саобраћајем између ВЛАН-ова.
Конфигурисање прекидача
Под претпоставком да су ово статични ВЛАН-ови, можете да уђете у услужни програм за управљање ВЛАН-ом вашег прекидача преко његовог веб интерфејса и почнете да додељујете портове различитим ВЛАН-овима. Многи прекидачи користе распоред табеле који вам омогућава да искључите опције за портове.
Ако користите више прекидача, доделите један од портова свим својим ВЛАН-овима и поставите га као трунк порт. Урадите то на сваком прекидачу. Затим користите те портове да бисте се повезали између прекидача и проширили своје ВЛАН мреже на више уређаја.
Повезивање клијената
Коначно, добијање клијената на мрежи је прилично разумљиво. Повежите своје клијентске машине на портове који одговарају ВЛАН-овима на којима желите да буду укључени.
ВЛАН код куће
Иако се то можда не сматра логичном комбинацијом, ВЛАН-ови заправо имају одличну примену у простору кућног умрежавања, мрежама за госте. Ако не желите да подесите ВПА2 Ентерприсе мрежу у свом дому и појединачно креирате акредитиве за пријаву за своје пријатеље и породицу, можете да користите ВЛАН да ограничите приступ вашим гостима датотекама и услугама на вашој кућној мрежи.
Многи кућни рутери вишег ранга и прилагођени фирмвер рутера подржавају креирање основних ВЛАН-ова. Можете да подесите ВЛАН за госте са сопственим подацима за пријаву да бисте омогућили вашим пријатељима да повежу своје мобилне уређаје. Ако ваш рутер то подржава, ВЛАН за госте је одличан додатни сигурносни слој који спречава да лаптоп прожет вирусима вашег пријатеља зезне вашу чисту мрежу.
