VLAN'er er overalt. Du kan finde dem i de fleste organisationer med et korrekt konfigureret netværk. Hvis det ikke var indlysende, står VLAN for "Virtual Local Area Network", og de er allestedsnærværende i ethvert moderne netværk ud over størrelsen af et lille hjem eller meget lille kontornetværk.
Der er et par forskellige protokoller, hvoraf mange er leverandørspecifikke, men i sin kerne gør hvert VLAN stort set det samme, og fordelene ved VLAN skalere, efterhånden som dit netværk vokser i størrelse og organisatorisk kompleksitet.
Disse fordele er en stor del af, hvorfor VLAN'er er så stærkt afhængige af professionelle netværk af alle størrelser. Faktisk ville det være svært at administrere eller skalere netværk uden dem.
Fordelene og skalerbarheden ved VLAN forklarer, hvorfor de er blevet så allestedsnærværende i moderne netværksmiljøer. Det ville være vanskeligt at administrere eller skalere selv moderat komplekse netværk med brugeren af VLAN'er.
Hvad er et VLAN?
Okay, så du kender akronymet, men hvad er et VLAN egentlig? Det grundlæggende koncept bør være bekendt for alle, der har arbejdet med eller brugt virtuelle servere.
Tænk et øjeblik på, hvordan virtuelle maskiner fungerer. Flere virtuelle servere findes i ét fysisk stykke hardware, der kører et operativsystem og en hypervisor for at oprette og køre de virtuelle servere på den enkelte fysiske server. Gennem virtualisering er du i stand til effektivt at omdanne en enkelt fysisk computer til flere virtuelle computere, der hver er tilgængelige for separate opgaver og brugere.
Virtuelle LAN'er fungerer stort set på samme måde som virtuelle servere. En eller flere administrerede switche kører softwaren (svarende til hypervisorsoftware), der tillader switchene at oprette flere virtuelle switche inden for et fysisk netværk.
Hver virtuel switch er sit eget selvstændige netværk. Den største forskel mellem virtuelle servere og virtuelle LAN'er er, at virtuelle LAN'er kan fordeles på tværs af flere fysiske stykker hardware med et udpeget kabel kaldet en trunk.
Hvordan det virker
Forestil dig, at du driver et netværk for en voksende lille virksomhed, tilføjer medarbejdere, opdeler i separate afdelinger og bliver mere kompleks og organiseret.
For at reagere på disse ændringer opgraderede du til en 24-ports switch for at kunne rumme nye enheder på netværket.
Du kan overveje bare at køre et ethernet-kabel til hver af de nye enheder og kalde opgaven udført, men problemet er, at fillagring og tjenester, der bruges af hver afdeling, skal holdes adskilt. VLAN'er er den bedste måde at gøre det på.
Indenfor switchens webgrænseflade kan du konfigurere tre separate VLAN'er, et for hver afdeling. Den nemmeste måde at dividere dem på er efter portnumre. Du kan tildele porte 1-8 til den første afdeling, tildele porte 9-16 til den anden afdeling og til sidst tildele porte 17-24 g til den sidste afdeling. Nu har du organiseret dit fysiske netværk i tre virtuelle netværk.
Softwaren på switchen kan styre trafikken mellem klienterne i hvert VLAN. Hvert VLAN fungerer som sit eget netværk og kan ikke interagere direkte med de andre VLAN'er. Nu har hver afdeling sit eget mindre, mindre rodede og mere effektive netværk, og du kan administrere dem alle gennem det samme stykke hardware. Dette er en meget effektiv og omkostningseffektiv måde at administrere et netværk på.
Når du har brug for, at afdelingerne kan interagere, kan du få dem til at gøre det via routeren på netværket. Routeren kan regulere og kontrollere trafikken mellem VLAN'erne og håndhæve stærkere sikkerhedsregler.
I mange tilfælde vil afdelingerne skulle arbejde sammen og interagere. Du kan implementere kommunikation mellem de virtuelle netværk gennem routeren, ved at sætte sikkerhedsregler for at sikre passende sikkerhed og privatliv for de individuelle virtuelle netværk.
VLAN vs. undernet
VLAN'er og undernet er faktisk ret ens og har lignende funktioner. Både undernet og VLAN'er opdeler netværk og broadcast-domæner. I begge tilfælde kan interaktioner mellem underopdelinger kun ske gennem en router.
Forskellene mellem dem kommer i form af deres implementering og hvordan de ændrer netværksstrukturen.
IP-adresse undernet
Undernet findes på lag 3 i OSI-modellen, netværkslaget. Undernet er en konstruktion på netværksniveau og håndteres med routere, der organiserer sig omkring IP-adresser.
Routere udskiller intervaller af IP-adresser og forhandler forbindelserne mellem dem. Dette lægger al stress fra netværksstyring på routeren. Undernet kan også blive komplicerede, efterhånden som dit netværk skaleres op i størrelse og kompleksitet.
VLAN
VLAN'er finder deres hjem på Layer 2 af OSI-modellen. Datalinkniveauet er tættere på hardwaren og mindre abstrakt. Virtuelle LAN'er emulerer hardware, der fungerer som individuelle switche.
Virtuelle LAN'er er dog i stand til at opdele broadcast-domæner uden at skulle oprette forbindelse tilbage til en router, hvilket fjerner nogle af administrationsbyrderne fra routeren.
Fordi VLAN'er er deres egne virtuelle netværk, skal de opføre sig lidt som om de har en indbygget router. Som følge heraf indeholder VLAN'er mindst ét undernet og kan understøtte flere undernet.
VLAN'er fordeler netværksbelastning og. flere switches kan håndtere trafik inden for VLAN'er uden at involvere routeren, hvilket giver et mere effektivt system.
Fordele ved VLAN'er
På nuværende tidspunkt har du allerede set et par af de fordele, som VLAN'er bringer til bordet. Bare i kraft af det, de gør, har VLAN'er en række værdifulde egenskaber.
VLAN hjælper med sikkerheden. Opdeling af trafik begrænser enhver mulighed for uautoriseret adgang til dele af et netværk. Det hjælper også med at stoppe spredningen af ondsindet software, hvis nogen skulle finde vej til netværket. Potentielle ubudne gæster kan ikke bruge værktøjer som Wireshark til at opsnuse pakker på andre steder end det virtuelle LAN, de er på, hvilket også begrænser denne trussel.
Netværkseffektivitet er en stor ting. Det kan spare eller koste en virksomhed tusindvis af dollars at implementere VLAN'er. At opdele broadcast-domæner øger netværkseffektiviteten i høj grad ved at begrænse antallet af enheder, der er involveret i kommunikation på én gang. VLAN mindsker behovet for at implementere routere til at administrere netværk.
Ofte vælger netværksingeniører at konstruere virtuelle LAN'er på en per-service basis, der adskiller vigtig eller netværksintensiv trafik som et Storage Area Network (SAN) eller Voice over IP (VOIP). Nogle switche giver også en administrator mulighed for at prioritere VLAN'er, hvilket giver flere ressourcer til mere krævende og manglende kritisk trafik.
Det ville være forfærdeligt at skulle bygge et uafhængigt fysisk netværk for at adskille trafik. Forestil dig det indviklede virvar af kabler, som du skal kæmpe for at foretage ændringer. Det vil ikke sige noget for de øgede hardwareomkostninger og strømforbrug. Det ville også være vildt ufleksibelt. VLAN'er løser alle disse problemer ved at virtualisere flere switches på et enkelt stykke hardware.
VLAN'er giver en høj grad af fleksibilitet til netværksadministratorer gennem en praktisk softwaregrænseflade. Lad os sige, at to afdelinger skifter kontor. Skal it-personalet flytte rundt på hardware for at imødekomme ændringen? Nej. De kan bare omtildele porte på switchene til de korrekte VLAN'er. Nogle VLAN-konfigurationer ville ikke engang kræve det. De ville tilpasse sig dynamisk. Disse VLAN'er kræver ikke tildelte porte. I stedet er de baseret på MAC- eller IP-adresser. Uanset hvad, er der ingen omskiftning af kontakter eller kabler påkrævet. Det er meget mere effektivt og omkostningseffektivt at implementere en softwareløsning for at ændre placeringen af et netværk end at flytte den fysiske hardware.
Statiske vs. dynamiske VLAN'er
Der er to grundlæggende typer af VLAN'er, kategoriseret efter den måde, maskiner er forbundet til dem. Hver type har styrker og svagheder, der bør tages i betragtning baseret på den særlige netværkssituation.
Statisk VLAN
Statiske VLAN'er omtales ofte som portbaserede VLAN'er, fordi enheder tilsluttes ved at oprette forbindelse til en tildelt port. Denne vejledning har hidtil kun brugt statiske VLAN'er som eksempler.
Ved opsætning af et netværk med statiske VLAN'er ville en ingeniør opdele en switch efter dens porte og tildele hver port til et VLAN. Enhver enhed, der forbinder til den fysiske port, slutter sig til det VLAN.
Statiske VLAN'er giver meget enkle og nemme at konfigurere netværk uden for meget afhængighed af software. Det er dog svært at begrænse adgangen inden for en fysisk placering, fordi en person blot kan tilslutte. Statiske VLAN'er kræver også, at en netværksadministrator ændrer porttildelinger, hvis nogen på netværket ændrer fysiske placeringer.
Dynamisk VLAN
Dynamiske VLAN'er er stærkt afhængige af software og tillader en høj grad af fleksibilitet. En administrator kan tildele MAC- og IP-adresser til specifikke VLAN'er, hvilket tillader uhindret bevægelse i det fysiske rum. Maskiner i et dynamisk virtuelt LAN kan bevæge sig overalt i netværket og forblive på det samme VLAN.
Selvom dynamiske VLAN'er er uovertrufne med hensyn til tilpasningsevne, har de nogle alvorlige ulemper. En avanceret switch skal påtage sig rollen som en server kendt som en VLAN Management Policy Server (VMPS( for at gemme og levere adresseoplysninger til de andre switches på netværket. En VMPS, som enhver server, kræver regelmæssig administration og vedligeholdelse og er underlagt mulig nedetid.
Angribere kan forfalske MAC-adresser og få adgang til dynamiske VLAN'er, hvilket tilføjer endnu en potentiel sikkerhedsudfordring.
Opsætning af et VLAN
Hvad du har brug for
Der er et par grundlæggende elementer, du skal bruge for at konfigurere et VLAN eller flere VLAN'er. Som nævnt før er der en række forskellige standarder, men den mest universelle er IEEE 802.1Q. Det er den, som dette eksempel vil følge.
Router
Teknisk set behøver du ikke en router for at konfigurere et VLAN, men hvis du vil have flere VLAN'er til at interagere, har du brug for en router.
Mange moderne routere understøtter VLAN-funktionalitet i en eller anden form. Hjemmeroutere understøtter muligvis ikke VLAN eller understøtter det kun i en begrænset kapacitet. Brugerdefineret firmware som DD-WRT understøtter det mere grundigt.
Når vi taler om brugerdefineret, behøver du ikke en off-the-shelf-router for at arbejde med dine virtuelle LAN'er. Brugerdefineret router firmware er normalt baseret på et Unix-lignende operativsystem såsom Linux eller FreeBSD, så du kan bygge din egen router ved at bruge et af disse open source-operativsystemer.
Al den routingfunktionalitet, du har brug for, er tilgængelig for Linux, og du kan tilpasse en Linux-installation til at skræddersy din router til at opfylde dine specifikke behov. Se pfSense for noget, der er mere funktionelt. pfSense er en fremragende distribution af FreeBSD bygget til at være en robust open source-routingløsning. Det understøtter VLAN'er og inkluderer en firewall for bedre at sikre trafikken mellem dine virtuelle netværk.
Uanset hvilken rute du vælger, skal du sørge for, at den understøtter de VLAN-funktioner, du har brug for.
Administreret Switch
Switche er kernen i VLAN-netværk. De er der, hvor magien sker. Du har dog brug for en styret switch for at drage fordel af VLAN-funktionaliteten.
For at tage tingene et niveau højere, bogstaveligt talt, er der Layer 3-administrerede switche tilgængelige. Disse switches er i stand til at håndtere en del Layer 3-netværkstrafik og kan i nogle situationer træde i stedet for en router.
Det er vigtigt at huske på, at disse switches ikke er routere, og deres funktionalitet er begrænset. Layer 3-switches mindsker sandsynligheden for netværksforsinkelse, hvilket kan være kritisk i nogle miljøer, hvor det er afgørende at have et netværk med meget lav latenstid.
Client Network Interface Cards (NIC'er)
De NIC'er, du bruger på dine klientmaskiner, bør understøtte 802.1Q. Chancerne er, at de gør det, men det er noget, man skal se nærmere på, før man går videre.
Grundlæggende konfiguration
Her er den svære del. Der er tusindvis af forskellige muligheder for, hvordan du kan konfigurere dit netværk. Ingen enkelt guide kan dække dem alle. I deres hjerte er ideerne bag næsten enhver konfiguration de samme, og det samme er den generelle proces.
Opsætning af routeren
Du kan komme i gang på et par forskellige måder. Du kan enten tilslutte routeren til hver switch eller hvert VLAN. Hvis du vælger kun hver switch, skal du konfigurere routeren til at differentiere trafikken.
Du kan derefter konfigurere din router til at håndtere passerende trafik mellem VLAN'er.
Konfiguration af switchene
Forudsat at disse er statiske VLAN'er, kan du gå ind i din switchs VLAN-styringsværktøj gennem dens webgrænseflade og begynde at tildele porte til forskellige VLAN'er. Mange switche bruger et tabellayout, der giver dig mulighed for at afkrydse muligheder for portene.
Hvis du bruger flere switches, skal du tildele en af portene til alle dine VLAN'er og indstille den som en trunkport. Gør dette på hver kontakt. Brug derefter disse porte til at oprette forbindelse mellem switchene og sprede dine VLAN'er på tværs af flere enheder.
Tilslutning af klienter
Endelig er det ret selvforklarende at få kunder på netværket. Tilslut dine klientmaskiner til de porte, der svarer til de VLAN'er, du vil have dem på.
VLAN derhjemme
Selvom det måske ikke ses som en logisk kombination, har VLAN'er faktisk en fantastisk applikation i hjemmenetværket, gæstenetværk. Hvis du ikke har lyst til at oprette et WPA2 Enterprise-netværk i dit hjem og individuelt oprette login-legitimationsoplysninger til dine venner og familie, kan du bruge VLAN'er til at begrænse adgangen, dine gæster har til filerne og tjenesterne på dit hjemmenetværk.
Mange avancerede hjemmeroutere og tilpasset routerfirmware understøtter oprettelse af grundlæggende VLAN'er. Du kan konfigurere et gæste-VLAN med dets egne loginoplysninger for at lade dine venner forbinde deres mobile enheder. Hvis din router understøtter det, er et gæste-VLAN et fantastisk ekstra sikkerhedslag, der forhindrer din vens virusfyldte bærbare i at ødelægge dit rene netværk.