VLAN-er er overalt. Du kan finne dem i de fleste organisasjoner med et riktig konfigurert nettverk. I tilfelle det ikke var åpenbart, står VLAN for "Virtual Local Area Network", og de er allestedsnærværende i ethvert moderne nettverk utover størrelsen på et lite hjemme- eller veldig lite kontornettverk.
Det finnes noen få forskjellige protokoller, hvorav mange er leverandørspesifikke, men i kjernen gjør hvert VLAN omtrent det samme og fordelene med VLAN-skalering ettersom nettverket ditt vokser i størrelse og organisatorisk kompleksitet.
Disse fordelene er en stor del av hvorfor VLAN er så sterkt avhengig av profesjonelle nettverk av alle størrelser. Faktisk ville det være vanskelig å administrere eller skalere nettverk uten dem.
Fordelene og skalerbarheten til VLAN forklarer hvorfor de har blitt så allestedsnærværende i moderne nettverksmiljøer. Det ville være vanskelig å administrere eller skalere selv moderat komplekse nettverk med brukeren av VLAN.
Hva er et VLAN?
Ok, så du kjenner forkortelsen, men hva er egentlig et VLAN? Grunnkonseptet bør være kjent for alle som har jobbet med eller brukt virtuelle servere.
Tenk et sekund på hvordan virtuelle maskiner fungerer. Flere virtuelle servere ligger innenfor en fysisk maskinvare som kjører et operativsystem og hypervisor for å lage og kjøre de virtuelle serverne på den fysiske enkeltserveren. Gjennom virtualisering er du i stand til effektivt å gjøre en enkelt fysisk datamaskin til flere virtuelle datamaskiner som hver er tilgjengelig for separate oppgaver og brukere.
Virtuelle LAN fungerer omtrent på samme måte som virtuelle servere. En eller flere administrerte svitsjer kjører programvaren (ligner på hypervisorprogramvare) som lar svitsjene lage flere virtuelle svitsjer innenfor ett fysisk nettverk.
Hver virtuell svitsj er sitt eget selvstendige nettverk. Hovedforskjellen mellom virtuelle servere og virtuelle LAN er at virtuelle LAN kan distribueres over flere fysiske deler av maskinvare med en utpekt kabel kalt en trunk.
Hvordan det fungerer
Tenk deg at du driver et nettverk for en voksende liten bedrift, legger til ansatte, deler inn i separate avdelinger og blir mer kompleks og organisert.
For å svare på disse endringene oppgraderte du til en 24-ports svitsj for å få plass til nye enheter på nettverket.
Du kan vurdere å bare kjøre en Ethernet-kabel til hver av de nye enhetene og kalle oppgaven ferdig, men problemet er at fillagringen og tjenestene som brukes av hver avdeling må holdes adskilt. VLAN er den beste måten å gjøre det på.
Innenfor nettgrensesnittet til svitsjen kan du konfigurere tre separate VLANer, ett for hver avdeling. Den enkleste måten å dele dem på er etter portnummer. Du kan tilordne porter 1-8 til første avdeling, tilordne porter 9-16 til andre avdeling, og til slutt tilordne porter 17-24 g til siste avdeling. Nå har du organisert ditt fysiske nettverk i tre virtuelle nettverk.
Programvaren på switchen kan administrere trafikken mellom klientene i hvert VLAN. Hvert VLAN fungerer som sitt eget nettverk og kan ikke samhandle direkte med de andre VLANene. Nå har hver avdeling sitt eget mindre, mindre rotete og mer effektive nettverk, og du kan administrere dem alle gjennom samme maskinvare. Dette er en svært effektiv og kostnadseffektiv måte å administrere et nettverk på.
Når du trenger at avdelingene skal kunne samhandle, kan du få dem til å gjøre det gjennom ruteren på nettverket. Ruteren kan regulere og kontrollere trafikk mellom VLAN-ene og håndheve sterkere sikkerhetsregler.
I mange tilfeller vil avdelingene ha behov for å samarbeide og samhandle. Du kan implementere kommunikasjon mellom de virtuelle nettverkene gjennom ruteren, og sette sikkerhetsregler for å sikre passende sikkerhet og personvern for de individuelle virtuelle nettverkene.
VLAN vs. Subnett
VLAN og subnett er faktisk ganske like og har lignende funksjoner. Både undernett og VLAN deler opp nettverk og kringkastingsdomener. I begge tilfeller kan interaksjoner mellom underavdelinger bare skje gjennom en ruter.
Forskjellene mellom dem kommer i form av implementeringen og hvordan de endrer nettverksstrukturen.
IP-adresse undernett
Undernett finnes på lag 3 av OSI-modellen, nettverkslaget. Subnett er en konstruksjon på nettverksnivå og håndteres med rutere, organisert rundt IP-adresser.
Rutere skjærer ut områder med IP-adresser og forhandler forbindelsene mellom dem. Dette legger alt stresset med nettverksadministrasjon på ruteren. Subnett kan også bli kompliserte ettersom nettverket ditt skaleres opp i størrelse og kompleksitet.
VLAN
VLAN-er finner hjemmet sitt på lag 2 av OSI-modellen. Datalinknivået er nærmere maskinvaren og mindre abstrakt. Virtuelle LAN-er emulerer maskinvare som fungerer som individuelle brytere.
Virtuelle LAN er imidlertid i stand til å bryte opp kringkastingsdomener uten å måtte koble seg tilbake til en ruter, noe som tar noen av administrasjonsbyrdene fra ruteren.
Fordi VLAN er deres egne virtuelle nettverk, må de oppføre seg litt som om de har en innebygd ruter. Som et resultat inneholder VLAN minst ett undernett, og kan støtte flere undernett.
VLAN-er fordeler nettverksbelastning, og. flere svitsjer kan håndtere trafikk innenfor VLAN uten å involvere ruteren, noe som gir et mer effektivt system.
Fordeler med VLAN
Nå har du allerede sett et par av fordelene som VLAN gir til bordet. Bare i kraft av det de gjør, har VLAN en rekke verdifulle egenskaper.
VLAN hjelper med sikkerhet. Oppdeling av trafikk begrenser enhver mulighet for uautorisert tilgang til deler av et nettverk. Det hjelper også å stoppe spredningen av skadelig programvare, dersom noen skulle finne veien til nettverket. Potensielle inntrengere kan ikke bruke verktøy som Wireshark til å snuse opp pakker på hvor som helst utenfor det virtuelle LANet de er på, noe som også begrenser trusselen.
Nettverkseffektivitet er en stor sak. Det kan spare eller koste en bedrift tusenvis av dollar å implementere VLAN. Å bryte opp kringkastingsdomener øker nettverkseffektiviteten betraktelig ved å begrense antallet enheter som er involvert i kommunikasjon på en gang. VLAN reduserer behovet for å distribuere rutere for å administrere nettverk.
Ofte velger nettverksingeniører å konstruere virtuelle LAN per tjeneste, og skiller ut viktig eller nettverksintensiv trafikk som et Storage Area Network (SAN) eller Voice over IP (VOIP). Noen brytere lar også en administrator prioritere VLAN, noe som gir flere ressurser til mer krevende og manglende kritisk trafikk.
Det ville være forferdelig å trenge å bygge et uavhengig fysisk nettverk for å skille ut trafikk. Se for deg den kronglete kablingen du må kjempe for å gjøre endringer. Det vil ikke si noe for de økte maskinvarekostnadene og strømforbruket. Det ville også vært veldig lite fleksibelt. VLAN løser alle disse problemene ved å virtualisere flere brytere på en enkelt maskinvare.
VLAN gir en høy grad av fleksibilitet til nettverksadministratorer gjennom et praktisk programvaregrensesnitt. La oss si at to avdelinger bytter kontor. Må IT-personalet flytte rundt på maskinvare for å imøtekomme endringen? Nei. De kan bare overføre porter på svitsjene til de riktige VLAN-ene. Noen VLAN-konfigurasjoner ville ikke engang kreve det. De ville tilpasse seg dynamisk. Disse VLAN-ene krever ikke tildelte porter. I stedet er de basert på MAC- eller IP-adresser. Uansett er det ingen stokking av brytere eller kabler som kreves. Det er mye mer effektivt og kostnadseffektivt å implementere en programvareløsning for å endre plasseringen av et nettverk enn å flytte den fysiske maskinvaren.
Statiske vs. dynamiske VLAN
Det er to grunnleggende typer VLAN, kategorisert etter måten maskinene er koblet til dem. Hver type har styrker og svakheter som bør tas i betraktning basert på den spesielle nettverkssituasjonen.
Statisk VLAN
Statiske VLAN-er blir ofte referert til som portbaserte VLAN-er fordi enheter kobles til ved å koble til en tilordnet port. Denne veiledningen har kun brukt statiske VLAN som eksempler så langt.
Ved å sette opp et nettverk med statiske VLAN, vil en ingeniør dele opp en svitsj etter portene og tilordne hver port til et VLAN. Enhver enhet som kobles til den fysiske porten vil bli med i det VLAN.
Statiske VLAN gir svært enkle og enkle å konfigurere nettverk uten for mye avhengighet av programvare. Det er imidlertid vanskelig å begrense tilgangen innenfor en fysisk plassering fordi en person ganske enkelt kan koble til. Statiske VLAN krever også en nettverksadministrator for å endre porttilordninger i tilfelle noen på nettverket endrer fysisk plassering.
Dynamisk VLAN
Dynamiske VLAN er avhengige av programvare og tillater en høy grad av fleksibilitet. En administrator kan tilordne MAC- og IP-adresser til spesifikke VLAN-er, noe som tillater uhindret bevegelse i det fysiske rommet. Maskiner i et dynamisk virtuelt LAN kan bevege seg hvor som helst i nettverket og forbli på samme VLAN.
Selv om dynamiske VLAN er uslåelige når det gjelder tilpasningsevne, har de noen alvorlige ulemper. En avansert svitsj må påta seg rollen som en server kjent som en VLAN Management Policy Server (VMPS( for å lagre og levere adresseinformasjon til de andre svitsjene på nettverket. En VMPS, som enhver server, krever regelmessig administrasjon og vedlikehold og er underlagt mulig nedetid.
Angripere kan forfalske MAC-adresser og få tilgang til dynamiske VLAN, noe som legger til en annen potensiell sikkerhetsutfordring.
Sette opp et VLAN
Hva trenger du
Det er et par grunnleggende elementer du trenger for å sette opp et VLAN eller flere VLAN. Som nevnt før finnes det en rekke forskjellige standarder, men den mest universelle er IEEE 802.1Q. Det er den som dette eksemplet vil følge.
Ruter
Teknisk sett trenger du ikke en ruter for å sette opp et VLAN, men hvis du vil at flere VLAN skal samhandle, trenger du en ruter.
Mange moderne rutere støtter VLAN-funksjonalitet i en eller annen form. Hjemmerutere støtter kanskje ikke VLAN eller støtter det bare i en begrenset kapasitet. Tilpasset firmware som DD-WRT støtter den mer grundig.
Når vi snakker om tilpasset, trenger du ikke en standardruter for å fungere med dine virtuelle LAN. Tilpasset ruterfastvare er vanligvis basert på et Unix-lignende operativsystem som Linux eller FreeBSD, slik at du kan bygge din egen ruter ved å bruke ett av disse open source-operativsystemene.
All rutingfunksjonaliteten du trenger er tilgjengelig for Linux, og du kan tilpasset konfigurere en Linux-installasjon for å skreddersy ruteren til å dekke dine spesifikke behov. Se pfSense for noe som er mer funksjonsrikt. pfSense er en utmerket distribusjon av FreeBSD bygget for å være en robust åpen kildekode-rutingsløsning. Den støtter VLAN og inkluderer en brannmur for bedre å sikre trafikken mellom dine virtuelle nettverk.
Uansett hvilken rute du velger, sørg for at den støtter VLAN-funksjonene du trenger.
Administrert bryter
Brytere er kjernen i VLAN-nettverk. De er der magien skjer. Du trenger imidlertid en administrert svitsj for å kunne dra nytte av VLAN-funksjonalitet.
For å ta ting et nivå høyere, bokstavelig talt, er det Layer 3 administrerte brytere tilgjengelig. Disse svitsjene er i stand til å håndtere noe lag 3 nettverkstrafikk og kan ta plassen til en ruter i enkelte situasjoner.
Det er viktig å huske på at disse bryterne ikke er rutere, og at funksjonaliteten deres er begrenset. Layer 3-svitsjer reduserer sannsynligheten for nettverksforsinkelse, noe som kan være kritisk i enkelte miljøer der det er viktig å ha et nettverk med svært lav latenstid.
Client Network Interface Cards (NIC)
NIC-ene du bruker på klientmaskinene dine bør støtte 802.1Q. Sjansen er stor for at de gjør det, men det er noe å se nærmere på før du går videre.
Grunnleggende konfigurasjon
Her er den vanskelige delen. Det er tusenvis av forskjellige muligheter for hvordan du kan konfigurere nettverket ditt. Ingen enkelt guide kan dekke dem alle. I deres hjerte er ideene bak nesten enhver konfigurasjon de samme, og det samme er den generelle prosessen.
Sette opp ruteren
Du kan komme i gang på et par forskjellige måter. Du kan enten koble ruteren til hver svitsj eller hvert VLAN. Hvis du velger bare hver bryter, må du konfigurere ruteren for å skille trafikken.
Du kan deretter konfigurere ruteren til å håndtere passerende trafikk mellom VLAN.
Konfigurering av bryterne
Forutsatt at disse er statiske VLAN-er, kan du gå inn i svitsjens VLAN-administrasjonsverktøy gjennom nettgrensesnittet og begynne å tilordne porter til forskjellige VLAN. Mange brytere bruker et tabelloppsett som lar deg krysse av for alternativer for portene.
Hvis du bruker flere brytere, tilordne en av portene til alle VLAN-ene og angi den som en trunkport. Gjør dette på hver bryter. Bruk deretter disse portene til å koble mellom svitsjene og spre VLAN-ene dine på flere enheter.
Koble til klienter
Til slutt, å få klienter på nettverket er ganske selvforklarende. Koble klientmaskinene til portene som tilsvarer VLAN-ene du vil ha dem på.
VLAN hjemme
Selv om det kanskje ikke blir sett på som en logisk kombinasjon, har VLAN faktisk en flott applikasjon i hjemmenettverksområdet, gjestenettverk. Hvis du ikke har lyst til å sette opp et WPA2 Enterprise-nettverk i hjemmet ditt og individuelt opprette påloggingsinformasjon for venner og familie, kan du bruke VLAN for å begrense tilgangen gjestene dine har til filene og tjenestene på hjemmenettverket ditt.
Mange avanserte hjemmerutere og tilpasset ruterfastvare støtter å lage grunnleggende VLAN. Du kan sette opp et gjeste-VLAN med sin egen påloggingsinformasjon for å la vennene dine koble til sine mobile enheter. Hvis ruteren din støtter det, er et gjeste-VLAN et flott ekstra sikkerhetslag for å forhindre at vennens virusfylte bærbare datamaskin ødelegger det rene nettverket ditt.
