Hur man ställer in ett virtuellt LAN (VLAN)

VLAN finns överallt. Du kan hitta dem i de flesta organisationer med ett korrekt konfigurerat nätverk. Om det inte var uppenbart, står VLAN för, "Virtual Local Area Network", och de är allestädes närvarande i alla moderna nätverk utöver storleken på ett litet hem- eller mycket litet kontorsnätverk.

Det finns några olika protokoll, varav många är leverantörsspecifika, men i kärnan gör varje VLAN ungefär samma sak och fördelarna med VLAN-skala när ditt nätverk växer i storlek och organisatorisk komplexitet.

Dessa fördelar är en stor del av varför VLAN är så starkt beroende av professionella nätverk av alla storlekar. I själva verket skulle det vara svårt att hantera eller skala nätverk utan dem.

Fördelarna och skalbarheten med VLAN förklarar varför de har blivit så överallt i moderna nätverksmiljöer. Det skulle vara svårt att hantera eller skala även måttligt komplexa nätverk med användaren av VLAN.

Vad är ett VLAN?

Okej, så du kan akronymen, men vad är egentligen ett VLAN? Grundkonceptet bör vara bekant för alla som har arbetat med eller använt virtuella servrar.

Tänk en sekund hur virtuella maskiner fungerar. Flera virtuella servrar finns i en fysisk hårdvara som kör ett operativsystem och en hypervisor för att skapa och köra de virtuella servrarna på den enda fysiska servern. Genom virtualisering kan du effektivt förvandla en enda fysisk dator till flera virtuella datorer som var och en är tillgänglig för separata uppgifter och användare.

Virtuella LAN fungerar på ungefär samma sätt som virtuella servrar. En eller flera hanterade switchar kör programvaran (liknande hypervisorprogramvara) som gör att switcharna kan skapa flera virtuella switchar inom ett fysiskt nätverk.

Varje virtuell switch är sitt eget fristående nätverk. Den största skillnaden mellan virtuella servrar och virtuella LAN är att virtuella LAN kan distribueras över flera fysiska delar av hårdvara med en avsedd kabel som kallas en trunk.

Hur det fungerarSwitch med 24 portar

Föreställ dig att du driver ett nätverk för ett växande litet företag, lägger till anställda, delar upp dig i separata avdelningar och blir mer komplex och organiserad.

För att svara på dessa ändringar uppgraderade du till en 24-portars switch för att få plats med nya enheter i nätverket.

Du kan överväga att bara köra en Ethernet-kabel till var och en av de nya enheterna och kalla uppgiften klar, men problemet är att fillagringen och tjänsterna som används av varje avdelning måste hållas åtskilda. VLAN är det bästa sättet att göra det.

Inom switchens webbgränssnitt kan du konfigurera tre separata VLAN, ett för varje avdelning. Det enklaste sättet att dela dem är med portnummer. Du kan tilldela portar 1-8 till den första avdelningen, tilldela portar 9-16 till den andra avdelningen och slutligen tilldela portar 17-24 g till den sista avdelningen. Nu har du organiserat ditt fysiska nätverk i tre virtuella nätverk.

Programvaran på switchen kan hantera trafiken mellan klienterna i varje VLAN. Varje VLAN fungerar som sitt eget nätverk och kan inte interagera direkt med andra VLAN. Nu har varje avdelning sitt eget mindre, mindre röriga och effektivare nätverk, och du kan hantera dem alla genom samma hårdvara. Detta är ett mycket effektivt och kostnadseffektivt sätt att hantera ett nätverk.

När du behöver avdelningarna för att kunna interagera kan du få dem att göra det via routern på nätverket. Routern kan reglera och kontrollera trafiken mellan VLAN och genomdriva starkare säkerhetsregler.

I många fall kommer avdelningarna att behöva arbeta tillsammans och interagera. Du kan implementera kommunikation mellan de virtuella nätverken genom routern och ställa in säkerhetsregler för att säkerställa lämplig säkerhet och integritet för de enskilda virtuella nätverken.

VLAN vs. subnät

VLAN och subnät är faktiskt ganska lika och har liknande funktioner. Både undernät och VLAN delar upp nätverk och sändningsdomäner. I båda fallen kan interaktioner mellan underavdelningar endast ske via en router.

Skillnaderna mellan dem kommer i form av deras implementering och hur de förändrar nätverksstrukturen.

IP-adress subnät

Undernät finns på lager 3 av OSI-modellen, nätverkslagret. Subnät är en konstruktion på nätverksnivå och hanteras med routrar, organiserade kring IP-adresser.

Routrar tar fram intervall av IP-adresser och förhandlar förbindelserna mellan dem. Detta lägger all stress med nätverkshantering på routern. Subnät kan också bli komplicerade eftersom ditt nätverk skalas upp i storlek och komplexitet.

VLAN

VLAN hittar sitt hem på Layer 2 av OSI-modellen. Datalänknivån är närmare hårdvaran och mindre abstrakt. Virtuella LAN emulerar hårdvara som fungerar som individuella switchar.

Däremot kan virtuella LAN bryta upp sändningsdomäner utan att behöva ansluta tillbaka till en router, vilket tar bort en del av hanteringsbördan från routern.

Eftersom VLAN är deras egna virtuella nätverk måste de bete sig ungefär som om de har en inbyggd router. Som ett resultat innehåller VLAN minst ett undernät och kan stödja flera undernät.

VLAN fördelar nätverksbelastning och. flera switchar kan hantera trafik inom VLAN utan att involvera routern, vilket ger ett mer effektivt system.

Fördelar med VLAN

Vid det här laget har du redan sett ett par av fördelarna som VLAN ger till bordet. Bara på grund av vad de gör har VLAN ett antal värdefulla egenskaper.

VLAN hjälper till med säkerheten. Uppdelning av trafik begränsar alla möjligheter till obehörig åtkomst till delar av ett nätverk. Det hjälper också till att stoppa spridningen av skadlig programvara om någon skulle hitta vägen till nätverket. Potentiella inkräktare kan inte använda verktyg som Wireshark för att sniffa upp paket någonstans bortom det virtuella LAN de är på, vilket begränsar det hotet också.

Nätverkseffektivitet är en stor sak. Det kan spara eller kosta ett företag tusentals dollar att implementera VLAN. Att bryta upp sändningsdomäner ökar nätverkets effektivitet avsevärt genom att begränsa antalet enheter som är involverade i kommunikationen samtidigt. VLAN minskar behovet av att distribuera routrar för att hantera nätverk.

Ofta väljer nätverksingenjörer att konstruera virtuella LAN per tjänst, och separera viktig eller nätverksintensiv trafik som ett Storage Area Network (SAN) eller Voice over IP (VOIP). Vissa switchar tillåter också en administratör att prioritera VLAN, vilket ger mer resurser till mer krävande och saknad kritisk trafik.

VLAN är viktiga

Det skulle vara fruktansvärt att behöva bygga ett oberoende fysiskt nätverk för att separera trafik. Föreställ dig den invecklade härvan av kablar som du måste kämpa för att göra ändringar. Det är för att inte säga något för den ökade hårdvarukostnaden och strömförbrukningen. Det skulle också vara väldigt oflexibelt. VLAN löser alla dessa problem genom att virtualisera flera switchar på en enda hårdvara.

VLAN ger en hög grad av flexibilitet till nätverksadministratörer genom ett bekvämt mjukvarugränssnitt. Säg att två avdelningar byter kontor. Måste IT-personalen flytta runt hårdvaran för att klara förändringen? Nej. De kan bara tilldela om portar på switcharna till rätt VLAN. Vissa VLAN-konfigurationer skulle inte ens kräva det. De skulle anpassa sig dynamiskt. Dessa VLAN kräver inte tilldelade portar. Istället är de baserade på MAC- eller IP-adresser. Hur som helst, det krävs ingen blandning av switchar eller kablar. Det är mycket mer effektivt och kostnadseffektivt att implementera en mjukvarulösning för att ändra platsen för ett nätverk än att flytta den fysiska hårdvaran.

Statiska vs. dynamiska VLAN

Det finns två grundläggande typer av VLAN, kategoriserade efter hur maskiner är anslutna till dem. Varje typ har styrkor och svagheter som bör beaktas utifrån den specifika nätverkssituationen.

Statiskt VLAN

Statiska VLAN kallas ofta portbaserade VLAN eftersom enheter ansluts genom att ansluta till en tilldelad port. Den här guiden har hittills endast använt statiska VLAN som exempel.

När man ställer in ett nätverk med statiska VLAN, skulle en ingenjör dela upp en switch efter dess portar och tilldela varje port till ett VLAN. Alla enheter som ansluter till den fysiska porten kommer att ansluta till det VLAN.

Statiska VLAN ger mycket enkla och lätta att konfigurera nätverk utan för mycket beroende av programvara. Det är dock svårt att begränsa åtkomsten inom en fysisk plats eftersom en individ helt enkelt kan plugga in. Statiska VLAN kräver också en nätverksadministratör för att ändra porttilldelningar om någon i nätverket byter fysisk plats.

Dynamiskt VLAN

Dynamiska VLAN är starkt beroende av mjukvara och tillåter en hög grad av flexibilitet. En administratör kan tilldela MAC- och IP-adresser till specifika VLAN, vilket möjliggör obehindrad rörelse i det fysiska utrymmet. Maskiner i ett dynamiskt virtuellt LAN kan röra sig var som helst inom nätverket och förbli på samma VLAN.

Även om dynamiska VLAN är oslagbara när det gäller anpassningsförmåga, har de några allvarliga nackdelar. En avancerad switch måste ta rollen som en server känd som en VLAN Management Policy Server (VMPS( för att lagra och leverera adressinformation till de andra switcharna i nätverket. En VMPS, precis som vilken server som helst, kräver regelbunden hantering och underhåll och är föremål för eventuella driftstopp.

Angripare kan förfalska MAC-adresser och få tillgång till dynamiska VLAN, vilket lägger till ytterligare en potentiell säkerhetsutmaning.

Konfigurera ett VLAN

Vad du behöver

Det finns ett par grundläggande artiklar som du behöver för att ställa in ett VLAN eller flera VLAN. Som nämnts tidigare finns det ett antal olika standarder, men den mest universella är IEEE 802.1Q. Det är den som detta exempel kommer att följa.

Router

Tekniskt sett behöver du inte en router för att konfigurera ett VLAN, men om du vill att flera VLAN ska interagera, kommer du att behöva en router.

Många moderna routrar stöder VLAN-funktionalitet i någon form. Hemroutrar kanske inte stöder VLAN eller bara stöder det i en begränsad kapacitet. Anpassad firmware som DD-WRT stöder det mer grundligt.

På tal om anpassade, du behöver inte en standard router för att fungera med dina virtuella LAN. Anpassad router firmware är vanligtvis baserad på ett Unix-liknande operativsystem som Linux eller FreeBSD, så du kan bygga din egen router med något av dessa operativsystem med öppen källkod.

All routingfunktionalitet som du behöver är tillgänglig för Linux, och du kan anpassa en Linux-installation för att skräddarsy din router för att uppfylla dina specifika behov. För något som är mer funktionellt, titta på pfSense. pfSense är en utmärkt distribution av FreeBSD byggd för att vara en robust routinglösning med öppen källkod. Den stöder VLAN och inkluderar en brandvägg för att bättre säkra trafiken mellan dina virtuella nätverk.

Oavsett vilken rutt du väljer, se till att den stöder de VLAN-funktioner du behöver.

Managed Switch

Switchar är hjärtat i VLAN-nätverk. De är där magin händer. Du behöver dock en hanterad switch för att kunna dra fördel av VLAN-funktionalitet.

För att ta saker en nivå högre, bokstavligen, finns det Layer 3-hanterade switchar tillgängliga. Dessa switchar kan hantera en del nätverkstrafik på Layer 3 och kan ersätta en router i vissa situationer.

Det är viktigt att komma ihåg att dessa switchar inte är routrar och att deras funktionalitet är begränsad. Layer 3-switchar minskar sannolikheten för nätverkslatens, vilket kan vara avgörande i vissa miljöer där det är viktigt att ha ett nätverk med mycket låg latens.

Client Network Interface Cards (NIC)

NIC som du använder på dina klientdatorer bör stödja 802.1Q. Chansen är stor att de gör det, men det är något att undersöka innan man går vidare.

Grundläggande konfiguration

Här är den svåra delen. Det finns tusentals olika möjligheter för hur du kan konfigurera ditt nätverk. Ingen enskild guide kan täcka dem alla. I deras hjärta är idéerna bakom nästan vilken konfiguration som helst desamma, och det är även den allmänna processen.

Konfigurera routern

Du kan komma igång på ett par olika sätt. Du kan antingen ansluta routern till varje switch eller varje VLAN. Om du väljer bara varje switch måste du konfigurera routern för att differentiera trafiken.

Du kan sedan konfigurera din router för att hantera passerande trafik mellan VLAN.

Konfigurera omkopplarna

VLAN behöver switchar

Om du antar att dessa är statiska VLAN kan du gå in i din switchs VLAN-hanteringsverktyg via dess webbgränssnitt och börja tilldela portar till olika VLAN. Många switchar använder en tabelllayout som låter dig bocka av alternativ för portarna.

Om du använder flera switchar, tilldela en av portarna till alla dina VLAN och ställ in den som en trunkport. Gör detta på varje switch. Använd sedan dessa portar för att ansluta mellan switcharna och sprida dina VLAN över flera enheter.

Ansluta klienter

Slutligen, att få klienter på nätverket är ganska självförklarande. Anslut dina klientdatorer till portarna som motsvarar de VLAN som du vill ha dem på.

VLAN hemma

Även om det kanske inte ses som en logisk kombination, har VLAN faktiskt en fantastisk applikation i hemnätverksutrymmet, gästnätverk. Om du inte känner för att sätta upp ett WPA2 Enterprise-nätverk i ditt hem och individuellt skapa inloggningsuppgifter för dina vänner och familj, kan du använda VLAN för att begränsa åtkomsten som dina gäster har till filerna och tjänsterna i ditt hemnätverk.

Många avancerade hemroutrar och anpassad routerfirmware stöder att skapa grundläggande VLAN. Du kan ställa in ett gäst-VLAN med sin egen inloggningsinformation för att låta dina vänner ansluta sina mobila enheter. Om din router stöder det är ett gäst-VLAN ett bra extra säkerhetslager för att förhindra att din väns virusfyllda bärbara dator förstör ditt rena nätverk.