23 února, 2022

Jak nastavit VLAN pro podnikové sítě

virtuální sítě LAN nebo sítě VLAN oddělují a upřednostňují provoz na síťových linkách. Vytvářejí izolované podsítě, které umožňují určitým zařízením pracovat společně, bez ohledu na to, zda jsou ve stejné fyzické síti LAN.

podniky používají sítě VLAN k rozdělení a správě provozu. Například společnost, která chce oddělit datový provoz svého inženýrského oddělení od provozu účetního oddělení, může pro každé oddělení vytvořit samostatné sítě VLAN. Více aplikací, které se spouštějí na stejném serveru, může sdílet odkaz, i když mají různé požadavky. Video nebo hlasová aplikace s přísnými požadavky na propustnost a latenci může sdílet spojení s aplikací s méně kritickými požadavky na výkon.

jak VLAN fungují?

provoz na jednotlivých VLAN je dodáván pouze aplikacím přiřazeným ke každé VLAN, což poskytuje úroveň zabezpečení. Každá VLAN je samostatná Kolizní doména a vysílání je omezeno na jednu VLAN. Blokování vysílání v přístupu k aplikacím připojeným k jiným VLAN eliminuje potřebu těchto aplikací plýtvat cykly zpracování vysílání, které pro ně nejsou určeny.

VLAN pracují na vrstvě 2, spojovací vrstvě, a mohou být omezeny na jeden fyzický odkaz nebo rozšířeny na více fyzických odkazů připojením k přepínačům vrstvy 2. Protože každá VLAN je Kolizní doména a přepínače vrstvy 3 ukončují kolizní domény, segmenty VLAN nelze připojit routerem. V podstatě jeden VLAN nemůže překlenout více podsítí.

segmenty podsítě se připojují pomocí přepínačů. Je běžné připojit komponenty aplikace provádějící na více serverech jejich umístěním na jednu VLAN a podsíť. Například jedna podsíť a VLAN mohou být vyhrazeny účetnímu oddělení, ale pokud jsou členové oddělení příliš daleko od sebe pro jeden ethernetový kabel, přepínače připojují různé ethernetové odkazy, které nesou VLAN a podsíť, zatímco směrovače VLAN připojují podsíť ke zbytku sítě.

kmenové odkazy VLAN nesou více než jednu VLAN, takže pakety na kmeni obsahují další informace k identifikaci VLAN. Přístupové odkazy nesou jednu VLAN a nezahrnují tyto informace. Bity jsou odstraněny z paketu připojeného k přístupovému odkazu, takže připojený port přijímá pouze standardní ethernetový paket.

graf znázorňující tři sítě VLAN pro různá podniková oddělení
tento graf ukazuje tři samostatné sítě VLAN pro různá podniková oddělení.

jak nastavit VLAN

nastavení VLAN může být komplikované a časově náročné, ale sítě VLAN nabízejí významné výhody podnikovým sítím, jako je lepší zabezpečení. Kroky k nastavení VLAN jsou následující.

1. Konfigurace VLAN

všechny přepínače, které přenášejí VLAN, musí být nakonfigurovány pro tuto VLAN. Kdykoli týmy provedou změny v konfiguraci sítě, musí se postarat o aktualizaci konfigurací přepínačů, výměnu přepínače nebo přidání další VLAN.

2. Nastavení seznamů řízení přístupu

ACL, které regulují přístup udělený každému uživateli připojenému k síti, platí také pro sítě VLAN. Konkrétně, VLAN ACL (VACLs) řídí přístup k VLAN všude tam, kde se klene přepínač nebo kde pakety vstupují nebo opouštějí VLAN. Síťové týmy by měly při konfiguraci Vakl věnovat velkou pozornost, protože jejich nastavení je často komplikované. Zabezpečení sítě může být ohroženo, pokud dojde k chybě při konfiguraci nebo úpravě Vacl.

3. Použít rozhraní příkazového řádku

každý dodavatel operačního systému a přepínače určuje sadu příkazů CLI pro konfiguraci a úpravu VLAN na svém produktu. Někteří administrátoři vytvářejí soubory obsahující tyto příkazy a v případě potřeby je upravují pro úpravu konfigurace. Jedna chyba v souborech příkazů může způsobit selhání jedné nebo více aplikací.

4. Zvažte balíčky pro správu

dodavatelé zařízení a třetí strany nabízejí softwarové balíčky pro správu, které automatizují a zjednodušují úsilí a snižují pravděpodobnost chyby. Protože tyto balíčky často udržují kompletní záznam každé sady nastavení konfigurace, mohou v případě chyby rychle přeinstalovat poslední pracovní konfiguraci.

identifikace VLAN se značením

standard IEEE 802.1 Q definuje, jak identifikovat VLAN.

adresy řízení přístupu k cílovým a zdrojovým médiím se zobrazují na začátku ethernetových paketů a následuje 32bitové pole identifikátoru VLAN.

identifikátor protokolu tagu

TPID tvoří prvních 16 bitů rámce VLAN. TPID obsahuje hexadecimální hodnotu 8100, která identifikuje paket jako paket VLAN. Pakety bez dat VLAN obsahují pole EtherType v pozici paketu.

informace o řízení značky

16bitové pole TCI následuje po TPID. Obsahuje 3-bit prioritní kódový bod (PCP) pole, jednobitový drop způsobilý indikátor (DEI) a 12-bit VLAN identifikátor (VID) pole.

pole PCP určuje kvalitu služeb vyžadovanou aplikacemi sdílejícími VLAN. Standard IEEE 802.1 p definuje tyto úrovně jako následující hodnoty:

  • hodnota 0 označuje paket, který síť vynakládá maximální úsilí na doručení.
  • hodnota 1 identifikuje paket na pozadí.
  • hodnota 2 až hodnota 6 identifikuje další pakety, včetně hodnot označujících video nebo hlasové pakety.
  • hodnota 7, nejvyšší priorita, je vyhrazena pro síťové řídicí pakety.

jednobitový DEI sleduje pole PCP a přidává další informace do pole PCP. Pole DEI identifikuje paket, který může být vynechán v přetížené síti.

pole VID se skládá z 12 bitů, které identifikují kteroukoli z 4 096 VLAN, kterou může síť podporovat.

sítě VLAN založené na Ethernetu

sítě VLAN založené na Ethernetu lze rozšířit na Wi-Fi pomocí přístupového bodu VLAN-aware (AP). Tyto AP oddělují příchozí kabelový provoz pomocí adresy podsítě přidružené ke každé VLAN. Koncové uzly přijímají pouze data v nakonfigurované podsíti.

bezpečnost ve vzduchu nemůže být vynucena jako na drátě. V případě potřeby se používají identifikátory sady služeb nebo SSID s různými hesly, například v hostujících sítích.

sítě VLAN byly vyvinuty na počátku vývoje síťové technologie, aby omezily vysílání a upřednostňovaly provoz. Ukázalo se, že jsou užitečné, protože sítě se zvětšily co do velikosti a složitosti.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.