23 helmikuun, 2022

Kuinka luoda VLAN yritysverkoille

virtuaaliset Lan-eli VLAN-verkot, erottaa ja priorisoida verkkolinkkien liikenne. Ne luovat eristettyjä aliverkkoja, joiden avulla tietyt laitteet voivat toimia yhdessä, riippumatta siitä, ovatko ne samalla fyysisellä lähiverkolla.

yritykset käyttävät VLAN-laitteita liikenteen jakamiseen ja hallintaan. Esimerkiksi yritys, joka haluaa erottaa insinööriosastonsa dataliikenteen laskentaosaston liikenteestä, voi luoda kullekin osastolle erilliset VLAN-laitteet. Useat samalla palvelimella toimivat sovellukset voivat jakaa linkin, vaikka niillä olisi erilaiset vaatimukset. Video-tai puhesovellus, jolla on tiukat läpimeno-ja latenssivaatimukset, voi jakaa linkin sovelluksen kanssa, jolla on vähemmän kriittisiä suorituskykyvaatimuksia.

miten VLANs vaikuttaa?

Liikenne yksittäisillä VLAN-laitteilla toimitetaan vain kuhunkin VLAN-järjestelmään osoitetuille sovelluksille, mikä takaa tietoturvan tason. Jokainen VLAN on erillinen törmäysalue, ja lähetykset rajoittuvat yhteen VLAN: iin. Se, että lähetyksiä estetään pääsemästä muihin VLAN-laitteisiin liitettyihin sovelluksiin, poistaa tarpeen, että kyseiset sovellukset tuhlaavat prosessointijaksoja lähetyksissä, joita ei ole tarkoitettu niille.

VLANs toimivat Kerros 2, linkki kerros, ja voidaan rajoittaa yhden fyysisen linkin tai laajentaa poikki useita fyysisiä linkkejä liittämällä kerroksen 2 Kytkimet. Koska jokainen VLAN on törmäysalue ja kerroksen 3 Kytkimet lopettavat törmäysalueet, VLAN-segmenttejä ei voi yhdistää reitittimellä. Periaatteessa yksi VLAN ei voi kattaa useita aliverkkoja.

aliverkon segmentit yhdistyvät kytkimillä. On tavallista yhdistää usealla palvelimella suoritettavan sovelluksen osia asettamalla ne yhteen VLAN-ja aliverkostoon. Esimerkiksi yksi aliverkko ja VLAN voidaan omistaa kirjanpito-osastolle, mutta jos osaston jäsenet ovat liian kaukana toisistaan yhden Ethernet-kaapelin vuoksi, Kytkimet yhdistävät eri Ethernet-linkit, jotka kuljettavat VLAN-ja aliverkon, kun taas VLAN-reitittimet yhdistävät aliverkon muuhun verkkoon.

VLAN-runkolinkeillä on useampi kuin yksi VLAN, joten arkussa olevissa paketeissa on lisätietoja sen VLAN-linkkien tunnistamiseksi. Pääsylinkit sisältävät yhden VLAN: n eivätkä sisällä näitä tietoja. Bitit poistetaan liityntälinkkiin kytketystä paketista, joten liitettyyn porttiin tulee vain tavallinen Ethernet-paketti.

kaaviossa on kolme Vl: ää eri yritysosastoille
tässä kaaviossa on kolme erillistä Vl: ää eri yritysosastoille.

VLAN: n perustaminen

VLAN: n perustaminen voi olla monimutkaista ja aikaa vievää, mutta VLAN: t tarjoavat yritysverkoille merkittäviä etuja, kuten paremman tietoturvan. VLAN: n perustamisen vaiheet ovat seuraavat.

1. Aseta VLAN

kaikki VLAN-järjestelmää käyttävät Kytkimet on määritettävä kyseistä VLAN-järjestelmää varten. Aina kun tiimit tekevät muutoksia verkkoasetuksiin, niiden on huolehdittava kytkinkokoonpanojen päivittämisestä, Kytkimen vaihtamisesta tai ylimääräisen VLAN: n lisäämisestä.

2. Käyttöön otetut käyttöoikeusluettelot

ACL: t, jotka säätelevät kullekin verkkoon kytketylle käyttäjälle myönnettyä käyttöoikeutta, koskevat myös Vl: ää. Erityisesti VLAN ACLs (VACLs) ohjaa pääsyä VLAN missä se ulottuu kytkin tai missä paketit tulevat tai poistuvat VLAN. Verkkotiimien tulisi kiinnittää erityistä huomiota VACLs: n määrittämiseen, koska niiden perustaminen on usein monimutkaista. Verkon turvallisuus voi vaarantua, jos virhe tapahtuu, kun VACLs on määritetty tai muutettu.

3. Käytä komentoriviliitäntöjä

jokainen käyttöjärjestelmä ja kytkintoimittaja määrittää joukon CLI-komentoja, joiden avulla voidaan määrittää ja muokata sen tuotteessa olevia Vla-komentoja. Jotkut järjestelmänvalvojat rakentavat tiedostoja, jotka sisältävät nämä komennot, ja muokkaavat niitä tarvittaessa konfiguraation muokkaamiseksi. Yksittäinen virhe komentotiedostoissa voi aiheuttaa yhden tai useamman sovelluksen epäonnistumisen.

4. Harkitse hallintapaketteja

laitetoimittajat ja kolmannet osapuolet tarjoavat hallintaohjelmistoja, jotka automatisoivat ja yksinkertaistavat työtä vähentäen virheiden mahdollisuutta. Koska nämä paketit säilyttävät usein täydellisen muistiinmerkinnän jokaisesta asetusasetuksesta, ne voivat asentaa viimeisen työkokoonpanon nopeasti uudelleen virheen sattuessa.

Vlaanien tunnistaminen merkinnällä

IEEE 802.1 Q-standardi määrittelee, miten Vlaanit tunnistetaan.

kohde-ja lähdemedian kulunvalvontaosoitteet näkyvät Ethernet-pakettien alussa, ja 32-bittinen VLAN-tunnistekenttä seuraa perässä.

Tag protocol identifier

TPID muodostaa VLAN-kehyksen ensimmäiset 16 bittiä. Tpid sisältää heksadesimaaliarvon 8100, joka tunnistaa paketin VLAN-paketiksi. Paketit, joissa ei ole VLAN-tietoja, sisältävät etertype-kentän paketin asennossa.

Tag control information

16-bittinen TCI-kenttä seuraa TPID: tä. Se sisältää 3-bittisen priority code point (PCP)-kentän, single-bit drop eligible indicator (dei) – kentän ja 12-bittisen VLAN identifier (VID) – kentän.

PCP-kenttä määrittää VLAN: n jakavien sovellusten vaatiman palvelun laadun. IEEE 802.1 p-standardi määrittelee nämä tasot seuraaviksi arvoiksi:

  • arvo 0 ilmaisee paketin, jonka toimittamiseen verkko pyrkii parhaansa mukaan.
  • arvo 1 yksilöi taustapaketin.
  • arvo 2 arvosta 6 tunnista muut paketit, mukaan lukien video-tai puhepaketteja ilmaisevat arvot.
  • arvo 7, korkein prioriteetti, on varattu verkon ohjauspaketeille.

yksibittinen DEI seuraa PCP-kenttää, ja se lisää PCP-kenttään lisätietoja. Dei-kenttä tunnistaa paketin, jonka voi pudottaa ruuhkautuneeseen verkkoon.

VID-kenttä koostuu 12 bitistä, jotka tunnistavat minkä tahansa niistä 4 096 Vlanista, joita verkko voi tukea.

Ethernet-pohjaiset Vlaanit

Ethernet-pohjaiset Vlaanit voidaan laajentaa Wi-Fi: hen VLAN-tietoisen tukiaseman (AP) avulla. Nämä APs erottaa saapuvan Langallisen liikenteen käyttäen kuhunkin VLAN-verkkoon liittyvää aliverkon osoitetta. Päättyvät solmut vastaanottavat vain määritetyn aliverkon tiedot.

turvatoimia ilmassa ei voi valvoa niin kuin langalla. Palvelukokonaisuuden tunnuksia eli SSID-tunnisteita, joissa on erilaisia salasanoja, käytetään tarvittaessa esimerkiksi vierasverkkoihin.

Vla: t kehitettiin jo varhain verkottumistekniikan kehityksen myötä rajoittamaan lähetyksiä ja priorisoimaan liikennettä. Ne ovat osoittautuneet hyödyllisiksi, kun verkkojen koko ja monimutkaisuus ovat kasvaneet.

Vastaa

Sähköpostiosoitettasi ei julkaista.