VLAN-interkonneksie verwys na die proses om kommunikasie tussen verskillende virtuele netwerke (VLAN's) in 'n netwerkinfrastruktuur te vestig. VLAN's is logiese segmente van 'n fisiese netwerk wat administrateurs toelaat om die netwerk in kleiner logiese groepe te verdeel om netwerksekuriteit, bestuur en werkverrigting te verbeter.
Aan die einde van die artikel vind u 'n klein toets dit sal jou toelaat evalueer die kennis wat in hierdie leeswerk opgedoen is
Wanneer aparte VLAN's geskep word, kan hulle by verstek nie direk met mekaar kommunikeer nie. In baie situasies is dit egter nodig om kommunikasie tussen verskillende VLAN's toe te laat om hulpbronne te deel of gebruikers toe te laat om toegang tot spesifieke dienste op ander virtuele netwerke te verkry. Dit is waar die roetering tussen VLAN's.
Inter-VLAN-roetering laat verkeer toe om tussen verskillende VLAN's te beweeg deur 'n roeteerder toestel of 'n laag 3 skakelaar wat roetevermoë het. Hierdie toestelle dien as brûe tussen VLAN's en laat hulle toe om met mekaar te kommunikeer.
Maniere om roetering te implementeer
Die belangrikste maniere om roetering tussen VLAN's te implementeer is:
1. Roetering met 'n eksterne router
In hierdie konfigurasie is elke VLAN aan sy eie koppelvlak op die router gekoppel. Wanneer 'n datapakkie van een VLAN na 'n ander gestuur moet word, word dit na die roeteerder gestuur, wat dit dan aanstuur na die bestemming VLAN. Hierdie tegniek is eenvoudig en effektief, maar kan ondoeltreffend wees as daar baie VLAN's is, aangesien dit 'n aparte koppelvlak vir elkeen vereis.
2. Roetering by Laag 3 Skakeling
In hierdie konfigurasie word roetering binne die skakelaar uitgevoer, wat pakkies op netwerkvlak kan verstaan en manipuleer. Hierdie tipe skakelaar het verskeie virtuele Laag 3-koppelvlakke, een vir elke VLAN, wat jou toelaat om tussen hulle te roeteer. Hierdie tegniek is meer doeltreffend as roetering met 'n eksterne roeteerder, maar vereis meer gesofistikeerde en duur hardeware.
3. Roetering met 'n stam (Roeter-op-'n-stok)
In hierdie konfigurasie word 'n enkele fisiese koppelvlak op 'n router gebruik om verkeer vanaf verskeie VLAN's te hanteer. VLAN's word gedifferensieer deur gebruik te maak van VLAN (802.1Q)-etikette op datapakkies. Hierdie tegniek is meer doeltreffend as roetering met 'n eksterne roeteerder in terme van koppelvlakgebruik, maar kan beperk word deur die hoeveelheid bandwydte wat op die stamkoppelvlak beskikbaar is.
Noodsaaklike stappe
Wanneer roetering tussen VLAN's gekonfigureer word, moet verskeie stappe uitgevoer word:
1. VLAN-konfigurasie
Eerstens word individuele VLAN's op die skakelaars of netwerktoestelle geskep. Elke VLAN is gekonfigureer met 'n unieke ID en spesifieke poorte word aan elke VLAN toegewys.
2. Konfigurasie van roete-koppelvlakke
Op die roeteertoestel of Laag 3-skakelaar moet die koppelvlakke wat aan elke VLAN sal koppel, gekonfigureer word. Hierdie koppelvlakke is gekonfigureer met IP-adresse wat aan die subnette van elke VLAN behoort.
3. Roeteringstabelkonfigurasie
Statiese roetes word gekonfigureer of 'n dinamiese roeteringprotokol word gebruik om die roeteertoestel toe te laat om te weet hoe om die subnette van elke VLAN te bereik.
4. Vestiging van toegangsbeleide
Toegangsbeheerlyste (ACL's) kan toegepas word om te beheer watter verkeer tussen VLAN's toegelaat of geblokkeer word. Dit bied 'n bykomende laag sekuriteit en beheer.
Sodra hierdie stappe voltooi is, sal die VLAN's onderling verbind wees en sal met mekaar kan kommunikeer deur die roeteerder toestel o el laag 3 skakelaar. Die roeteertoestel sal die bestemmingsinligting van die pakkies ondersoek en dit na die ooreenstemmende bestemming VLAN stuur.
Dit is belangrik om daarop te let dat roetering tussen VLAN's 'n impak op netwerkwerkverrigting kan hê aangesien dit bykomende pakkieverwerking behels en bykomende verkeer op die netwerk kan genereer.
Daarom is dit belangrik om die roete-konfigurasie noukeurig te ontwerp en die beskikbare bandwydte en hulpbronne te oorweeg om optimale netwerkwerkverrigting te verseker.
Laag 3 routers of skakelaars
Die keuse tussen die gebruik van 'n roeteerder of 'n Laag 3-skakelaar vir roetering tussen VLAN's sal afhang van verskeie faktore, insluitend die grootte van die netwerk, die volume verkeer, beskikbare hulpbronne en die spesifieke behoeftes van die organisasie.
Hier is 'n paar oorwegings wat jou kan help om 'n besluit te neem:
1. prestasie
Laag 3-skakelaars is tipies vinniger as roeteerders vir roetering, aangesien die skakelaarhardeware ontwerp is om hoëspoed-pakkieroetering te hanteer. Dit kan veral belangrik wees op netwerke met 'n groot hoeveelheid inter-VLAN-verkeer.
2. Koste
Laag 3-skakelaars is tipies duurder as routers as gevolg van hul gespesialiseerde hardeware. Daarom, as begroting 'n belangrike oorweging is, kan 'n router 'n meer koste-effektiewe opsie wees.
3. scalability
As die netwerk bedoel is om in grootte en kompleksiteit te groei, kan 'n Layer 3-skakelaar 'n meer skaalbare opsie wees. Laag 3-skakelaars kan groot getalle VLAN's hanteer en bied inter-VLAN-roetering sonder die behoefte aan bykomende fisiese koppelvlakke soos vereis deur 'n roeteerder.
4. Gevorderde kenmerke
Roeteerders bied tipies 'n wyer reeks gevorderde kenmerke in vergelyking met Laag 3-skakelaars Dit kan ondersteuning vir 'n wyer reeks roeteerprotokolle, brandmuurvermoëns, VPN's en ander sekuriteitskenmerke insluit.
5. Gemak van konfigurasie en bestuur
Laag 3-skakelaars is tipies makliker om te konfigureer en te bestuur vir inter-VLAN-roetering in vergelyking met routers. Dit is omdat jy veelvuldige VLAN-koppelvlakke op 'n enkele toestel kan konfigureer in plaas daarvan om verskeie fisiese koppelvlakke op 'n router te bestuur.
Kortom, die keuse tussen 'n roeteerder en 'n Laag 3-skakelaar vir inter-VLAN-roetering sal afhang van die spesifieke behoeftes van jou netwerk. Beide opsies het voor- en nadele, en die beste opsie sal van situasie tot situasie verskil.
Roeteerders teenoor Laag 3-skakelaars
Hieronder bied ons 'n vergelykende tabel aan wat sommige van die voordele wat beide bied, uitlig routers as die laag 3 skakelaars vir roetering tussen VLAN's in 'n netwerk:
Router | Laag 3 Skakelaar | |
---|---|---|
Prestasie | Tipies stadiger roetesnelhede in vergelyking met Laag 3-skakelaars | Hoë werkverrigting, in staat om 'n hoë spoed roetering |
Koste | Oor die algemeen goedkoper | Oor die algemeen duurder as gevolg van gespesialiseerde hardeware |
Skaalbaarheid | Kan beperk word deur die aantal beskikbare fisiese koppelvlakke | Baie skaalbaar, kan 'n groot aantal VLAN's hanteer |
Gevorderde funksies | Ondersteuning vir 'n wye verskeidenheid roeteringsprotokolle, firewall, VPN, onder andere | Hoofsaaklik beperk tot roetering, hoewel sommige modelle gevorderde kenmerke kan insluit |
Konfigurasie en bestuur | Kan meer ingewikkeld wees as gevolg van die behoefte om verskeie fisiese koppelvlakke te bestuur | Makliker konfigurasie en bestuur as gevolg van virtuele VLAN-koppelvlakke |
Implementering van VLAN-roetering in RouterOS
Die volgende is 'n voorbeeld van hoe jy inter-VLAN-roetering op 'n MikroTik-roeteerder kan instel. Dit neem aan dat jy reeds twee VLAN's opgestel het (VLAN 10 en VLAN 20) op poort ether2, en jy wil roetering tussen hulle opstel.
Dit is 'n eenvoudige voorbeeld en jy sal dalk die opdragte moet aanpas om by die spesifieke behoeftes van jou netwerk te pas.
Eerstens sal ons IP-adresse aan elk van die VLAN's moet toewys. Hierdie adresse sal optree as die verstekpoort vir elke VLAN. Gestel ons sal 192.168.10.1/24 vir VLAN 10 en 192.168.20.1/24 vir VLAN 20 gebruik:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Vervolgens sal ons roetering tussen die VLAN's aktiveer. MikroTik doen dit outomaties deur sy laag 3-roeteringvermoë:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Ten slotte, as jy wil hê dat die VLAN's ook toegang tot die Internet moet hê, sal jy 'n verstekroete deur jou Internetpoort moet konfigureer. Kom ons sê jou internetpoort is 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Deur firewall-reëls by te voeg om verkeer tussen VLAN's op 'n MikroTik-roeteerder te beheer, kan dit help om netwerksekuriteit te verbeter. Hier is 'n voorbeeld van hoe jy dit kan doen.
Gestel jy wil alle verkeer van VLAN 10 tot VLAN 20 blokkeer, maar laat verkeer in die teenoorgestelde rigting toe. Eerstens moet jy die netwerke identifiseer wat ooreenstem met jou VLAN's (byvoorbeeld 192.168.10.0/24 vir VLAN 10 en 192.168.20.0/24 vir VLAN 20), dan kan jy die volgende opdragte gebruik:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Hierdie opdragte sal twee firewall-reëls skep:
- Die eerste reël sal alle verkeer vanaf VLAN 10 na VLAN 20 blokkeer (dit wil sê, alle pakkies wat van die 192.168.10.0/24-netwerk afkomstig is en vir die 192.168.20.0/24-netwerk bestem is, sal weggelaat word).
- Die tweede reël sal verkeer vanaf VLAN 20 na VLAN 10 toelaat (dit wil sê, alle pakkies wat van die 192.168.20.0/24-netwerk afkomstig is en vir die 192.168.10.0/24-netwerk bestem is, sal aanvaar word).
Dit is 'n baie basiese voorbeeld. Firewall-reëls kan baie meer kompleks en spesifiek wees, afhangende van jou sekuriteitsbehoeftes. Byvoorbeeld, jy wil dalk net sekere soorte verkeer blokkeer of toelaat (bv. HTTP, SSH, ens.), of jy wil dalk verkeer na/van sekere spesifieke IP-adresse blokkeer of toelaat.