Η διασύνδεση VLAN αναφέρεται στη διαδικασία δημιουργίας επικοινωνίας μεταξύ διαφορετικών εικονικών δικτύων (VLAN) σε μια υποδομή δικτύου. Τα VLAN είναι λογικά τμήματα ενός φυσικού δικτύου που επιτρέπουν στους διαχειριστές να χωρίσουν το δίκτυο σε μικρότερες λογικές ομάδες για να βελτιώσουν την ασφάλεια, τη διαχείριση και την απόδοση του δικτύου.
Στο τέλος του άρθρου θα βρείτε ένα μικρό δοκιμή που θα σας επιτρέψει αξιολογήσει τις γνώσεις που αποκτήθηκαν σε αυτή την ανάγνωση
Όταν δημιουργούνται ξεχωριστά VLAN, από προεπιλογή, δεν μπορούν να επικοινωνήσουν απευθείας μεταξύ τους. Ωστόσο, σε πολλές περιπτώσεις, είναι απαραίτητο να επιτρέπεται η επικοινωνία μεταξύ διαφορετικών VLAN για κοινή χρήση πόρων ή να επιτρέπεται στους χρήστες να έχουν πρόσβαση σε συγκεκριμένες υπηρεσίες σε άλλα εικονικά δίκτυα. Εδώ είναι που το δρομολόγηση μεταξύ VLAN.
Η δρομολόγηση μεταξύ VLAN επιτρέπει στην κυκλοφορία να μετακινείται μεταξύ διαφορετικών VLAN χρησιμοποιώντας α συσκευή δρομολόγησης ή ένα διακόπτης στρώσης 3 που έχει δυνατότητα δρομολόγησης. Αυτές οι συσκευές λειτουργούν ως γέφυρες μεταξύ των VLAN και τους επιτρέπουν να επικοινωνούν μεταξύ τους.
Τρόποι υλοποίησης δρομολόγησης
Οι κύριοι τρόποι υλοποίησης δρομολόγησης μεταξύ VLAN είναι:
1. Δρομολόγηση με εξωτερικό δρομολογητή
Σε αυτήν τη διαμόρφωση, κάθε VLAN συνδέεται με τη δική του διεπαφή στο δρομολογητή. Όταν ένα πακέτο δεδομένων πρέπει να σταλεί από ένα VLAN σε άλλο, αποστέλλεται στον δρομολογητή, ο οποίος στη συνέχεια το προωθεί στο VLAN προορισμού. Αυτή η τεχνική είναι απλή και αποτελεσματική, αλλά μπορεί να είναι αναποτελεσματική εάν υπάρχουν πολλά VLAN, καθώς απαιτεί ξεχωριστή διεπαφή για το καθένα.
2. Δρομολόγηση στο Layer 3 Switching
Σε αυτή τη διαμόρφωση, η δρομολόγηση εκτελείται εντός του μεταγωγέα, ο οποίος μπορεί να κατανοήσει και να χειριστεί πακέτα σε επίπεδο δικτύου. Αυτός ο τύπος μεταγωγέα έχει πολλαπλές εικονικές διεπαφές επιπέδου 3, μία για κάθε VLAN, επιτρέποντάς σας να δρομολογείτε μεταξύ τους. Αυτή η τεχνική είναι πιο αποτελεσματική από τη δρομολόγηση με εξωτερικό δρομολογητή, αλλά απαιτεί πιο εξελιγμένο και ακριβό υλικό.
3. Δρομολόγηση με κορμό (Router-on-a-stick)
Σε αυτήν τη διαμόρφωση, μια ενιαία φυσική διεπαφή σε έναν δρομολογητή χρησιμοποιείται για τη διαχείριση της κίνησης από πολλαπλά VLAN. Τα VLAN διαφοροποιούνται χρησιμοποιώντας ετικέτες VLAN (802.1Q) σε πακέτα δεδομένων. Αυτή η τεχνική είναι πιο αποτελεσματική από τη δρομολόγηση με εξωτερικό δρομολογητή όσον αφορά τη χρήση της διεπαφής, αλλά μπορεί να περιορίζεται από το μέγεθος του εύρους ζώνης που είναι διαθέσιμο στη διεπαφή κορμού.
Βασικά βήματα
Κατά τη διαμόρφωση της δρομολόγησης μεταξύ VLAN, πρέπει να εκτελεστούν διάφορα βήματα:
1. Διαμόρφωση VLAN
Πρώτον, δημιουργούνται μεμονωμένα VLAN στους διακόπτες ή τις συσκευές δικτύου. Κάθε VLAN έχει ρυθμιστεί με ένα μοναδικό αναγνωριστικό και συγκεκριμένες θύρες εκχωρούνται σε κάθε VLAN.
2. Διαμόρφωση διεπαφών δρομολόγησης
Στη συσκευή δρομολόγησης ή στο διακόπτη Layer 3, πρέπει να διαμορφωθούν οι διεπαφές που θα συνδεθούν σε κάθε VLAN. Αυτές οι διεπαφές έχουν διαμορφωθεί με διευθύνσεις IP που ανήκουν στα υποδίκτυα κάθε VLAN.
3. Διαμόρφωση πίνακα δρομολόγησης
Διαμορφώνονται στατικές διαδρομές ή χρησιμοποιείται ένα δυναμικό πρωτόκολλο δρομολόγησης για να επιτρέπει στη συσκευή δρομολόγησης να γνωρίζει πώς να φτάσει στα υποδίκτυα κάθε VLAN.
4. Καθιέρωση πολιτικών πρόσβασης
Οι λίστες ελέγχου πρόσβασης (ACL) μπορούν να εφαρμοστούν για τον έλεγχο της κυκλοφορίας που επιτρέπεται ή αποκλείεται μεταξύ των VLAN. Αυτό παρέχει ένα επιπλέον επίπεδο ασφάλειας και ελέγχου.
Μόλις ολοκληρωθούν αυτά τα βήματα, τα VLAN θα διασυνδεθούν και θα μπορούν να επικοινωνούν μεταξύ τους μέσω συσκευή δρομολόγησης ή η διακόπτης στρώσης 3. Η συσκευή δρομολόγησης θα εξετάσει τις πληροφορίες προορισμού των πακέτων και θα τα δρομολογήσει στο αντίστοιχο VLAN προορισμού.
Είναι σημαντικό να σημειωθεί ότι η δρομολόγηση μεταξύ VLAN μπορεί να έχει αντίκτυπο στην απόδοση του δικτύου καθώς περιλαμβάνει πρόσθετη επεξεργασία πακέτων και μπορεί να δημιουργήσει πρόσθετη κίνηση στο δίκτυο.
Επομένως, είναι σημαντικό να σχεδιάσετε προσεκτικά τη διαμόρφωση δρομολόγησης και να λάβετε υπόψη το διαθέσιμο εύρος ζώνης και τους πόρους για να διασφαλίσετε τη βέλτιστη απόδοση του δικτύου.
Δρομολογητές ή διακόπτες επιπέδου 3
Η επιλογή μεταξύ της χρήσης ενός δρομολογητή ή ενός διακόπτη επιπέδου 3 για δρομολόγηση μεταξύ VLAN θα εξαρτηθεί από διάφορους παράγοντες, όπως το μέγεθος του δικτύου, ο όγκος της κίνησης, οι διαθέσιμοι πόροι και οι συγκεκριμένες ανάγκες του οργανισμού.
Ακολουθούν ορισμένες σκέψεις που μπορούν να σας βοηθήσουν να πάρετε μια απόφαση:
1. Απόδοση
Οι διακόπτες επιπέδου 3 είναι συνήθως ταχύτεροι από τους δρομολογητές για δρομολόγηση, καθώς το υλικό του μεταγωγέα έχει σχεδιαστεί για να χειρίζεται τη δρομολόγηση πακέτων υψηλής ταχύτητας. Αυτό μπορεί να είναι ιδιαίτερα σημαντικό σε δίκτυα με μεγάλη κίνηση μεταξύ VLAN.
2. Κόστος
Οι διακόπτες επιπέδου 3 είναι συνήθως πιο ακριβοί από τους δρομολογητές λόγω του εξειδικευμένου υλικού τους. Επομένως, εάν ο προϋπολογισμός είναι σημαντικός παράγοντας, ένας δρομολογητής μπορεί να είναι μια πιο οικονομική επιλογή.
3 Ευελιξία
Εάν το δίκτυο προορίζεται να αυξηθεί σε μέγεθος και πολυπλοκότητα, ένας διακόπτης επιπέδου 3 μπορεί να είναι μια πιο επεκτάσιμη επιλογή. Οι διακόπτες επιπέδου 3 μπορούν να χειριστούν μεγάλους αριθμούς VLAN και να παρέχουν δρομολόγηση μεταξύ VLAN χωρίς την ανάγκη πρόσθετων φυσικών διεπαφών όπως απαιτείται από έναν δρομολογητή.
4. Προηγμένες δυνατότητες
Οι δρομολογητές προσφέρουν συνήθως ένα ευρύτερο φάσμα προηγμένων λειτουργιών σε σύγκριση με διακόπτες επιπέδου 3. Αυτές μπορεί να περιλαμβάνουν υποστήριξη για ένα ευρύτερο φάσμα πρωτοκόλλων δρομολόγησης, δυνατότητες τείχους προστασίας, VPN και άλλες δυνατότητες ασφαλείας.
5. Ευκολία διαμόρφωσης και διαχείρισης
Οι διακόπτες επιπέδου 3 είναι συνήθως ευκολότεροι στη διαμόρφωση και τη διαχείριση για δρομολόγηση μεταξύ VLAN σε σύγκριση με τους δρομολογητές. Αυτό συμβαίνει επειδή μπορείτε να διαμορφώσετε πολλές διεπαφές VLAN σε μία συσκευή αντί να χρειάζεται να διαχειρίζεστε πολλές φυσικές διεπαφές σε έναν δρομολογητή.
Συνοπτικά, η επιλογή μεταξύ ενός δρομολογητή και ενός διακόπτη επιπέδου 3 για δρομολόγηση μεταξύ VLAN θα εξαρτηθεί από τις συγκεκριμένες ανάγκες του δικτύου σας. Και οι δύο επιλογές έχουν πλεονεκτήματα και μειονεκτήματα και η καλύτερη επιλογή θα διαφέρει από κατάσταση σε κατάσταση.
Δρομολογητές έναντι διακοπτών επιπέδου 3
Παρακάτω, παρουσιάζουμε έναν συγκριτικό πίνακα που επισημαίνει μερικά από τα πλεονεκτήματα που προσφέρουν και τα δύο δρομολογητές ως διακόπτες στρώσης 3 για δρομολόγηση μεταξύ VLAN σε ένα δίκτυο:
router | Διακόπτης επιπέδου 3 | |
---|---|---|
Επίδοση | Τυπικά πιο αργές ταχύτητες δρομολόγησης σε σύγκριση με τους διακόπτες Layer 3 | Υψηλή απόδοση, δυνατότητα δρομολόγησης υψηλής ταχύτητας |
Κόστος | Γενικά φθηνότερα | Γενικά πιο ακριβό λόγω εξειδικευμένου υλικού |
Επεκτασιμότητα | Μπορεί να περιορίζεται από τον αριθμό των διαθέσιμων φυσικών διεπαφών | Πολύ επεκτάσιμο, μπορεί να χειριστεί μεγάλο αριθμό VLAN |
Προηγμένες δυνατότητες | Υποστήριξη για ένα ευρύ φάσμα πρωτοκόλλων δρομολόγησης, τείχος προστασίας, VPN, μεταξύ άλλων | Περιορίζεται κυρίως στη δρομολόγηση, αν και ορισμένα μοντέλα μπορεί να περιλαμβάνουν προηγμένες λειτουργίες |
Διαμόρφωση και διαχείριση | Μπορεί να είναι πιο περίπλοκο λόγω της ανάγκης διαχείρισης πολλαπλών φυσικών διεπαφών | Ευκολότερη διαμόρφωση και διαχείριση χάρη στις εικονικές διεπαφές VLAN |
Εφαρμογή δρομολόγησης VLAN στο RouterOS
Το παρακάτω είναι ένα παράδειγμα του τρόπου με τον οποίο μπορείτε να διαμορφώσετε τη δρομολόγηση μεταξύ VLAN σε έναν δρομολογητή MikroTik. Αυτό προϋποθέτει ότι έχετε ήδη διαμορφώσει δύο VLAN (VLAN 10 και VLAN 20) στη θύρα ether2 και θέλετε να διαμορφώσετε τη δρομολόγηση μεταξύ τους.
Αυτό είναι ένα απλό παράδειγμα και ίσως χρειαστεί να προσαρμόσετε τις εντολές ώστε να ταιριάζουν στις συγκεκριμένες ανάγκες του δικτύου σας.
Αρχικά, θα χρειαστεί να εκχωρήσουμε διευθύνσεις IP σε κάθε ένα από τα VLAN. Αυτές οι διευθύνσεις θα λειτουργούν ως η προεπιλεγμένη πύλη για κάθε VLAN. Ας υποθέσουμε ότι θα χρησιμοποιήσουμε 192.168.10.1/24 για VLAN 10 και 192.168.20.1/24 για VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Στη συνέχεια, θα ενεργοποιήσουμε τη δρομολόγηση μεταξύ των VLAN. Το MikroTik το κάνει αυτόματα μέσω της δυνατότητας δρομολόγησης του επιπέδου 3:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Τέλος, εάν θέλετε τα VLAN να μπορούν επίσης να έχουν πρόσβαση στο Διαδίκτυο, θα πρέπει να διαμορφώσετε μια προεπιλεγμένη διαδρομή μέσω της πύλης Διαδικτύου σας. Ας υποθέσουμε ότι η πύλη Διαδικτύου σας είναι 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Η προσθήκη κανόνων τείχους προστασίας για τον έλεγχο της κυκλοφορίας μεταξύ VLAN σε έναν δρομολογητή MikroTik μπορεί να συμβάλει στη βελτίωση της ασφάλειας του δικτύου. Εδώ είναι ένα παράδειγμα για το πώς θα μπορούσατε να το κάνετε αυτό.
Ας υποθέσουμε ότι θέλετε να αποκλείσετε όλη την κίνηση από το VLAN 10 στο VLAN 20, αλλά να επιτρέψετε την κυκλοφορία προς την αντίθετη κατεύθυνση. Αρχικά, θα χρειαστεί να αναγνωρίσετε τα δίκτυα που αντιστοιχούν στα VLAN σας (για παράδειγμα, 192.168.10.0/24 για VLAN 10 και 192.168.20.0/24 για VLAN 20), και στη συνέχεια μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Αυτές οι εντολές θα δημιουργήσουν δύο κανόνες τείχους προστασίας:
- Ο πρώτος κανόνας θα μπλοκάρει όλη την κίνηση από το VLAN 10 στο VLAN 20 (δηλαδή, όλα τα πακέτα που προέρχονται από το δίκτυο 192.168.10.0/24 και προορίζονται για το δίκτυο 192.168.20.0/24 θα απορριφθούν).
- Ο δεύτερος κανόνας θα επιτρέπει την κυκλοφορία από το VLAN 20 στο VLAN 10 (δηλαδή, όλα τα πακέτα που προέρχονται από το δίκτυο 192.168.20.0/24 και προορίζονται για το δίκτυο 192.168.10.0/24 θα γίνονται δεκτά).
Αυτό είναι ένα πολύ βασικό παράδειγμα. Οι κανόνες του τείχους προστασίας μπορεί να είναι πολύ πιο περίπλοκοι και συγκεκριμένοι ανάλογα με τις ανάγκες ασφαλείας σας. Για παράδειγμα, μπορεί να θέλετε να αποκλείσετε ή να επιτρέψετε μόνο ορισμένους τύπους επισκεψιμότητας (π.χ. HTTP, SSH, κ.λπ.) ή μπορεί να θέλετε να αποκλείσετε ή να επιτρέψετε την κυκλοφορία προς/από ορισμένες συγκεκριμένες διευθύνσεις IP.