Interkoneksi VLAN mengacu pada proses membangun komunikasi antara jaringan virtual (VLAN) yang berbeda dalam infrastruktur jaringan. VLAN adalah segmen logis dari jaringan fisik yang memungkinkan administrator membagi jaringan menjadi kelompok logis yang lebih kecil untuk meningkatkan keamanan, manajemen, dan kinerja jaringan.
Di akhir artikel Anda akan menemukan sedikit uji itu akan memungkinkan Anda menilai pengetahuan yang diperoleh dalam bacaan ini
Ketika VLAN terpisah dibuat, secara default, mereka tidak dapat berkomunikasi secara langsung satu sama lain. Namun, dalam banyak situasi, komunikasi antara VLAN yang berbeda diperlukan untuk berbagi sumber daya atau memungkinkan pengguna mengakses layanan tertentu di jaringan virtual lainnya. Di sinilah tempat routing antar VLAN.
Perutean antar-VLAN memungkinkan lalu lintas berpindah antar VLAN yang berbeda dengan menggunakan a perangkat perutean atau saklar lapisan 3 yang memiliki kemampuan routing. Perangkat ini bertindak sebagai jembatan antar VLAN dan memungkinkan mereka berkomunikasi satu sama lain.
Cara mengimplementasikan perutean
Cara utama untuk mengimplementasikan perutean antar VLAN adalah:
1. Perutean dengan router eksternal
Dalam konfigurasi ini, setiap VLAN terhubung ke antarmukanya sendiri di router. Ketika paket data perlu dikirim dari satu VLAN ke VLAN lainnya, paket tersebut dikirim ke router, yang kemudian meneruskannya ke VLAN tujuan. Teknik ini sederhana dan efektif, namun bisa menjadi tidak efisien jika terdapat banyak VLAN, karena memerlukan antarmuka terpisah untuk masing-masing VLAN.
2. Perutean pada Layer 3 Switching
Dalam konfigurasi ini, perutean dilakukan di dalam switch, yang dapat memahami dan memanipulasi paket di tingkat jaringan. Jenis switch ini memiliki beberapa antarmuka Layer 3 virtual, satu untuk setiap VLAN, memungkinkan Anda melakukan rute di antara keduanya. Teknik ini lebih efisien dibandingkan routing dengan router eksternal, namun membutuhkan hardware yang lebih canggih dan mahal.
3. Perutean dengan bagasi (Router-on-a-stick)
Dalam konfigurasi ini, satu antarmuka fisik pada router digunakan untuk menangani lalu lintas dari beberapa VLAN. VLAN dibedakan menggunakan tag VLAN (802.1Q) pada paket data. Teknik ini lebih efisien dibandingkan routing dengan router eksternal dalam hal penggunaan antarmuka, namun mungkin dibatasi oleh jumlah bandwidth yang tersedia pada antarmuka trunk.
Langkah-langkah penting
Saat mengonfigurasi perutean antar VLAN, beberapa langkah harus dilakukan:
1. Konfigurasi VLAN
Pertama, VLAN individual dibuat pada switch atau perangkat jaringan. Setiap VLAN dikonfigurasi dengan ID unik dan port spesifik ditetapkan ke setiap VLAN.
2. Konfigurasi antarmuka perutean
Pada perangkat routing atau switch Layer 3, antarmuka yang akan terhubung ke setiap VLAN harus dikonfigurasi. Antarmuka ini dikonfigurasi dengan alamat IP milik subnet masing-masing VLAN.
3. Konfigurasi tabel perutean
Rute statis dikonfigurasi atau protokol perutean dinamis digunakan untuk memungkinkan perangkat perutean mengetahui cara menjangkau subnet setiap VLAN.
4. Penetapan kebijakan akses
Daftar kontrol akses (ACL) dapat diterapkan untuk mengontrol lalu lintas apa yang diizinkan atau diblokir antar VLAN. Ini memberikan lapisan keamanan dan kontrol tambahan.
Setelah langkah-langkah ini selesai, VLAN akan saling terhubung dan dapat berkomunikasi satu sama lain melalui perangkat perutean o el saklar lapisan 3. Perangkat perutean akan memeriksa informasi tujuan paket dan merutekannya ke VLAN tujuan yang sesuai.
Penting untuk dicatat bahwa perutean antar VLAN dapat berdampak pada kinerja jaringan karena melibatkan pemrosesan paket tambahan dan dapat menghasilkan lalu lintas tambahan di jaringan.
Oleh karena itu, penting untuk merancang konfigurasi perutean dengan hati-hati dan mempertimbangkan bandwidth dan sumber daya yang tersedia untuk memastikan kinerja jaringan yang optimal.
Router atau Switch Lapisan 3
Pilihan antara menggunakan router atau switch Layer 3 untuk routing antar VLAN akan bergantung pada beberapa faktor, termasuk ukuran jaringan, volume lalu lintas, sumber daya yang tersedia, dan kebutuhan spesifik organisasi.
Berikut beberapa pertimbangan yang dapat membantu Anda mengambil keputusan:
1 Performa
Switch lapisan 3 biasanya lebih cepat daripada router untuk routing, karena perangkat keras switch dirancang untuk menangani routing paket berkecepatan tinggi. Hal ini dapat menjadi sangat penting pada jaringan dengan jumlah lalu lintas antar-VLAN yang besar.
2. Biaya
Sakelar lapisan 3 biasanya lebih mahal daripada router karena perangkat keras khusus mereka. Oleh karena itu, jika anggaran merupakan pertimbangan penting, router mungkin merupakan pilihan yang lebih hemat biaya.
3. Skalabilitas
Jika jaringan dimaksudkan untuk berkembang dalam ukuran dan kompleksitas, switch Layer 3 mungkin merupakan pilihan yang lebih skalabel. Switch layer 3 dapat menangani VLAN dalam jumlah besar dan menyediakan routing antar-VLAN tanpa memerlukan antarmuka fisik tambahan seperti yang dibutuhkan oleh router.
4. Fitur lanjutan
Router biasanya menawarkan fitur-fitur canggih yang lebih luas dibandingkan dengan switch Layer 3. Ini mungkin termasuk dukungan untuk protokol routing yang lebih luas, kemampuan firewall, VPN, dan fitur keamanan lainnya.
5. Kemudahan konfigurasi dan pengelolaan
Sakelar lapisan 3 biasanya lebih mudah dikonfigurasi dan dikelola untuk perutean antar-VLAN dibandingkan dengan router. Hal ini karena Anda dapat mengkonfigurasi beberapa antarmuka VLAN pada satu perangkat daripada harus mengelola beberapa antarmuka fisik pada router.
Singkatnya, memilih antara router dan switch Layer 3 untuk perutean antar-VLAN akan bergantung pada kebutuhan spesifik jaringan Anda. Kedua opsi tersebut memiliki kelebihan dan kekurangan, dan opsi terbaik akan bervariasi dari satu situasi ke situasi lainnya.
Router versus Switch Layer 3
Di bawah ini kami sajikan tabel perbandingan yang menyoroti beberapa keunggulan yang ditawarkan keduanya router sebagai saklar lapisan 3 untuk perutean antar VLAN dalam jaringan:
router | Saklar Lapisan 3 | |
---|---|---|
Prestasi | Biasanya kecepatan routing lebih lambat dibandingkan dengan switch Layer 3 | Performa tinggi, mampu melakukan routing kecepatan tinggi |
Biaya | Umumnya lebih murah | Umumnya lebih mahal karena perangkat keras khusus |
Skalabilitas | Mungkin dibatasi oleh jumlah antarmuka fisik yang tersedia | Sangat scalable, dapat menangani VLAN dalam jumlah besar |
Fitur lanjutan | Dukungan untuk berbagai protokol perutean, firewall, VPN, dan lain-lain | Terutama terbatas pada perutean, meskipun beberapa model mungkin menyertakan fitur-fitur canggih |
Konfigurasi dan manajemen | Bisa menjadi lebih rumit karena kebutuhan untuk mengelola beberapa antarmuka fisik | Konfigurasi dan manajemen lebih mudah karena antarmuka VLAN virtual |
Menerapkan perutean VLAN di RouterOS
Berikut ini adalah contoh bagaimana Anda dapat mengkonfigurasi routing antar-VLAN pada router MikroTik. Ini mengasumsikan bahwa Anda sudah memiliki dua VLAN yang dikonfigurasi (VLAN 10 dan VLAN 20) pada port ether2, dan Anda ingin mengonfigurasi perutean di antara keduanya.
Ini adalah contoh sederhana dan Anda mungkin perlu menyesuaikan perintah agar sesuai dengan kebutuhan spesifik jaringan Anda.
Pertama, kita perlu menetapkan alamat IP untuk masing-masing VLAN. Alamat-alamat ini akan bertindak sebagai gateway default untuk setiap VLAN. Misalkan kita akan menggunakan 192.168.10.1/24 untuk VLAN 10 dan 192.168.20.1/24 untuk VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Selanjutnya kita akan mengaktifkan routing antar VLAN. MikroTik melakukan ini secara otomatis melalui kemampuan routing layer 3:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Terakhir, jika Anda ingin VLAN juga dapat mengakses Internet, Anda perlu mengkonfigurasi rute default melalui gateway Internet Anda. Katakanlah gateway Internet Anda adalah 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Menambahkan aturan firewall untuk mengontrol lalu lintas antar VLAN pada router MikroTik dapat membantu meningkatkan keamanan jaringan. Berikut ini contoh bagaimana Anda dapat melakukan hal ini.
Misalkan Anda ingin memblokir semua lalu lintas dari VLAN 10 ke VLAN 20, tetapi mengizinkan lalu lintas ke arah yang berlawanan. Pertama, Anda perlu mengidentifikasi jaringan yang sesuai dengan VLAN Anda (misalnya, 192.168.10.0/24 untuk VLAN 10 dan 192.168.20.0/24 untuk VLAN 20), lalu Anda dapat menggunakan perintah berikut:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Perintah ini akan membuat dua aturan firewall:
- Aturan pertama akan memblokir semua lalu lintas dari VLAN 10 ke VLAN 20 (yaitu, semua paket yang berasal dari jaringan 192.168.10.0/24 dan ditujukan ke jaringan 192.168.20.0/24 akan dihapus).
- Aturan kedua akan mengizinkan lalu lintas dari VLAN 20 ke VLAN 10 (yaitu, semua paket yang berasal dari jaringan 192.168.20.0/24 dan ditujukan ke jaringan 192.168.10.0/24 akan diterima).
Ini adalah contoh yang sangat mendasar. Aturan firewall bisa jauh lebih kompleks dan spesifik bergantung pada kebutuhan keamanan Anda. Misalnya, Anda mungkin ingin memblokir atau mengizinkan hanya jenis lalu lintas tertentu (misalnya HTTP, SSH, dll.), atau Anda mungkin ingin memblokir atau mengizinkan lalu lintas ke/dari alamat IP tertentu.