(ML-001) Kā pareizi pārvaldīt vairākus publiskos vai privātos IP malas maršrutētājā
$8,99
VLAN starpsavienojums: maršrutēšana starp virtuālajiem tīkliem
- Mauro Eskalante
- Komentāru nav
- Dalieties ar šo rakstu
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
VLAN starpsavienojums attiecas uz saziņas izveidošanas procesu starp dažādiem virtuālajiem tīkliem (VLAN) tīkla infrastruktūrā. VLAN ir fiziska tīkla loģiski segmenti, kas ļauj administratoriem sadalīt tīklu mazākās loģiskās grupās, lai uzlabotu tīkla drošību, pārvaldību un veiktspēju.
Kad tiek izveidoti atsevišķi VLAN, pēc noklusējuma tie nevar sazināties tieši viens ar otru. Tomēr daudzās situācijās ir jāatļauj saziņa starp dažādiem VLAN, lai koplietotu resursus vai ļautu lietotājiem piekļūt noteiktiem pakalpojumiem citos virtuālajos tīklos. Šī ir vieta, kur maršrutēšana starp VLAN.
Inter-VLAN maršrutēšana ļauj satiksmei pārvietoties starp dažādiem VLAN, izmantojot a maršrutēšanas ierīce vai 3. slāņa slēdzis kam ir maršrutēšanas iespēja. Šīs ierīces darbojas kā tilti starp VLAN un ļauj tām sazināties savā starpā.
Maršrutēšanas ieviešanas veidi
Galvenie veidi, kā ieviest maršrutēšanu starp VLAN, ir:
1. Maršrutēšana ar ārēju maršrutētāju
Šajā konfigurācijā katrs VLAN ir savienots ar savu maršrutētāja interfeisu. Kad datu pakete ir jānosūta no viena VLAN uz otru, tā tiek nosūtīta maršrutētājam, kas pēc tam to pārsūta uz galamērķa VLAN. Šis paņēmiens ir vienkāršs un efektīvs, taču var būt neefektīvs, ja ir daudz VLAN, jo katram ir nepieciešams atsevišķs interfeiss.
2. Maršrutēšana 3. slāņa komutācijā
Šajā konfigurācijā maršrutēšana tiek veikta slēdža ietvaros, kas var saprast un manipulēt ar paketēm tīkla līmenī. Šim slēdža veidam ir vairākas virtuālās 3. slāņa saskarnes, pa vienai katram VLAN, kas ļauj maršrutēt starp tām. Šis paņēmiens ir efektīvāks nekā maršrutēšana ar ārēju maršrutētāju, taču tai ir nepieciešama sarežģītāka un dārgāka aparatūra.
3. Maršrutēšana ar maģistrāli (maršrutētājs-on-a-stick)
Šajā konfigurācijā viens maršrutētāja fiziskais interfeiss tiek izmantots, lai apstrādātu trafiku no vairākiem VLAN. VLAN tiek diferencēti, izmantojot VLAN (802.1Q) tagus datu paketēs. Šis paņēmiens saskarnes lietojuma ziņā ir efektīvāks par maršrutēšanu ar ārēju maršrutētāju, taču to var ierobežot maģistrāles saskarnē pieejamā joslas platuma apjoms.
Būtiski soļi
Konfigurējot maršrutēšanu starp VLAN, jāveic vairākas darbības:
1. VLAN konfigurācija
Pirmkārt, slēdžos vai tīkla ierīcēs tiek izveidoti atsevišķi VLAN. Katrs VLAN ir konfigurēts ar unikālu ID, un katram VLAN ir piešķirti īpaši porti.
2. Maršrutēšanas interfeisu konfigurēšana
Maršrutēšanas ierīcē vai 3. slāņa slēdžā ir jākonfigurē saskarnes, kas tiks savienotas ar katru VLAN. Šīs saskarnes ir konfigurētas ar IP adresēm, kas pieder katra VLAN apakštīklam.
3. Maršrutēšanas tabulas konfigurācija
Ir konfigurēti statiski maršruti vai tiek izmantots dinamisks maršrutēšanas protokols, lai maršrutēšanas ierīce zinātu, kā sasniegt katra VLAN apakštīklus.
4. Piekļuves politiku izveide
Piekļuves kontroles sarakstus (ACL) var lietot, lai kontrolētu, kāda trafika ir atļauta vai bloķēta starp VLAN. Tas nodrošina papildu drošības un kontroles līmeni.
Kad šīs darbības būs pabeigtas, VLAN būs savstarpēji savienoti un varēs sazināties viens ar otru, izmantojot maršrutēšanas ierīce vai 3. slāņa slēdzis. Maršrutēšanas ierīce pārbaudīs pakešu galamērķa informāciju un novirzīs tās uz atbilstošo galamērķa VLAN.
Ir svarīgi atzīmēt, ka maršrutēšana starp VLAN var ietekmēt tīkla veiktspēju, jo tā ietver papildu pakešu apstrādi un var radīt papildu trafiku tīklā.
Tāpēc ir svarīgi rūpīgi izstrādāt maršrutēšanas konfigurāciju un apsvērt pieejamo joslas platumu un resursus, lai nodrošinātu optimālu tīkla veiktspēju.
3. slāņa maršrutētāji vai slēdži
Izvēle starp maršrutētāja vai 3. slāņa slēdža izmantošanu maršrutēšanai starp VLAN būs atkarīga no vairākiem faktoriem, tostarp tīkla lieluma, trafika apjoma, pieejamajiem resursiem un organizācijas īpašajām vajadzībām.
Šeit ir daži apsvērumi, kas var palīdzēt pieņemt lēmumu:
1. Veiktspēja
3. slāņa slēdži maršrutēšanai parasti ir ātrāki nekā maršrutētāji, jo slēdža aparatūra ir paredzēta liela ātruma pakešu maršrutēšanai. Tas var būt īpaši svarīgi tīklos ar lielu starp-VLAN trafiku.
2. Izmaksas
3. slāņa slēdži parasti ir dārgāki nekā maršrutētāji to specializētās aparatūras dēļ. Tāpēc, ja budžets ir svarīgs apsvērums, maršrutētājs var būt rentablāks risinājums.
3. Mērogojamība
Ja tīklam ir paredzēts palielināt izmēru un sarežģītību, 3. slāņa slēdzis var būt mērogojamāks risinājums. 3. slāņa slēdži var apstrādāt lielu skaitu VLAN un nodrošināt starp-VLAN maršrutēšanu bez nepieciešamības pēc papildu fiziskām saskarnēm, kā to pieprasa maršrutētājs.
4. Papildu funkcijas
Maršrutētāji parasti piedāvā plašāku papildu funkciju klāstu, salīdzinot ar 3. slāņa slēdžiem. Tie var ietvert atbalstu plašākam maršrutēšanas protokolu, ugunsmūra iespēju, VPN un citu drošības līdzekļu klāstam.
5. Vienkārša konfigurēšana un pārvaldība
3. slāņa slēdžus parasti ir vieglāk konfigurēt un pārvaldīt VLAN maršrutēšanai, salīdzinot ar maršrutētājiem. Tas ir tāpēc, ka vienā ierīcē varat konfigurēt vairākas VLAN saskarnes, nevis jāpārvalda vairākas maršrutētāja fiziskās saskarnes.
Rezumējot, izvēle starp maršrutētāju un 3. slāņa slēdzi VLAN maršrutēšanai būs atkarīga no jūsu tīkla īpašajām vajadzībām. Abām iespējām ir priekšrocības un trūkumi, un labākais risinājums dažādās situācijās būs atšķirīgs.
Maršrutētāji pret 3. slāņa slēdžiem
Zemāk mēs piedāvājam salīdzinošu tabulu, kurā ir izceltas dažas abu piedāvātās priekšrocības maršrutētāji kā 3. slāņa slēdži maršrutēšanai starp VLAN tīklā:
| router | 3. slāņa slēdzis | |
|---|---|---|
| Sniegums | Parasti lēnāks maršrutēšanas ātrums, salīdzinot ar 3. slāņa slēdžiem | Augsta veiktspēja, kas spēj liela ātruma maršrutēšanu |
| cena | Vispār lētāk | Parasti dārgākas specializētās aparatūras dēļ |
| Mērogojamība | To var ierobežot pieejamo fizisko saskarņu skaits | Ļoti mērogojams, var apstrādāt lielu skaitu VLAN |
| Papildu funkcijas | Atbalsts plašam maršrutēšanas protokolu klāstam, ugunsmūrim, VPN, cita starpā | Galvenokārt attiecas tikai uz maršrutēšanu, lai gan dažos modeļos var būt iekļautas papildu funkcijas |
| Konfigurācija un vadība | Var būt sarežģītāk, jo ir jāpārvalda vairākas fiziskas saskarnes | Vienkāršāka konfigurēšana un pārvaldība virtuālo VLAN saskarņu dēļ |
VLAN maršrutēšanas ieviešana RouterOS
Tālāk ir sniegts piemērs tam, kā MikroTik maršrutētājā varat konfigurēt VLAN maršrutēšanu. Tiek pieņemts, ka portā ether10 jau ir konfigurēti divi VLAN (VLAN 20 un VLAN 2) un jūs vēlaties konfigurēt maršrutēšanu starp tiem.
Šis ir vienkāršs piemērs, un, iespējams, jums būs jāpielāgo komandas, lai tās atbilstu jūsu tīkla īpašajām vajadzībām.
Pirmkārt, mums katram VLAN būs jāpiešķir IP adrese. Šīs adreses darbosies kā noklusējuma vārteja katram VLAN. Pieņemsim, ka izmantosim 192.168.10.1/24 VLAN 10 un 192.168.20.1/24 VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Tālāk mēs iespējosim maršrutēšanu starp VLAN. MikroTik to dara automātiski, izmantojot 3. slāņa maršrutēšanas iespēju:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Visbeidzot, ja vēlaties, lai arī VLAN varētu piekļūt internetam, jums būs jākonfigurē noklusējuma maršruts, izmantojot savu interneta vārteju. Pieņemsim, ka jūsu interneta vārteja ir 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Ugunsmūra noteikumu pievienošana, lai kontrolētu trafiku starp VLAN MikroTik maršrutētājā, var palīdzēt uzlabot tīkla drošību. Šeit ir piemērs, kā jūs to varat izdarīt.
Pieņemsim, ka vēlaties bloķēt visu trafiku no VLAN 10 uz VLAN 20, bet atļaut satiksmi pretējā virzienā. Pirmkārt, jums būs jāidentificē tīkli, kas atbilst jūsu VLAN (piemēram, 192.168.10.0/24 VLAN 10 un 192.168.20.0/24 VLAN 20), pēc tam varat izmantot šādas komandas:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Šīs komandas izveidos divus ugunsmūra noteikumus:
- Pirmais noteikums bloķēs visu trafiku no VLAN 10 uz VLAN 20 (tas ir, visas paketes, kas nāk no 192.168.10.0/24 tīkla un ir paredzētas 192.168.20.0/24 tīklam, tiks atmestas).
- Otrais noteikums atļaus trafiku no VLAN 20 uz VLAN 10 (tas ir, tiks pieņemtas visas paketes, kas nāk no 192.168.20.0/24 tīkla un ir paredzētas 192.168.10.0/24 tīklam).
Šis ir ļoti vienkāršs piemērs. Ugunsmūra noteikumi var būt daudz sarežģītāki un specifiskāki atkarībā no jūsu drošības vajadzībām. Piemēram, iespējams, vēlēsities bloķēt vai atļaut tikai noteiktu veidu trafiku (piemēram, HTTP, SSH utt.), vai arī vēlaties bloķēt vai atļaut trafiku uz/no noteiktām IP adresēm.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Saistītās ziņas
Saistītās ziņas
Mikrolaboratorijas
(ML-002) Publisku IP adrešu piešķiršanas veidi klientiem ar MikroTik
$9,99
(ML-003) Rokasgrāmata, lai konfigurētu interneta izejas maršrutus ar diviem vai vairākiem pakalpojumu sniedzējiem (kļūmjpārlēce un atkārtota PCC balansēšana)
$8,99
(ML-004) Filtru ieviešanas stratēģijas, lai ierobežotu piekļuvi tīmekļa lapām ar MikroTik
$7,99
Citas tēmas, kas jūs varētu interesēt
IPv6 adrešu piešķiršanas veidi (2. daļa)
Martā 25, 2024
IPv6 adrešu piešķiršanas veidi (1. daļa)
Martā 11, 2024
Vai vēlaties ieteikt tēmu?
Katru nedēļu mēs publicējam jaunu saturu. Vai vēlaties, lai mēs runājam par kaut ko konkrētu?
Gaidāmie tiešsaistes kursi
MTCINE tiešsaistē
$187,00
MTCNA tiešsaistē
$187,00
MTCRE tiešsaistē
$187,00
Iepakojumā 4 MikroTik RouterOS grāmatas
$68,47
