(ML-001) Hoe u meerdere openbare of privé-IP's op de edge-router correct beheert
$8,99
VLAN-interconnectie: routering tussen virtuele netwerken
- Mauro Escalante
- Geen reacties
- Deel dit artikel
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
VLAN-interconnectie verwijst naar het proces van het tot stand brengen van communicatie tussen verschillende virtuele netwerken (VLAN's) in een netwerkinfrastructuur. VLAN's zijn logische segmenten van een fysiek netwerk waarmee beheerders het netwerk in kleinere logische groepen kunnen verdelen om de netwerkbeveiliging, het beheer en de prestaties te verbeteren.
Wanneer afzonderlijke VLAN's worden gemaakt, kunnen deze standaard niet rechtstreeks met elkaar communiceren. In veel situaties is het echter noodzakelijk om communicatie tussen verschillende VLAN's mogelijk te maken om bronnen te delen of gebruikers toegang te geven tot specifieke services op andere virtuele netwerken. Dit is waar de routering tussen VLAN's.
Inter-VLAN-routering zorgt ervoor dat verkeer tussen verschillende VLAN's kan bewegen door gebruik te maken van een routeringsapparaat of laag 3 schakelaar dat routeringsmogelijkheden heeft. Deze apparaten fungeren als bruggen tussen VLAN's en zorgen ervoor dat ze met elkaar kunnen communiceren.
Manieren om routering te implementeren
De belangrijkste manieren om routering tussen VLAN's te implementeren zijn:
1. Routering met een externe router
In deze configuratie is elk VLAN verbonden met een eigen interface op de router. Wanneer een datapakket van het ene VLAN naar het andere moet worden verzonden, wordt het naar de router gestuurd, die het vervolgens doorstuurt naar het bestemmings-VLAN. Deze techniek is eenvoudig en effectief, maar kan inefficiënt zijn als er veel VLAN's zijn, omdat er voor elk een aparte interface nodig is.
2. Routing bij Layer 3-switching
In deze configuratie wordt de routering uitgevoerd binnen de switch, die pakketten op netwerkniveau kan begrijpen en manipuleren. Dit type switch heeft meerdere virtuele Layer 3-interfaces, één voor elk VLAN, waardoor u ertussen kunt routeren. Deze techniek is efficiënter dan routering met een externe router, maar vereist geavanceerdere en duurdere hardware.
3. Routeren met een trunk (Router-op-een-stick)
In deze configuratie wordt één enkele fysieke interface op een router gebruikt om verkeer van meerdere VLAN's af te handelen. VLAN's worden onderscheiden met behulp van VLAN-tags (802.1Q) op datapakketten. Deze techniek is efficiënter dan routering met een externe router in termen van interfacegebruik, maar kan beperkt zijn door de hoeveelheid bandbreedte die beschikbaar is op de trunkinterface.
Essentiële stappen
Bij het configureren van routering tussen VLAN's moeten verschillende stappen worden uitgevoerd:
1. VLAN-configuratie
Eerst worden individuele VLAN's aangemaakt op de switches of netwerkapparaten. Elk VLAN is geconfigureerd met een unieke ID en aan elk VLAN worden specifieke poorten toegewezen.
2. Configuratie van routeringsinterfaces
Op het routeringsapparaat of de Layer 3-switch moeten de interfaces die verbinding maken met elk VLAN worden geconfigureerd. Deze interfaces zijn geconfigureerd met IP-adressen die behoren tot de subnetten van elk VLAN.
3. Configuratie van routeringstabel
Er worden statische routes geconfigureerd of er wordt een dynamisch routeringsprotocol gebruikt zodat het routeringsapparaat weet hoe het de subnetten van elk VLAN moet bereiken.
4. Vaststelling van toegangsbeleid
Toegangscontrolelijsten (ACL's) kunnen worden toegepast om te bepalen welk verkeer tussen VLAN's is toegestaan of geblokkeerd. Dit biedt een extra laag van beveiliging en controle.
Zodra deze stappen zijn voltooid, zijn de VLAN's met elkaar verbonden en kunnen ze met elkaar communiceren via de routeringsapparaat of laag 3 schakelaar. Het routeringsapparaat onderzoekt de bestemmingsinformatie van de pakketten en routeert deze naar het overeenkomstige bestemmings-VLAN.
Het is belangrijk op te merken dat routering tussen VLAN's een impact kan hebben op de netwerkprestaties, omdat dit extra pakketverwerking met zich meebrengt en extra verkeer op het netwerk kan genereren.
Daarom is het belangrijk om de routeringsconfiguratie zorgvuldig te ontwerpen en rekening te houden met de beschikbare bandbreedte en bronnen om optimale netwerkprestaties te garanderen.
Laag 3-routers of switches
De keuze tussen het gebruik van een router of een Layer 3-switch voor routering tussen VLAN's zal afhangen van verschillende factoren, waaronder de grootte van het netwerk, het verkeersvolume, de beschikbare bronnen en de specifieke behoeften van de organisatie.
Hier zijn enkele overwegingen die u kunnen helpen bij het nemen van een beslissing:
1. Prestaties
Layer 3-switches zijn doorgaans sneller dan routers wat betreft routering, omdat de hardware van de switch is ontworpen voor snelle pakketroutering. Dit kan vooral belangrijk zijn op netwerken met een grote hoeveelheid inter-VLAN-verkeer.
2. Kosten:
Layer 3-switches zijn doorgaans duurder dan routers vanwege hun gespecialiseerde hardware. Als budget een belangrijke overweging is, kan een router daarom een kosteneffectievere optie zijn.
3. schaalbaarheid
Als het de bedoeling is dat het netwerk in omvang en complexiteit zal groeien, kan een Layer 3-switch een meer schaalbare optie zijn. Layer 3-switches kunnen grote aantallen VLAN's verwerken en inter-VLAN-routering bieden zonder de noodzaak van extra fysieke interfaces zoals vereist door een router.
4. Geavanceerde functies
Routers bieden doorgaans een breder scala aan geavanceerde functies vergeleken met Layer 3-switches. Deze omvatten mogelijk ondersteuning voor een breder scala aan routeringsprotocollen, firewallmogelijkheden, VPN's en andere beveiligingsfuncties.
5. Gemak van configuratie en beheer
Layer 3-switches zijn doorgaans eenvoudiger te configureren en te beheren voor inter-VLAN-routering in vergelijking met routers. Dit komt omdat u meerdere VLAN-interfaces op één apparaat kunt configureren in plaats van dat u meerdere fysieke interfaces op een router moet beheren.
Samenvattend zal de keuze tussen een router en een Layer 3-switch voor inter-VLAN-routering afhangen van de specifieke behoeften van uw netwerk. Beide opties hebben voor- en nadelen, en de beste optie zal van situatie tot situatie verschillen.
Routers versus Layer 3-switches
Hieronder presenteren we een vergelijkende tabel die enkele van de voordelen van beide belicht routers als laag 3 schakelaars voor routering tussen VLAN's in een netwerk:
| router | Laag 3-schakelaar | |
|---|---|---|
| Prestatie | Normaal gesproken lagere routeringssnelheden vergeleken met Layer 3-switches | Hoge prestaties, geschikt voor routering op hoge snelheid |
| kosten | Over het algemeen goedkoper | Over het algemeen duurder vanwege gespecialiseerde hardware |
| Schaalbaarheid | Mogelijk beperkt door het aantal beschikbare fysieke interfaces | Zeer schaalbaar, kan een groot aantal VLAN's aan |
| Geavanceerde functies | Ondersteuning voor een breed scala aan routeringsprotocollen, onder meer firewall en VPN | Voornamelijk beperkt tot routering, hoewel sommige modellen geavanceerde functies kunnen bevatten |
| Configuratie en gestión | Kan ingewikkelder zijn vanwege de noodzaak om meerdere fysieke interfaces te beheren | Eenvoudigere configuratie en beheer dankzij virtuele VLAN-interfaces |
Implementatie van VLAN-routering in RouterOS
Het volgende is een voorbeeld van hoe u inter-VLAN-routering op een MikroTik-router kunt configureren. Hierbij wordt ervan uitgegaan dat u al twee VLAN's hebt geconfigureerd (VLAN 10 en VLAN 20) op poort ether2, en dat u de routering daartussen wilt configureren.
Dit is een eenvoudig voorbeeld en het kan zijn dat u de opdrachten moet aanpassen aan de specifieke behoeften van uw netwerk.
Eerst moeten we IP-adressen aan elk van de VLAN's toewijzen. Deze adressen zullen fungeren als de standaardgateway voor elk VLAN. Stel dat we 192.168.10.1/24 gebruiken voor VLAN 10 en 192.168.20.1/24 voor VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Vervolgens zullen we routering tussen de VLAN's inschakelen. MikroTik doet dit automatisch via zijn Layer 3-routeringsmogelijkheden:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Als u ten slotte wilt dat de VLAN's ook toegang hebben tot internet, moet u een standaardroute via uw internetgateway configureren. Stel dat uw internetgateway 192.168.1.1 is:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Het toevoegen van firewallregels om het verkeer tussen VLAN's op een MikroTik-router te controleren, kan de netwerkbeveiliging helpen verbeteren. Hier is een voorbeeld van hoe u dit kunt doen.
Stel dat u al het verkeer van VLAN 10 tot en met VLAN 20 wilt blokkeren, maar verkeer in de tegenovergestelde richting wilt toestaan. Eerst moet u de netwerken identificeren die overeenkomen met uw VLAN's (bijvoorbeeld 192.168.10.0/24 voor VLAN 10 en 192.168.20.0/24 voor VLAN 20). Vervolgens kunt u de volgende opdrachten gebruiken:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Met deze opdrachten worden twee firewallregels gemaakt:
- De eerste regel blokkeert al het verkeer van VLAN 10 naar VLAN 20 (dat wil zeggen dat alle pakketten afkomstig van het 192.168.10.0/24-netwerk en bestemd voor het 192.168.20.0/24-netwerk worden verwijderd).
- De tweede regel staat verkeer toe van VLAN 20 naar VLAN 10 (dat wil zeggen dat alle pakketten afkomstig van het 192.168.20.0/24-netwerk en bestemd voor het 192.168.10.0/24-netwerk worden geaccepteerd).
Dit is een heel eenvoudig voorbeeld. Firewallregels kunnen veel complexer en specifieker zijn, afhankelijk van uw beveiligingsbehoeften. Mogelijk wilt u bijvoorbeeld alleen bepaalde soorten verkeer (bijvoorbeeld HTTP, SSH, enz.) blokkeren of toestaan, of wilt u mogelijk verkeer van/naar bepaalde specifieke IP-adressen blokkeren of toestaan.
Korte kennisquiz
Wat vind je van dit artikel?
Durf jij je geleerde kennis te evalueren?
Gerelateerde artikelen
Gerelateerde artikelen
Microlabs
(ML-002) Manieren om openbare IP-adressen toe te wijzen aan clients met MikroTik
$9,99
(ML-003) Gids voor het configureren van internetuitgangsroutes met twee of meer providers (failover en recursie in PCC-balancering)
$8,99
(ML-004) Filterimplementatiestrategieën om de toegang tot webpagina's te beperken met MikroTik
$7,99
Andere onderwerpen die u mogelijk interesseren
Manieren om IPv6-adressering toe te wijzen (deel 2)
Maart 25, 2024
Manieren om IPv6-adressering toe te wijzen (deel 1)
Maart 11, 2024
Wil je een onderwerp voorstellen?
Elke week plaatsen wij nieuwe inhoud. Wil je dat we over iets specifieks praten?
Aankomende online cursussen
MTCINE Online
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pak 4 MikroTik RouterOS-boeken in
$68,47
