(ML-001) Jak prawidłowo zarządzać wieloma publicznymi lub prywatnymi adresami IP na routerze brzegowym
$8,99
Wprowadzenie do sieci VLAN: czym są i dlaczego są ważne?
- Mauro Escalanta
- Brak komentarzy
- Udostępnij ten artykuł
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Sieci VLAN, czyli wirtualne sieci lokalne, są niezbędnym narzędziem do efektywnego zarządzania ruchem sieciowym. W tym artykule wprowadzimy Cię w koncepcję sieci VLAN, wyjaśnimy ich znaczenie i przedstawimy praktyczne przykłady ich wykorzystania w rzeczywistych środowiskach.
Co to są sieci VLAN
Ogólnie rzecz biorąc, sieć VLAN jest logiczną podjednostką sieci fizycznej. Zamiast ograniczać się infrastrukturą fizyczną, urządzenia podłączone do sieci VLAN mogą komunikować się ze sobą tak, jakby znajdowały się w tej samej sieci lokalnej, nawet jeśli znajdują się w różnych lokalizacjach geograficznych. Zapewnia to dużą elastyczność i pozwala na lepszą kontrolę ruchu sieciowego.
Ale dlaczego sieci VLAN są ważne? Oto kilka kluczowych powodów:
1. Bezpieczeństwo
Sieci VLAN pomagają poprawić bezpieczeństwo poprzez izolację różnych segmentów sieci. Na przykład firma może mieć oddzielne sieci VLAN dla działów finansów, zasobów ludzkich i rozwoju. Uniemożliwia to nieuprawnionym użytkownikom dostęp do poufnych informacji z innych działów.
2. Optymalizacja ruchu sieciowego
Sieci VLAN umożliwiają grupowanie urządzeń o podobnych potrzebach ruchowych, co poprawia wydajność sieci poprzez redukcję ilości niepotrzebnego ruchu. Na przykład, jeśli firma posiada kamery monitorujące IP i punkty końcowe VoIP w tej samej sieci fizycznej, utworzenie osobnej sieci VLAN dla każdego typu urządzenia może poprawić jakość połączeń telefonicznych i zmniejszyć opóźnienia w transmisji wideo.
3. Skalowalność
Sieci VLAN ułatwiają rozbudowę sieci, eliminując potrzebę dodawania fizycznych przełączników. Jeśli dział musi dodać nowe urządzenia, można je po prostu przypisać do istniejącej sieci VLAN, unikając dodatkowych kosztów sprzętu.
Praktyczny przykład zastosowania sieci VLAN.
Załóżmy, że firma ma dwa budynki na tym samym kampusie. On budować mieści się dział finansowy, natomiast budynek B mieści pracowników sprzedaży i marketingu. Bez sieci VLAN pracownicy sprzedaży i marketingu nie mogliby łatwo uzyskać dostępu do zasobów budynku A, takich jak drukarki czy serwery, ze względu na fizyczną separację.
Rozwiązanie problemu
Wdrażając sieć VLAN, firma może podłączyć urządzenia sprzedażowe i marketingowe w budynku B do tej samej sieci logicznej, co urządzenia w budynku A. Dzięki temu pracownicy obu budynków mogą dzielić się zasobami i efektywniej współpracować, pomimo fizycznej bariery oddzielającej ich.
Aby lepiej zrozumieć temat, należy wspomnieć o kilku kluczowych koncepcjach i metodach wdrażania.
Typy sieci VLAN
Istnieje kilka typów sieci VLAN w zależności od sposobu przypisania do nich urządzeń. Niektóre z najpopularniejszych typów to:
1. VLAN oparty na portach
W tym podejściu urządzenia są przypisywane do określonych sieci VLAN na podstawie portu przełącznika, do którego są podłączone. Każdy port przełącznika jest skonfigurowany tak, aby należeć do określonej sieci VLAN. Jest to najpopularniejszy typ implementacji sieci VLAN.
2. VLAN oparty na adresie MAC
Tutaj urządzenia są przypisywane do sieci VLAN na podstawie ich adresu MAC. Administrator sieci konfiguruje tabelę adresów MAC i przypisuje każdy z nich do określonej sieci VLAN. Takie podejście jest bardziej elastyczne, ale także trudniejsze w zarządzaniu.
3. VLAN oparty na protokole
Urządzenia są przypisywane do sieci VLAN na podstawie używanego przez nie protokołu sieciowego, takiego jak IP, IPX lub AppleTalk. To ustawienie jest przydatne do oddzielania ruchu sieciowego na podstawie typu protokołu.
Trunking i tagowanie sieci VLAN
Kiedy w sieci używane są sieci VLAN, często konieczne jest, aby przełączniki udostępniały sobie nawzajem informacje o sieciach VLAN. Osiąga się to poprzez zastosowanie trunkingu i tagowania VLAN.
Łączenie trunkingowe
Łącze trunkingowe to połączenie sieciowe pomiędzy dwoma przełącznikami, które umożliwia przepływ ruchu z wielu sieci VLAN. Trunking jest niezbędny, jeśli chcesz, aby urządzenia w różnych sieciach VLAN komunikowały się ze sobą za pośrednictwem wielu przełączników.
Tagowanie sieci VLAN
Aby zachować informacje o sieci VLAN podczas ruchu przechodzącego przez łącza trunkingowe, stosowany jest proces zwany znakowaniem VLAN. Najpopularniejszym standardem znakowania sieci VLAN jest 802.1Q.
Standard ten dodaje informacje o sieci VLAN w postaci znaczników do pakietów danych, umożliwiając przełącznikom identyfikację sieci VLAN, do której należy każdy pakiet i odpowiednie trasowanie.
Przykład 1: Konfiguracja VLAN oparta na portach na przełączniku MikroTik
Wyobraźmy sobie sieć z przełącznikiem MikroTik CRS326-24G-2S+RM oraz trzy różne działy: Sprzedaży, Marketingu i Finansów. Aby oddzielić ruch tych działów, zostaną wdrożone sieci VLAN oparte na portach. W tym przykładzie porty 1–8 zostaną przypisane do sprzedaży, 9–16 do marketingu i 17–24 do finansów.
Kroki:
- Uzyskaj dostęp do RouterOS przełącznika MikroTik poprzez Winbox lub interfejs sieciowy.
- Przejdź do „Interfejsy” i utwórz trzy nowe sieci VLAN: „VLAN-Sales” o identyfikatorze 10, „VLAN-Marketing” o identyfikatorze 20 i „VLAN-Finance” o identyfikatorze 30.
- Przejdź do „Switch”, a następnie do zakładki „VLAN”. Dodaj trzy nowe wpisy z sieciami VLAN utworzonymi w poprzednim kroku i przypisz odpowiedni „Switch”.
- Następnie przejdź do zakładki „Konfiguracja portu VLAN” i skonfiguruj porty 1-8 z VLAN 10, porty 9-16 z VLAN 20 i porty 17-24 z VLAN 30.
- Zastosuj zmiany i zapisz ustawienia.
Dzięki tej konfiguracji ruch z trzech działów będzie oddzielony, a każda grupa będzie mogła komunikować się wyłącznie z urządzeniami w ramach własnej sieci VLAN.
Konfiguracja w RouterOS
# Crear VLANs
/interface vlan add name=VLAN-Ventas vlan-id=10 interface=ether1
/interface vlan add name=VLAN-Marketing vlan-id=20 interface=ether1
/interface vlan add name=VLAN-Finanzas vlan-id=30 interface=ether1
# Configurar VLANs en el switch
/interface ethernet switch vlan add switch=switch1 vlan-id=10 ports=ether1,ether2-ether8
/interface ethernet switch vlan add switch=switch1 vlan-id=20 ports=ether1,ether9-ether16
/interface ethernet switch vlan add switch=switch1 vlan-id=30 ports=ether1,ether17-ether24
Przykład 2: Implementacja trunkingu i tagowania 802.1Q pomiędzy dwoma routerami MikroTik
Załóżmy, że masz dwa routery MikroTik, Router1 i Router2, połączone łączem trunkingowym i chcesz, aby sieci VLAN utworzone w przykładzie 1 mogły komunikować się między sobą za pośrednictwem tych routerów.
Kroki:
- Uzyskaj dostęp do RouterOS routera 1 i utwórz trzy sieci VLAN (VLAN-Sales, VLAN-Marketing i VLAN-Finance) z tymi samymi identyfikatorami, co w przykładzie 1.
- Przejdź do „Interfejsy” i wybierz interfejs fizyczny, który będzie używany jako łącze trunkingowe (na przykład ether1). Kliknij przycisk „VLAN” i utwórz trzy nowe sieci VLAN, korzystając z wybranego interfejsu trunk, przypisując odpowiednie identyfikatory VLAN.
- Powtórz kroki 1 i 2 na routerze 2, korzystając z interfejsu fizycznego, który będzie używany jako łącze trunkingowe na tym routerze.
- Skonfiguruj trasy i reguły zapory sieciowej na obu routerach, aby umożliwić ruch między sieciami VLAN za pośrednictwem łącza trunkingowego.
- Zastosuj zmiany i zapisz konfigurację na obu routerach.
Dzięki tej konfiguracji sieci VLAN będą mogły komunikować się za pośrednictwem routerów MikroTik przy użyciu trunkingu i tagowania 802.1Q.
Konfiguracja w RouterOS
Konfiguracja na routerze 1
# Crear VLANs
/interface vlan add name=VLAN-Ventas vlan-id=10 interface=ether1
/interface vlan add name=VLAN-Marketing vlan-id=20 interface=ether1
/interface vlan add name=VLAN-Finanzas vlan-id=30 interface=ether1
# Configurar enlace troncal
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=VLAN-Ventas
/interface bridge port add bridge=bridge1 interface=VLAN-Marketing
/interface bridge port add bridge=bridge1 interface=VLAN-Finanzas
Konfiguracja na routerze 2
# Crear VLANs
/interface vlan add name=VLAN-Ventas vlan-id=10 interface=ether1
/interface vlan add name=VLAN-Marketing vlan-id=20 interface=ether1
/interface vlan add name=VLAN-Finanzas vlan-id=30 interface=ether1
# Configurar enlace troncal
/interface bridge add name=bridge1
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=VLAN-Ventas
/interface bridge port add bridge=bridge1 interface=VLAN-Marketing
/interface bridge port add bridge=bridge1 interface=VLAN-Finanzas
Te kody konfiguracyjne można wkleić bezpośrednio do CLI RouterOS na odpowiednich urządzeniach MikroTik. Nie zapomnij dostosować nazw interfejsów i identyfikatorów VLAN w oparciu o konkretną konfigurację sieci.
na zakończenie
Sieci VLAN są potężnym i wszechstronnym narzędziem do administrowania siecią. Dzięki różnym typom przypisań VLAN oraz wdrażaniu trunkingu i tagowania firmy mogą optymalizować ruch sieciowy, poprawiać bezpieczeństwo i ułatwiać skalowalność swoich systemów.
Dzięki tym informacjom będziesz lepiej przygotowany do zbadania i zrozumienia działania sieci VLAN w złożonych środowiskach sieciowych i korzyści, jakie mogą one przynieść Twojej organizacji.
Powiązane artykuły
Powiązane artykuły
Mikrolaba
(ML-002) Sposoby przydzielania publicznych adresów IP klientom za pomocą MikroTika
$9,99
(ML-003) Przewodnik konfiguracji tras wyjścia z Internetu u dwóch lub więcej dostawców (przełączanie awaryjne i rekurencja w równoważeniu PCC)
$8,99
(ML-004) Strategie wdrażania filtrów w celu ograniczenia dostępu do stron internetowych za pomocą MikroTika
$7,99
Inne tematy, które mogą Cię zainteresować
Sposoby przypisywania adresacji IPv6 (część 2)
Marzec 25, 2024
Sposoby przypisywania adresacji IPv6 (część 1)
Marzec 11, 2024
Chcesz zasugerować temat?
Co tydzień publikujemy nowe treści. Chcesz, żebyśmy porozmawiali o czymś konkretnym?
