Wzajemne połączenie VLAN odnosi się do procesu ustanawiania komunikacji pomiędzy różnymi sieciami wirtualnymi (VLAN) w infrastrukturze sieciowej. Sieci VLAN to logiczne segmenty sieci fizycznej, które umożliwiają administratorom dzielenie sieci na mniejsze grupy logiczne w celu poprawy bezpieczeństwa sieci, zarządzania i wydajności.
Na końcu artykułu znajdziesz mały test to ci pozwoli oceniać wiedzę zdobytą w tej lekturze
Po utworzeniu oddzielnych sieci VLAN domyślnie nie mogą one komunikować się ze sobą bezpośrednio. Jednak w wielu sytuacjach konieczne jest umożliwienie komunikacji pomiędzy różnymi sieciami VLAN w celu współużytkowania zasobów lub umożliwienia użytkownikom dostępu do określonych usług w innych sieciach wirtualnych. To tutaj routing pomiędzy sieciami VLAN.
Routing między sieciami VLAN umożliwia przepływ ruchu między różnymi sieciami VLAN przy użyciu a urządzenie wyznaczające trasę lub przełącznik warstwy 3 który ma możliwość routingu. Urządzenia te działają jako mosty pomiędzy sieciami VLAN i umożliwiają im komunikację między sobą.
Sposoby realizacji routingu
Główne sposoby implementacji routingu pomiędzy sieciami VLAN to:
1. Routing z routerem zewnętrznym
W tej konfiguracji każda sieć VLAN jest podłączona do własnego interfejsu na routerze. Kiedy pakiet danych musi zostać wysłany z jednej sieci VLAN do drugiej, jest on wysyłany do routera, który następnie przekazuje go do docelowej sieci VLAN. Ta technika jest prosta i skuteczna, ale może być nieefektywna, jeśli istnieje wiele sieci VLAN, ponieważ wymaga osobnego interfejsu dla każdej z nich.
2. Routing przy przełączaniu warstwy 3
W tej konfiguracji routing odbywa się w obrębie przełącznika, który może rozumieć pakiety i manipulować nimi na poziomie sieci. Ten typ przełącznika ma wiele wirtualnych interfejsów warstwy 3, po jednym dla każdej sieci VLAN, co pozwala na routing między nimi. Ta technika jest bardziej wydajna niż routing za pomocą routera zewnętrznego, ale wymaga bardziej wyrafinowanego i droższego sprzętu.
3. Trasowanie za pomocą łącza trunkingowego (Router na patyku)
W tej konfiguracji pojedynczy interfejs fizyczny routera służy do obsługi ruchu z wielu sieci VLAN. Sieci VLAN są rozróżniane na podstawie znaczników VLAN (802.1Q) na pakietach danych. Technika ta jest bardziej wydajna niż routing z routerem zewnętrznym pod względem wykorzystania interfejsu, ale może być ograniczona przepustowością dostępną na interfejsie łącza trunkingowego.
Podstawowe kroki
Konfigurując routing pomiędzy sieciami VLAN, należy wykonać kilka kroków:
1. Konfiguracja VLAN
Najpierw na przełącznikach lub urządzeniach sieciowych tworzone są indywidualne sieci VLAN. Każda sieć VLAN jest skonfigurowana z unikalnym identyfikatorem, a do każdej sieci VLAN przypisane są określone porty.
2. Konfiguracja interfejsów routingu
Na urządzeniu routingowym lub przełączniku warstwy 3 należy skonfigurować interfejsy, które będą łączyć się z każdą siecią VLAN. Interfejsy te są skonfigurowane z adresami IP należącymi do podsieci każdej sieci VLAN.
3. Konfiguracja tablicy routingu
Konfiguruje się trasy statyczne lub stosuje się protokół routingu dynamicznego, aby urządzenie routingu wiedziało, jak dotrzeć do podsieci każdej sieci VLAN.
4. Ustalenie polityk dostępu
Listy kontroli dostępu (ACL) można zastosować do kontrolowania dozwolonego lub blokowanego ruchu między sieciami VLAN. Zapewnia to dodatkową warstwę bezpieczeństwa i kontroli.
Po wykonaniu tych kroków sieci VLAN zostaną ze sobą połączone i będą mogły komunikować się ze sobą za pośrednictwem protokołu urządzenie wyznaczające trasę lub przełącznik warstwy 3. Urządzenie trasujące sprawdzi informacje o miejscu docelowym pakietów i skieruje je do odpowiedniej docelowej sieci VLAN.
Należy pamiętać, że routing między sieciami VLAN może mieć wpływ na wydajność sieci, ponieważ wiąże się z dodatkowym przetwarzaniem pakietów i może generować dodatkowy ruch w sieci.
Dlatego ważne jest, aby dokładnie zaprojektować konfigurację routingu i wziąć pod uwagę dostępną przepustowość i zasoby, aby zapewnić optymalną wydajność sieci.
Routery lub przełączniki warstwy 3
Wybór pomiędzy użyciem routera lub przełącznika warstwy 3 do routingu między sieciami VLAN będzie zależał od kilku czynników, w tym od rozmiaru sieci, natężenia ruchu, dostępnych zasobów i specyficznych potrzeb organizacji.
Oto kilka kwestii, które mogą pomóc w podjęciu decyzji:
1 Wydajność
Przełączniki warstwy 3 są zazwyczaj szybsze w routingu niż routery, ponieważ sprzęt przełącznika jest zaprojektowany do obsługi szybkiego routingu pakietów. Może to być szczególnie ważne w sieciach o dużym ruchu między sieciami VLAN.
2. Koszt
Przełączniki warstwy 3 są zazwyczaj droższe niż routery ze względu na ich wyspecjalizowany sprzęt. Dlatego jeśli budżet jest ważnym czynnikiem, router może być bardziej opłacalną opcją.
3. Skalowalność
Jeśli sieć ma rosnąć pod względem rozmiaru i złożoności, bardziej skalowalną opcją może być przełącznik warstwy 3. Przełączniki warstwy 3 mogą obsługiwać dużą liczbę sieci VLAN i zapewniać routing między sieciami VLAN bez konieczności stosowania dodatkowych interfejsów fizycznych wymaganych przez router.
4. Zaawansowane funkcje
Routery zazwyczaj oferują szerszy zakres zaawansowanych funkcji w porównaniu do przełączników warstwy 3. Mogą one obejmować obsługę szerszego zakresu protokołów routingu, możliwości zapory ogniowej, sieci VPN i inne funkcje bezpieczeństwa.
5. Łatwość konfiguracji i zarządzania
Przełączniki warstwy 3 są zazwyczaj łatwiejsze w konfiguracji i zarządzaniu w przypadku routingu między sieciami VLAN w porównaniu z routerami. Dzieje się tak dlatego, że można skonfigurować wiele interfejsów VLAN na jednym urządzeniu, zamiast konieczności zarządzania wieloma interfejsami fizycznymi na routerze.
Podsumowując, wybór pomiędzy routerem a przełącznikiem warstwy 3 do routingu między sieciami VLAN będzie zależał od konkretnych potrzeb Twojej sieci. Obie opcje mają zalety i wady, a najlepsza opcja będzie się różnić w zależności od sytuacji.
Routery a przełączniki warstwy 3
Poniżej prezentujemy tabelę porównawczą, która podkreśla niektóre zalety oferowane przez oba rozwiązania routery jak przełączniki warstwy 3 do routingu pomiędzy sieciami VLAN w sieci:
Router | Przełącznik warstwy 3 | |
---|---|---|
Wydajność | Zwykle wolniejsze prędkości routingu w porównaniu do przełączników warstwy 3 | Wysoka wydajność, możliwość szybkiego routingu |
Koszt | Generalnie taniej | Generalnie droższe ze względu na specjalistyczny sprzęt |
Skalowalność | Może być ograniczony liczbą dostępnych interfejsów fizycznych | Bardzo skalowalny, może obsłużyć dużą liczbę sieci VLAN |
Zaawansowane funkcje | Obsługa szerokiej gamy protokołów routingu, między innymi zapory ogniowej, VPN | Ogranicza się głównie do routingu, chociaż niektóre modele mogą zawierać zaawansowane funkcje |
Konfiguracja i zarządzanie | Może być bardziej skomplikowane ze względu na konieczność zarządzania wieloma interfejsami fizycznymi | Łatwiejsza konfiguracja i zarządzanie dzięki wirtualnym interfejsom VLAN |
Implementacja routingu VLAN w RouterOS
Poniżej znajduje się przykład konfiguracji routingu między sieciami VLAN na routerze MikroTik. Zakłada się, że masz już skonfigurowane dwie sieci VLAN (VLAN 10 i VLAN 20) na porcie Ethernet2 i chcesz skonfigurować routing między nimi.
To prosty przykład i może być konieczne dostosowanie poleceń do specyficznych potrzeb Twojej sieci.
Najpierw będziemy musieli przypisać adresy IP do każdej z sieci VLAN. Adresy te będą działać jako brama domyślna dla każdej sieci VLAN. Załóżmy, że użyjemy adresu 192.168.10.1/24 dla sieci VLAN 10 i 192.168.20.1/24 dla sieci VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Następnie umożliwimy routing pomiędzy sieciami VLAN. MikroTik robi to automatycznie dzięki możliwości routingu w warstwie 3:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Na koniec, jeśli chcesz, aby sieci VLAN również miały dostęp do Internetu, musisz skonfigurować trasę domyślną przez bramę internetową. Załóżmy, że Twoja brama internetowa to 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Dodanie reguł zapory sieciowej w celu kontrolowania ruchu pomiędzy sieciami VLAN na routerze MikroTik może pomóc poprawić bezpieczeństwo sieci. Oto przykład, jak można to zrobić.
Załóżmy, że chcesz zablokować cały ruch z VLAN 10 do VLAN 20, ale zezwolić na ruch w przeciwnym kierunku. Najpierw musisz zidentyfikować sieci odpowiadające Twoim sieciom VLAN (na przykład 192.168.10.0/24 dla VLAN 10 i 192.168.20.0/24 dla VLAN 20), a następnie możesz użyć następujących poleceń:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Te polecenia utworzą dwie reguły zapory:
- Pierwsza reguła zablokuje cały ruch z VLAN 10 do VLAN 20 (tzn. wszystkie pakiety pochodzące z sieci 192.168.10.0/24 i kierowane do sieci 192.168.20.0/24 zostaną odrzucone).
- Druga reguła pozwoli na ruch z VLAN 20 do VLAN 10 (czyli akceptowane będą wszystkie pakiety pochodzące z sieci 192.168.20.0/24 i kierowane do sieci 192.168.10.0/24).
To bardzo prosty przykład. Reguły zapory mogą być znacznie bardziej złożone i szczegółowe, w zależności od potrzeb bezpieczeństwa. Na przykład możesz chcieć zablokować lub zezwolić tylko na określony typ ruchu (np. HTTP, SSH itp.) lub możesz chcieć zablokować lub zezwolić na ruch do/z określonych adresów IP.