Muunganisho wa VLAN: Kuelekeza kati ya mitandao pepe

Mauro Escalante
Mei 31, 2023
11: 56 asubuhi
Hakuna maoni

Muunganisho wa VLAN unarejelea mchakato wa kuanzisha mawasiliano kati ya mitandao tofauti ya mtandaoni (VLANs) katika miundombinu ya mtandao. VLAN ni sehemu za kimantiki za mtandao halisi zinazoruhusu wasimamizi kugawanya mtandao katika vikundi vidogo vya kimantiki ili kuboresha usalama wa mtandao, usimamizi na utendakazi.

Mwishoni mwa makala utapata ndogo mtihani hiyo itakuruhusu tathmini maarifa yaliyopatikana katika usomaji huu

Nenda kwa Mtihani

Wakati VLAN tofauti zinaundwa, kwa chaguo-msingi, haziwezi kuwasiliana moja kwa moja na kila mmoja. Hata hivyo, katika hali nyingi, ni muhimu kuruhusu mawasiliano kati ya VLAN tofauti kushiriki rasilimali au kuruhusu watumiaji kufikia huduma maalum kwenye mitandao mingine ya mtandaoni. Hapa ndipo kuelekeza kati ya VLAN.

Uelekezaji kati ya VLAN huruhusu trafiki kusonga kati ya VLAN tofauti kwa kutumia a kifaa cha kuelekeza au safu ya 3 kubadili ambayo ina uwezo wa kuelekeza. Vifaa hivi hufanya kama madaraja kati ya VLAN na huruhusu kuwasiliana na kila mmoja.

Njia za kutekeleza uelekezaji

Njia kuu za kutekeleza uelekezaji kati ya VLAN ni:

1. Kuelekeza na kipanga njia cha nje

Katika usanidi huu, kila VLAN imeunganishwa kwenye interface yake kwenye router. Wakati pakiti ya data inahitaji kutumwa kutoka kwa VLAN moja hadi nyingine, inatumwa kwa kipanga njia, ambacho kisha huipeleka kwenye VLAN lengwa. Mbinu hii ni rahisi na yenye ufanisi, lakini inaweza kuwa na ufanisi ikiwa kuna VLAN nyingi, kwani inahitaji interface tofauti kwa kila mmoja.

2. Kuelekeza kwenye Kubadilisha Tabaka la 3

Katika usanidi huu, uelekezaji unafanywa ndani ya swichi, ambayo inaweza kuelewa na kuendesha pakiti kwenye kiwango cha mtandao. Aina hii ya swichi ina violesura vingi vya Tabaka 3, moja kwa kila VLAN, inayokuruhusu kuelekeza kati yake. Mbinu hii ni ya ufanisi zaidi kuliko kuelekeza na router ya nje, lakini inahitaji vifaa vya kisasa zaidi na vya gharama kubwa.

3. Kuelekeza kwa shina (Ruta-kwenye-fimbo)

Katika usanidi huu, kiolesura kimoja cha kimwili kwenye kipanga njia hutumiwa kushughulikia trafiki kutoka kwa VLAN nyingi. VLAN hutofautishwa kwa kutumia vitambulisho vya VLAN (802.1Q) kwenye pakiti za data. Mbinu hii ni nzuri zaidi kuliko kuelekeza na kipanga njia cha nje kwa suala la matumizi ya kiolesura, lakini inaweza kuzuiwa na kiasi cha kipimo data kinachopatikana kwenye kiolesura cha shina.

Hatua muhimu

Wakati wa kusanidi uelekezaji kati ya VLAN, hatua kadhaa lazima zifanyike:

1. Usanidi wa VLAN

Kwanza, VLAN binafsi huundwa kwenye swichi au vifaa vya mtandao. Kila VLAN imesanidiwa kwa kitambulisho cha kipekee na milango maalum imepewa kila VLAN.

2. Usanidi wa violesura vya uelekezaji

Kwenye kifaa cha kuelekeza au swichi ya Tabaka la 3, violesura ambavyo vitaunganishwa kwa kila VLAN lazima viwekewe mipangilio. Miingiliano hii imesanidiwa kwa anwani za IP zinazomilikiwa na subnet za kila VLAN.

3. Usanidi wa jedwali la uelekezaji

Njia tuli zimesanidiwa au itifaki inayobadilika ya uelekezaji inatumiwa kuruhusu kifaa cha kuelekeza kujua jinsi ya kufikia nyati ndogo za kila VLAN.

4. Uanzishaji wa sera za ufikiaji

Orodha za udhibiti wa ufikiaji (ACLs) zinaweza kutumika kudhibiti trafiki inayoruhusiwa au kuzuiwa kati ya VLAN. Hii hutoa safu ya ziada ya usalama na udhibiti.

Mara baada ya hatua hizi kukamilika, VLANs zitaunganishwa na zitaweza kuwasiliana kwa kila mmoja kupitia kifaa cha kuelekeza au safu ya 3 kubadili. Kifaa cha kuelekeza kitachunguza maelezo lengwa ya pakiti na kuzielekeza kwenye lengwa linalolingana la VLAN.

Ni muhimu kutambua kwamba uelekezaji kati ya VLAN unaweza kuwa na athari kwenye utendakazi wa mtandao kwani unahusisha usindikaji wa ziada wa pakiti na unaweza kuzalisha trafiki ya ziada kwenye mtandao.

Kwa hiyo, ni muhimu kupanga kwa uangalifu usanidi wa uelekezaji na kuzingatia bandwidth na rasilimali zilizopo ili kuhakikisha utendaji bora wa mtandao.

Safu 3 Ruta au Swichi

Chaguo kati ya kutumia kipanga njia au swichi ya Tabaka 3 kwa uelekezaji kati ya VLAN itategemea mambo kadhaa, ikiwa ni pamoja na ukubwa wa mtandao, kiasi cha trafiki, rasilimali zinazopatikana, na mahitaji maalum ya shirika.

Hapa kuna mambo kadhaa yanayoweza kukusaidia kufanya uamuzi:

1. Utendaji

Swichi za Tabaka la 3 kwa kawaida huwa na kasi zaidi kuliko vipanga njia vya kuelekeza, kwa kuwa maunzi ya kubadili imeundwa kushughulikia uelekezaji wa pakiti za kasi ya juu. Hii inaweza kuwa muhimu hasa kwenye mitandao yenye kiasi kikubwa cha trafiki kati ya VLAN.

2. Gharama

Swichi za Tabaka 3 kwa kawaida ni ghali zaidi kuliko vipanga njia kutokana na maunzi yao maalumu. Kwa hiyo, ikiwa bajeti ni kuzingatia muhimu, router inaweza kuwa chaguo la gharama nafuu zaidi.

3. Uwezeshaji

Ikiwa mtandao unakusudiwa kukua kwa ukubwa na uchangamano, swichi ya Tabaka la 3 inaweza kuwa chaguo kubwa zaidi. Swichi za Tabaka la 3 zinaweza kushughulikia idadi kubwa ya VLAN na kutoa uelekezaji baina ya VLAN bila hitaji la miingiliano ya ziada inavyohitajika na kipanga njia.

4. Vipengele vya juu

Vipanga njia kwa kawaida hutoa anuwai ya vipengele vya kina ikilinganishwa na swichi za Tabaka la 3. Hizi zinaweza kujumuisha usaidizi wa anuwai ya itifaki za uelekezaji, uwezo wa ngome, VPN na vipengele vingine vya usalama.

5. Urahisi wa usanidi na usimamizi

Swichi za Tabaka 3 kwa kawaida ni rahisi kusanidi na kudhibiti kwa uelekezaji baina ya VLAN ikilinganishwa na vipanga njia. Hii ni kwa sababu unaweza kusanidi violesura vingi vya VLAN kwenye kifaa kimoja badala ya kulazimika kudhibiti miingiliano mingi ya kimwili kwenye kipanga njia.

Kwa muhtasari, kuchagua kati ya kipanga njia na swichi ya Tabaka 3 kwa uelekezaji baina ya VLAN itategemea mahitaji mahususi ya mtandao wako. Chaguzi zote mbili zina faida na hasara, na chaguo bora litatofautiana kutoka hali hadi hali.

Vipanga njia dhidi ya Swichi za Tabaka la 3

Hapo chini, tunawasilisha jedwali la kulinganisha linaloangazia baadhi ya faida zinazotolewa na wote wawili ruta kama safu 3 swichi kwa kuelekeza kati ya VLAN kwenye mtandao:

	Router	Tabaka 3 Badilisha
Utendaji	Kwa kawaida kasi ya chini ya uelekezaji ikilinganishwa na swichi za Tabaka la 3	Utendaji wa juu, wenye uwezo wa kuelekeza kasi ya juu
Gharama	Kwa ujumla nafuu	Kwa ujumla ni ghali zaidi kwa sababu ya vifaa maalum
Kubadilika	Inaweza kuzuiwa na idadi ya violesura halisi vinavyopatikana	Inaenea sana, inaweza kushughulikia idadi kubwa ya VLAN
Vipengele vya hali ya juu	Msaada kwa anuwai ya itifaki za uelekezaji, firewall, VPN, kati ya zingine	Kimsingi ni uelekezaji, ingawa baadhi ya miundo inaweza kujumuisha vipengele vya kina
Usanidi na usimamizi	Inaweza kuwa ngumu zaidi kwa sababu ya hitaji la kudhibiti miingiliano mingi ya mwili	Usanidi na usimamizi rahisi zaidi kutokana na violesura pepe vya VLAN

Utekelezaji wa uelekezaji wa VLAN katika RouterOS

Ufuatao ni mfano wa jinsi unavyoweza kusanidi uelekezaji wa VLAN kwenye kipanga njia cha MikroTik. Hii inadhania kuwa tayari una VLAN mbili zilizosanidiwa (VLAN 10 na VLAN 20) kwenye bandari ether2, na unataka kusanidi uelekezaji kati yao.

Huu ni mfano rahisi na unaweza kuhitaji kurekebisha amri ili kuendana na mahitaji maalum ya mtandao wako.

Kwanza, tutahitaji kugawa anwani za IP kwa kila VLAN. Anwani hizi zitafanya kama lango chaguo-msingi kwa kila VLAN. Tuseme tutatumia 192.168.10.1/24 kwa VLAN 10 na 192.168.20.1/24 kwa VLAN 20:

				
					/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20

2. Kisha, tutawezesha uelekezaji kati ya VLAN. MikroTik hufanya hivyo kiotomatiki kupitia uwezo wake wa uelekezaji wa safu ya 3:

				
					/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1

3. Hatimaye, ikiwa unataka VLAN pia ziweze kufikia Mtandao, utahitaji kusanidi njia chaguo-msingi kupitia lango lako la Mtandao. Wacha tuseme lango lako la Mtandao ni 192.168.1.1:

				
					/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1

Kuongeza sheria za ngome ili kudhibiti trafiki kati ya VLAN kwenye kipanga njia cha MikroTik kunaweza kusaidia kuboresha usalama wa mtandao. Hapa kuna mfano wa jinsi unaweza kufanya hivi.

Tuseme unataka kuzuia trafiki yote kutoka VLAN 10 hadi VLAN 20, lakini ruhusu trafiki katika mwelekeo tofauti. Kwanza, utahitaji kutambua mitandao inayolingana na VLAN zako (kwa mfano, 192.168.10.0/24 kwa VLAN 10 na 192.168.20.0/24 kwa VLAN 20), kisha unaweza kutumia amri zifuatazo:

				
					/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept

Amri hizi zitaunda sheria mbili za firewall:

Sheria ya kwanza itazuia trafiki yote kutoka kwa VLAN 10 hadi VLAN 20 (yaani, pakiti zote zinazotoka kwenye mtandao wa 192.168.10.0/24 na zinazopangwa kwa mtandao wa 192.168.20.0/24 zitashuka).
Sheria ya pili itaruhusu trafiki kutoka VLAN 20 hadi VLAN 10 (yaani, pakiti zote zinazotoka kwenye mtandao wa 192.168.20.0/24 na zinazopangwa kwa mtandao wa 192.168.10.0/24 zitakubaliwa).

Huu ni mfano wa msingi sana. Sheria za firewall zinaweza kuwa ngumu zaidi na mahususi kulingana na mahitaji yako ya usalama. Kwa mfano, unaweza kutaka kuzuia au kuruhusu aina fulani za trafiki pekee (k.m. HTTP, SSH, n.k.), au unaweza kutaka kuzuia au kuruhusu trafiki kwenda/kutoka kwa anwani fulani mahususi za IP.