(ML-001) Paano maayos na pamahalaan ang maramihang pampubliko o pribadong IP sa gilid ng router
$8,99
VLAN Interconnection: Pagruruta sa pagitan ng mga virtual network
- Mauro Escalante
- Walang mga komento
- Ibahagi ang artikulong ito
Facebook
kaba
LinkedIn
WhatsApp
Telegrama
Ang VLAN interconnection ay tumutukoy sa proseso ng pagtatatag ng komunikasyon sa pagitan ng iba't ibang virtual network (VLAN) sa isang network infrastructure. Ang mga VLAN ay mga lohikal na segment ng isang pisikal na network na nagpapahintulot sa mga administrator na hatiin ang network sa mas maliliit na lohikal na grupo upang mapabuti ang seguridad, pamamahala, at pagganap ng network.
Kapag ang mga hiwalay na VLAN ay nilikha, bilang default, hindi sila maaaring makipag-usap nang direkta sa isa't isa. Gayunpaman, sa maraming sitwasyon, kinakailangan na payagan ang komunikasyon sa pagitan ng iba't ibang VLAN na magbahagi ng mga mapagkukunan o payagan ang mga user na ma-access ang mga partikular na serbisyo sa ibang mga virtual network. Ito ay kung saan ang pagruruta sa pagitan ng mga VLAN.
Ang Inter-VLAN routing ay nagpapahintulot sa trapiko na lumipat sa pagitan ng iba't ibang VLAN sa pamamagitan ng paggamit ng a aparato sa pagruruta o isang layer 3 switch na may kakayahan sa pagruruta. Ang mga device na ito ay nagsisilbing tulay sa pagitan ng mga VLAN at pinapayagan silang makipag-usap sa isa't isa.
Mga paraan upang ipatupad ang pagruruta
Ang mga pangunahing paraan upang ipatupad ang pagruruta sa pagitan ng mga VLAN ay:
1. Pagruruta gamit ang isang panlabas na router
Sa pagsasaayos na ito, ang bawat VLAN ay konektado sa sarili nitong interface sa router. Kapag ang isang data packet ay kailangang ipadala mula sa isang VLAN patungo sa isa pa, ito ay ipapadala sa router, na pagkatapos ay ipapasa ito sa patutunguhang VLAN. Ang pamamaraan na ito ay simple at epektibo, ngunit maaaring hindi epektibo kung mayroong maraming mga VLAN, dahil nangangailangan ito ng isang hiwalay na interface para sa bawat isa.
2. Pagruruta sa Layer 3 Switching
Sa pagsasaayos na ito, ang pagruruta ay isinasagawa sa loob ng switch, na maaaring maunawaan at manipulahin ang mga packet sa antas ng network. Ang ganitong uri ng switch ay may maraming virtual na Layer 3 na interface, isa para sa bawat VLAN, na nagbibigay-daan sa iyong mag-ruta sa pagitan ng mga ito. Ang diskarteng ito ay mas mahusay kaysa sa pagruruta gamit ang isang panlabas na router, ngunit nangangailangan ng mas sopistikado at mamahaling hardware.
3. Pagruruta gamit ang trunk (Router-on-a-stick)
Sa pagsasaayos na ito, ang isang pisikal na interface sa isang router ay ginagamit upang pangasiwaan ang trapiko mula sa maraming VLAN. Naiiba ang mga VLAN gamit ang mga tag ng VLAN (802.1Q) sa mga packet ng data. Ang diskarteng ito ay mas mahusay kaysa sa pagruruta gamit ang isang panlabas na router sa mga tuntunin ng paggamit ng interface, ngunit maaaring limitado ng dami ng bandwidth na magagamit sa trunk interface.
Mahahalagang hakbang
Kapag nag-configure ng pagruruta sa pagitan ng mga VLAN, ilang hakbang ang dapat gawin:
1. configuration ng VLAN
Una, ang mga indibidwal na VLAN ay nilikha sa mga switch o network device. Ang bawat VLAN ay na-configure na may natatanging ID at ang mga partikular na port ay itinalaga sa bawat VLAN.
2. Configuration ng mga routing interface
Sa routing device o Layer 3 switch, dapat na i-configure ang mga interface na magkokonekta sa bawat VLAN. Ang mga interface na ito ay na-configure gamit ang mga IP address na kabilang sa mga subnet ng bawat VLAN.
3. Pag-configure ng routing table
Naka-configure ang mga static na ruta o ginagamit ang isang dynamic na routing protocol upang payagan ang routing device na malaman kung paano maabot ang mga subnet ng bawat VLAN.
4. Pagtatatag ng mga patakaran sa pag-access
Maaaring ilapat ang mga access control list (ACL) upang kontrolin kung anong trapiko ang pinapayagan o hinaharangan sa pagitan ng mga VLAN. Nagbibigay ito ng karagdagang layer ng seguridad at kontrol.
Kapag nakumpleto na ang mga hakbang na ito, ang mga VLAN ay magkakaugnay at magagawang makipag-ugnayan sa isa't isa sa pamamagitan ng aparato sa pagruruta o el layer 3 switch. Susuriin ng routing device ang patutunguhang impormasyon ng mga packet at iruruta ang mga ito sa kaukulang destination VLAN.
Mahalagang tandaan na ang pagruruta sa pagitan ng mga VLAN ay maaaring magkaroon ng epekto sa pagganap ng network dahil ito ay nagsasangkot ng karagdagang pagpoproseso ng packet at maaaring makabuo ng karagdagang trapiko sa network.
Samakatuwid, mahalagang maingat na idisenyo ang configuration ng routing at isaalang-alang ang magagamit na bandwidth at mga mapagkukunan upang matiyak ang pinakamainam na pagganap ng network.
Layer 3 Mga Router o Switch
Ang pagpili sa pagitan ng paggamit ng router o Layer 3 switch para sa pagruruta sa pagitan ng mga VLAN ay depende sa ilang mga salik, kabilang ang laki ng network, ang dami ng trapiko, mga magagamit na mapagkukunan, at ang mga partikular na pangangailangan ng organisasyon.
Narito ang ilang mga pagsasaalang-alang na makakatulong sa iyong gumawa ng desisyon:
1. Pagganap
Ang mga switch ng layer 3 ay karaniwang mas mabilis kaysa sa mga router para sa pagruruta, dahil ang switch hardware ay idinisenyo upang pangasiwaan ang high-speed na packet routing. Ito ay maaaring maging lalong mahalaga sa mga network na may malaking halaga ng inter-VLAN na trapiko.
2. Gastos
Ang mga switch ng Layer 3 ay karaniwang mas mahal kaysa sa mga router dahil sa kanilang espesyal na hardware. Samakatuwid, kung ang badyet ay isang mahalagang pagsasaalang-alang, ang isang router ay maaaring isang mas cost-effective na opsyon.
3. Kakayahang sumukat
Kung ang network ay nilayon na lumaki sa laki at pagiging kumplikado, ang isang Layer 3 switch ay maaaring isang mas nasusukat na opsyon. Ang mga switch ng Layer 3 ay maaaring humawak ng malaking bilang ng mga VLAN at magbigay ng inter-VLAN routing nang hindi nangangailangan ng karagdagang mga pisikal na interface ayon sa kinakailangan ng isang router.
4. Mga advanced na tampok
Karaniwang nag-aalok ang mga router ng mas malawak na hanay ng mga advanced na feature kumpara sa mga switch ng Layer 3. Maaaring kabilang dito ang suporta para sa mas malawak na hanay ng mga routing protocol, mga kakayahan ng firewall, VPN, at iba pang feature ng seguridad.
5. Dali ng pagsasaayos at pamamahala
Ang mga switch ng Layer 3 ay karaniwang mas madaling i-configure at pamahalaan para sa inter-VLAN routing kumpara sa mga router. Ito ay dahil maaari mong i-configure ang maramihang mga interface ng VLAN sa isang aparato sa halip na kailangang pamahalaan ang maramihang mga pisikal na interface sa isang router.
Sa buod, ang pagpili sa pagitan ng router at Layer 3 switch para sa inter-VLAN routing ay depende sa mga partikular na pangangailangan ng iyong network. Ang parehong mga opsyon ay may mga pakinabang at disadvantages, at ang pinakamahusay na opsyon ay mag-iiba-iba sa bawat sitwasyon.
Mga Router kumpara sa Layer 3 Switch
Sa ibaba, nagpapakita kami ng comparative table na nagha-highlight ng ilan sa mga pakinabang na inaalok ng pareho router bilang ang layer 3 switch para sa pagruruta sa pagitan ng mga VLAN sa isang network:
| Router | Layer 3 Switch | |
|---|---|---|
| Pagganap | Karaniwang mas mabagal ang bilis ng pagruruta kumpara sa mga switch ng Layer 3 | Mataas na pagganap, may kakayahang mataas na bilis ng pagruruta |
| Gastos | Sa pangkalahatan ay mas mura | Sa pangkalahatan ay mas mahal dahil sa espesyal na hardware |
| Kakayahang sukatin | Maaaring limitado sa bilang ng mga magagamit na pisikal na interface | Napaka-scalable, kayang humawak ng malaking bilang ng mga VLAN |
| Mga advanced na tampok | Suporta para sa isang malawak na hanay ng mga routing protocol, firewall, VPN, at iba pa | Pangunahing limitado sa pagruruta, bagama't maaaring may kasamang mga advanced na feature ang ilang modelo |
| Pagsasaayos at pamamahala | Maaaring maging mas kumplikado dahil sa pangangailangang pamahalaan ang maramihang mga pisikal na interface | Mas madaling pagsasaayos at pamamahala dahil sa mga virtual na interface ng VLAN |
Pagpapatupad ng VLAN routing sa RouterOS
Ang sumusunod ay isang halimbawa kung paano mo mai-configure ang inter-VLAN routing sa isang MikroTik router. Ipinapalagay nito na mayroon ka nang dalawang VLAN na na-configure (VLAN 10 at VLAN 20) sa port ether2, at gusto mong i-configure ang pagruruta sa pagitan ng mga ito.
Ito ay isang simpleng halimbawa at maaaring kailanganin mong ayusin ang mga command upang umangkop sa mga partikular na pangangailangan ng iyong network.
Una, kakailanganin nating magtalaga ng mga IP address sa bawat isa sa mga VLAN. Ang mga address na ito ay magsisilbing default na gateway para sa bawat VLAN. Ipagpalagay na gagamitin namin ang 192.168.10.1/24 para sa VLAN 10 at 192.168.20.1/24 para sa VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. Susunod, paganahin namin ang pagruruta sa pagitan ng mga VLAN. Awtomatikong ginagawa ito ng MikroTik sa pamamagitan ng layer 3 na kakayahan sa pagruruta nito:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. Sa wakas, kung gusto mong ma-access din ng mga VLAN ang Internet, kakailanganin mong mag-configure ng default na ruta sa pamamagitan ng iyong Internet gateway. Sabihin nating ang iyong gateway sa Internet ay 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
Ang pagdaragdag ng mga panuntunan sa firewall upang makontrol ang trapiko sa pagitan ng mga VLAN sa isang MikroTik router ay maaaring makatulong na mapabuti ang seguridad ng network. Narito ang isang halimbawa kung paano mo ito magagawa.
Ipagpalagay na gusto mong harangan ang lahat ng trapiko mula sa VLAN 10 hanggang VLAN 20, ngunit payagan ang trapiko sa kabilang direksyon. Una, kakailanganin mong tukuyin ang mga network na nauugnay sa iyong mga VLAN (halimbawa, 192.168.10.0/24 para sa VLAN 10 at 192.168.20.0/24 para sa VLAN 20), pagkatapos ay maaari mong gamitin ang mga sumusunod na command:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
Ang mga utos na ito ay lilikha ng dalawang panuntunan sa firewall:
- Haharangan ng unang panuntunan ang lahat ng trapiko mula sa VLAN 10 hanggang VLAN 20 (iyon ay, ang lahat ng packet na nagmula sa 192.168.10.0/24 na network at nakalaan para sa 192.168.20.0/24 na network ay aalisin).
- Ang pangalawang panuntunan ay magpapahintulot sa trapiko mula sa VLAN 20 hanggang VLAN 10 (iyon ay, lahat ng packet na nagmula sa 192.168.20.0/24 na network at nakalaan para sa 192.168.10.0/24 na network ay tatanggapin).
Ito ay isang napakapangunahing halimbawa. Ang mga panuntunan sa firewall ay maaaring maging mas kumplikado at partikular depende sa iyong mga pangangailangan sa seguridad. Halimbawa, maaaring gusto mong i-block o payagan lamang ang ilang uri ng trapiko (hal. HTTP, SSH, atbp.), o maaaring gusto mong i-block o payagan ang trapiko papunta/mula sa ilang partikular na IP address.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Kaugnay na mga Artikulo
Kaugnay na mga Artikulo
Microlabs
(ML-002) Mga paraan upang magtalaga ng mga pampublikong IP address sa mga kliyente na may MikroTik
$9,99
(ML-003) Gabay upang i-configure ang mga ruta ng paglabas sa Internet na may dalawa o higit pang provider (failover at recursion sa PCC balancing)
$8,99
(ML-004) I-filter ang mga diskarte sa pagpapatupad upang paghigpitan ang pag-access sa mga web page gamit ang MikroTik
$7,99
Iba pang mga paksa na maaaring interesado ka
Gusto mo bang magmungkahi ng paksa?
Bawat linggo ay nagpo-post kami ng bagong nilalaman. Gusto mo bang pag-usapan natin ang isang partikular na bagay?
Mga paparating na online na kurso
MTCINE OnLine
$187,00
MTCNA Online
$187,00
MTCRE Online
$187,00
Pack 4 na MikroTik RouterOS na aklat
$68,47
