Een virtueel LAN (VLAN) instellen

VLAN's zijn overal. U vindt ze in de meeste organisaties met een correct geconfigureerd netwerk. Voor het geval het niet duidelijk was, staat VLAN voor "Virtual Local Area Network", en ze zijn alomtegenwoordig in elk modern netwerk dat groter is dan een klein huis of een heel klein kantoornetwerk.

Er zijn een paar verschillende protocollen, waarvan vele leveranciersspecifiek zijn, maar in de kern doet elk VLAN ongeveer hetzelfde en de voordelen van VLAN schalen naarmate uw netwerk groter wordt en de organisatorische complexiteit toeneemt.

Die voordelen zijn een groot deel van de reden waarom VLAN's zo sterk worden vertrouwd door professionele netwerken van elke omvang. Zonder hen zou het zelfs moeilijk zijn om netwerken te beheren of te schalen.

De voordelen en schaalbaarheid van VLAN's verklaren waarom ze zo alomtegenwoordig zijn geworden in moderne netwerkomgevingen. Het zou moeilijk zijn om zelfs redelijk complexe netwerken te beheren of te schalen met de gebruiker van VLAN's.

Wat is een VLAN?

Oké, dus je kent het acroniem, maar wat is precies een VLAN? Het basisconcept moet bekend zijn bij iedereen die met virtuele servers heeft gewerkt of deze heeft gebruikt.

Denk even na hoe virtuele machines werken. Meerdere virtuele servers bevinden zich binnen één fysiek stuk hardware waarop een besturingssysteem en hypervisor worden uitgevoerd om de virtuele servers op de enkele fysieke server te maken en uit te voeren. Door virtualisatie bent u in staat om een ​​enkele fysieke computer effectief om te zetten in meerdere virtuele computers die elk beschikbaar zijn voor afzonderlijke taken en gebruikers.

Virtuele LAN's werken op vrijwel dezelfde manier als virtuele servers. Een of meer beheerde switches voeren de software uit (vergelijkbaar met hypervisorsoftware) waarmee de switches meerdere virtuele switches kunnen maken binnen één fysiek netwerk.

Elke virtuele switch is zijn eigen op zichzelf staande netwerk. Het belangrijkste verschil tussen virtuele servers en virtuele LAN's is dat virtuele LAN's kunnen worden gedistribueerd over meerdere fysieke stukken hardware met een speciale kabel die een trunk wordt genoemd.

Hoe het werkt24-poorts schakelaar

Stel je voor dat je een netwerk runt voor een groeiend klein bedrijf, werknemers toevoegt, opsplitst in afzonderlijke afdelingen en complexer en georganiseerder wordt.

Om op deze wijzigingen te reageren, hebt u een upgrade uitgevoerd naar een 24-poorts switch om nieuwe apparaten op het netwerk te kunnen plaatsen.

Je zou kunnen overwegen om gewoon een ethernetkabel naar elk van de nieuwe apparaten te laten lopen en de taak te beëindigen, maar het probleem is dat de bestandsopslag en services die door elke afdeling worden gebruikt, gescheiden moeten worden gehouden. VLAN's zijn de beste manier om dat te doen.

Binnen de webinterface van de switch kunt u drie afzonderlijke VLAN's configureren, één voor elke afdeling. De eenvoudigste manier om ze te delen is door poortnummers. U kunt poorten 1-8 toewijzen aan de eerste afdeling, poorten 9-16 toewijzen aan de tweede afdeling en tenslotte poorten 17-24 g toewijzen aan de laatste afdeling. Nu heb je je fysieke netwerk georganiseerd in drie virtuele netwerken.

De software op de switch kan het verkeer tussen de clients in elk VLAN beheren. Elk VLAN fungeert als zijn eigen netwerk en kan niet rechtstreeks communiceren met de andere VLAN's. Nu heeft elke afdeling zijn eigen kleinere, minder rommelige en efficiëntere netwerk, en u kunt ze allemaal beheren via hetzelfde stuk hardware. Dit is een zeer efficiënte en kosteneffectieve manier om een ​​netwerk te beheren.

Wanneer u de afdelingen nodig heeft om met elkaar te kunnen communiceren, kunt u dit via de router op het netwerk laten doen. De router kan het verkeer tussen de VLAN's reguleren en controleren en strengere beveiligingsregels afdwingen.

In veel gevallen zullen de afdelingen moeten samenwerken en samenwerken. U kunt communicatie tussen de virtuele netwerken via de router implementeren en beveiligingsregels instellen om de juiste beveiliging en privacy van de afzonderlijke virtuele netwerken te garanderen.

VLAN versus subnet

VLAN's en subnetten zijn eigenlijk vrij gelijkaardig en hebben vergelijkbare functies. Zowel subnetten als VLAN's verdelen netwerken en broadcastdomeinen. In beide gevallen kunnen interacties tussen onderverdelingen alleen plaatsvinden via een router.

De verschillen tussen hen komen in de vorm van hun implementatie en hoe ze de netwerkstructuur veranderen.

IP-adres subnet

Subnetten bestaan ​​op laag 3 van het OSI-model, de netwerklaag. Subnetten zijn een constructie op netwerkniveau en worden afgehandeld met routers, georganiseerd rond IP-adressen.

Routers maken reeksen van IP-adressen en onderhandelen over de verbindingen daartussen. Dit legt alle stress van netwerkbeheer op de router. Subnetten kunnen ook ingewikkeld worden naarmate uw netwerk groter en complexer wordt.

VLAN

VLAN's vinden hun thuis op Layer 2 van het OSI-model. Het datalinkniveau ligt dichter bij de hardware en minder abstract. Virtuele LAN's emuleren hardware die als individuele schakelaars fungeert.

Virtuele LAN's kunnen echter uitzenddomeinen opsplitsen zonder opnieuw verbinding te hoeven maken met een router, waardoor een deel van de beheerlasten van de router wordt weggenomen.

Omdat VLAN's hun eigen virtuele netwerken zijn, moeten ze zich enigszins gedragen alsof ze een ingebouwde router hebben. Als gevolg hiervan bevatten VLAN's ten minste één subnet en kunnen ze meerdere subnetten ondersteunen.

VLAN's verdelen de netwerkbelasting en. meerdere switches kunnen verkeer binnen VLAN's afhandelen zonder de router te betrekken, wat zorgt voor een efficiënter systeem.

Voordelen van VLAN's

Inmiddels heb je al een aantal voordelen gezien die VLAN's met zich meebrengen. Alleen al vanwege wat ze doen, hebben VLAN's een aantal waardevolle kenmerken.

VLAN's helpen bij de beveiliging. Compartimentering van verkeer beperkt elke mogelijkheid voor ongeautoriseerde toegang tot delen van een netwerk. Het helpt ook om de verspreiding van kwaadaardige software te stoppen, mocht deze zijn weg naar het netwerk vinden. Potentiële indringers kunnen geen tools zoals Wireshark gebruiken om pakketten op te sporen buiten het virtuele LAN waarop ze zich bevinden, waardoor die dreiging ook wordt beperkt.

Netwerkefficiëntie is een groot probleem. Het kan een bedrijf duizenden dollars besparen of kosten om VLAN's te implementeren. Het opsplitsen van broadcastdomeinen verhoogt de netwerkefficiëntie aanzienlijk door het aantal apparaten dat tegelijkertijd bij de communicatie betrokken is, te beperken. VLAN vermindert de noodzaak om routers in te zetten om netwerken te beheren.

Vaak kiezen netwerkingenieurs ervoor om virtuele LAN's per service te bouwen, waarbij belangrijk of netwerkintensief verkeer wordt gescheiden, zoals een Storage Area Network (SAN) of Voice over IP (VOIP). Sommige switches stellen een beheerder ook in staat om prioriteit te geven aan VLAN's, waardoor er meer bronnen beschikbaar zijn voor meer veeleisend en kritiek verkeer.

VLAN's zijn belangrijk

Het zou verschrikkelijk zijn om een ​​onafhankelijk fysiek netwerk te moeten bouwen om het verkeer te scheiden. Stelt u zich de ingewikkelde wirwar van bekabeling voor die u zou moeten doorstaan ​​om wijzigingen aan te brengen. Dat wil niets zeggen over de hogere hardwarekosten en het stroomverbruik. Het zou ook enorm inflexibel zijn. VLAN's lossen al deze problemen op door meerdere switches op één stuk hardware te virtualiseren.

VLAN's bieden netwerkbeheerders een hoge mate van flexibiliteit via een handige software-interface. Stel dat twee afdelingen van kantoor wisselen. Moet het IT-personeel hardware verplaatsen om de verandering op te vangen? Nee. Ze kunnen poorten op de switches gewoon opnieuw toewijzen aan de juiste VLAN's. Sommige VLAN-configuraties zouden dat niet eens nodig hebben. Ze zouden zich dynamisch aanpassen. Deze VLAN's hebben geen toegewezen poorten nodig. In plaats daarvan zijn ze gebaseerd op MAC- of IP-adressen. Hoe dan ook, er is geen schuifelen van schakelaars of kabels nodig. Het is veel efficiënter en kosteneffectiever om een ​​softwareoplossing te implementeren om de locatie van een netwerk te wijzigen dan om de fysieke hardware te verplaatsen.

Statische versus dynamische VLAN's

Er zijn twee basistypen VLAN's, gecategoriseerd op basis van de manier waarop machines ermee zijn verbonden. Elk type heeft sterke en zwakke punten waarmee rekening moet worden gehouden op basis van de specifieke netwerksituatie.

Statisch VLAN

Statische VLAN's worden vaak poortgebaseerde VLAN's genoemd omdat apparaten verbinding maken door verbinding te maken met een toegewezen poort. Deze handleiding heeft tot nu toe alleen statische VLAN's als voorbeelden gebruikt.

Bij het opzetten van een netwerk met statische VLAN's zou een technicus een switch verdelen over de poorten en elke poort toewijzen aan een VLAN. Elk apparaat dat verbinding maakt met die fysieke poort, wordt lid van dat VLAN.

Statische VLAN's bieden zeer eenvoudige en gemakkelijk te configureren netwerken zonder al te veel afhankelijkheid van software. Het is echter moeilijk om de toegang binnen een fysieke locatie te beperken, omdat een persoon gewoon kan aansluiten. Statische VLAN's vereisen ook dat een netwerkbeheerder de poorttoewijzingen wijzigt voor het geval iemand op het netwerk van fysieke locatie verandert.

Dynamisch VLAN

Dynamische VLAN's zijn sterk afhankelijk van software en bieden een hoge mate van flexibiliteit. Een beheerder kan MAC- en IP-adressen toewijzen aan specifieke VLAN's, waardoor onbelaste bewegingen in de fysieke ruimte mogelijk zijn. Machines in een dynamisch virtueel LAN kunnen overal binnen het netwerk bewegen en op hetzelfde VLAN blijven.

Hoewel dynamische VLAN's onverslaanbaar zijn in termen van aanpassingsvermogen, hebben ze enkele ernstige nadelen. Een high-end switch moet de rol aannemen van een server die bekend staat als een VLAN Management Policy Server (VMPS (om adresinformatie op te slaan en te leveren aan de andere switches in het netwerk). Een VMPS vereist, zoals elke server, regelmatig beheer en onderhoud en is onderhevig aan mogelijke downtime.

Aanvallers kunnen MAC-adressen vervalsen en toegang krijgen tot dynamische VLAN's, wat een nieuwe potentiële beveiligingsuitdaging toevoegt.

Een VLAN instellen

Wat je nodig hebt

Er zijn een aantal basisitems die u nodig hebt om een ​​VLAN of meerdere VLAN's in te stellen. Zoals eerder vermeld, zijn er een aantal verschillende standaarden, maar de meest universele is de IEEE 802.1Q. Dat is degene die dit voorbeeld zal volgen.

router

Technisch gezien heb je geen router nodig om een ​​VLAN in te stellen, maar als je wilt dat meerdere VLAN's samenwerken, heb je een router nodig.

Veel moderne routers ondersteunen VLAN-functionaliteit in een of andere vorm. Thuisrouters ondersteunen VLAN mogelijk niet of slechts in een beperkte capaciteit. Aangepaste firmware zoals DD-WRT ondersteunt het grondiger.

Over maatwerk gesproken, je hebt geen kant-en-klare router nodig om met je virtuele LAN's te werken. Aangepaste routerfirmware is meestal gebaseerd op een Unix-achtig besturingssysteem zoals Linux of FreeBSD, dus u kunt uw eigen router bouwen met een van die open source-besturingssystemen.

Alle routeringsfunctionaliteit die je nodig hebt, is beschikbaar voor Linux, en je kunt een Linux-installatie op maat configureren om je router aan te passen aan je specifieke behoeften. Voor iets dat completer is, kijk in pfSense. pfSense is een uitstekende distributie van FreeBSD, gebouwd als een robuuste open source routeringsoplossing. Het ondersteunt VLAN's en bevat een firewall om het verkeer tussen uw virtuele netwerken beter te beveiligen.

Welke route u ook kiest, zorg ervoor dat deze de VLAN-functies ondersteunt die u nodig hebt.

Beheerde switch

Switches vormen de kern van VLAN-netwerken. Ze zijn waar de magie gebeurt. U hebt echter een beheerde switch nodig om te profiteren van de VLAN-functionaliteit.

Om de zaken letterlijk een niveau hoger te tillen, zijn er Layer 3 managed switches beschikbaar. Deze switches kunnen wat Layer 3-netwerkverkeer aan en kunnen in sommige situaties de plaats van een router innemen.

Het is belangrijk om in gedachten te houden dat deze switches geen routers zijn en dat hun functionaliteit beperkt is. Layer 3-switches verminderen de kans op netwerklatentie, wat van cruciaal belang kan zijn in sommige omgevingen waar het van cruciaal belang is om een ​​netwerk met een zeer lage latentie te hebben.

Client Network Interface Cards (NIC's)

De NIC's die u op uw clientcomputers gebruikt, moeten 802.1Q ondersteunen. De kans is groot dat ze dat doen, maar het is iets om naar te kijken voordat je verder gaat.

Basisconfiguratie

Hier is het moeilijke deel. Er zijn duizenden verschillende mogelijkheden om uw netwerk te configureren. Geen enkele gids kan ze allemaal behandelen. In wezen zijn de ideeën achter bijna elke configuratie hetzelfde, en dat geldt ook voor het algemene proces.

De router instellen

Je kunt op verschillende manieren aan de slag. U kunt de router op elke switch of op elk VLAN aansluiten. Als u kiest voor slechts elke switch, moet u de router configureren om het verkeer te differentiëren.

Vervolgens kunt u uw router configureren om passerend verkeer tussen VLAN's af te handelen.

De schakelaars configureren

VLAN's hebben switches nodig

Ervan uitgaande dat dit statische VLAN's zijn, kunt u het VLAN-beheerprogramma van uw switch openen via de webinterface en beginnen met het toewijzen van poorten aan verschillende VLAN's. Veel switches gebruiken een tabellay-out waarmee u opties voor de poorten kunt afvinken.

Als u meerdere switches gebruikt, wijst u een van de poorten toe aan al uw VLAN's en stelt u deze in als trunkpoort. Doe dit bij elke schakelaar. Gebruik vervolgens die poorten om verbinding te maken tussen de switches en verspreid uw VLAN's over meerdere apparaten.

Klanten verbinden

Ten slotte is het vrij vanzelfsprekend om klanten op het netwerk te krijgen. Sluit uw clientmachines aan op de poorten die overeenkomen met de VLAN's waarop u ze wilt hebben.

VLAN Thuis

Hoewel het misschien niet als een logische combinatie wordt gezien, hebben VLAN's eigenlijk een geweldige toepassing in de thuisnetwerkruimte, gastnetwerken. Als u geen zin heeft om een ​​WPA2 Enterprise-netwerk in uw huis op te zetten en individueel inloggegevens voor uw vrienden en familie aan te maken, kunt u VLAN's gebruiken om de toegang van uw gasten tot de bestanden en services op uw thuisnetwerk te beperken.

Veel duurdere thuisrouters en aangepaste routerfirmware ondersteunen het maken van basis-VLAN's. U kunt een gast-VLAN met eigen inloggegevens instellen om uw vrienden verbinding te laten maken met hun mobiele apparaten. Als uw router dit ondersteunt, is een gast-VLAN een geweldige toegevoegde beveiligingslaag om te voorkomen dat de met virussen doorzeefde laptop van uw vriend uw schone netwerk verknoeit.