Verkossasi olevien laitteiden määrä kasvaa nopeasti. Usein sinulla ei ole aavistustakaan, mitä nuo laitteet tekevät. Se on turvallinen idea laittaa ne erilliseen verkkoon tai aliverkkoon virtuaaliverkon tai VLAN: n avulla. Tämän jälkeen voit asettaa rajoituksia, mutta myös asettaa liikenneprioriteetit. Näytämme sinulle, miten tämä toimii, mitä tarvitset siihen ja miten voit käsitellä verkon jatkohallintaa.
Tällainen kasvava verkko IoT-laitteilla on mukavaa, mutta sen on myös oltava hallittavissa. Yleensä laitteet käyttävät normaalia kotiverkkoasi, mikä ei anna niin turvallista tunnetta, koska monilla ioT-laitteilla ei ole turvallisuutta. Virtuaaliverkkojen (tai virtuaalisten lähiverkkojen tai VLAN-verkkojen) avulla on hyvä erottaa. Virtuaaliverkko on pohjimmiltaan erillinen verkko - tai aliverkko - joka yksinkertaisesti käyttää olemassa olevia kaapeleita ja kytkimiä. Kätevä esimerkiksi eristää kaikki nuo IoT-laitteet, jotta ne eivät pääse pääverkkoon tai muodosta yhteyttä hämärään palvelimeen Kiinassa, vain muutamia mainitakseni.
01 Mitä aliverkot ovat?
Aliverkko on itse asiassa sarja IP-osoitteita, jotka kuuluvat yhteen. Paikallisverkossasi nämä ovat yksityisiä IP-osoitteita, joita ei ole Internetissä (katso ruutu "Tunnetut yksityiset IP-alueet ja aliverkon peitteet"). Kunkin IP-osoitteen ensimmäinen osa viittaa vastaavaan verkkoon, toinen osa tiettyyn laitteeseen tai isäntään. Aliverkon peite osoittaa, mikä osa kuvaa verkkoa. Jos reitittimessäsi on erillinen verkkoportti, jossa on eristetty vierasverkko, se on itse asiassa myös erillinen aliverkko, jolla on erilainen IP-alue. Työskentelemällä VLAN-verkkojen kanssa voit luoda useita aliverkkoja samaan verkkoon edellyttäen, että käytät hallittua kytkintä, joka pystyy käsittelemään tällaisia VLAN-verkkoja. Muualla tässä tietokoneessa! Olemme testanneet sinulle useita tunnettuja malleja!
Tunnetut yksityiset IP-alueet ja aliverkon peitteet
Etsitkö reititintäsi? Todennäköisesti löydät sen osoitteesta kuten 192.168.1.1, ja verkkolaitteesi osoitteista välillä 192.168.1.2 - 192.168.1.254. Tässä tapauksessa aliverkon peite on 255.255.255.0. Tällainen aliverkon peite osoittaa, mihin IP-osoitteen osaan verkko osoittaa. Tässä tapauksessa täsmälleen kolme ensimmäistä numeroa, jotka ovat samat jokaiselle kyseisen aliverkon IP-osoitteelle. Se "puhuu" helpommin, mutta ei ole pakollista: voit kokeilla sitä (internetin laskentatyökalujen avulla). Löydät usein myös lyhennetyn CIDR-merkinnän (Classless Domain Inter-Domain Routing). Voit sitten kirjoittaa tämän tietyn aliverkon nimellä 192.168.1.0/24. Toinen tunnettu IP-alue, jota käytämme myös tässä työpajassa, on 10.0.0.0/24.
02 Näin VLAN-verkot toimivat
VLAN-verkot erotetaan yksilöllisellä "tagilla" tai "VLAN ID" -arvolla välillä 1 - 4094. Ajattele sitä liikenteessä olevana tagina. Tällaista VLAN-tunnusta on käytännöllistä käyttää verkko-osoitteessa, esimerkiksi 10.0.10.0 / 24 VLAN 10: lle ja 10.0: lle.20.0 / 24 VLAN 20: lle. VLAN ID: n perusteella kytkin määrittää, mihin portteihin liikenne lähetetään. Asennettaessa sitä on erityisesti tiedettävä, mitä liitetty laite tekee VLAN-verkkojen kanssa. Jos se ei toimi sen, kuten tietokoneen tai tulostimen, kanssa, määrität portin ns. Yhdyskäytäväksi. Jos laite kuitenkin käsittelee valittujen VLAN-verkkojen, kuten tiettyjen reitittimien, palvelimien ja yrityksen tukiasemien, liikennettä, määrität sen runkoportiksi. Kutsumme myös tällaisia laitteita "VLAN-tietoiseksi".
03 VLAN-verkkojen asettaminen kytkimelle
Lisäät VLAN-kytkimiä peräkkäin (VLAN-tunnuksen mukaan) ja valitset porttimerkinnän välillä Merkitty, Tunnistamaton tai Ei jäsen. Jos portilla ei ole mitään tekemistä tietyn VLAN: n kanssa, valitse Ei jäsen. Valitset sisäänkäynnin portin Tunnistamaton niin, että kytkimestä lähtevä liikenne poistetaan tunnisteista. Valitset runkoportin Merkittyjotta laite saa VLAN-tunnuksen (ja tekee jotain sen kanssa). Tavallisesti sinun on myös asetettava ns. PVID (Port VLAN identifier) -porttia kohti, jotta saapuva liikenne (joka ei sisällä VLAN-tunnusta ja jota kutsutaan siksi merkitsemättömäksi / tunnistamattomaksi) päätyy oikeaan VLAN-verkkoon. Koska yhdyskäytävä on vain yhden VLAN: n "jäsen", se voidaan itse asiassa päätellä myös kokoonpanostasi. Jotkin kytkimet toimivat siksi itsenäisesti, mutta tarkista aina tämä! Jos kiinnität tarkkaa huomiota, huomaat, että voit asettaa myös PVID: n runkoportille kytkintä konfiguroitaessa. Tämä johtuu siitä, että vaikka onkin parempi välttää tätä käytännössä, voit tarjota enintään yhden merkitsemättömän VLAN: n merkityn liikenteen lisäksi tällaisen tavaratilan kautta.
04 Oletus-VLAN?
Huomaa, että kun kytkimet otetaan pois laatikosta, niillä on usein oletusarvo tai natiivi VLAN, jonka PVID on oletusarvoisesti melkein aina asetettu VLAN ID 1: ksi. Se tulee hieman Cisco-maailmasta. Tämän seurauksena tunnistamaton saapuva liikenne kartoitetaan oletusarvoisesti VLAN 1: een. Kaikki portit asetetaan edelleen pääsyportiksi (Tunnistamaton) kyseiselle VLAN: lle. Heti kun liityt porttiin toiseen VLAN-verkkoon, laita se päälle Merkitty tai Tunnistamaton tietylle VLAN ID: lle voit poistaa VLAN ID 1: n uudelleen. Jos portti ei ole enää toisen VLAN: n jäsen, se järjestetään yleensä automaattisesti VLAN 1: ksi. Tällainen käyttäytyminen eroaa hieman kytkimestä toiseen, joten on järkevää tarkistaa tämä allokointi.
05 Käytä olemassa olevia kytkimiä uudelleen
Onko sinulla verkkoportteja vähän? Voit helposti laajentaa verkkoasi vanhoilla (hallitsemattomilla) kytkimillä. Vaikka he eivät pysty käsittelemään VLAN-verkkoja, heidän ei tarvitse. Yhdistät ne pääsyporttiin, joka, kuten edellä on selitetty, toimittaa liikenteen merkitsemättä ja jakaa saapuvan liikenteen takaisin oikeaan VLAN-verkkoon PVID-asetuksen kautta. On käytännöllistä kiinnittää tarra tai tarra tällaiseen kytkimeen, jotta tiedät, mihin aliverkkoon käytät sitä. Joka tapauksessa on hyödyllistä merkitä kaikki kytkinten portit ja mahdollisesti myös kaapelit, jos työskentelet VLAN-verkkojen kanssa. Tai esimerkiksi käytät erillistä kaapelin väriä VLAN: ää kohti.
06 Käytännön esimerkki: Internet ja vierasverkko
Onko sinulla reititin, jolla on erillinen verkkoportti vieraiden pääsyä varten? Ja haluatko esimerkiksi normaalin ja vierasverkon makuuhuoneessa? Laita sitten hallittu kytkin mittarin kaappiin ja makuuhuoneeseen. Valitse VLAN-tunnus tavalliselle verkolle (esimerkiksi 6) ja vierasverkolle (esimerkiksi 8). Liitä esimerkiksi mittakaapissa portti 1 tavalliseen verkkoon ja 2 vierasverkkoon. Määrität portin (esimerkiksi portti 8) ns. Runkoportiksi merkitsemällä sen molemmille VLAN-tunnuksille. Molempien VLAN-verkkojen liikenne menee sitten makuuhuoneen kytkimeen tämän portin kautta.
Kun määrität kytkintä, syötä ensin VLAN ID 6 portin 1 ollessa päällä Tunnistamaton ja portti 8 päällä Merkitty. Syötä sitten toinen VLAN ID 8 ja nyt portti 2 Tunnistamaton ja portti 8 päällä Merkitty. Sinun on yleensä vielä asetettava PVID portille 1 (6) ja 2 (8). Makuuhuoneessa voit jakaa liikenteen uudelleen samanlaisella kokoonpanolla. Kytkimen muut portit voidaan tietysti järjestää mieltymyksesi mukaan tavallisessa verkossa tai vierasverkossa.
Televisio ja Internet erillisten kaapeleiden kautta?
Internet-palveluntarjoajien omassa verkossa he yleensä käyttävät VLAN-verkkoja erottaakseen esimerkiksi Internetin, television ja VoIP: n. Tämä ei ole vain turvallisempaa, vaan laatu voidaan taata paremmin myös näillä erillisillä verkoilla. Reititin voi jakaa tällaisen liikenteen sisäisesti eri portteihin. Televisiossa tämä on joskus erilainen aliverkko, ja palveluntarjoaja olettaa, että vedät erilliset kaapelit. Jos televisioon on kuitenkin vain yksi verkkokaapeli, voit käyttää VLAN-verkkoja kätevästi. Laita hallittu kytkin sekä mittakaappiin että televisioon ja pidä liikenne erillään VLAN-verkkojen avulla, kuten käytännön esimerkissä tavallisesta verkosta vierasverkon kanssa.
