هذا نص مترجم آليًا وقد يحتوي على أخطاء!
تخيل شبكة مدرسية حيث يشارك الطلاب والمعلمون والإدارة وأجهزة إنترنت الأشياء (الطابعات والشاشات الذكية والكاميرات) جميعهم نفس الشبكة. من الناحية النظرية، يمكن للجميع رؤية بعضهم البعض. هذا ليس آمنًا ولا فعالًا. الحل هو التجزئة.
لماذا تجزئة الشبكة؟
التجزئة تعني تقسيم الشبكة إلى أجزاء أصغر. كل جزء معزول عن الأجزاء الأخرى، بحيث لا يتدفق المرور بحرية بينها.
| الميزة | الشرح |
|---|---|
| الأمان | لا يمكن لكاميرا إنترنت الأشياء المخترقة الوصول إلى الخوادم |
| الأداء | حركة بث أقل لكل جزء |
| التحكم | قواعد مختلفة لمجموعات المستخدمين المختلفة |
| استكشاف الأخطاء وإصلاحها | من الأسهل عزل المشكلات إلى جزء معين |
Et praktisk eksempel
في مدرسة، يمكن أن يبدو الشبكة على النحو التالي:
- VLAN 10: Administrasjon - الرواتب، الموارد البشرية، الإدارة. وصول محدود للغاية.
- VLAN 20: Ansatte - المعلمون والموظفون الآخرون. الوصول إلى المجلدات المشتركة والطابعات.
- VLAN 30: Elever - الوصول إلى الإنترنت ومنصات التعلم فقط.
- VLAN 40: IoT - الطابعات، الشاشات الذكية، الكاميرات. لا يوجد وصول إلى الإنترنت (أو محدود للغاية).
- VLAN 50: Servere - الخوادم الداخلية، غير متاحة مباشرة من VLANs الأخرى.
ما هو VLAN؟
VLAN هو اختصار لـ Virtual Local Area Network (شبكة محلية افتراضية). إنها طريقة لإنشاء شبكات منطقية متعددة على نفس المحول الفعلي. بدلاً من شراء محول منفصل لكل شبكة، تقوم بتكوين المحول لمعاملة المنافذ المختلفة (أو حركة المرور) كشبكات منفصلة.
لكل VLAN نطاق عناوين خاص به (شبكة فرعية):
| VLAN | الاسم | الشبكة الفرعية | البوابة |
|---|---|---|---|
| 10 | الإدارة | 10.0.10.0/24 | 10.0.10.1 |
| 20 | الموظفين | 10.0.20.0/24 | 10.0.20.1 |
| 30 | الطلاب | 10.0.30.0/24 | 10.0.30.1 |
| 40 | إنترنت الأشياء | 10.0.40.0/24 | 10.0.40.1 |
| 50 | الخوادم | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 يعني أن أول 24 بت هي جزء الشبكة من العنوان. في الممارسة العملية، يعني ذلك أن لديك 254 عنوانًا متاحًا (.1 إلى .254) في كل VLAN.
10.0.10.0/24يوفر عناوين من10.0.10.1إلى10.0.10.254- البوابة عادةً ما تكون العنوان الأول (
.1)
حركة البيانات الموسومة مقابل حركة البيانات غير الموسومة
لكي تعمل شبكات VLAN عبر عدة محولات (أو بين المحول والموجه)، يتم استخدام وضع العلامات:
| النوع | التفسير | الاستخدام |
|---|---|---|
| غير موسوم (access) | ينتمي المنفذ إلى شبكة VLAN واحدة. الجهاز لا يعرف عن شبكة VLAN. | أجهزة الكمبيوتر، والطابعات، والهواتف |
| موسوم (trunk) | يحمل المنفذ حركة مرور من شبكات VLAN متعددة، مع وضع علامة عليها بمعرّف شبكة VLAN. | بين المحولات، نحو الموجه |
الأجهزة مثل أجهزة الكمبيوتر والطابعات لا تحتاج إلى معرفة أنها على شبكة VLAN. يتم توصيلها بمنفذ “access” المخصص لشبكة VLAN الصحيحة. يستخدم الاتصال بين محولين أو بين محول وموجه منفذ “trunk” يحمل جميع شبكات VLAN.
المهمة 1 - انظر إلى VLAN في الممارسة العملية
إذا كان لديك حق الوصول إلى Unifi أو منصة إدارة شبكة أخرى في المدرسة:
- انظر إلى VLANs التي تم تكوينها
- ما هي المنافذ التي تم تعيينها كـ access، وما هي التي تم تعيينها كـ trunk؟
- حاول معرفة VLAN الذي يتصل به جهاز الكمبيوتر الخاص بك (تلميح: تحقق من عنوان IP الخاص بك وقارنه بجدول الشبكات الفرعية)
قواعد جدار الحماية بين شبكات VLAN
إنشاء شبكات VLAN ليس سوى نصف المهمة. بدون قواعد جدار الحماية، يمكن أن يستمر تدفق حركة المرور بينها عبر جهاز التوجيه/البوابة. يجب عليك تحديد ما هو مسموح به بشكل صريح:
| من (المصدر) | إلى (الوجهة) | مسموح؟ | التبرير |
|---|---|---|---|
| الطلاب | الإنترنت | ✅ نعم | ضروري للتعليم |
| الطلاب | الخوادم | ❌ لا | الطلاب لا يحتاجون إلى الوصول إلى الخوادم |
| الموظفين | الخوادم | ✅ نعم | تخزين الملفات والأنظمة الداخلية |
| إنترنت الأشياء | الإنترنت | ❌ لا (أو محدود) | نادرًا ما تحتاج أجهزة إنترنت الأشياء إلى الإنترنت |
| إنترنت الأشياء | الطلاب/الموظفين | ❌ لا | يجب عزل إنترنت الأشياء |
| الخوادم | الكل | ✅ نعم (صادر) | يمكن للخوادم الرد على الطلبات |
Standard: blokker alt, tillat det du trenger
تبدأ سياسة جدار الحماية الجيدة بحظر كل حركة المرور بين شبكات VLAN، ثم فتح ما هو مطلوب فقط. هذا أكثر أمانًا بكثير من البدء بكل شيء مفتوح ومحاولة حظر ما لا تريده.
Subnetting
يحتاج كل VLAN إلى شبكة فرعية خاصة به. تحدد الشبكة الفرعية نطاق العناوين للشبكة:
| الشبكة الفرعية | قناع الشبكة | عدد العناوين | الاستخدام النموذجي |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | معظم VLANs |
/25 | 255.255.255.128 | 126 | شرائح أصغر |
/16 | 255.255.0.0 | 65 534 | شبكات كبيرة |
المهمة 2 - احسب شبكة فرعية
استخدم حاسبة شبكات فرعية عبر الإنترنت، على سبيل المثال subnet-calculator.com:
- أدخل
192.168.1.0مع القناع/24. كم عدد العناوين التي تحصل عليها؟ - ماذا يحدث إذا قمت بالتغيير إلى
/25؟ أو/23؟ - ماذا ستختار لفصل دراسي به 30 طالبًا؟
DHCP لكل VLAN
يحتاج كل VLAN إلى تكوين DHCP خاص به حتى تحصل الأجهزة على عنوان IP الصحيح لقطاعها. يمكن تكوين ذلك على جهاز التوجيه أو خادم DHCP مخصص.
مثال لـ Elev-VLANet:
| الإعداد | القيمة |
|---|---|
| الشبكة الفرعية | 10.0.30.0/24 |
| البوابة | 10.0.30.1 |
| نطاق DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
ملخص
- التجزئة تقسم الشبكة إلى أجزاء معزولة للأمان والتحكم
- VLAN هي شبكات افتراضية على نفس المحول الفعلي
- منافذ الوصول تربط الأجهزة بـ VLAN واحد، بينما منافذ التجميع تحمل عدة VLAN
- قواعد جدار الحماية تحدد ما هو مسموح به بين شبكات VLAN
- تحتاج كل شبكة VLAN إلى شبكة فرعية وتهيئة DHCP خاصة بها
- نقطة البداية: حظر كل شيء، والسماح فقط بما هو ضروري