Ĉi tio estas maŝintradukita teksto kiu povas enhavi erarojn!
Imagu skolan-reton kie lernantoj, instruistoj, administrado kaj IoT-aparatoj (skribuiloj, inteligentaj ekranoj, kameraoj) ĉiuj dividas la saman reton. Teorie, ĉiuj povas vidi unu ĉiper. Tio ne estas nek sekura nek efika. La solvo estas segmentado.
Kial vi segmenti?
Segmentado signifas dividi reton en plurajn pli malgrandajn partojn. Ĉiu parto estas izolita de la aliaj, tiel ke trafiko ne fluas libere inter ili.
| Avantaĝo | Espliko |
|---|---|
| Sekureco | Kompromitita IoT-kamerao ne povas atingi la servilojn |
| Efikeco | Malpli da dissenda trafiko po segmento |
| Kontrolo | Diversaj reguloj por diversaj uzantogrupoj |
| Problemo-solvo | Pli facile izoli problemojn al aparta segmento |
Praktika ekzemplo
En lernejo la reto povas aspekti tiel:
- VLAN 10: Administrado - Pagiado, HR, gvidado. Tre limigita aliro.
- VLAN 20: Estempluloj - Instruistoj kaj aliaj dungitoj. Aliro al komunaj dosierujoj kaj skribuiloj.
- VLAN 30: Disciploj - Nur internet-aliro kaj lernplatformoj.
- VLAN 40: IoT - Skribuiloj, inteligentaj ekranoj, kameroj. Neniu internet-aliro (aŭ tre limigita).
- VLAN 50: Serviloj - Internaj serviloj, ne atingeblaj rekte el aliaj VLAN-oj.
Kio estas VLAN?
VLAN estas mallongigo por Virtuala Loka Areo-Reto. Ĝi estas maniero krei plurajn logicajn retojn sur la sama fizika ŝaltilo. Anstataŭ aĉeti apartan ŝaltilon por ĉiu reto, vi konfiguras la ŝaltilon por trakti malsamajn havenojn (aŭ trafikon) kiel apartajn retojn.
Ĉiu VLAN havas sian propran adresaron (subreton):
| VLAN | Nomo | Subreto | Pordokontrolilo |
|---|---|---|---|
| 10 | Administrado | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Dungitoj | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Studentoj | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serviloj | 10.0.50.0/24 | 10.0.50.1 |
Subnetado mallonge klarigite
/24 signifas, ke la unuaj 24 bitoj estas la reto-parto de la adreso. En praktiko, tio signifas, ke vi havas 254 disponeblajn adresojn (.1 ĝis .254) en ĉiu VLAN.
10.0.10.0/24donas adresojn de10.0.10.1ĝis10.0.10.254- La poorto (Gateway) kutime estas la unua adreso (
.1)
Tagita vs. netagita trafiko
Por ke VLAN-oj funkciu trans pluraj ŝaltiloj (aŭ inter ŝaltilo kaj ruter), oni uzas tagadon:
| Tipo | Klarigo | Uzo |
|---|---|---|
| Netagita (access) | La pordo apartenas al unu VLAN. La aparato ne scias pri la VLAN. | Komputiloj, presiloj, telefonoj |
| Tagita (trunk) | La pordo transportas trafikon de pluraj VLAN-oj, markitan per VLAN-ID. | Inter ŝaltiloj, al ruter |
Aparatoj kiel komputiloj kaj presiloj ne bezonas scii, ke ili estas sur VLAN. Ili estas konektitaj al “access”-pordo, kiu estas asignita al la ĝusta VLAN. La konekto inter du ŝaltiloj aŭ inter ŝaltilo kaj ruter uzas “trunk”-pordon, kiu transportas ĉiujn VLAN-ojn.
Tasko 1 - Vidu VLAN en praktiko
Se vi havas aliron al Unifi aŭ alia platformo por administri la reton en la lernejo:
- Rigardu kiujn VLAN-ojn oni konfigurigis
- Kiajn portojn oni starigis kiel alirejajn, kaj kiujn kiel trunkajn?
- Provu eltrovi al kiu VLAN estas konektita via komputilo (indico: kontrolu vian IP-adreson kaj komparu kun la subnet-tabelo)
Fajregaj Reguloj Inter VLAN
Kreiadon de VLAN-oj estas nur duono de la laboro. Sen fajregaj reguloj, trafiko ankoraŭ povas flui inter ili tra la rutilo/pordilo. Vi devas eksplicite determini kio estas permesata:
| De (fonto) | Al (celo) | Permesata? | Justifigo |
|---|---|---|---|
| Studantoj | Interreto | ✅ Jes | Necesega por instruado |
| Studantoj | Serviloj | ❌ Ne | Studantoj ne bezonas aliron al serviloj |
| Dungitoj | Serviloj | ✅ Jes | Dosierkonservado kaj internaj sistemoj |
| IoT | Interreto | ❌ Ne (aŭ limigita) | IoT-aparatoj rare bezonas interreton |
| IoT | Studantoj/Dungitoj | ❌ Ne | IoT devas esti izolita |
| Serviloj | Ĉiuj | ✅ Jes (eliranta) | Serviloj povas respondi al petoj |
Standard: bloklu ĉion, permesu tion, kion vi bezonas
Bona firewalls-politiko komenciĝas per blokado de ĉiu trafiko inter la VLAN-oj, kaj poste vi malfermas nur tion, kio estas necese. Estas multe pli sekura ol komenci kun ĉio malfermita kaj provi bloki tion, kion vi ne volas.
Subnetting
Ĉiu VLAN bezonas sian propran subneton. Subneto difinas la adresan spacon por la reto:
| Subnet | Retmasko | Nombro da adresoj | Tipa uzo |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Plej multaj VLAN |
/25 | 255.255.255.128 | 126 | Pli malgrandaj segmentoj |
/16 | 255.255.0.0 | 65 534 | Grandaj retoj |
Tasko 2 - Kalkulu subreton
Uzu retan subnet-kalkulilon, ekz. subnet-calculator.com:
- Enigu
192.168.1.0kun masko/24. Kiom da adresoj vi ricevas? - Kio okazas se vi ŝanĝas al
/25? Aŭ/23? - Kion vi elektus por ĉambro kun 30 lernantoj?
DHCP por VLAN
Ĉiu VLAN bezonas sian propran DHCP-konfiguracion, por ke la aparataro ricevu la ĝustan IP-adreson por sia segmento. Tio povas esti agordita en la ruteron aŭ per dediĉita DHCP-servero.
Ekzemplo por la Elev-VLAN:
| Agordo | Valoro |
|---|---|
| Subreto | 10.0.30.0/24 |
| Gateway | 10.0.30.1 |
| DHCP-intervalo | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Resumo
- Segmentado dividas la reton en izolitajn partojn por sekureco kaj kontrolo
- VLAN estas virtualaj retoj sur la sama fizika ŝaltilo
- Aksesan-portoj konektas aparatojn al unu VLAN, trunk-portoj portas plurajn VLAN
- Firemura reguloj determinas kio estas permesita inter la VLANoj
- Ĉiu VLAN bezonas propran subreto kaj DHCP-konfiguracion
- Komenca punkto: bloku ĉion, permesu nur tion, kio estas necesa