Ĉi tio estas maŝintradukita teksto kiu povas enhavi erarojn!
Imagu skolan retaron kie lernantoj, instruistoj, administracio kaj IoT-aparatoj (presiloj, inteligentaj ekranoj, fotiloj) ĉiuj dividas la saman reton. Ĉiuj povas teorie vidi unu la alian. Tio estas nek sekura nek efika. La solvo estas segmentado.
Kial vi segmenti?
Segmentado signifas dividi reton en plurajn pli malgrandajn partojn. Ĉiu parto estas izolita de la aliaj, tiel ke trafiko ne fluas libere inter ili.
| Avantaĝo | Espliko |
|---|---|
| Sekureco | Kompromitita IoT-kamerao ne povas atingi la servilojn |
| Efikeco | Malpli da dissenda trafiko po segmento |
| Kontrolo | Diversaj reguloj por diversaj uzantogrupoj |
| Problemo-solvo | Pli facile izoli problemojn al aparta segmento |
Praktika ekzemplo
En lernejo, la reto povas aspekti jene:
- VLAN 10: Administrado - Salajroj, HR, gvidantaro. Strikte limigita aliro.
- VLAN 20: Dungitoj - Instruistoj kaj aliaj dungitoj. Aliro al komunaj dosierujoj kaj presiloj.
- VLAN 30: Lernantoj - Nur interreta aliro kaj lernaj platformoj.
- VLAN 40: IoT - Presiloj, inteligentaj ekranoj, fotiloj. Neniu interreta aliro (aŭ tre limigita).
- VLAN 50: Serviloj - Internaj serviloj, ne alireblaj rekte de aliaj VLAN-oj.
Kio estas VLAN?
VLAN estas mallongigo por Virtuala Loka Areo-Reto. Ĝi estas maniero krei plurajn logicajn retojn sur la sama fizika ŝaltilo. Anstataŭ aĉeti apartan ŝaltilon por ĉiu reto, vi konfiguras la ŝaltilon por trakti malsamajn havenojn (aŭ trafikon) kiel apartajn retojn.
Ĉiu VLAN havas sian propran adresaron (subreton):
| VLAN | Nomo | Subreto | Pordokontrolilo |
|---|---|---|---|
| 10 | Administrado | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Dungitoj | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Studentoj | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serviloj | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 signifas, ke la unua 24 bitoj estas la reto-parto de la adreso. Praktike tio signifas, ke vi havas 254 disponeblajn adresojn (.1 ĝis .254) en ĉiu VLAN.
10.0.10.0/24donas adresojn de10.0.10.1ĝis10.0.10.254- La pordo estas kutime la unua adreso (
.1)
Tagita vs. netagita trafiko
Por ke VLAN-oj funkciu trans pluraj ŝaltiloj (aŭ inter ŝaltilo kaj ruter), oni uzas tagadon:
| Tipo | Klarigo | Uzo |
|---|---|---|
| Netagita (access) | La pordo apartenas al unu VLAN. La aparato ne scias pri la VLAN. | Komputiloj, presiloj, telefonoj |
| Tagita (trunk) | La pordo transportas trafikon de pluraj VLAN-oj, markitan per VLAN-ID. | Inter ŝaltiloj, al ruter |
Aparatoj kiel komputiloj kaj presiloj ne bezonas scii, ke ili estas sur VLAN. Ili estas konektitaj al “access”-pordo, kiu estas asignita al la ĝusta VLAN. La konekto inter du ŝaltiloj aŭ inter ŝaltilo kaj ruter uzas “trunk”-pordon, kiu transportas ĉiujn VLAN-ojn.
Tasko 1 - Vidu VLAN en praktiko
Se vi havas aliron al Unifi aŭ alia platformo por administri la reton en la lernejo:
- Rigardu kiujn VLAN-ojn oni konfigurigis
- Kiajn portojn oni starigis kiel alirejajn, kaj kiujn kiel trunkajn?
- Provu eltrovi al kiu VLAN estas konektita via komputilo (indico: kontrolu vian IP-adreson kaj komparu kun la subnet-tabelo)
Fajregaj Reguloj Inter VLAN
Kreiadon de VLAN-oj estas nur duono de la laboro. Sen fajregaj reguloj, trafiko ankoraŭ povas flui inter ili tra la rutilo/pordilo. Vi devas eksplicite determini kio estas permesata:
| De (fonto) | Al (celo) | Permesata? | Justifigo |
|---|---|---|---|
| Studantoj | Interreto | ✅ Jes | Necesega por instruado |
| Studantoj | Serviloj | ❌ Ne | Studantoj ne bezonas aliron al serviloj |
| Dungitoj | Serviloj | ✅ Jes | Dosierkonservado kaj internaj sistemoj |
| IoT | Interreto | ❌ Ne (aŭ limigita) | IoT-aparatoj rare bezonas interreton |
| IoT | Studantoj/Dungitoj | ❌ Ne | IoT devas esti izolita |
| Serviloj | Ĉiuj | ✅ Jes (eliranta) | Serviloj povas respondi al petoj |
Standard: bloku ĉion, permesu kion vi bezonas
Bona fajromura politiko komenciĝas per blokado de ĉiuj trafiko inter la VLAN-oj, kaj tiam oni malfermas nur tion, kio estas bezonata. Ĝi estas multe pli sekura ol komenci kun ĉio malfermita kaj provi bloki tion, kion vi ne volas.
Subnetting
Ĉiu VLAN bezonas sian propran subneton. Subneto difinas la adresan spacon por la reto:
| Subnet | Retmasko | Nombro da adresoj | Tipa uzo |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Plej multaj VLAN |
/25 | 255.255.255.128 | 126 | Pli malgrandaj segmentoj |
/16 | 255.255.0.0 | 65 534 | Grandaj retoj |
Tasko 2 - Kalkulu subreton
Uzu retan subnet-kalkulilon, ekz. subnet-calculator.com:
- Enigu
192.168.1.0kun masko/24. Kiom da adresoj vi ricevas? - Kio okazas se vi ŝanĝas al
/25? Aŭ/23? - Kion vi elektus por ĉambro kun 30 lernantoj?
DHCP per VLAN
Ĉiu VLAN bezonas sian propran DHCP-konfiguracion por ke aparatoj ricevu la ĝustan IP-adreson por sia segmento. Ĉi tio povas esti konfigurita sur la rutilo aŭ dediĉita DHCP-servero.
Ekzemplo por la Elev-VLANo:
| Agordilo | Valoro |
|---|---|
| Subreto | 10.0.30.0/24 |
| Pordego | 10.0.30.1 |
| DHCP-gamo | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Resumo
- Segmentado dividas la reton en izolitajn partojn por sekureco kaj kontrolo
- VLAN estas virtualaj retoj sur la sama fizika ŝaltilo
- Alirhavenoj konektas aparatojn al unu VLAN, trunkhavenoj portas plurajn VLAN-ojn
- Fajromuraj reguloj determinas kio estas permesata inter la VLAN-oj
- Ĉiu VLAN bezonas propran subreton kaj DHCP-konfiguracion
- Startpunkto: blokigu ĉion, permesu nur tion kio estas bezonata