Tämä on konekäännetty teksti, joka saattaa sisältää virheitä!
Kuvittele koulun verkko, jossa opiskelijat, opettajat, hallinto ja IoT-laitteet (tulostimet, älynäytöt, kamerat) kaikki jakavat saman verkon. Kaikki voivat teoriassa nähdä toisensa. Se ei ole turvallista eikä tehokasta. Ratkaisu on segmentointi.
Miksi segmentoida?
Segmentointi tarkoittaa verkon jakamista useisiin pienempiin osiin. Jokainen osa on eristetty muista, jotta liikenne ei pääse virtaamaan vapaasti niiden välillä.
| Etu | Selitys |
|---|---|
| Turvallisuus | Vaarantunut IoT-kamera ei pääse palvelimille |
| Suorituskyky | Vähemmän broadcast-liikennettä segmenttiä kohti |
| Hallinta | Eri säännöt eri käyttäjäryhmille |
| Vikojen selvitys | Ongelmien eristäminen tiettyyn segmenttiin helpompaa |
Et praktisk eksempel
Koulussa verkko voi näyttää tältä:
- VLAN 10: Hallinto - Palkat, HR, johto. Tiukasti rajoitettu pääsy.
- VLAN 20: Työntekijät - Opettajat ja muut työntekijät. Pääsy jaettuihin kansioihin ja tulostimiin.
- VLAN 30: Oppilaat - Vain internet-yhteys ja oppimisalustat.
- VLAN 40: IoT - Tulostimet, älynäytöt, kamerat. Ei internet-yhteyttä (tai hyvin rajoitettu).
- VLAN 50: Palvelimet - Sisäiset palvelimet, ei suoraan saatavilla muista VLAN-verkoista.
Mikä on VLAN?
VLAN tarkoittaa Virtual Local Area Network (virtuaalinen lähiverkkoyhteys). Se on tapa luoda useita loogisia verkkoja samaan fyysiseen kytkimeen. Sen sijaan, että ostaisit oman kytkimen jokaista verkkoa varten, määrität kytkimen käsittelemään eri portteja (tai liikennettä) erillisinä verkkoina.
Jokaisella VLAN:lla on oma osoitealueensa (alinverkko):
| VLAN | Nimi | Aliverkko | Yhdyskäytävä |
|---|---|---|---|
| 10 | Hallinto | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Työntekijät | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Opiskelijat | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Palvelimet | 10.0.50.0/24 | 10.0.50.1 |
Subnetting lyhyesti selitettynä
/24 tarkoittaa, että ensimmäiset 24 bittiä ovat osoitteen verkkopuoli. Käytännössä se tarkoittaa, että sinulla on 254 käytettävissä olevaa osoitetta (.1 - .254) jokaisessa VLAN:ssa.
10.0.10.0/24antaa osoitteet väliltä10.0.10.1-10.0.10.254- Yhdyskäytävä on yleensä ensimmäinen osoite (
.1)
Tagattu vs. merkitsemätön liikenne
Jotta VLANit toimisivat useiden kytkimien (tai kytkimen ja reitittimen) välillä, käytetään taggausta:
| Tyyppi | Selitys | Käyttö |
|---|---|---|
| Merkitsemätön (access) | Portti kuuluu yhteen VLANiin. Laite ei tiedä VLANista. | Tietokoneet, tulostimet, puhelimet |
| Tagattu (trunk) | Portti kuljettaa liikennettä useista VLANeista, merkitty VLAN-tunnuksella. | Kytkimien välillä, reitittimiä kohti |
Laitteet, kuten tietokoneet ja tulostimet, eivät tarvitse tietää olevansa VLANissa. Ne kytketään “access”-porttiin, jolle on määritetty oikea VLAN. Kahden kytkimen tai kytkimen ja reitittimen välinen yhteys käyttää “trunk”-porttia, joka kuljettaa kaikki VLANit.
Tehtävä 1 – VLAN käytännössä
Jos sinulla on pääsy Unifiin tai muuhun verkkojenhallintatyökaluun koulussa:
- Tarkastele mitä VLAN-verkkoja on määritetty
- Mitkä portit on asetettu access-porteiksi ja mitkä trunk-porteiksi?
- Yritä selvittää, mihin VLAN-verkkoon tietokoneesi on yhdistetty (vinkki: tarkista IP-osoitteesi ja vertaa sitä aliverkkotaulukkoon)
Palomuurisäännöt VLANien välillä
VLANien luominen on vasta puoli työtä. Ilman palomuurisääntöjä liikenne voi edelleen virrata niiden välillä reitittimen/yhdyskäytävän kautta. Sinun on nimenomaisesti määritettävä, mikä on sallittua:
| Lähteestä (lähde) | Kohteeseen (kohde) | Sallittu? | Perustelu |
|---|---|---|---|
| Oppilaat | Internet | ✅ Kyllä | Tarvitaan opetusta varten |
| Oppilaat | Palvelimet | ❌ Ei | Oppilaat eivät tarvitse pääsyä palvelimille |
| Työntekijät | Palvelimet | ✅ Kyllä | Tiedostojen tallennus ja sisäiset järjestelmät |
| IoT | Internet | ❌ Ei (tai rajoitettu) | IoT-laitteet eivät yleensä tarvitse internetiä |
| IoT | Oppilaat/Työntekijät | ❌ Ei | IoT:n tulee olla eristetty |
| Palvelimet | Kaikki | ✅ Kyllä (lähtevä) | Palvelimet voivat vastata pyyntöihin |
Standard: estä kaikki, salli tarvitsemasi
Hyvä palomuurikäytäntö alkaa estämällä kaiken liikenteen VLANien välillä ja sallimalla sitten vain tarvittavan. Se on paljon turvallisempaa kuin aloittaa kaikella avoimena ja yrittää estää se, mitä et halua.
Aliverkot
Jokainen VLAN tarvitsee oman aliverkkonsa. Aliverkko määrittelee verkon osoitealueen:
| Aliverkko | Verkkopeite | Osoitteiden määrä | Tyypillinen käyttö |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Useimmat VLANit |
/25 | 255.255.255.128 | 126 | Pienemmät segmentit |
/16 | 255.255.0.0 | 65 534 | Suuret verkot |
Tehtävä 2 – Laske aliverkko
Käytä online-aliverkkolaskuria, esim. subnet-calculator.com:
- Kirjoita
192.168.1.0maskilla/24. Kuinka monta osoitetta saat? - Mitä tapahtuu, jos muutat sen arvoon
/25? Tai/23? - Minkä valitsisit luokkahuoneeseen, jossa on 30 oppilasta?
DHCP per VLAN
Jokainen VLAN tarvitsee oman DHCP-konfiguraation, jotta laitteet saavat oikean IP-osoitteen segmentilleen. Tämä voidaan konfiguroida reitittimessä tai erillisellä DHCP-palvelimella.
Esimerkki Oppilas-VLANille:
| Asetus | Arvo |
|---|---|
| Aliverkko | 10.0.30.0/24 |
| Yhdyskäytävä | 10.0.30.1 |
| DHCP-alue | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Yhteenveto
- Segmentointi jakaa verkon erillisiin osiin turvallisuuden ja hallinnan vuoksi
- VLAN on virtuaalisia verkkoja samassa fyysisessä kytkimessä
- Access-portit yhdistävät laitteet yhteen VLAN:iin, trunk-portit kuljettavat useita VLAN:eja
- Palomuurisäännöt määrittävät, mikä on sallittua VLANien välillä
- Jokainen VLAN tarvitsee oman alinverkon ja DHCP-konfiguraation
- Lähtökohta: estä kaikki, salli vain tarvittava