Tai mašinu versta tekstas, kuriame gali būti klaidų!
Įsivaizduokite mokyklos tinklą, kuriame mokiniai, mokytojai, administracija ir IoT įrenginiai (spausdintuvai, išmaniosios lentos, kameros) visi dalijasi tuo pačiu tinklu. Visi teoretiškai gali matyti vienas kitą. Tai nėra saugu ir efektyvu. Sprendimas – segmentacija.
Kodėl segmentuoti?
Segmentavimas reiškia tinklą padalinti į kelias mažesnes dalis. Kiekviena dalis yra izoliuota nuo kitų, todėl srautas laisvai tarp jų nesimeta.
| Privalumas | Paaiškinimas |
|---|---|
| Saugumas | Įsilaužusi IP kamera negali pasiekti serverių |
| Veikimas | Mažesnis transliacinio srauto kiekis viename segmente |
| Kontrolė | Skirtingos taisyklės skirtingoms vartotojų grupėms |
| Gedimų šalinimas | Lengviau izoliuoti problemas iki tam tikro segmento |
Et praktisk eksempel
Mokykloje tinklas gali atrodyti taip:
- VLAN 10: Administracija - Atlyginimai, personalo skyrius, vadovybė. Griežtai apribota prieiga.
- VLAN 20: Darbuotojai - Mokytojai ir kiti darbuotojai. Prieiga prie bendrų aplankų ir spausdintuvų.
- VLAN 30: Mokiniai - Tik interneto prieiga ir mokymosi platformos.
- VLAN 40: IoT - Spausdintuvai, išmaniosios lentos, kameros. Nėra interneto prieigos (arba labai ribota).
- VLAN 50: Serveriai - Vidiniai serveriai, neprieinami tiesiogiai iš kitų VLAN.
Kas yra VLAN?
VLAN reiškia Virtual Local Area Network. Tai būdas sukurti kelis loginius tinklus toje pačioje fizinėje jungiklyje. Vietoj to, kad pirktumėte atskirą jungiklį kiekvienam tinklui, sukonfigūruokite jungiklį taip, kad skirtingi prievadai (arba srautas) būtų apdorojami kaip atskiri tinklai.
Kiekvienas VLAN turi savo adresų diapazoną (potinklis):
| VLAN | Pavadinimas | Potinklis | Šliužas |
|---|---|---|---|
| 10 | Administracija | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Darbuotojai | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Mokiniai | 10.0.30.0/24 | 10.0.30.1 |
| 40 | Daiktų internetas | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serveriai | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 reiškia, kad pirmieji 24 bitai yra adreso tinklo dalis. Iš praktinės pusės tai reiškia, kad kiekviename VLAN turite 254 prieinamus adresus (.1 iki .254).
10.0.10.0/24suteikia adresus nuo10.0.10.1iki10.0.10.254- Šliužas paprastai yra pirmasis adresas (
.1)
Tagged vs. Untagged Traffic
For VLANs to function across multiple switches (or between a switch and a router), tagging is used:
| Type | Explanation | Use |
|---|---|---|
| Untagged (access) | The port belongs to one VLAN. The device is unaware of VLANs. | PCs, printers, phones |
| Tagged (trunk) | The port carries traffic from multiple VLANs, marked with the VLAN ID. | Between switches, towards routers |
Devices such as PCs and printers do not need to know that they are on a VLAN. They are connected to an “access” port that is assigned the correct VLAN. The connection between two switches or between a switch and a router uses a “trunk” port that carries all VLANs.
Užduotis 1 – VLAN praktikoje
Jei turite prieigą prie Unifi arba kitos tinklo valdymo platformos mokykloje:
- Peržiūrėkite, kokie VLAN yra sukonfigūruoti
- Kokie prievadai nustatyti kaip access, o kurie kaip trunk?
- Pabandykite sužinoti, prie kurio VLAN prijungtas jūsų kompiuteris (patarimas: patikrinkite savo IP adresą ir palyginkite su subnet lentele)
Brandomuro taisyklės tarp VLAN
Sukurti VLAN tik pusė darbo. Be brandomuro taisyklių, srautas vis tiek gali tekėti tarp jų per maršrutizatorių/šliuzą. Jūs turite aiškiai nustatyti, kas yra leidžiama:
| Nuo (šaltinis) | Iki (tikslas) | Leidžiama? | Pagrindimas |
|---|---|---|---|
| Mokiniai | Internetas | ✅ Taip | Būtina mokymui |
| Mokiniai | Serveriai | ❌ Ne | Mokiniams nereikia prieigos prie serverių |
| Darbuotojai | Serveriai | ✅ Taip | Failų saugykla ir vidinės sistemos |
| IoT | Internetas | ❌ Ne (arba ribota) | IoT įrenginiams retai reikia interneto |
| IoT | Mokiniai/Darbuotojai | ❌ Ne | IoT turi būti izoliuotas |
| Serveriai | Visi | ✅ Taip (išeinantis) | Serveriai gali atsakyti į užklausas |
Standard: blokiruokite viską, leiskite tai, ko reikia
Gera užduočių sienos politika prasideda nuo visų srautų blokavimo tarp VLAN, o tada leidžiama tik tai, kas būtina. Tai daug saugiau nei pradėti nuo visko atviro ir bandyti užblokuoti tai, ko nenorite.
Subnetting
Kiekvienam VLAN reikia savo subnet. Subnet apibrėžia tinklo adresų diapazoną:
| Subnet | Tinklo kaukė | Adresų skaičius | Tipinis naudojimas |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Dauguma VLAN |
/25 | 255.255.255.128 | 126 | Mažesnis segmentas |
/16 | 255.255.0.0 | 65 534 | Dideli tinklai |
Užduotis 2 – Apskaičiuokite potinklą
Naudokite internetinį potinklio skaičiuotuvą, pvz., subnet-calculator.com:
- Įveskite
192.168.1.0su kauke/24. Kiek adresų gausite? - Kas atsitiks, jei pakeisite į
/25? Arba/23? - Ką pasirinktumėte 30 mokinių klasei?
DHCP per VLAN
Kiekvienam VLAN reikia savo pačio DHCP konfigūracijos, kad įrenginiai gautų teisingą IP adresą savo segmentui. Tai galima konfigūruoti maršrutizatoriuje arba specializuotame DHCP serveryje.
Pavyzdys Studentų VLAN:
| Nustatymas | Vertė |
|---|---|
| Subtinklis | 10.0.30.0/24 |
| Šliužas | 10.0.30.1 |
| DHCP diapazonas | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Apibendrinimas
- Segmentavimas tinklą padalija į izoliuotas dalis saugumui ir kontrolei
- VLAN yra virtualūs tinklai toje pačioje fizinėje jungiklyje
- Prieigos prievadai jungia įrenginius prie vieno VLAN, trunk prievadai perduoda kelis VLAN
- Užkardos taisyklės nustato, kas leidžiama tarp VLAN
- Kiekvienam VLAN reikia atskiro subnet ir DHCP konfigūracijos
- Pradinis taškas: užblokuokite viską, leiskite tik tai, kas reikalinga