Dette er ein maskinomsett tekst som kann innehalda feil!
Tenk deg eit skulenettverk der elevar, lærarar, administrasjon og IoT-einingar (skrivarar, smarte skjermar, kamera) alle deler det same nettverket. Alle kan i teorien sjå kvarandre. Det er verken trygt eller effektivt. Løysinga er segmentering.
Kvifor segmentera?
Segmentering tyder på å dela opp eit nettverk i fleire mindre delar. Kvar del er isolert frå dei andre, slik at trafikk ikkje flyt fritt mellom dei.
| Fordel | Forklaring |
|---|---|
| Tryggleik | Eit kompromittert IoT-kamera kan ikkje nå serverane |
| Yting | Mindre broadcast-trafikk per segment |
| Kontroll | Ulike reglar for ulike brukarar |
| Feilsøking | Lettare å isolera problem til eit bestemt segment |
Et praktisk døme
På ein skule kan nettverket sjå slik ut:
- VLAN 10: Administrasjon - Løn, HR, leiing. Strengt avgrensa tilgang.
- VLAN 20: Tilsette - Lærarar og andre tilsette. Tilgang til fellesmapper og skrivarar.
- VLAN 30: Elevane - Berre internettilgang og læringsplattformer.
- VLAN 40: IoT - Skrivarar, smarte skjermar, kamera. Ingen internettilgang (eller svært avgrensa).
- VLAN 50: Tenarar - Interne tenarar, utilgjengeleg direkte frå andre VLAN.
Kva er eit VLAN?
VLAN står for Virtuelt Lokalt Områdsnettverk. Det er ein måte å skapa fleire logiske nettverk på same fysiske brytar. I staden for å kjøpa ein eigen brytar for kvart nettverk, konfigurerer du brytaren til å handsama ulike portar (eller trafikk) som separate nettverk.
Kvart VLAN har sitt eige adresseområde (undernett):
| VLAN | Namn | Undernett | Vegglenke |
|---|---|---|---|
| 10 | Administrasjon | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Tilsette | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Elevar | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Tenarar | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 tyder på at dei fyrste 24 bitane er nettverksdelen av adressa. I praksis tyder det at du har 254 tilgjengelege adressar (.1 til .254) i kvart VLAN.
10.0.10.0/24gjev adressar frå10.0.10.1til10.0.10.254- Veggaten er vanlegvis den fyrste adressa (
.1)
Tagga vs. utagga trafikk
For at VLANar skal fungera over fleire brytarar (eller mellom brytar og rutear), vert tagging nytta:
| Type | Forklaring | Bruk |
|---|---|---|
| Utagga (access) | Porten høyrer til eitt VLAN. Eininga veit ikkje om VLAN. | PC-ar, skrivarar, telefonar |
| Tagga (trunk) | Porten ber trafikk frå fleire VLAN, merkt med VLAN-ID. | Mellom brytarar, mot rutear |
Einingar som PC-ar og skrivarar treng ikkje vita at dei er på eit VLAN. Dei vert kobla til ein “access”-port som er tildelt rett VLAN. Sambandet mellom to brytarar eller mellom brytar og rutear nyttar ein “trunk”-port som ber alle VLANane.
Oppgåve 1 – Sjå VLAN i praksis
Um du har tilgang til Unifi eller ei annan nettverksadministrasjonsplattform på skulen:
- Sjå på kva VLAN som er konfigurert
- Kva portar er sette som access, og kva som trunk?
- Prøv å finne ut kva VLAN PC-en din er tilkopla (hint: sjekk IP-adressa di og samanlikn med subnet-tabellen)
Brannmurreglar mellom VLAN
Å skapa VLANar er berre halvparten av jobben. Utan brannmurreglar kan trafikk framleis flyta mellom dei via rutaren/gatewayen. Du må eksplisitt bestemme kva som er lov:
| Frå (kjelde) | Til (mål) | Løyvd? | Grunngjeving |
|---|---|---|---|
| Elevar | Internett | ✅ Ja | Nødvendig for undervisning |
| Elevar | Serverar | ❌ Nei | Elevar treng ikkje tilgang til serverar |
| Tilsette | Serverar | ✅ Ja | Fillagring og interne system |
| IoT | Internett | ❌ Nei (eller avgrensa) | IoT-einingar treng sjeldan internett |
| IoT | Elevar/Tilsette | ❌ Nei | IoT skal vera isolert |
| Serverar | Alle | ✅ Ja (utgåande) | Serverar kan svara på førespurnader |
Standard: blokker alt, tillat det du treng
Ein god brannmurpolitikk byrjar med å blokkera all trafikk mellom VLAN-a, og så opnar du berre det som er trongt. Det er mykje tryggare enn å byrja med alt ope og prøva å blokkera det du ikkje vil ha.
Subnetting
Kvart VLAN treng sitt eige subnet. Eit subnet definerer adresseområdet for nettverket:
| Subnet | Nettverksmaske | Tal adressar | Typisk bruk |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Dei fleste VLAN |
/25 | 255.255.255.128 | 126 | Mindre segment |
/16 | 255.255.0.0 | 65 534 | Store nettverk |
Oppgåve 2 – Rekn ut eit subnet
Bruk ein nettbasert subnet-kalkulator, t.d. subnet-calculator.com:
- Skriv inn
192.168.1.0med maske/24. Kor mange adressar får du? - Kva skjer om du endrar til
/25? Eller/23? - Kva ville du valt for eit klasserom med 30 elevar?
DHCP per VLAN
Kvart VLAN treng sin eiga DHCP-konfigurasjon slik at einingar får rett IP-adresse for sitt segment. Dette kan konfigurerast på rutaren eller ein dedikert DHCP-server.
Døme for Elev-VLANet:
| Innstilling | Verdi |
|---|---|
| Subnet | 10.0.30.0/24 |
| Gateway | 10.0.30.1 |
| DHCP-range | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Oppsummering
- Segmentering deler nettverket i isolerte delar for tryggleik og kontroll
- VLAN er virtuelle nettverk på same fysiske brytar
- Access-portar koblar einingar til eit VLAN, trunk-portar ber fleire VLAN
- Brannmurreglar avgjer kva som er tillate mellom VLAN-a
- Kvart VLAN treng eige subnet og DHCP-konfigurasjon
- Startpunkt: blokker alt, tillat berre det som trengst