To jest tekst przetłumaczony maszynowo, który może zawierać błędy!
Wyobraź sobie sieć szkolną, w której uczniowie, nauczyciele, administracja i urządzenia IoT (drukarki, inteligentne tablice, kamery) dzielą tę samą sieć. Teoretycznie wszyscy mogą się nawzajem widzieć. Nie jest to ani bezpieczne, ani efektywne. Rozwiązaniem jest segmentacja.
Dlaczego segmentować?
Segmentacja oznacza podział sieci na mniejsze części. Każda część jest izolowana od pozostałych, dzięki czemu ruch nie przepływa swobodnie między nimi.
| Korzyść | Wyjaśnienie |
|---|---|
| Bezpieczeństwo | Skompromitowana kamera IoT nie może dotrzeć do serwerów |
| Wydajność | Mniejszy ruch rozgłoszeniowy w segmencie |
| Kontrola | Różne zasady dla różnych grup użytkowników |
| Rozwiązywanie problemów | Łatwiejsze izolowanie problemów do określonego segmentu |
Et praktisk eksempel
W szkole sieć może wyglądać następująco:
- VLAN 10: Administracja - Wynagrodzenia, HR, zarządzanie. Ściśle ograniczony dostęp.
- VLAN 20: Pracownicy - Nauczyciele i inni pracownicy. Dostęp do folderów współdzielonych i drukarek.
- VLAN 30: Uczniowie - Tylko dostęp do Internetu i platform edukacyjnych.
- VLAN 40: IoT - Drukarki, inteligentne tablice, kamery. Brak dostępu do Internetu (lub bardzo ograniczony).
- VLAN 50: Serwery - Serwery wewnętrzne, niedostępne bezpośrednio z innych VLAN-ów.
Co to jest VLAN?
VLAN to skrót od Virtual Local Area Network (Wirtualna Sieć Lokalna). Jest to sposób tworzenia wielu logicznych sieci na tym samym fizycznym przełączniku. Zamiast kupować oddzielny przełącznik dla każdej sieci, konfigurujesz przełącznik tak, aby traktował różne porty (lub ruch) jako oddzielne sieci.
Każdy VLAN ma swój własny zakres adresów (podsieć):
| VLAN | Nazwa | Podsieć | Brama |
|---|---|---|---|
| 10 | Administracja | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Pracownicy | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Uczniowie | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serwery | 10.0.50.0/24 | 10.0.50.1 |
Subnetting krótko wyjaśnione
/24 oznacza, że pierwsze 24 bity to część sieciowa adresu. W praktyce oznacza to, że masz 254 dostępne adresy (.1 do .254) w każdej VLAN.
10.0.10.0/24daje adresy od10.0.10.1do10.0.10.254- Brama jest zazwyczaj pierwszym adresem (
.1)
Tagowane vs. nietagowane ruchy sieciowe
Aby VLAN-y działały w wielu przełącznikach (lub między przełącznikiem a routerem), używa się tagowania:
| Typ | Wyjaśnienie | Zastosowanie |
|---|---|---|
| Nietagowane (access) | Port należy do jednego VLAN. Urządzenie nie wie o VLAN. | Komputery, drukarki, telefony |
| Tagowane (trunk) | Port przenosi ruch z wielu VLAN, oznaczony identyfikatorem VLAN. | Między przełącznikami, w kierunku routerów |
Urządzenia takie jak komputery i drukarki nie muszą wiedzieć, że znajdują się w VLAN. Są podłączane do portu “access”, który jest przypisany do odpowiedniego VLAN. Połączenie między dwoma przełącznikami lub między przełącznikiem a routerem wykorzystuje port “trunk”, który przenosi wszystkie VLAN-y.
Zadanie 1 - VLAN w praktyce
Jeśli masz dostęp do Unifi lub innej platformy do zarządzania siecią w szkole:
- Sprawdź, które VLAN są skonfigurowane
- Które porty są ustawione jako access, a które jako trunk?
- Spróbuj dowiedzieć się, do którego VLAN jest podłączony Twój komputer (wskazówka: sprawdź swój adres IP i porównaj go z tabelą podsieci)
Zasady zapory ogniowej między VLAN-ami
Utworzenie VLAN-ów to tylko połowa pracy. Bez zasad zapory ogniowej ruch może nadal przepływać między nimi przez router/bramę. Musisz wyraźnie określić, co jest dozwolone:
| Z (źródło) | Do (cel) | Zezwolone? | Uzasadnienie |
|---|---|---|---|
| Uczniowie | Internet | ✅ Tak | Niezbędne do nauki |
| Uczniowie | Serwery | ❌ Nie | Uczniowie nie potrzebują dostępu do serwerów |
| Pracownicy | Serwery | ✅ Tak | Przechowywanie plików i systemy wewnętrzne |
| IoT | Internet | ❌ Nie (lub ograniczone) | Urządzenia IoT rzadko potrzebują Internetu |
| IoT | Uczniowie/Pracownicy | ❌ Nie | IoT powinno być izolowane |
| Serwery | Wszyscy | ✅ Tak (wychodzące) | Serwery mogą odpowiadać na żądania |
Standard: blokuj wszystko, zezwalaj na to, czego potrzebujesz
Dobra polityka zapory ogniowej zaczyna się od blokowania całego ruchu między VLAN-ami, a następnie otwierania tylko tego, co jest potrzebne. Jest to znacznie bezpieczniejsze niż rozpoczynanie od wszystkiego otwartego i próba zablokowania tego, czego nie chcesz.
Subnetting
Każde VLAN potrzebuje własnej podsieci. Podsieć definiuje zakres adresów sieci:
| Podsieć | Maska sieciowa | Liczba adresów | Typowe zastosowanie |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Większość VLAN |
/25 | 255.255.255.128 | 126 | Mniejsze segmenty |
/16 | 255.255.0.0 | 65 534 | Duże sieci |
Zadanie 2 - Oblicz podsieć
Użyj kalkulatora podsieci online, np. subnet-calculator.com:
- Wpisz
192.168.1.0z maską/24. Ile adresów otrzymasz? - Co się stanie, jeśli zmienisz na
/25? Albo/23? - Co byś wybrał dla klasy z 30 uczniami?
DHCP per VLAN
Każde VLAN wymaga własnej konfiguracji DHCP, aby urządzenia otrzymały poprawny adres IP dla swojego segmentu. Można to skonfigurować na routerze lub dedykowanym serwerze DHCP.
Przykład dla VLANu dla uczniów:
| Ustawienie | Wartość |
|---|---|
| Podsieć | 10.0.30.0/24 |
| Brama | 10.0.30.1 |
| Zakres DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Podsumowanie
- Segmentacja dzieli sieć na izolowane części dla bezpieczeństwa i kontroli
- VLAN to wirtualne sieci na tym samym fizycznym przełączniku
- Porty dostępu łączą urządzenia z jednym VLAN, porty trunkowe przenoszą wiele VLANów
- Reguły zapory ogniowej określają, co jest dozwolone między VLANami
- Każdy VLAN potrzebuje własnej podsieci i konfiguracji DHCP
- Punkt wyjścia: zablokuj wszystko, zezwól tylko na to, co jest potrzebne