Tai mašinu versta tekstas, kuriame gali būti klaidų!
Įsivaizduokite mokyklos tinklą, kuriame mokiniai, mokytojai, administracija ir IoT įrenginiai (spausdintuvai, išmaniosios lentos, kameros) visi dalijasi tuo pačiu tinklu. Visi teoretiškai gali matyti vienas kitą. Tai nėra saugu ir efektyvu. Sprendimas – segmentacija.
Kodėl segmentuoti?
Segmentavimas reiškia tinklą padalinti į kelias mažesnes dalis. Kiekviena dalis yra izoliuota nuo kitų, todėl srautas laisvai tarp jų nesimeta.
| Privalumas | Paaiškinimas |
|---|---|
| Saugumas | Įsilaužusi IP kamera negali pasiekti serverių |
| Veikimas | Mažesnis transliacinio srauto kiekis viename segmente |
| Kontrolė | Skirtingos taisyklės skirtingoms vartotojų grupėms |
| Gedimų šalinimas | Lengviau izoliuoti problemas iki tam tikro segmento |
Praktinė pavyzdys
Mokykloje tinklas gali atrodyti taip:
- VLAN 10: Administracija - Atlyginimai, HR, vadovybė. Labai ribotas prieiga.
- VLAN 20: Darbuotojai - Mokytojai ir kiti darbuotojai. Prieiga prie bendrųjų aplankų ir printerių.
- VLAN 30: Mokiniai - Tik interneto prieiga ir mokymosi platformos.
- VLAN 40: IoT - Printeriai, išmanieji ekranai, kameros. Nėra interneto prieigos (arba labai ribota).
- VLAN 50: Serveriai - Vidiniai serveriai, neprieinami tiesiogiai iš kitų VLAN.
Kas yra VLAN?
VLAN reiškia Virtual Local Area Network. Tai būdas sukurti kelis loginius tinklus toje pačioje fizinėje jungiklyje. Vietoj to, kad pirktumėte atskirą jungiklį kiekvienam tinklui, sukonfigūruokite jungiklį taip, kad skirtingi prievadai (arba srautas) būtų apdorojami kaip atskiri tinklai.
Kiekvienas VLAN turi savo adresų diapazoną (potinklis):
| VLAN | Pavadinimas | Potinklis | Šliužas |
|---|---|---|---|
| 10 | Administracija | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Darbuotojai | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Mokiniai | 10.0.30.0/24 | 10.0.30.1 |
| 40 | Daiktų internetas | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Serveriai | 10.0.50.0/24 | 10.0.50.1 |
Subnetting trumpai paprastai
/24 reiškia, kad pirmieji 24 bitai yra adreso tinklo dalis. Praktiškai tai reiškia, kad kiekviename VLAN turite 254 prieinamus adresus (.1 iki .254).
10.0.10.0/24suteikia adresus nuo10.0.10.1iki10.0.10.254- Gateway (vartas) paprastai yra pirmasis adresas (
.1)
Pažymėtas (tagged) vs. nepažymėtas (untagged) eitis
Kad VLAN-ai veiktų per kelis przełączius (arba tarp przełączio ir routerio), naudojamas pažymėjimas (tagging):
| Tipas | Paaiškinimas | P Baltas naudojimas |
|---|---|---|
| Nepažymėtas (access) | Portas priklauso vienam VLAN. Įrenginys nežino apie VLAN. | Kompiuteriai, printeriai, telefonai |
| Pažymėtas (trunk) | Portas neša eitį iš kelių VLAN, pažymėtą VLAN-ID. | Tarp przełączių, į routerį |
Įrenginiams, tokio kaip kompiuteriams ir printeriams, nereikia žinoti, kad jie yra VLAN tinklo. Jie prijungiami prie „access“ porto, kuris yra priskirtas atitinkamam VLAN. Ryšys tarp dviejų przełączių arba tarp przełączio ir routerio naudoja „trunk“ portą, kuris neša visus VLAN-us.
Užduotis 1 – VLAN praktikoje
Jei turite prieigą prie Unifi arba kitos tinklo valdymo platformos mokykloje:
- Peržiūrėkite, kokie VLAN yra sukonfigūruoti
- Kokie prievadai nustatyti kaip access, o kurie kaip trunk?
- Pabandykite sužinoti, prie kurio VLAN prijungtas jūsų kompiuteris (patarimas: patikrinkite savo IP adresą ir palyginkite su subnet lentele)
Brandomuro taisyklės tarp VLAN
Sukurti VLAN tik pusė darbo. Be brandomuro taisyklių, srautas vis tiek gali tekėti tarp jų per maršrutizatorių/šliuzą. Jūs turite aiškiai nustatyti, kas yra leidžiama:
| Nuo (šaltinis) | Iki (tikslas) | Leidžiama? | Pagrindimas |
|---|---|---|---|
| Mokiniai | Internetas | ✅ Taip | Būtina mokymui |
| Mokiniai | Serveriai | ❌ Ne | Mokiniams nereikia prieigos prie serverių |
| Darbuotojai | Serveriai | ✅ Taip | Failų saugykla ir vidinės sistemos |
| IoT | Internetas | ❌ Ne (arba ribota) | IoT įrenginiams retai reikia interneto |
| IoT | Mokiniai/Darbuotojai | ❌ Ne | IoT turi būti izoliuotas |
| Serveriai | Visi | ✅ Taip (išeinantis) | Serveriai gali atsakyti į užklausas |
Standartas: užblokujte viską, leiskite tai, ko reikia
Gera ugniasvirkės politika prasideda nuo visos eismo srauto tarp VLAN blokavimo, o tada atsidaroma tik tai, kas būtina. Tai daug saugiau nei pradėti nuo atviros prieigos ir bandyti užblokuoti tai, ko nenorite.
Subnetting
Kiekvienam VLAN reikia savo subnet. Subnet apibrėžia tinklo adresų diapazoną:
| Subnet | Tinklo kaukė | Adresų skaičius | Tipinis naudojimas |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Dauguma VLAN |
/25 | 255.255.255.128 | 126 | Mažesnis segmentas |
/16 | 255.255.0.0 | 65 534 | Dideli tinklai |
Užduotis 2 – Apskaičiuokite potinklą
Naudokite internetinį potinklio skaičiuotuvą, pvz., subnet-calculator.com:
- Įveskite
192.168.1.0su kauke/24. Kiek adresų gausite? - Kas atsitiks, jei pakeisite į
/25? Arba/23? - Ką pasirinktumėte 30 mokinių klasei?
DHCP per VLAN
Kiekvienam VLAN reikia savo pačio DHCP konfigūracijos, kad įrenginiai gautų teisingą IP adresą savo segmentui. Tai galima konfigūruoti maršrutizatoriuje arba specializuotame DHCP serveryje.
Pavyzdys Studentų VLAN:
| Nustatymas | Vertė |
|---|---|
| Subtinklis | 10.0.30.0/24 |
| Šliužas | 10.0.30.1 |
| DHCP diapazonas | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Apibendrinimas
- Segmentavimas tinklą padalija į izoliuotas dalis saugumui ir kontrolei
- VLAN yra virtualūs tinklai toje pačioje fizinėje jungiklyje
- Prieigos prievadai jungia įrenginius prie vieno VLAN, trunk prievadai perduoda kelis VLAN
- Užkardos taisyklės nustato, kas leidžiama tarp VLAN
- Kiekvienam VLAN reikia atskiro subnet ir DHCP konfigūracijos
- Pradinis taškas: užblokuokite viską, leiskite tik tai, kas reikalinga