Це машинний переклад, який може містити помилки!
Уявіть собі шкільну мережу, де учні, вчителі, адміністрація та IoT-пристрої (принтери, інтерактивні дошки, камери) всі використовують одну й ту ж мережу. Усі вони теоретично можуть бачити один одного. Це небезпечно та неефективно. Рішенням є сегментація.
Чому сегментувати?
Сегментація означає поділ мережі на кілька менших частин. Кожна частина ізольована від інших, щоб трафік не міг вільно перетікати між ними.
| Перевага | Пояснення |
|---|---|
| Безпека | Скомпрометована IoT-камера не може досягти серверів |
| Продуктивність | Менше широкомовної трансляції трафіку на сегмент |
| Контроль | Різні правила для різних груп користувачів |
| Пошук несправностей | Легше ізолювати проблеми до певного сегменту |
Et praktisk eksempel
У школі мережа може виглядати так:
- VLAN 10: Адміністрація - Зарплата, HR, керівництво. Суворо обмежений доступ.
- VLAN 20: Працівники - Вчителі та інші співробітники. Доступ до спільних папок та принтерів.
- VLAN 30: Учні - Лише доступ до інтернету та навчальних платформ.
- VLAN 40: IoT - Принтери, інтерактивні дошки, камери. Без доступу до інтернету (або дуже обмежений).
- VLAN 50: Сервери - Внутрішні сервери, недоступні безпосередньо з інших VLAN.
Що таке VLAN?
VLAN розшифровується як Virtual Local Area Network. Це спосіб створення кількох логічних мереж на одному фізичному комутаторі. Замість того, щоб купувати окремий комутатор для кожної мережі, ви налаштовуєте комутатор для обробки різних портів (або трафіку) як окремі мережі.
Кожен VLAN має свій власний адресний простір (підмережу):
| VLAN | Назва | Підмережа | Шлюз |
|---|---|---|---|
| 10 | Адміністрація | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Співробітники | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Студенти | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Сервери | 10.0.50.0/24 | 10.0.50.1 |
Subnetting коротко пояснено
/24 означає, що перші 24 біти є мережевою частиною адреси. На практиці це означає, що у вас є 254 доступні адреси (.1 до .254) в кожній VLAN.
10.0.10.0/24дає адреси від10.0.10.1до10.0.10.254- Шлюз зазвичай є першою адресою (
.1)
Tagged vs. Untagged Traffic
For VLANs to function across multiple switches (or between a switch and a router), tagging is used:
| Type | Explanation | Use |
|---|---|---|
| Untagged (access) | The port belongs to one VLAN. The device is unaware of VLANs. | PCs, printers, phones |
| Tagged (trunk) | The port carries traffic from multiple VLANs, marked with the VLAN ID. | Between switches, towards routers |
Devices such as PCs and printers do not need to know that they are on a VLAN. They are connected to an “access” port that is assigned the correct VLAN. The connection between two switches or between a switch and a router uses a “trunk” port that carries all VLANs.
Завдання 1 – Перегляд VLAN на практиці
Якщо у вас є доступ до Unifi або іншої платформи управління мережею в школі:
- Перегляньте, які VLAN налаштовані
- Які порти встановлені як access, а які як trunk?
- Спробуйте з’ясувати, до якого VLAN підключено ваш ПК (підказка: перевірте свою IP-адресу та порівняйте її з таблицею підмереж)
Правила брандмауера між VLAN
Створення VLAN – це лише половина роботи. Без правил брандмауера трафік все ще може проходити між ними через маршрутизатор/шлюз. Ви повинні чітко визначити, що дозволено:
| З (джерело) | До (призначення) | Дозволено? | Обґрунтування |
|---|---|---|---|
| Учні | Інтернет | ✅ Так | Необхідно для навчання |
| Учні | Сервери | ❌ Ні | Учням не потрібен доступ до серверів |
| Працівники | Сервери | ✅ Так | Зберігання файлів та внутрішні системи |
| IoT | Інтернет | ❌ Ні (або обмежено) | IoT-пристроям рідко потрібен інтернет |
| IoT | Учні/Працівники | ❌ Ні | IoT має бути ізольованим |
| Сервери | Всі | ✅ Так (вихідний) | Сервери можуть відповідати на запити |
Standard: блокуйте все, дозволяйте лише те, що потрібно
Хороша політика брандмауера починається з блокування всього трафіку між VLAN, а потім відкриття лише того, що необхідно. Це набагато безпечніше, ніж починати з усього відкритого та намагатися заблокувати те, що вам не потрібне.
Subnetting
Кожне VLAN потребує власної підмережі. Підмережа визначає діапазон адрес для мережі:
| Підмережа | Маска мережі | Кількість адрес | Типове використання |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Більшість VLAN |
/25 | 255.255.255.128 | 126 | Менші сегменти |
/16 | 255.255.0.0 | 65 534 | Великі мережі |
Завдання 2 - Обчисліть підмережу
Використовуйте онлайн-калькулятор підмереж, наприклад subnet-calculator.com:
- Введіть
192.168.1.0з маскою/24. Скільки адрес ви отримаєте? - Що станеться, якщо ви зміните на
/25? Або/23? - Що б ви вибрали для класу з 30 учнів?
DHCP per VLAN
Кожне VLAN потребує власної конфігурації DHCP, щоб пристрої отримували правильну IP-адресу для свого сегменту. Це можна налаштувати на маршрутизаторі або виділеному DHCP-сервері.
Приклад для Elev-VLANet:
| Налаштування | Значення |
|---|---|
| Підмережа | 10.0.30.0/24 |
| Шлюз | 10.0.30.1 |
| Діапазон DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Підсумок
- Сегментація розділяє мережу на ізольовані частини для безпеки та контролю
- VLAN є віртуальними мережами на одному фізичному комутаторі
- Access-порти підключають пристрої до одного VLAN, trunk-порти несуть декілька VLAN
- Правила брандмауера визначають, що дозволено між VLAN
- Кожен VLAN потребує власної subnet та DHCP-конфігурації
- Початкова точка: блокувати все, дозволяти лише те, що потрібно