Ο αριθμός συσκευών στο δίκτυό σας αυξάνεται ραγδαία. Συχνά δεν έχετε ιδέα τι κάνουν αυτές οι συσκευές. Είναι μια ασφαλής ιδέα να τα τοποθετήσετε σε ξεχωριστό δίκτυο ή υποδίκτυο, με τη βοήθεια ενός εικονικού δικτύου ή VLAN. Στη συνέχεια, μπορείτε να επιβάλλετε περιορισμούς, αλλά και να ορίσετε προτεραιότητες επισκεψιμότητας. Σας δείχνουμε πώς λειτουργεί αυτό, τι χρειάζεστε για αυτό και επίσης πώς μπορείτε να αντιμετωπίσετε την περαιτέρω διαχείριση του δικτύου.
Ένα τέτοιο αναπτυσσόμενο δίκτυο με συσκευές IoT είναι ωραίο, αλλά πρέπει επίσης να παραμείνει διαχειρίσιμο. Συνήθως οι συσκευές χρησιμοποιούν το κανονικό οικιακό σας δίκτυο, το οποίο δεν δίνει τόσο ασφαλή αίσθηση επειδή πολλές συσκευές ioT δεν έχουν την τάξη ασφαλείας. Με τη βοήθεια εικονικών δικτύων (ή εικονικών LAN ή VLAN) είναι καλό να διαχωρίζετε. Ένα εικονικό δίκτυο είναι ουσιαστικά ένα ξεχωριστό δίκτυο - ή υποδίκτυο - που χρησιμοποιεί απλά τα υπάρχοντα καλώδια και διακόπτες. Εύχρηστο, για παράδειγμα, να απομονώσετε όλες αυτές τις συσκευές IoT, ώστε να μην μπορούν να εισέλθουν στο κύριο δίκτυό σας ή να έρθουν σε επαφή με έναν ασαφή διακομιστή στην Κίνα, για να αναφέρουμε μόνο μερικές.
01 Τι είναι τα υποδίκτυα;
Ένα υποδίκτυο είναι στην πραγματικότητα μια σειρά διευθύνσεων IP που ανήκουν μαζί. Στο τοπικό σας δίκτυο, αυτές είναι ιδιωτικές διευθύνσεις IP που δεν υπάρχουν στο Διαδίκτυο (βλέπε πλαίσιο "Γνωστές ιδιωτικές περιοχές IP και μάσκες υποδικτύου"). Το πρώτο μέρος κάθε διεύθυνσης IP αναφέρεται στο αντίστοιχο δίκτυο, το δεύτερο μέρος σε μια συγκεκριμένη συσκευή ή κεντρικό υπολογιστή. Μια μάσκα υποδικτύου υποδεικνύει ποιο τμήμα περιγράφει το δίκτυο. Εάν ο δρομολογητής σας έχει μια ξεχωριστή θύρα δικτύου με ένα απομονωμένο δίκτυο επισκεπτών, τότε αυτό είναι επίσης ένα ξεχωριστό υποδίκτυο με διαφορετικό εύρος IP. Δουλεύοντας με VLAN, μπορείτε να δημιουργήσετε πολλά υποδίκτυα στο ίδιο δίκτυο, υπό την προϋπόθεση ότι χρησιμοποιείτε διαχειριζόμενο διακόπτη που μπορεί να χειριστεί τέτοια VLAN. Οπουδήποτε αλλού σε αυτόν τον υπολογιστή! Συνολικά δοκιμάσαμε πολλά γνωστά μοντέλα για εσάς!
Γνωστές ιδιωτικές σειρές IP και μάσκες υποδικτύου
Ψάχνετε το δρομολογητή σας; Οι πιθανότητες είναι ότι θα το βρείτε σε μια διεύθυνση όπως το 192.168.1.1, με τις συσκευές δικτύου σας σε διευθύνσεις μεταξύ 192.168.1.2 και 192.168.1.254. Σε αυτήν την περίπτωση, η μάσκα υποδικτύου είναι 255.255.255.0. Μια τέτοια μάσκα υποδικτύου υποδεικνύει σε ποιο τμήμα μιας διεύθυνσης IP δείχνει το δίκτυο. Σε αυτήν την περίπτωση ακριβώς οι τρεις πρώτοι αριθμοί, οι οποίοι είναι οι ίδιοι για κάθε διεύθυνση IP σε αυτό το υποδίκτυο. Αυτό "μιλάει" πιο εύκολα, αλλά δεν είναι υποχρεωτικό: μπορείτε να πειραματιστείτε με αυτό (με εργαλεία υπολογισμού στο Διαδίκτυο). Συχνά συναντάτε επίσης τη συντομευμένη σημείωση CIDR (Classless Inter-Domain Routing). Στη συνέχεια, μπορείτε να γράψετε αυτό το συγκεκριμένο υποδίκτυο ως 192.168.1.0/24. Ένα άλλο γνωστό εύρος IP, το οποίο επίσης χρησιμοποιούμε σε αυτό το εργαστήριο, είναι το 10.0.0.0/24.
02 Έτσι λειτουργούν τα VLAN
Τα VLAN διαχωρίζονται από μια μοναδική "ετικέτα" ή "Αναγνωριστικό VLAN", τιμή από 1 έως 4094. Σκεφτείτε το ως ετικέτα που τοποθετείται στην κίνηση. Είναι πρακτικό να χρησιμοποιείτε ένα τέτοιο αναγνωριστικό VLAN στη διεύθυνση δικτύου, για παράδειγμα 10.0.10.0 / 24 για VLAN 10 και 10.0.20.0 / 24 για VLAN 20. Με βάση το αναγνωριστικό VLAN, ένας διακόπτης καθορίζει σε ποιες θύρες θα στέλνει κίνηση. Κατά τη ρύθμιση, πρέπει ειδικά να γνωρίζετε τι κάνει η συνδεδεμένη συσκευή με τα VLAN. Εάν δεν λειτουργεί με αυτόν, όπως έναν υπολογιστή ή έναν εκτυπωτή, ρυθμίζετε τη θύρα ως μια λεγόμενη πύλη. Ωστόσο, εάν η συσκευή χειρίζεται την κυκλοφορία για επιλεγμένα VLAN, όπως συγκεκριμένους δρομολογητές, διακομιστές και εταιρικά σημεία πρόσβασης, μπορείτε να το διαμορφώσετε ως θύρα κορμού. Επίσης, αποκαλούμε τέτοιες συσκευές "VLAN-sedar".
03 Ρύθμιση VLAN στο διακόπτη
Προσθέτετε VLAN στο διακόπτη το ένα μετά το άλλο (ανά αναγνωριστικό VLAN) και επιλέγετε μεταξύ του χαρακτηρισμού ανά θύρα Με ετικέτα, Χωρίς ετικέτα ή Όχι μέλος. Εάν μια θύρα δεν έχει καμία σχέση με ένα συγκεκριμένο VLAN, επιλέξτε Όχι μέλος. Επιλέγετε μια πύλη εισόδου Χωρίς ετικέτα έτσι ώστε η κυκλοφορία που βγαίνει από το διακόπτη να αφαιρείται ετικέτες. Επιλέγετε μια θύρα κορμού Με ετικέταέτσι ώστε η συσκευή να λάβει το αναγνωριστικό VLAN (και κάνει κάτι μαζί του). Συνήθως πρέπει επίσης να ορίσετε το λεγόμενο PVID (Αναγνωριστικό θύρας VLAN) ανά θύρα πρόσβασης, έτσι ώστε η εισερχόμενη κυκλοφορία (η οποία δεν περιέχει αναγνωριστικό VLAN και επομένως ονομάζεται χωρίς ετικέτα / χωρίς ετικέτα) να καταλήγει στο σωστό VLAN. Επειδή μια πύλη είναι μόνο "μέλος" ενός VLAN, στην πραγματικότητα μπορεί επίσης να συναχθεί από τη διαμόρφωσή σας. Ορισμένοι διακόπτες επομένως λειτουργούν ανεξάρτητα, αλλά πάντα να το ελέγχετε! Εάν δώσετε ιδιαίτερη προσοχή, θα δείτε ότι μπορείτε επίσης να ορίσετε ένα PVID για θύρα κορμού κατά τη διαμόρφωση του διακόπτη. Αυτό συμβαίνει επειδή, παρόλο που είναι καλύτερο να το αποφύγετε στην πράξη, μπορείτε να προσφέρετε έως και ένα χωρίς ετικέτα VLAN εκτός από την επισκεψιμότητα με ετικέτα μέσω ενός τέτοιου κορμού.
04 Προεπιλεγμένο VLAN;
Σημειώστε ότι όταν αφαιρούνται οι διακόπτες από το κουτί, έχουν συχνά ένα προεπιλεγμένο ή εγγενές VLAN σχεδόν πάντα ρυθμισμένο με το VLAN ID 1 ως PVID από προεπιλογή. Αυτό προέρχεται λίγο από τον κόσμο της Cisco. Ως αποτέλεσμα, η εισερχόμενη επισκεψιμότητα χωρίς ετικέτα θα αντιστοιχιστεί στο VLAN 1 από προεπιλογή. Όλες οι θύρες ορίζονται περαιτέρω ως πύλη πρόσβασης (Χωρίς ετικέτα) για αυτό το VLAN. Μόλις μπείτε σε μια θύρα σε άλλο VLAN, βάλτε το Με ετικέτα ή Χωρίς ετικέτα για ένα συγκεκριμένο αναγνωριστικό VLAN, μπορείτε να καταργήσετε ξανά το αναγνωριστικό VLAN 1. Εάν μια θύρα δεν είναι πλέον μέλος ενός άλλου VLAN, συνήθως αναδιατάσσεται αυτόματα σε VLAN 1. Αυτή η συμπεριφορά διαφέρει λίγο από εναλλαγή σε εναλλαγή, επομένως είναι συνετό να ελέγξετε αυτήν την κατανομή.
05 Επαναχρησιμοποίηση υπαρχόντων διακοπτών
Μήπως δεν έχετε θύρες δικτύου; Μπορείτε εύκολα να επεκτείνετε το δίκτυό σας με παλιούς (μη διαχειριζόμενους) διακόπτες. Αν και δεν μπορούν να χειριστούν VLAN, δεν χρειάζεται. Τα συνδέετε σε μια θύρα πρόσβασης που, όπως εξηγείται παραπάνω, παρέχει κυκλοφορία χωρίς ετικέτα και διαιρεί την εισερχόμενη κίνηση πίσω στο σωστό VLAN μέσω της ρύθμισης PVID. Είναι πρακτικό να κολλήσετε ένα αυτοκόλλητο ή μια ετικέτα σε έναν τέτοιο διακόπτη, ώστε να γνωρίζετε για ποιο υποδίκτυο χρησιμοποιείτε. Σε κάθε περίπτωση, είναι χρήσιμο εάν εργάζεστε με VLAN, να επισημάνετε όλες τις θύρες σε διακόπτες και πιθανώς επίσης καλώδια. Ή, για παράδειγμα, χρησιμοποιείτε ξεχωριστό χρώμα καλωδίου ανά VLAN.
06 Πρακτικό παράδειγμα: Διαδίκτυο και δίκτυο επισκεπτών
Έχετε δρομολογητή με ξεχωριστή θύρα δικτύου για πρόσβαση επισκέπτη; Και θέλετε, για παράδειγμα, ένα κανονικό και ένα δίκτυο επισκεπτών σε ένα υπνοδωμάτιο; Στη συνέχεια, τοποθετήστε έναν διαχειριζόμενο διακόπτη στο ντουλάπι του μετρητή και στο υπνοδωμάτιο. Επιλέξτε ένα αναγνωριστικό VLAN για το κανονικό δίκτυο (για παράδειγμα 6) και το δίκτυο επισκεπτών (για παράδειγμα 8). Στο ντουλάπι του μετρητή, για παράδειγμα, συνδέστε τη θύρα 1 στο κανονικό δίκτυο και 2 στο δίκτυο επισκεπτών. Μπορείτε να ορίσετε μια θύρα (για παράδειγμα θύρα 8) ως τη λεγόμενη θύρα κορμού, επισημαίνοντάς την και για τα δύο αναγνωριστικά VLAN. Η κυκλοφορία και για τα δύο VLAN πηγαίνει στη συνέχεια στο διακόπτη στο υπνοδωμάτιο μέσω αυτής της θύρας.
Κατά τη διαμόρφωση του διακόπτη, εισαγάγετε πρώτα το VLAN ID 6 με ενεργοποιημένη τη θύρα 1 Χωρίς ετικέτα και στη θύρα 8 Με ετικέτα. Στη συνέχεια, εισαγάγετε το δεύτερο αναγνωριστικό VLAN 8 με τώρα τη θύρα 2 Χωρίς ετικέτα και στη θύρα 8 Με ετικέτα. Συνήθως πρέπει να ορίσετε το PVID για τη θύρα 1 (6) και 2 (8). Στην κρεβατοκάμαρα μπορείτε να χωρίσετε ξανά την κίνηση με παρόμοια διαμόρφωση. Οι υπόλοιπες θύρες του διακόπτη μπορούν φυσικά να διευθετηθούν σύμφωνα με τις προτιμήσεις σας στο κανονικό δίκτυο ή στο δίκτυο επισκεπτών.
Τηλεόραση και Διαδίκτυο μέσω ξεχωριστών καλωδίων;
Στο δίκτυο των παρόχων Διαδικτύου, συνήθως χρησιμοποιούν VLAN για να διαχωρίσουν, για παράδειγμα, Διαδίκτυο, τηλεόραση και VoIP. Αυτό δεν είναι μόνο ασφαλέστερο, αλλά η ποιότητα μπορεί επίσης να διασφαλιστεί καλύτερα από αυτά τα ξεχωριστά δίκτυα. Ο δρομολογητής μπορεί να χωρίσει τέτοια κίνηση εσωτερικά σε διαφορετικές θύρες. Για την τηλεόραση, αυτό είναι μερικές φορές ένα διαφορετικό υποδίκτυο και ο πάροχος υποθέτει ότι σχεδιάζετε ξεχωριστά καλώδια. Ωστόσο, εάν έχετε μόνο ένα καλώδιο δικτύου στην τηλεόραση, μπορείτε εύκολα να χρησιμοποιήσετε VLAN. Βάλτε έναν διαχειριζόμενο διακόπτη τόσο στο ντουλάπι του μετρητή όσο και στην τηλεόραση και χρησιμοποιήστε VLAN για να διατηρήσετε την κίνηση ξεχωριστή, όπως στην πρακτική μας παρουσίαση του κανονικού δικτύου με ένα δίκτυο επισκεπτών.
