Hvordan

Nettverksadministrasjon med VLAN-er? Det fungerer slik

Antall enheter på nettverket ditt vokser raskt. Ofte aner du ikke hva disse enhetene gjør. Det er en trygg ide å sette dem i et eget nettverk eller delnett, ved hjelp av et virtuelt nettverk eller VLAN. Du kan da innføre begrensninger, men også angi trafikkprioriteter. Vi viser deg hvordan dette fungerer, hva du trenger for det og også hvordan du kan takle den videre styringen av nettverket.

Et slikt voksende nettverk med IoT-enheter er fint, men det må også forbli håndterbart. Vanligvis bruker enhetene ditt vanlige hjemmenettverk, noe som ikke gir en så trygg følelse fordi mange ioT-enheter ikke har sikkerheten i orden. Hjulpet av virtuelle nettverk (eller virtuelle LAN eller VLAN) er det greit å skille. Et virtuelt nettverk er egentlig et eget nettverk - eller subnett - som ganske enkelt bruker dine eksisterende kabler og brytere. Praktisk, for eksempel, å isolere alle disse IoT-enhetene, slik at de ikke kan gå inn i hovednettverket ditt eller ta kontakt med en uklar server i Kina, for bare å nevne noen.

01 Hva er undernett?

Et delnett er egentlig en serie IP-adresser som hører sammen. I ditt lokale nettverk er dette private IP-adresser som ikke finnes på internett (se ruten "Kjente private IP-områder og nettverksmasker"). Den første delen av hver IP-adresse refererer til det tilsvarende nettverket, den andre delen til en bestemt enhet eller vert. En undernettmaske angir hvilken del som beskriver nettverket. Hvis ruteren din har en egen nettverksport med et isolert gjestenettverk, er det faktisk også et eget undernett med et annet IP-område. Ved å jobbe med VLAN-er kan du opprette flere undernett i samme nettverk, forutsatt at du bruker en administrert bryter som kan håndtere slike VLAN-er. Andre steder i denne datamaskinen! Totalt har vi testet en rekke kjente modeller for deg!

Kjente private IP-områder og nettverksmasker

Leter du etter ruteren din? Sjansen er stor for at du finner den på en adresse som 192.168.1.1, med nettverksenhetene dine på adressene mellom 192.168.1.2 og 192.168.1.254. I dette tilfellet er nettverksmasken 255.255.255.0. En slik delnettmaske indikerer hvilken del av en IP-adresse nettverket peker på. I dette tilfellet nøyaktig de tre første tallene, som er like for hver IP-adresse i det delnettet. Det som "snakker" lettere, men er ikke obligatorisk: du kan eksperimentere med det (hjulpet av beregningsverktøy på internett). Du kommer også ofte over den forkortede CIDR-notasjonen (Classless Inter-Domain Routing). Du kan deretter skrive dette spesifikke undernettet som 192.168.1.0/24. Et annet kjent IP-utvalg, som vi også bruker i dette verkstedet, er 10.0.0.0/24.

02 Slik fungerer VLAN

VLAN er atskilt med en unik "tag" eller "VLAN ID", en verdi fra 1 til 4094. Tenk på det som en tag som plasseres på trafikken. Det er praktisk å bruke en slik VLAN ID i nettverksadressen, for eksempel 10.0.10.0 / 24 for VLAN 10 og 10.0.20.0 / 24 for VLAN 20. Basert på VLAN ID, bestemmer en bryter hvilke porter du skal sende trafikk til. Når du setter den opp, må du spesielt vite hva den tilkoblede enheten gjør med VLAN-er. Hvis det ikke fungerer med den, for eksempel en PC eller skriver, konfigurerer du porten som en såkalt gateway. Imidlertid, hvis enheten håndterer trafikk for utvalgte VLAN-er, for eksempel visse rutere, servere og bedriftsadgangspunkter, konfigurerer du den som en koffertport. Vi kaller også slike enheter "VLAN-bevisste".

03 Stille inn VLAN-er på bryteren

Du legger til VLAN-er på bryteren etter hverandre (per VLAN-ID) og velger mellom betegnelsen per port Merket, Umerket eller Ikke medlem. Hvis en port ikke har noe med et bestemt VLAN å gjøre, velger du Ikke medlem. Du velger inngangsport Umerket slik at trafikken som forlater bryteren, blir fratatt tagger. Du velger en koffertport Merketslik at enheten mottar VLAN ID (og gjør noe med den). Du må vanligvis også sette en såkalt PVID (Port VLAN identifier) ​​per tilgangsport, slik at innkommende trafikk (som ikke inneholder en VLAN ID og derfor kalles umerket / umerket) havner i riktig VLAN. Fordi en gateway bare er "medlem" av ett VLAN, kan det faktisk også trekkes fra konfigurasjonen din. Noen brytere fungerer derfor uavhengig, men sjekk alltid dette! Hvis du følger nøye med, vil du se at du også kan stille inn en PVID for en koffertport når du konfigurerer bryteren. Dette er fordi, selv om det er bedre å unngå dette i praksis, kan du tilby maksimalt ett umerket VLAN i tillegg til merket trafikk via en slik koffert.

04 Standard VLAN?

Merk at når brytere tas ut av boksen, har de ofte en standard eller innfødt VLAN nesten alltid satt med VLAN ID 1 som PVID som standard. Det kommer litt fra Cisco-verdenen. Som et resultat blir umerket innkommende trafikk som standard kartlagt til VLAN 1. Alle porter er videre angitt som tilgangsport (Umerket) for det VLAN. Så snart du blir med i en port til et annet VLAN, setter du den på Merket eller Umerket for en spesifikk VLAN ID, kan du fjerne VLAN ID 1 igjen. Hvis en port ikke lenger er medlem av et annet VLAN, blir det vanligvis omorganisert til VLAN 1. Slik oppførsel skiller seg litt fra bryter til bryter, så det er lurt å sjekke denne tildelingen.

05 Gjenbruk eksisterende brytere

Mangler du nettverksporter? Du kan enkelt utvide nettverket ditt med gamle (ikke-administrerte) brytere. Selv om de ikke kan håndtere VLAN-er, trenger de ikke. Du kobler dem til en tilgangsport som, som forklart ovenfor, leverer trafikk umerket og deler innkommende trafikk tilbake i riktig VLAN via PVID-innstillingen. Det er praktisk å sette et klistremerke eller en etikett på en slik bryter, slik at du vet hvilket subnett du bruker det. I alle fall er det nyttig hvis du jobber med VLAN-er, å merke alle porter på brytere og muligens også kabler. Eller for eksempel bruker du en egen kabelfarge per VLAN.

06 Praktisk eksempel: internett og gjestenettverk

Har du en ruter med en egen nettverksport for gjestetilgang? Og vil du for eksempel både et vanlig og et nettverk på et soverom? Sett deretter en håndtert bryter i måleskapet og soverommet. Velg en VLAN-ID for det vanlige nettverket (for eksempel 6) og gjestenettverket (for eksempel 8). I måleskapet kobler du for eksempel port 1 til det vanlige nettverket og 2 til gjestenettverket. Du setter en port (for eksempel port 8) som en såkalt trunkport, ved å merke den for begge VLAN-IDene. Trafikk for begge VLAN-ene går deretter til bryteren på soverommet via denne porten.

Når du konfigurerer bryteren, angir du først VLAN ID 6 med port 1 på Umerket og port 8 på Merket. Skriv deretter inn den andre VLAN ID 8 med nå port 2 Umerket og port 8 på Merket. Du må vanligvis fortsatt stille inn PVID for port 1 (6) og 2 (8). På soverommet kan du dele trafikken igjen med en lignende konfigurasjon. De resterende portene på bryteren kan selvfølgelig ordnes etter dine preferanser på det vanlige nettverket eller gjestenettverket.

TV og internett via separate kabler?

I internettleverandørenes eget nettverk bruker de vanligvis VLAN-er for å skille for eksempel internett, TV og VoIP. Dette er ikke bare tryggere, men kvaliteten kan også garanteres bedre av disse separate nettverkene. Ruteren kan dele slik trafikk internt på tvers av forskjellige porter. For fjernsyn er dette noen ganger et annet subnett, og leverandøren antar at du trekker separate kabler. Men hvis du bare har en nettverkskabel til TV-en, kan du enkelt bruke VLAN-er. Sett en administrert bryter i både målerskapet og fjernsynet og bruk VLAN-er for å holde trafikken atskilt, faktisk som i vårt praktiske eksempel på det vanlige nettverket med et gjestenettverk.

$config[zx-auto] not found$config[zx-overlay] not found