Jūsu tīklā esošo ierīču skaits strauji pieaug. Bieži vien jums nav ne jausmas, ko šīs ierīces dara. Droša ideja ir tos ievietot atsevišķā tīklā vai apakštīklā, izmantojot virtuālo tīklu vai VLAN. Pēc tam jūs varat noteikt ierobežojumus, bet arī noteikt satiksmes prioritātes. Mēs parādīsim, kā tas darbojas, kas jums tam nepieciešams, kā arī to, kā jūs varat risināt turpmāko tīkla pārvaldību.
Šāds pieaugošs tīkls ar IoT ierīcēm ir jauks, taču tam arī jāpaliek vadāmam. Parasti ierīces izmanto jūsu parasto mājas tīklu, kas nedod tik drošu sajūtu, jo daudzām ioT ierīcēm drošība nav kārtībā. Virtuālo tīklu (vai virtuālo LAN vai VLAN) palīdzību ir labi nodalīt. Virtuālais tīkls būtībā ir atsevišķs tīkls - vai apakštīkls -, kurā vienkārši tiek izmantoti esošie kabeļi un slēdži. Ērti, piemēram, lai izolētu visas šīs IoT ierīces, lai tās nevarētu iekļūt jūsu galvenajā tīklā vai sazināties ar neskaidru serveri Ķīnā, tikai dažus no tiem.
01 Kas ir apakštīkli?
Apakštīkls faktiski ir virkne IP adrešu, kas pieder kopā. Vietējā tīklā tās ir privātas IP adreses, kuru nav internetā (skatiet lodziņu “Zināmie privātie IP diapazoni un apakštīkla maskas”). Katras IP adreses pirmā daļa attiecas uz atbilstošo tīklu, otrā daļa - uz konkrētu ierīci vai resursdatoru. Apakštīkla maska norāda, kura daļa raksturo tīklu. Ja maršrutētājam ir atsevišķs tīkla ports ar izolētu viesu tīklu, tad tas faktiski ir arī atsevišķs apakštīkls ar atšķirīgu IP diapazonu. Strādājot ar VLAN, vienā tīklā varat izveidot vairākus apakštīklus, ja vien izmantojat pārvaldītu slēdzi, kas var apstrādāt šādus VLAN. Citur šajā datorā! Kopumā mēs jums esam pārbaudījuši vairākus labi zināmus modeļus!
Pazīstami privātie IP diapazoni un apakštīkla maskas
Vai meklējat savu maršrutētāju? Iespējams, ka to atradīsit adresē, piemēram, 192.168.1.1, ar tīkla ierīcēm adresēs starp 192.168.1.2 un 192.168.1.254. Šajā gadījumā apakštīkla maska ir 255.255.255.0. Šāda apakštīkla maska norāda, uz kuru IP adreses daļu tīkls norāda. Šajā gadījumā precīzi pirmie trīs numuri, kas ir vienādi katrai IP apakštīkla adresei. Tas "sarunājas" vieglāk, bet nav obligāti: jūs varat ar to eksperimentēt (palīdz ar aprēķinu rīkiem internetā). Jūs bieži sastopat arī saīsināto CIDR apzīmējumu (Classless Inter-Domain Routing). Pēc tam šo konkrēto apakštīklu varat rakstīt kā 192.168.1.0/24. Vēl viens labi pazīstams IP diapazons, kuru mēs arī izmantojam šajā darbnīcā, ir 10.0.0.0/24.
02 Šādi darbojas VLAN
VLAN atdala unikāls “tags” vai “VLAN ID”, vērtība no 1 līdz 4094. Iedomājieties to kā tagu, kas tiek ievietots datplūsmā. Šādu VLAN ID ir praktiski izmantot tīkla adresē, piemēram, 10.0.10.0 / 24 VLAN 10 un 10.0.20.0 / 24 VLAN 20. Pamatojoties uz VLAN ID, slēdzis nosaka, uz kurām ostām sūtīt trafiku. Iestatot to, jums īpaši jāzina, ko savienotā ierīce dara ar VLAN. Ja tas ar to nedarbojas, piemēram, ar datoru vai printeri, portu konfigurējat kā tā saukto vārteju. Tomēr, ja ierīce apstrādā atlasīto VLAN trafiku, piemēram, noteiktus maršrutētājus, serverus un korporatīvos piekļuves punktus, to konfigurējat kā maģistrālo portu. Šādas ierīces mēs saucam arī par “VLAN apzinīgām”.
03 VLAN iestatīšana uz slēdža
Jūs pēc kārtas pievienojat VLAN slēdžam (katram VLAN ID) un izvēlaties starp apzīmējumu katrā ostā Atzīmēts, Nav atzīmēts vai Nav biedrs. Ja ostai nav nekāda sakara ar konkrētu VLAN, izvēlieties Nav biedrs. Jūs izvēlaties ieejas vārtus Nav atzīmēts lai satiksmei, kas iziet no slēdža, tiktu noņemti tagi. Jūs izvēlaties bagāžnieka portu Atzīmētslai ierīce saņemtu VLAN ID (un kaut ko ar to darītu). Parasti katram piekļuves portam ir jāiestata arī tā sauktais PVID (porta VLAN identifikators), lai ienākošā trafika (kas nesatur VLAN ID un tāpēc tiek saukta par neatzīmētu / neatzīmētu) nonāktu pareizajā VLAN. Tā kā vārteja ir tikai viena VLAN "dalībniece", to faktiski var secināt arī no jūsu konfigurācijas. Tāpēc daži slēdži darbojas neatkarīgi, taču vienmēr pārbaudiet to! Ja uzmanīgi pievērsīsit uzmanību, redzēsit, ka, konfigurējot slēdzi, var iestatīt PVID arī maģistrālajam portam. Tas notiek tāpēc, ka, lai arī praksē no tā labāk izvairīties, papildus marķētai datplūsmai caur šādu maģistrāli var piedāvāt ne vairāk kā vienu nepievienotu VLAN.
04 Noklusējuma VLAN?
Ņemiet vērā, ka, ja slēdži tiek izņemti no kastes, tiem bieži ir noklusējuma vai vietējais VLAN, kas pēc noklusējuma gandrīz vienmēr ir iestatīts ar VLAN ID 1 kā PVID. Tas nāk mazliet no Cisco pasaules. Tā rezultātā pēc noklusējuma nepiešķirta ienākošā trafika tiks kartēta uz VLAN 1. Visas ostas tiek tālāk iestatītas kā piekļuves vārti (Nav atzīmēts) šim VLAN. Tiklīdz pievienojat citu VLAN portu, ielieciet to Atzīmēts vai Nav atzīmēts konkrētam VLAN ID varat vēlreiz noņemt VLAN ID 1. Ja osta vairs nav cita VLAN locekle, tā parasti tiek automātiski pārkārtota uz VLAN 1. Šāda rīcība dažādos slēdžos nedaudz atšķiras, tāpēc ir prātīgi pārbaudīt šo sadalījumu.
05 Atkārtoti izmantojiet esošos slēdžus
Vai jums trūkst tīkla portu? Jūs varat viegli paplašināt savu tīklu, izmantojot vecus (nepārvaldītus) slēdžus. Lai gan viņi nevar rīkoties ar VLAN, viņiem tas nav jādara. Jūs tos savienojat ar piekļuves portu, kas, kā paskaidrots iepriekš, piegādā trafiku nepiesaistītu un sadala ienākošo trafiku atpakaļ pareizajā VLAN, izmantojot PVID iestatījumu. Uz šāda slēdža ir praktiski ielīmēt uzlīmi vai etiķeti, lai jūs zināt, kuram apakštīklam to izmantojat. Jebkurā gadījumā tas ir noderīgi, ja strādājat ar VLAN, marķēt visas slēdžu ostas un, iespējams, arī kabeļus. Vai, piemēram, katram VLAN izmantojat atsevišķu kabeļa krāsu.
06 Praktisks piemērs: internets un viesu tīkls
Vai viesiem ir pieejams maršrutētājs ar atsevišķu tīkla portu? Un vai vēlaties, piemēram, guļamistabā gan normālu, gan viesu tīklu? Pēc tam ievietojiet pārvaldītu slēdzi skaitītāja skapī un guļamistabā. Izvēlieties VLAN ID parastajam tīklam (piemēram, 6) un viesu tīklam (piemēram, 8). Piemēram, skaitītāja skapī pievienojiet 1. portu parastajam tīklam un 2. viesu tīklam. Jūs iestatāt portu (piemēram, 8. portu) kā tā saukto maģistrāles portu, atzīmējot to abiem VLAN ID. Pēc tam abu VLAN satiksme caur šo portu nonāk guļamistabā esošajā slēdzī.
Konfigurējot slēdzi, vispirms ievadiet VLAN ID 6 ar ieslēgtu 1. portu Nav atzīmēts un 8. ports ieslēgts Atzīmēts. Pēc tam ievadiet otro VLAN ID 8 ar tagad 2. portu Nav atzīmēts un 8. ports ieslēgts Atzīmēts. Parasti 1. portam joprojām ir jāiestata PVID (6) un 2 (8). Guļamistabā jūs varat atkal sadalīt satiksmi ar līdzīgu konfigurāciju. Pārējās slēdža porti, protams, var tikt sakārtoti atbilstoši jūsu vēlmēm parastajā tīklā vai viesu tīklā.
Televīzija un internets, izmantojot atsevišķus kabeļus?
Interneta nodrošinātāju pašu tīklā viņi parasti izmanto VLAN, lai nodalītu, piemēram, internetu, televīziju un VoIP. Tas nav tikai drošāk, kvalitāti var arī labāk garantēt šie atsevišķi tīkli. Maršrutētājs var sadalīt šādu trafiku iekšēji dažādās ostās. Televīzijai tas dažreiz ir atšķirīgs apakštīkls, un pakalpojumu sniedzējs pieņem, ka jūs velkat atsevišķus kabeļus. Tomēr, ja televizoram ir tikai viens tīkla kabelis, varat ērti izmantot VLAN. Ievietojiet pārvaldītu slēdzi gan skaitītāja skapī, gan televizorā un izmantojiet VLAN, lai satiksme būtu nodalīta atsevišķi, tāpat kā mūsu praktiskajā piemērā parastais tīkls ar viesu tīklu.
