Število naprav v vašem omrežju hitro narašča. Pogosto nimate pojma, kaj te naprave počnejo. Varno jih je postaviti s pomočjo navideznega omrežja ali VLAN-a v ločeno omrežje ali podomrežje. Nato lahko naložite omejitve, pa tudi določite prometne prioritete. Pokažemo vam, kako to deluje, kaj za to potrebujete in kako se lahko lotite nadaljnjega upravljanja omrežja.
Tako rastoče omrežje z napravami IoT je lepo, vendar mora ostati tudi obvladljivo. Ponavadi naprave uporabljajo vaše običajno domače omrežje, kar pa ne daje tako varnega občutka, ker številne naprave IoT nimajo zaščite. Če se ločite med navideznimi omrežji (ali virtualnimi LAN-ji ali VLAN-i), je prav. Navidezno omrežje je v bistvu ločeno omrežje - ali podomrežje - ki preprosto uporablja vaše obstoječe kable in stikala. Priročno je na primer izolirati vse tiste naprave IoT, tako da ne morejo vstopiti v vaše glavno omrežje ali vzpostaviti stika z nejasnim strežnikom na Kitajskem, če naštejemo le nekatere.
01 Kaj so podomrežja?
Podmreža je pravzaprav vrsta naslovov IP, ki spadajo skupaj. Znotraj vašega lokalnega omrežja so to zasebni naslovi IP, ki ne obstajajo v internetu (glejte polje "Znani zasebni obsegi IP in maske podomrežja"). Prvi del vsakega naslova IP se nanaša na ustrezno omrežje, drugi del na določeno napravo ali gostitelja. Maska podomrežja označuje, kateri del opisuje omrežje. Če ima vaš usmerjevalnik ločena omrežna vrata z izoliranim gostujočim omrežjem, je to pravzaprav tudi ločeno podomrežje z drugačnim obsegom IP. Z delom z omrežji VLAN lahko v istem omrežju ustvarite več podomrežij, pod pogojem, da uporabljate upravljano stikalo, ki lahko obvladuje taka omrežja VLAN. Drugje v tem računalniku! V celoti smo za vas preizkusili številne znane modele!
Dobro znani obsegi zasebnih IP in maske podomrežja
Iščete svoj usmerjevalnik? Verjetno ga boste našli na naslovu, kot je 192.168.1.1, omrežne naprave pa na naslovih med 192.168.1.2 in 192.168.1.254. V tem primeru je maska podomrežja 255.255.255.0. Takšna maska podomrežja označuje, na kateri del naslova IP usmerja omrežje. V tem primeru natančno prve tri številke, ki so enake za vsak naslov IP v tej podomrežji. To lažje "govori", vendar ni obvezno: z njim lahko eksperimentirate (pomagajo vam orodja za izračun na internetu). Pogosto naletite tudi na skrajšani zapis CIDR (brezrazredno usmerjanje med domenami). Nato lahko to določeno podomrežje zapišete kot 192.168.1.0/24. Drug znani obseg IP, ki ga prav tako uporabljamo v tej delavnici, je 10.0.0.0/24.
02 Tako delujejo omrežja VLAN
VLAN-i so ločeni z edinstveno "oznako" ali "VLAN ID", vrednostjo od 1 do 4094. Pomislite na to kot na oznako, ki je postavljena na promet. Takšen ID VLAN je praktično uporabiti v omrežnem naslovu, na primer 10.0.10.0 / 24 za VLAN 10 in 10.0.20.0 / 24 za VLAN 20. Na podlagi ID-ja VLAN stikalo določa, na katera vrata naj se pošlje promet. Pri nastavitvi morate še posebej vedeti, kaj povezana naprava počne z omrežji VLAN. Če z njim ne deluje, na primer osebni računalnik ali tiskalnik, vrata konfigurirate kot tako imenovani prehod. Če pa naprava obravnava promet za izbrana omrežja VLAN, na primer določene usmerjevalnike, strežnike in dostopne točke za podjetja, jo konfigurirate kot vrata medsebojnih povezav. Takšnim napravam pravimo tudi »VLAN-zavedajoče«.
03 Nastavitev omrežij VLAN na stikalu
VLAN na stikalo dodajate enega za drugim (na ID VLAN) in izbirate med oznako na vrata Označena, Neoznačeno ali Ni član. Če vrata nimajo nič skupnega z določenim VLAN-om, izberite Ni član. Izberete vhodna vrata Neoznačeno tako da se prometu, ki zapušča stikalo, odvzamejo oznake. Izberete vrata za medomrežje Označenatako da naprava prejme ID VLAN (in z njim nekaj naredi). Običajno morate na dostopna vrata nastaviti tudi tako imenovani PVID (Port VLAN identifier), tako da dohodni promet (ki ne vsebuje ID-ja VLAN-a in se zato imenuje neoznačen / neoznačen) konča v pravilnem VLAN-u. Ker je prehod samo "član" enega VLAN-a, ga je mogoče dejansko razbrati tudi iz vaše konfiguracije. Nekatera stikala torej delujejo neodvisno, vendar to vedno preverite! Če ste pozorno pozorni, boste videli, da lahko pri konfiguriranju stikala nastavite tudi PVID za vrata medveza. To je zato, ker se lahko temu, čeprav se temu v praksi izognemo, poleg označenega prometa prek takega trupa ponudi tudi največ en neoznačen VLAN.
04 Privzeti VLAN?
Ko stikala vzamemo iz škatle, imajo pogosto privzeti ali izvorni VLAN, ki je privzeto skoraj vedno nastavljen z VLAN ID 1 kot PVID. To prihaja nekoliko iz sveta Cisco. Posledično bo neoznačeni dohodni promet privzeto preslikan v VLAN 1. Vsa vrata so nadalje nastavljena kot dostopna vrata (Neoznačeno) za ta VLAN. Takoj, ko priključite vrata v drug VLAN, ga vstavite Označena ali Neoznačeno za določen ID VLAN lahko znova odstranite ID VLAN 1. Če vrata niso več član drugega VLAN-a, se običajno samodejno preuredijo v VLAN 1. Takšno vedenje se od stikala do stikala nekoliko razlikuje, zato je pametno preveriti to dodelitev.
05 Ponovno uporabite obstoječa stikala
Vam primanjkuje omrežnih vrat? Omrežje lahko preprosto razširite s starimi (neupravljanimi) stikali. Čeprav ne morejo obvladati omrežij VLAN, jim ni treba. Povežete jih z dostopnimi vrati, ki, kot je razloženo zgoraj, dostavljajo promet neoznačen in dohodni promet prek nastavitve PVID delijo nazaj v pravi VLAN. Praktično je na takšno stikalo nalepiti nalepko ali nalepko, da boste vedeli, za katero podomrežje jo uporabljate. V vsakem primeru je koristno, če delate z omrežji VLAN, označiti vsa vrata na stikalih in morda tudi kable. Ali pa na primer uporabite ločeno barvo kabla na VLAN.
06 Praktični primer: internet in omrežje gostov
Ali imate usmerjevalnik z ločenimi omrežnimi vrati za dostop gostov? In ali želite na primer normalno in mrežo gostov v spalnici? Nato v omaro in spalnico vstavite upravljano stikalo. Izberite ID VLAN za običajno omrežje (na primer 6) in gostujoče omrežje (na primer 8). Na primer v omari z merilniki priključite vrata 1 na običajno omrežje in 2 na omrežje za goste. Vrata (na primer vrata 8) nastavite kot tako imenovana glavna vrata, tako da jih označite za oba ID-ja VLAN. Preko obeh VLAN-ov se nato promet prek obeh vrat preusmeri na stikalo v spalnici.
Ko konfigurirate stikalo, najprej vnesite ID VLAN 6 z vklopljenimi vrati 1 Neoznačeno in vrata 8 naprej Označena. Nato vnesite drugi ID VLAN 8 z zdaj vrati 2 Neoznačeno in vrata 8 naprej Označena. Običajno morate še vedno nastaviti PVID za vrata 1 (6) in 2 (8). V spalnici lahko promet spet razdelite s podobno konfiguracijo. Preostala vrata na stikalu lahko seveda uredite glede na vaše želje v običajnem omrežju ali gostujočem omrežju.
Televizija in internet prek ločenih kablov?
V lastnem omrežju internetnih ponudnikov običajno uporabljajo omrežja VLAN za ločevanje, na primer interneta, televizije in VoIP. To ni samo varnejše, kakovost lahko bolje zagotavljajo tudi ta ločena omrežja. Usmerjevalnik lahko tak promet interno razdeli na različna vrata. Za televizijo je to včasih drugačna podomrežja in ponudnik predvideva, da vlečete ločene kable. Če pa imate do televizorja le en omrežni kabel, lahko priročno uporabljate omrežja VLAN. Postavite upravljano stikalo tako v omarico števcev kot v televizijo in z VLAN-i za zagotovitev ločenega prometa, pravzaprav kot v našem praktičnem primeru običajnega omrežja z gostujočim omrežjem.
