Virtuális helyi hálózat: mi az és miért van rá szükség?

Tartalom

A virtuális hálózattervezés fejlődése
Konfigurációs Típusok
LAN architektúra
Lapos szerkezet
Aszimmetrikus VLAN
Végrehajtás: általános leírás
Az elfogadható nevek szabályai
LAN topológia
VoIP Biztonsági Kockázat
Az integráció előnyei

A virtuális helyi hálózat egy logikai független struktúra, amely ugyanabban a fizikai hálózatban található. A felhasználónak több VLAN-ja lehet ugyanabban az útválasztóban vagy kapcsolóban. Mindegyik hálózat egyesíti egy bizonyos szegmens csapatait, amelyek egyértelmű előnyökkel járnak a menedzsment és a biztonság terén.

A virtuális hálózattervezés fejlődése

Azok a szervezetek, amelyeknek frissíteniük kell régi hálózatukat, megvalósíthatják a helyi vezérlők által kezelt WLAN architektúrát, vagy a felhőben található vezérlőkkel rendelkező architektúrát. Mindkét lehetőség jelentős előnyöket kínál. Annak meghatározása, hogy melyik megvalósítás működik a legjobban, több tényezőtől függ, beleértve a vállalati struktúrát, a jelenlegi hálózati kialakítást és a követelményeket.

A vállalati WLAN-ok kezdeti telepítésekor minden hozzáférési pont konfigurálása és kezelése ugyanazon a hálózaton lévő többiektől függetlenül történt. Abban az időben ez nem volt probléma, mert a legtöbb vállalat speciális zónákat határozott meg a vezeték nélküli hozzáférési pontok számára. Ezek általában konferenciatermek, előcsarnokok és kültéri területek voltak-minden olyan hely, ahol nagy számú felhasználó és több vezetékes port található.

A Wi-Fi iránti kereslet növekedésével az infrastruktúra, biztosítani kell, hogy nőtt a vállalkozás . A hálózati rendszergazdáknak több száz vagy akár több ezer hozzáférési pontot kellett kezelniük. A technikai problémák, mint például a kombinált csatorna interferenciája, az áramellátás beállítása és az ügyfelek barangolása, számos hálózatot instabillá és kiszámíthatatlanná tettek.

Beletelt a létrehozását egy virtuális LAN, amelyben a gyártók elhelyezett vezérlők kényszeríteni adatok vissza. A hozzáférési pont konfigurációjának, kommunikációjának és alkalmazott politikájának egyetlen fojtópontjává váltak. A hozzáférési pontok elvesztették egyéniségüket, a vezérlő pedig az egész WLAN "agyává" vált.

Konfigurációs Típusok

A virtuális LAN hat típusa létezik. A legtöbb felhasználó azonban csak hármat használ: port szint, Macés alkalmazások. A port, vagy inkább annak kapcsolása az útválasztók konfigurációs menüjében a leggyakoribb.

Minden porthoz egy virtuális LAN VLAN van rendelve, és az ehhez a porthoz csatlakozó felhasználók láthatják egymást. A szomszédos virtuális hálózatok elérhetetlenek számukra. A modell egyetlen hátránya, hogy nem veszi figyelembe a dinamizmust a felhasználók keresésekor, de ha megváltoztatják fizikai helyüket, akkor a virtuális LAN programot újra kell konfigurálni.

A MAC ahelyett, hogy a port szintjén lenne hozzárendelve, az eszköz MAC-cím szintjén van. Előnye, hogy mobilitást biztosít anélkül, hogy módosítania kellene a kapcsoló vagy az útválasztó konfigurációját. A probléma meglehetősen érthetőnek tűnik, de az összes felhasználó hozzáadása unalmas lehet.

Az alkalmazások virtuális LAN programok, amelyekben a hálózatokat a használt szoftvertől függően több tényező, például idő, MAC cím vagy alhálózat felhasználásával rendelik hozzá, lehetővé téve az SSH, az FTP, a Samba vagy az SMTP megkülönböztetését.

LAN architektúra

A felhő által kezelt vezeték nélküli helyi hálózatok az Internet minőségétől függenek, és megbízhatatlan kapcsolat esetén meghibásodhatnak. A felhővezérlő gyakran más vezeték nélküli szolgáltatásokat is végez, például előkészíti és hitelesíti a dinamikus gazdagép konfigurációs protokollját.

A virtuális gépek közötti helyi hálózat használata további költségeket jelent az Internet sávszélességéhez. Ezért, ha a kapcsolatot erősen használják, megbízhatatlanok vagy késleltetési problémákkal küzdenek, akkor jobb, ha ragaszkodunk egy helyi megközelítéshez, amely ezeket a funkciókat vezérli.

A legtöbb esetben a vezérlők sokkal nagyobb rugalmasságot kínálnak a valós WLAN-tervezés és-telepítés terén. Ez magában foglalja a régi Wi-Fi eszközök és alkalmazások kiterjesztett támogatását, valamint bizonyos virtuális LAN-beállítások részletesebb ellenőrzését. A több ezer hozzáférési pontot használó vállalkozások számára több helyi vezérlő működhet együtt, hogy megbízható hálózati hozzáférést és feladatátvételt biztosítson az ügyfelek számára.

Lapos szerkezet

A második szintű virtuális gép kapcsolt helyi hálózatának projektje lapos hálózatra hasonlít. A hálózat minden eszköze láthatja bármely műsorszóró csomag továbbítását, még akkor is, ha nem kell adatokat fogadnia. Az útválasztók csak a forráshálózaton belül engedélyezik az ilyen terjesztést, amikor az élő közvetítést minden rekeszben vagy szegmensben átkapcsolja. Ezt sík hálózatnak hívják, nem a kialakítása miatt, hanem azért, mert egyetlen sugárzási tartománya van. Az ilyen levelezést a gazdagép elküldi a kapcsolók összes portjára, így az elején kapott.

Így, , a legnagyobb a kapcsolt rétegű hálózat előnye, hogy a kapcsolóhoz csatlakoztatott minden egyes berendezéshez külön szegmenst vagy rekeszt hoz létre a konfliktustartományban. Ennek eredményeként a következők lehetnek kell gyűjteni nagyobb hálózatok, és nincs szükség hosszú távú Ethernet telepítésére.

A biztonság problémát jelenthet egy tipikus kapcsolt tűzfalban, mivel az eszközök minden fiók számára láthatóak lesznek. Egy másik hátrány az, hogy lehetetlen megállítani a sugárzást és a felhasználók reakcióját. Sajnos, a választás a biztonság korlátozott, amikor a forgalomba jelszavakat a különböző szerverek és egyéb eszközök.

Aszimmetrikus VLAN

Az aszimmetrikus virtuális helyi hálózatok (VLAN-ok) lehetővé teszik a hálózati szegmentálást, a forgalom biztonságos és hatékony megosztását közöttük, miközben csökkentik a sugárzott tartományok méretét, következésképpen a hálózati forgalmat. Általában a VLAN használata nagy hálózatokra összpontosít, felügyelt kapcsolókat használva, amelyek nagy teljesítményű és drága projektek.

Az ilyen konstrukciók legyen hasznos kis-és közepes hálózati környezetben. Biztonsági okokból fontos a hálózatot két teljesen függetlenre osztani, amelyek támogathatják a megosztott erőforrásokhoz való hozzáférést. A szokásos megoldás a VLAN-ok közötti hozzáférés-vezérléssel rendelkező kapcsoló használata. Részletesebben megfontolhatja a D-Link Smart sorozat használatát. Ezek az intelligens kapcsolók webes felületen keresztül vezérelhetők, alacsonyabb áron.

Különösen az aszimmetrikus VLAN funkcionalitását használhatja a D-Link DGS-1210-24 kapcsolóban. Ez lehetővé teszi a hálózat felosztását független VLAN-okra, ugyanakkor fenntartja a közös vonalat, amelyhez más virtuális hálózatok gépei hozzáférhetnek.

Ugyanakkor a VLAN-hoz rendelt számítógépek láthatatlanok lesznek, de mindannyian hozzáférnek az internethez vagy a közös portokban található erőforrásokhoz. Nyilvánvaló, hogy ebben az esetben az összes számítógép ugyanabban az IP alhálózatban lesz. Ezt az eljárást kiterjesztheti egy vállalati Wi-Fi hálózatra, például olyan vendéghálózat létrehozásához, amely hozzáfér az internethez.

Végrehajtás: általános leírás

A virtuális LAN egy felosztás a protokollköteg linkrétegében. A csomópont technológiát használó helyi hálózatok (LAN) számára is létrehozható. A felhasználói csoportok hozzárendelésével javítják a hálózatkezelést és a biztonságot. Lehetőség van interfészek hozzárendelésére ugyanabból a rendszerből a különböző VLAN-okhoz.

Javasoljuk, hogy a helyi hálózatot VLAN-okra osztja, ha a következőket kell tennie:

Végezze el a virtuális LAN létrehozását a munkacsoportok logikai szétválasztásával, például amikor az épület emeletén lévő összes gazdagép LAN-on keresztül csatlakozik a csomópontokhoz.
Rendeljen különböző biztonsági házirendeket a munkacsoportokhoz, például a pénzügyi osztályhoz és az informatikai osztályhoz. Ha mindkét részleg rendszerei ugyanazt a sort használják, akkor minden részleghez külön VLAN-t hozhat létre. Ezután rendelje hozzá a megfelelő biztonsági házirendet mindegyikhez.
A munkacsoportok felosztása felügyelt kérdésterületekre.

A VLAN-ok használata csökkenti a kibocsátó tartományok méretét és növeli a hálózat hatékonyságát.

Az elfogadható nevek szabályai

VLAN-ok mutassa be a közös vagy egyéni nevek használatának előnyeit. A VLAN-ok korábbi verzióit egy fizikai csatlakozási pont (PPA) segítségével azonosították, amely az adatkapcsolat hardvernevének és egy azonosítónak a kombinációját igényelte, amikor virtuális LAN-t hozott létre az Interneten keresztül.

A korszerűbb eszközökben, mint például az Oracle Solaris 11, választhat egy értelmesebb nevet az azonosításhoz. A névnek meg kell felelnie a megadott adatcsatornák elnevezési sorrendjének az érvényes szabályok nevek az Oracle Solaris 11 hálózatban, például a sales0 vagy a marketing1 név.

A nevek együtt működnek a VLAN azonosítóval. A helyi hálózatban egy azonosító, más néven VLAN címke azonosítja őket, amelyet a konfiguráció során állítottak be. A VLAN-ok kapcsolókban történő támogatásához hozzá kell rendelnie , mindegyik azonosítója az interfésznek megfelelő port.

LAN topológia

A csomópontokkal rendelkező LAN technológia lehetővé teszi a helyi hálózati rendszerek megszervezését egy VLAN hálózatban. A megosztáshoz a Felhasználónak rendelkeznie kell a virtuális technológiával kompatibilis csomópontokkal. A csomópont összes portját konfigurálhatja egy vagy több virtuális hálózat adatainak továbbítására, konfigurációjuktól függően. Minden kapcsoló gyártója különböző eljárásokat használ a portok konfigurálásához.

Például, ha a hálózat alhálózati címe 192.168.84.0, ez a LAN három VLAN-ra osztható, amelyek három Munkacsoportnak felelnek meg:

Acctg0 VLAN azonosítóval 789: fiókcsoport. Ez birtokol házigazdák D és E.
Humres0 VLAN ID 456-tal: keretcsoport. Ez birtokol házigazdák B és F.
Infotech0 VLAN azonosítóval 123: számítógépes csoport. Ez birtokol házigazdák A és C.

Több virtuális hálózatot is konfigurálhat egyetlen hálózati meghajtón, például egy kapcsolón, a VLAN-ok és az Oracle Solaris zónák kombinálásával három fizikai hálózati kártyával: net0, net1 és net2.

VLAN nélkül különböző rendszereket kell konfigurálnia bizonyos funkciók végrehajtására, és külön hálózatokhoz kell csatlakoztatnia őket. A VLAN-ok és zónák használatával nyolc rendszert összecsukhat, és egy zónaként konfigurálhatja őket.

VoIP Biztonsági Kockázat

A VoIP adatok és a forgalom külön VLAN-okban történő tárolása minden bizonnyal jó biztonsági gyakorlat, de néha könnyebb mondani, mint megtenni. Ha további hálózati adapterre és kapcsolóportra van szükség a VoIP elválasztásához az adatforgalomtól egy munkaállomáson, nehéz lesz ezt az ötletet üzleti környezetben megvalósítani.

Egyes IP telefonok programozható elsődleges és másodlagos Ethernet porttal rendelkeznek egy telefonhoz egy asztali számítógép, azaz egy PC-hez tervezett kábel.

Az ezt a modellt támogató kapcsolónak VLAN képességgel kell rendelkeznie. Hozzáférés az egységes kommunikációhoz vagy az asztali számítógép engedélyezése számítógépek vagy szerverek a telefonhálózattal való interakcióhoz, a VLAN-ok közötti útválasztást végre kell hajtani, tűzfalra lesz szükség.

Ha a fenti elemek bármelyike hiányzik a hálózatból, akkor nincs szükség IP-telefonok használatára. További hálózati kártya és switch port nélkül nincs értelme megpróbálni telepíteni őket.

Az adatok elhelyezése a VLAN-1-ben és a hangkommunikáció a VLAN-2-ben alapvető példaként javítja a hálózat általános teljesítményét, mivel elkülöníti az adatoldalon a sugárzott forgalmat a VLAN-hoz, és ugyanazt a hangot. Így a biztonságos és gazdaságilag életképes VoIP megoldás eléréséhez a következő alapvető elemekre lesz szükség:

tűzfal;
router;
felügyelt kapcsolók.

Az integráció előnyei

Miután integrálta az operációs rendszert a helyi hálózatba, használhatja a virtualizált operációs rendszert, mintha egy fizikai gép lenne integrálva. Ez előnyökkel jár a munkában:

Hardverhiány esetén a virtuális gépet kiszolgálóként használhatja, és konfigurálhatja a típust, például DNS-kiszolgáló, webszerver, NFS-kiszolgáló, levelezőszerver, SSH-kiszolgáló és VPN-kiszolgáló.
A Felhasználónak lehetősége lesz szimulálni egy kis helyi hálózatot több paranccsal mindenféle teszt elvégzéséhez.
Könnyen cserélhet információt a virtualizált operációs rendszer és az operációs rendszer a gazdagép hálózat, anélkül, hogy a Virtualbox által kínált megosztott mappával kellene rendelkeznie.
Virtuális géppel telepíthet egy SSH alagutat, így titkosíthatja a számítógép által generált összes forgalmat.

A virtuális gépek integrálása a helyi hálózatba rendkívül egyszerű. A virtuális LAN létrehozása előtt telepítse az operációs rendszert egy Virtualbox virtuális gépre, bármilyen ismert operációs rendszer lehet. Jól bevált az Xubuntu 12 virtuális géppel való együttműködésben.10.

Integrációs sorrend:

Válassza Az Xubuntu 12 Lehetőséget.10 majd kattintson a konfigurációs ikonra.
Miután belépett az ablakba, válassza a hálózat lehetőséget.
A kiválasztás után ellenőrizze, hogy a hálózati adapter engedélyezésének lehetősége aktiválva van-e.
Módosítsa a NAT paraméterét az adapterhídra.
Mielőtt virtuális gépet csatlakoztatna egy helyi hálózathoz, adja meg a név opciót.
A Név mező a wlan0 és eth0 opciókat kínálja. Ha a kapcsolat Wi-Fi-n keresztül történik, válassza a wlan0 opciót, majd kattintson a gombra a módosítások elfogadásához.
A külső kábelcsatlakozáshoz ki kell választania az eth0 opciót, majd el kell fogadnia a módosításokat.

A fenti lépések elvégzése után befejeződik a virtuális gép integrálása a helyi hálózatba.

Annak érdekében, hogy megbizonyosodjon arról, hogy a virtuális gép működik, Nyissa meg a terminált, majd írja be: sudo apt-get az nmap telepítéséhez az nmap csomag telepítéséhez.

Ezután ellenőrzik a rendszer IP-jét a terminálon keresztül, valamint az Ifconfig parancsot.

Ugyanakkor a felhasználónak biztosnak kell lennie abban, hogy a virtuális gép be van építve a helyi hálózatba, mivel alapértelmezés szerint a Virtualbox 10-es típusú IP-t rendel.0.2.x/24.

Ezután ellenőrzik a hardvert a virtuális gépen. Ehhez nyissa meg a terminált és használja az nmap parancsot: sudo Nmap 192.1xxx csevegés.1.1/24.

Ebben az esetben a parancs az alhálózati maszktól függően eltérő lehet. Az Nmap beállítása után az útválasztó bemeneti portját írják elő (192.1xxx csevegés.1.1) plusz egy, végül tegye az alhálózati maszkot kanonikus formába. Ami a biztonságot illeti, meg kell ne feledje, hogy a VLAN-okhoz tartozó eszközök nem férnek hozzá más hálózatokban található elemekhez, és fordítva.

A korábban elmondottakból egyszerű következtetés vonható le arról, hogy miért jönnek létre a virtuális helyi hálózatok (VLAN-ok): a menedzsment sokkal könnyebbé válik, mivel az eszközöket osztályokra osztják, még akkor is, ha ugyanahhoz a hálózathoz tartoznak. A VLAN-ok számos műsorszórási tartományt osztályozhatnak a logikai alhálózatok száma alapján, és csoportosíthatják a hálózatban fizikailag szétszórt végállomásokat.