Počet zařízení ve vaší síti rychle roste. Často ani netušíte, co tato zařízení dělají. Je bezpečné je umístit do samostatné sítě nebo podsítě pomocí virtuální sítě nebo VLAN. Poté můžete uložit omezení, ale také nastavit priority provozu. Ukážeme vám, jak to funguje, co k tomu potřebujete a také jak můžete řešit další správu sítě.
Taková rostoucí síť se zařízeními IoT je hezká, ale musí zůstat také zvládnutelná. Zařízení obvykle používají vaši běžnou domácí síť, což nedává tak bezpečný pocit, protože mnoho zařízení ioT nemá zabezpečení v pořádku. S pomocí virtuálních sítí (nebo virtuálních sítí LAN nebo VLAN) je v pořádku oddělit. Virtuální síť je v podstatě samostatná síť - nebo podsíť - která jednoduše používá vaše stávající kabely a přepínače. Je užitečné například izolovat všechna tato zařízení IoT, aby nemohla vstoupit do vaší hlavní sítě nebo navázat kontakt s temným serverem v Číně, abychom jmenovali alespoň některé.
01 Co jsou podsítě?
Podsíť je ve skutečnosti řada IP adres, které patří k sobě. V místní síti se jedná o soukromé adresy IP, které na internetu neexistují (viz rámeček „Známé rozsahy soukromých adres IP a masky podsítě“). První část každé adresy IP odkazuje na odpovídající síť, druhá část na konkrétní zařízení nebo hostitele. Maska podsítě označuje, která část popisuje síť. Pokud má váš router samostatný síťový port s izolovanou sítí pro hosty, pak je to vlastně také samostatná podsíť s jiným rozsahem IP. Při práci s VLAN můžete vytvořit více podsítí ve stejné síti za předpokladu, že používáte spravovaný přepínač, který dokáže takové VLAN zpracovat. Jinde v tomto počítači! Celkově jsme pro vás otestovali řadu známých modelů!
Známé soukromé rozsahy IP adres a masky podsítě
Hledáte svůj router? Je pravděpodobné, že ji najdete na adrese jako 192.168.1.1, se síťovými zařízeními na adresách mezi 192.168.1.2 a 192.168.1.254. V tomto případě je maska podsítě 255.255.255.0. Taková maska podsítě označuje, na kterou část IP adresy síť ukazuje. V tomto případě přesně první tři čísla, která jsou stejná pro každou adresu IP v dané podsíti. To „hovoří“ snadněji, ale není to povinné: můžete s ním experimentovat (s pomocí výpočetních nástrojů na internetu). Často také narazíte na zkrácenou notaci CIDR (Classless Inter-Domain Routing). Tuto konkrétní podsíť pak můžete zapsat jako 192.168.1.0/24. Další známý rozsah IP adres, který také používáme v tomto workshopu, je 10.0.0.0/24.
02 Takto fungují VLAN
VLAN jsou odděleny jedinečnou „značkou“ nebo „VLAN ID“, což je hodnota od 1 do 4094. Představte si to jako značku, která je umístěna v provozu. Je praktické použít takové VLAN ID v síťové adrese, například 10.0.10.0 / 24 pro VLAN 10 a 10.0.20.0 / 24 pro VLAN 20. Na základě ID VLAN určuje přepínač, na které porty se má provoz odesílat. Při nastavování musíte zejména vědět, co připojené zařízení dělá s VLAN. Pokud to nefunguje, například počítač nebo tiskárna, nakonfigurujete port jako takzvanou bránu. Pokud však zařízení zpracovává provoz pro vybrané VLAN, jako jsou určité směrovače, servery a podnikové přístupové body, nakonfigurujete je jako hlavní port. Taková zařízení také nazýváme „VLAN-aware“.
03 Nastavení VLAN na přepínači
Postupně přidáváte VLAN do přepínače (na VLAN ID) a volíte mezi označením na port Označené, Neoznačený nebo Není členem. Pokud port nemá nic společného s konkrétní VLAN, zvolte Není členem. Vyberete si vstupní bránu Neoznačený takže provoz opouštějící přepínač je zbaven značek. Vyberete si hlavní port Označenétakže zařízení přijme VLAN ID (a něco s ním udělá). Obvykle musíte také nastavit takzvaný PVID (Port VLAN identifier) na přístupový port, aby příchozí provoz (který neobsahuje ID VLAN a proto se nazývá neoznačený / neoznačený) skončil ve správné VLAN. Protože brána je pouze „členem“ jedné VLAN, lze ji ve skutečnosti odvodit také z vaší konfigurace. Některé přepínače proto fungují samostatně, ale vždy to zkontrolujte! Pokud budete věnovat velkou pozornost, uvidíte, že při konfiguraci přepínače můžete také nastavit PVID pro hlavní port. Je to proto, že i když je lepší se tomu v praxi vyhnout, můžete kromě označeného provozu prostřednictvím takového kmitočtu nabídnout maximálně jednu neoznačenou VLAN.
04 Výchozí VLAN?
Všimněte si, že když jsou přepínače vytaženy z krabice, mají často výchozí nebo nativní VLAN téměř vždy nastavenou s VLAN ID 1 jako PVID ve výchozím nastavení. To pochází trochu ze světa Cisco. Výsledkem je, že neoznačený příchozí provoz bude ve výchozím nastavení mapován na VLAN 1. Všechny porty jsou dále nastaveny jako přístupová brána (Neoznačený) pro tuto VLAN. Jakmile se připojíte k portu jiné VLAN, zapněte jej Označené nebo Neoznačený pro konkrétní VLAN ID můžete VLAN ID 1 znovu odebrat. Pokud port již není členem jiné VLAN, je obvykle automaticky přeskupen do VLAN 1. Takové chování se od přepínače k přepínači trochu liší, proto je rozumné toto přidělení zkontrolovat.
05 Opětovné použití stávajících přepínačů
Máte nedostatek síťových portů? Síť můžete snadno rozšířit o staré (neřízené) přepínače. I když nemohou pracovat s VLAN, nemusí. Připojíte je k přístupovému portu, který, jak je vysvětleno výše, poskytuje neoznačený provoz a rozděluje příchozí provoz zpět do správné VLAN prostřednictvím nastavení PVID. Je praktické na takový přepínač nalepit štítek nebo štítek, abyste věděli, pro kterou podsíť jej používáte. V každém případě je užitečné při práci s VLAN označit všechny porty na přepínačích a případně i kabely. Nebo například použijete samostatnou barvu kabelu pro každou VLAN.
06 Praktický příklad: internet a síť pro hosty
Máte router se samostatným síťovým portem pro přístup hostů? A chcete například normální a hostující síť v ložnici? Poté vložte spravovaný spínač do skříně měřiče a do ložnice. Vyberte ID VLAN pro běžnou síť (například 6) a síť pro hosty (například 8). Například v měřicí skříni připojte port 1 k běžné síti a 2 k síti pro hosty. Nastavíte port (například port 8) jako takzvaný kmenový port tak, že jej označíte pro obě ID VLAN. Provoz pro obě VLAN pak přes tento port jde k přepínači v ložnici.
Při konfiguraci přepínače nejprve zadejte VLAN ID 6 se zapnutým portem 1 Neoznačený a port 8 zapnutý Označené. Poté zadejte druhé VLAN ID 8 s nyní portem 2 Neoznačený a port 8 zapnutý Označené. Obvykle musíte ještě nastavit PVID pro port 1 (6) a 2 (8). V ložnici můžete znovu rozdělit provoz s podobnou konfigurací. Zbývající porty na přepínači lze samozřejmě uspořádat podle vašich preferencí v běžné síti nebo v síti pro hosty.
Televize a internet přes samostatné kabely?
Ve vlastní síti poskytovatelů internetu obvykle používají VLAN k oddělení, například internetu, televize a VoIP. To je nejen bezpečnější, kvalitu mohou také lépe zaručit tyto samostatné sítě. Směrovač může takový provoz interně rozdělit mezi různé porty. Pro televizi je to někdy jiná podsíť a poskytovatel předpokládá, že nakreslíte samostatné kabely. Pokud však máte k televizi pouze jeden síťový kabel, můžete pohodlně používat VLAN. Umístěte spravovaný přepínač do skříně měřiče i do televize a používejte VLAN k oddělení provozu, vlastně jako v našem praktickém příkladu běžné sítě se sítí hosta.
