Broj uređaja na vašoj mreži brzo raste. Često nemate pojma šta ti uređaji rade. Bezbedna je ideja da ih postavite na posebnu mrežu ili podmrežu, uz pomoć virtuelne mreže ili VLAN-a. Tada možete nametnuti ograničenja, ali i postaviti prioritete saobraćaja. Pokazujemo kako ovo funkcioniše, šta vam je za to potrebno i kako možete pristupiti daljem upravljanju mrežom.
Tako rastuća mreža sa IoT uređajima je lepa, ali takođe mora da ostane upravljiva. Obično uređaji koriste vašu normalnu kućnu mrežu, što ne daje baš siguran osećaj jer mnogi IoT uređaji nemaju sigurnost. Uz pomoć virtuelnih mreža (aka virtuelni LAN ili VLAN), savršeno je odvojiv. Virtuelna mreža je zapravo zasebna mreža – ili podmreža – koja jednostavno koristi postojeće kablove i prekidače. Zgodno, na primer, da izolujete sve te IoT uređaje, tako da ne mogu da uđu u vašu glavnu mrežu ili da stupe u kontakt sa nejasnim serverom u Kini, da spomenemo samo neke.
01 Šta su podmreže?
Podmreža je zapravo niz IP adresa koje pripadaju zajedno. Unutar vaše lokalne mreže, to su privatne IP adrese koje ne postoje na internetu (pogledajte okvir „Poznati privatni IP opsezi i maske podmreže“). Prvi deo svake IP adrese odnosi se na pridruženu mrežu, drugi deo na određeni uređaj ili host. Maska podmreže označava koji deo opisuje mrežu. Ako vaš ruter ima poseban mrežni port sa izolovanom mrežom za goste, onda je to zapravo i zasebna podmreža sa različitim IP opsegom. Radeći sa VLAN-ovima, možete kreirati više podmreža unutar iste mreže, pod uslovom da koristite upravljani prekidač koji može da upravlja takvim VLAN-ovima. Na drugom mestu u ovom računaru! Testirali smo nekoliko dobro poznatih modela za vas!
Poznati privatni IP opsezi i maske podmreže
Tražite svoj ruter? Velike su šanse da ćete ga pronaći na adresi kao što je 192.168.1.1, sa vašim mrežnim uređajima na adresama između 192.168.1.2 i 192.168.1.254. U ovom slučaju, maska podmreže je 255.255.255.0. Takva maska podmreže označava na koji deo IP adrese mreža upućuje. U ovom slučaju tačno prva tri broja, koja su ista za svaku IP adresu u toj podmreži. To je lakše, ali nije obavezno: možete eksperimentisati sa tim (potpomognuto alatima za proračun na internetu). Takođe ćete često naići na skraćenu notaciju CIDR (Classless Inter-Domain Routing). Zatim možete zapisati ovu konkretnu podmrežu kao 192.168.1.0/24. Još jedan dobro poznati IP opseg, koji ćemo takođe koristiti u ovoj radionici, je 10.0.0.0/24.
02 Ovako funkcionišu VLAN-ovi
VLAN-ovi se razdvajaju pomoću jedinstvene 'oznake' ili 'VLAN ID-a', vrednosti od 1 do 4094. Zamislite to kao oznaku koja se postavlja na saobraćaj. Praktično je koristiti takav VLAN ID u mrežnoj adresi, na primer 10.0.10.0/24 za VLAN 10 i 10.0.20.0/24 za VLAN 20. Prekidač određuje na koje portove će se slati saobraćaj na osnovu VLAN ID-a. Kada ga podešavate, posebno morate da znate šta povezani uređaj radi sa VLAN-ovima. Ako ne radi ništa sa njim, kao što je računar ili štampač, konfigurišete port kao takozvani pristupni port. Međutim, ako uređaj upravlja saobraćajem za izabrane VLAN mreže, kao što su određeni ruteri, serveri i poslovne pristupne tačke, onda ga konfigurišite kao trunk port. Takve uređaje nazivamo i „VLAN-aware“.
03 Podesite VLAN na komutatoru
Vi dodajete VLAN na komutator jedan za drugim (po VLAN ID-u) i birate po portu između oznaka Tagged, Untagged ili Nije član. Ako port nema nikakve veze sa određenim VLAN-om, izaberite Nije član. Za ulaznu kapiju birate Untagged tako da saobraćaj koji napušta prekidač je lišen oznaka. Izaberite trunk port Tagged, tako da uređaj dobije VLAN ID (i uradi nešto sa njim). Obično takođe morate da podesite takozvani PVID (Port VLAN identifikator) za svaki pristupni port, tako da dolazni saobraćaj (koji ne sadrži VLAN ID i stoga se naziva neoznačen/neoznačen) stiže u ispravan VLAN. Pošto je pristupni port samo 'član' jednog VLAN-a, on se takođe može zaključiti iz vaše konfiguracije. Neki prekidači to rade nezavisno, ali uvek proverite! Ako obratite pažnju, videćete da takođe možete da podesite PVID za trunk port kada konfigurišete prekidač. To je zato što, iako je to bolje izbeći u praksi, takođe možete ponuditi najviše jedan neoznačeni VLAN preko takvog trank-a pored označenog saobraćaja.
04 Podrazumevani VLAN?
Imajte na umu da kada ih izvadite iz kutije, prekidači često imaju podrazumevani ili izvorni VLAN sa VLAN ID-om 1 kao PVID podrazumevano. To dolazi pomalo iz Cisco sveta. Kao rezultat toga, neoznačeni dolazni saobraćaj će se podrazumevano mapirati na VLAN 1. Svi portovi su dalje podešeni kao pristupni port (Untagged) za taj VLAN. Čim priključite port na drugi VLAN, Tagged ili Untagged za određeni VLAN ID, možete ponovo ukloniti VLAN ID 1. Ako port više nije član drugog VLAN-a, obično se automatski ponovo dodeljuje VLAN-u 1. Takvo ponašanje se malo razlikuje po prekidaču, pa je mudro proveriti ovu dodelu.
05 Ponovno korišćenje postojećih prekidača
Da li vam nedostaje mrežnih portova? Možete lako proširiti svoju mrežu sa starim (neupravljanim) prekidačima. Iako ne mogu da rukuju VLAN-ovima, ne moraju. Povezujete ih sa mrežnim prolazom koji, kao što je gore objašnjeno, isporučuje saobraćaj neoznačen i preusmerava dolazni saobraćaj u ispravnu VLAN preko PVID podešavanja. Praktično je zalepiti nalepnicu ili etiketu na takav prekidač, tako da znate za koju podmrežu ga koristite. U svakom slučaju, korisno je ako radite sa VLAN-ovima da označite sve portove na prekidačima, a možda i kablove. Ili, na primer, koristite posebnu boju kabla po VLAN-u.
06 Praktični primer: Internet i mreža za goste
Da li imate ruter sa zasebnim mrežnim portom za pristup gostima? I da li želite i redovnu i mrežu gostiju u spavaćoj sobi, na primer? Zatim postavite upravljani prekidač u ormar sa meračem i spavaću sobu. Izaberite VLAN ID za redovnu mrežu (na primer 6) i mrežu za goste (na primer 8). U ormariću za brojilo, na primer, povežite port 1 na redovnu mrežu i 2 na mrežu za goste. Port (na primer port 8) postavljate kao takozvani trunk port tako što ćete ga označiti za oba VLAN ID-a. Saobraćaj za oba VLAN-a zatim ide do prekidača u spavaćoj sobi preko ovog porta.
Kada konfigurišete prekidač, prvo unesite VLAN ID 6 sa uključenim portom 1 Untagged i port 8 uključen Tagged. Zatim unesite drugi VLAN ID 8 sa sada portom 2 Untagged i port 8 uključen Tagged. Obično i dalje morate da podesite PVID za port 1 (6) i 2 (8). U spavaćoj sobi možete ponovo podeliti saobraćaj sa sličnom konfiguracijom. Naravno, i dalje možete dodeliti preostale portove na komutatoru redovnoj mreži ili mreži za goste, prema želji.
Televizija i internet preko zasebnih kablova?
U sopstvenoj mreži internet provajdera, oni obično koriste VLAN da odvoje internet, televiziju i VoIP, na primer. Ovo nije samo bezbednije, već i kvalitet može biti bolje garantovan ovim odvojenim mrežama. Ruter može interno da podeli takav saobraćaj na nekoliko portova. Za televiziju je to ponekad druga podmreža i provajder pretpostavlja da povlačite odvojene kablove. Međutim, ako imate samo jedan mrežni kabl za televizor, možete zgodno koristiti VLAN. Postavite upravljani prekidač i u ormarić za brojilo i u televizor i koristite VLAN da biste održavali saobraćaj odvojenim, u osnovi kao u našem praktičnom primeru obične mreže sa mrežom za goste.
