Manajemen jaringan dengan VLAN? Cara kerjanya seperti ini

Jumlah perangkat di jaringan Anda berkembang pesat. Seringkali Anda tidak tahu apa yang dilakukan perangkat tersebut. Merupakan ide yang aman untuk meletakkannya di jaringan atau subnet terpisah, dengan bantuan jaringan virtual atau VLAN. Anda kemudian dapat memberlakukan batasan, tetapi juga menetapkan prioritas lalu lintas. Kami menunjukkan bagaimana ini bekerja, apa yang Anda butuhkan untuk itu dan juga bagaimana Anda dapat mendekati manajemen jaringan lebih lanjut.

Jaringan yang berkembang seperti itu dengan perangkat IoT memang bagus, tetapi juga harus tetap dapat dikelola. Biasanya perangkat menggunakan jaringan rumah normal Anda, yang tidak memberikan perasaan aman karena banyak perangkat ioT yang tidak memiliki keamanan yang baik. Dibantu oleh jaringan virtual (atau LAN virtual atau VLAN), ini mudah untuk dipisahkan. Jaringan virtual pada dasarnya adalah jaringan terpisah - atau subnet - yang hanya menggunakan kabel dan sakelar yang ada. Berguna, misalnya, untuk mengisolasi semua perangkat IoT tersebut, sehingga mereka tidak dapat memasuki jaringan utama Anda atau melakukan kontak dengan server tidak dikenal di China, hanya untuk beberapa nama.

01 Apa itu subnet?

Subnet sebenarnya adalah rangkaian alamat IP yang dimiliki bersama. Di dalam jaringan lokal Anda, ini adalah alamat IP pribadi yang tidak ada di internet (lihat kotak 'Rentang IP pribadi yang diketahui dan subnet mask'). Bagian pertama dari setiap alamat IP mengacu pada jaringan yang sesuai, bagian kedua untuk perangkat atau host tertentu. Subnet mask menunjukkan bagian mana yang menjelaskan jaringan. Jika router Anda memiliki port jaringan terpisah dengan jaringan tamu yang terisolasi, itu sebenarnya adalah subnet terpisah dengan rentang IP berbeda. Dengan bekerja dengan VLAN, Anda dapat membuat beberapa subnet dalam jaringan yang sama, asalkan Anda menggunakan sakelar terkelola yang dapat menangani VLAN tersebut. Di tempat lain di Komputer ini! Secara total kami telah menguji sejumlah model terkenal untuk Anda!

Rentang IP pribadi dan subnet mask yang terkenal

Mencari router Anda? Kemungkinan Anda akan menemukannya di alamat seperti 192.168.1.1, dengan perangkat jaringan Anda di alamat antara 192.168.1.2 dan 192.168.1.254. Dalam kasus ini, subnet mask adalah 255.255.255.0. Subnet mask tersebut menunjukkan bagian mana dari alamat IP yang menjadi tujuan jaringan. Dalam hal ini persis tiga angka pertama, yang sama untuk setiap alamat IP di subnet tersebut. Itu 'berbicara' lebih mudah, tetapi tidak wajib: Anda dapat bereksperimen dengannya (dibantu oleh alat penghitungan di internet). Anda juga sering menemukan notasi CIDR yang disingkat (Classless Inter-Domain Routing). Anda dapat menulis subnet khusus ini sebagai 192.168.1.0/24. Rentang IP terkenal lainnya, yang juga kami gunakan dalam lokakarya ini, adalah 10.0.0.0/24.

02 Beginilah cara kerja VLAN

VLAN dipisahkan oleh 'tag' atau 'ID VLAN' unik, dengan nilai dari 1 hingga 4094. Anggap saja sebagai label yang dilampirkan ke lalu lintas. Praktis untuk menggunakan ID VLAN seperti itu di alamat jaringan, misalnya 10.0. 10 .0 / 24 untuk VLAN 10 dan 10.0. 20 .0 / 24 untuk VLAN 20. Sakelar menentukan berdasarkan ID VLAN ke port mana lalu lintas harus dikirim. Saat mengaturnya, Anda perlu mengetahui apa yang dilakukan perangkat yang terhubung dengan VLAN. Jika tidak melakukan apa-apa dengannya, seperti PC atau printer, Anda mengkonfigurasi port sebagai gateway. Namun, jika perangkat menangani lalu lintas untuk VLAN yang dipilih, seperti router, server, dan titik akses perusahaan tertentu, Anda mengonfigurasinya sebagai port trunk. Kami juga menyebut perangkat tersebut sebagai 'VLAN-aware'.

03 Menyiapkan VLAN di sakelar

Anda menambahkan VLAN pada sakelar satu demi satu (per ID VLAN) dan memilih per port antara penunjukan Tagged , Untagged atau Not Member . Jika port tidak ada hubungannya dengan VLAN tertentu, pilih Bukan Anggota . Untuk gateway, pilih Tidak diberi tag sehingga lalu lintas yang keluar dari sakelar dihapus tag. Untuk port trunk, pilih Tagged, sehingga perangkat mendapatkan ID VLAN (dan melakukan sesuatu dengannya). Anda biasanya juga harus mengatur apa yang disebut PVID (Port VLAN identifier) ​​per port akses, sehingga lalu lintas masuk (yang tidak berisi ID VLAN dan oleh karena itu disebut untagged / untagged) berakhir di VLAN yang benar. Karena gateway hanya 'anggota' dari satu VLAN, gateway sebenarnya dapat disimpulkan dari konfigurasi Anda. Oleh karena itu, beberapa sakelar bekerja secara independen, tetapi selalu periksa! Jika Anda memperhatikan dengan seksama, Anda akan melihat bahwa Anda juga dapat mengatur PVID untuk port trunk saat mengkonfigurasi sakelar. Ini karena, meskipun lebih baik menghindari hal ini dalam praktiknya, Anda dapat menawarkan maksimal satu VLAN tanpa tag selain lalu lintas yang diberi tag melalui trunk tersebut.

04 VLAN default?

Perhatikan bahwa sakelar ketika Anda mengeluarkannya dari kotak sering kali memiliki VLAN default atau asli hampir selalu disetel dengan VLAN ID 1 sebagai PVID secara default. Itu sedikit berasal dari dunia Cisco. Akibatnya, lalu lintas masuk tanpa tanda akan dipetakan ke VLAN 1 secara default. Semua port selanjutnya ditetapkan sebagai titik akses ( Untagged ) untuk VLAN itu. Setelah Anda menjadikan port sebagai anggota VLAN lain, dengan mengaturnya ke Tagged atau Untagged untuk VLAN ID tertentu, Anda dapat menghapus VLAN ID 1 lagi. Jika sebuah port tidak lagi menjadi anggota VLAN lain, biasanya port tersebut diatur ulang secara otomatis di VLAN 1. Perilaku tersebut sedikit berbeda di setiap sakelar, jadi sebaiknya periksa alokasi ini.

05 Gunakan kembali sakelar yang ada

Apakah Anda kekurangan port jaringan? Anda dapat dengan mudah memperluas jaringan Anda dengan sakelar lama (tidak terkelola). Mereka tidak dapat menangani VLAN, tetapi tidak harus. Anda menghubungkannya ke port akses yang, seperti dijelaskan di atas, mengirimkan lalu lintas tanpa tanda dan membagi lalu lintas masuk kembali ke VLAN yang benar melalui pengaturan PVID. Praktis untuk menempelkan stiker atau label pada sakelar semacam itu, sehingga Anda tahu untuk subnet mana Anda menggunakannya. Bagaimanapun, ini berguna jika Anda bekerja dengan VLAN untuk memberi label semua port pada sakelar dan mungkin juga kabel. Atau, misalnya, Anda menggunakan warna kabel terpisah per VLAN.

06 Contoh praktis: internet dan jaringan tamu

Apakah Anda memiliki router dengan port jaringan terpisah untuk akses tamu? Dan apakah Anda ingin jaringan normal dan tamu di kamar tidur, misalnya? Kemudian letakkan sakelar terkelola di lemari pengukur dan kamar tidur. Pilih ID VLAN untuk jaringan biasa (misalnya 6) dan jaringan tamu (misalnya 8). Di lemari pengukur, misalnya, hubungkan port 1 ke jaringan biasa dan 2 ke jaringan tamu. Anda menetapkan port (misalnya port 8) sebagai port trunk, dengan menandainya untuk kedua ID VLAN. Lalu lintas untuk kedua VLAN kemudian pergi ke sakelar di kamar tidur melalui port ini.

Saat mengkonfigurasi sakelar, pertama-tama masukkan VLAN ID 6 dengan port 1 pada Untagged dan port 8 pada Tagged . Kemudian masukkan VLAN ID 8 kedua dengan sekarang port 2 Untagged dan port 8 pada Tagged . Anda biasanya masih harus mengatur PVID untuk port 1 ( 6 ) dan 2 ( 8 ). Di kamar tidur Anda dapat membagi lalu lintas lagi dengan konfigurasi serupa. Port yang tersisa di sakelar tentu saja dapat diatur sesuai dengan preferensi Anda di jaringan biasa atau jaringan tamu.

Televisi dan internet melalui kabel terpisah?

Dalam jaringan provider internet sendiri, mereka biasanya menggunakan VLAN untuk memisahkan, misalnya internet, televisi dan VoIP. Ini tidak hanya lebih aman, kualitasnya juga dapat dijamin lebih baik oleh jaringan terpisah ini. Router dapat membagi lalu lintas seperti itu secara internal di berbagai port. Untuk televisi, ini terkadang merupakan subnet yang berbeda dan penyedia berasumsi bahwa Anda menarik kabel terpisah. Namun, jika Anda hanya memiliki satu kabel jaringan ke televisi, Anda dapat dengan mudah menggunakan VLAN. Letakkan sakelar terkelola di lemari pengukur dan televisi dan gunakan VLAN untuk menjaga lalu lintas tetap terpisah, sebenarnya seperti dalam contoh praktis kami tentang jaringan reguler dengan jaringan tamu.