Apa kasus penggunaan dasar untuk VLAN?
Apa prinsip desain dasar?
Saya mencari sesuatu seperti jawaban gaya ringkasan dua paragraf eksekutif sehingga saya dapat menentukan apakah saya perlu belajar tentang VLAN untuk mengimplementasikannya.
Apa kasus penggunaan dasar untuk VLAN?
Apa prinsip desain dasar?
Saya mencari sesuatu seperti jawaban gaya ringkasan dua paragraf eksekutif sehingga saya dapat menentukan apakah saya perlu belajar tentang VLAN untuk mengimplementasikannya.
Jawaban:
VLAN (Virtual LAN) adalah cara membuat beberapa sakelar virtual di dalam satu sakelar fisik. Jadi misalnya port yang dikonfigurasi untuk menggunakan VLAN 10 bertindak seolah-olah mereka terhubung ke saklar yang sama persis. Port di VLAN 20 tidak dapat langsung berbicara dengan port di VLAN 10. Mereka harus dirutekan di antara keduanya (atau memiliki tautan yang menjembatani kedua VLAN).
Ada banyak alasan untuk mengimplementasikan VLAN. Biasanya yang paling sedikit dari alasan ini adalah ukuran jaringan. Saya akan daftar beberapa alasan dan kemudian istirahat masing-masing.
Keamanan: Keamanan itu sendiri tidak dicapai dengan membuat VLAN; namun, bagaimana Anda menghubungkan VLAN ke subnet lain dapat memungkinkan Anda untuk memfilter / memblokir akses ke subnet itu. Misalnya jika Anda memiliki gedung kantor yang memiliki 50 komputer dan 5 server, Anda dapat membuat VLAN untuk server dan VLAN untuk komputer. Agar komputer dapat berkomunikasi dengan server, Anda dapat menggunakan firewall untuk merutekan dan memfilter lalu lintas itu. Ini kemudian akan memungkinkan Anda untuk menerapkan IPS / IDS, ACL, dll. ke koneksi antara server dan komputer.
Pemanfaatan Tautan: (Sunting) Saya tidak percaya saya meninggalkan ini pertama kali. Kentut otak saya kira. Pemanfaatan tautan adalah alasan besar lainnya untuk menggunakan VLAN. Spanning tree by function membangun satu jalur tunggal melalui jaringan layer 2 Anda untuk mencegah loop (Oh, my!). Jika Anda memiliki beberapa tautan berlebihan ke perangkat agregat Anda, maka beberapa tautan ini akan tidak digunakan. Untuk menyiasatinya, Anda dapat membangun beberapa topologi STP dengan VLAN yang berbeda. Ini dilakukan dengan Cisco Proprietary PVST, RPVST, atau MST berbasis standar. Ini memungkinkan Anda memiliki beberapa tipologi STP yang dapat Anda mainkan untuk memanfaatkan tautan yang sebelumnya tidak digunakan. Sebagai contoh jika saya memiliki 50 desktop saya dapat menempatkan 25 dari mereka di VLAN 10, dan 25 dari mereka di VLAN 20. Saya kemudian dapat meminta VLAN 10 mengambil sisi "kiri" dari jaringan dan 25 sisanya di VLAN 20 akan mengambil sisi "kanan" dari jaringan.
Pemisahan Layanan: Yang ini cukup mudah. Jika Anda memiliki kamera keamanan IP, Ponsel IP, dan Desktop yang semuanya terhubung ke switch yang sama, mungkin lebih mudah untuk memisahkan layanan ini ke dalam subnet mereka sendiri. Ini juga akan memungkinkan Anda untuk menerapkan tanda QOS untuk layanan ini berdasarkan VLAN alih-alih beberapa layanan lapisan yang lebih tinggi (Contoh: NBAR). Anda juga dapat menerapkan ACL pada perangkat yang melakukan perutean L3 untuk mencegah komunikasi antara VLAN yang mungkin tidak diinginkan. Misalnya saya dapat mencegah desktop mengakses ponsel / kamera keamanan secara langsung.
Isolasi Layanan: Jika Anda memiliki sepasang sakelar TOR dalam satu rak yang memiliki beberapa host VMWare dan SAN, Anda dapat membuat VLAN iSCSI yang tetap tidak rusak. Ini akan memungkinkan Anda untuk memiliki jaringan iSCSI yang sepenuhnya terisolasi sehingga tidak ada perangkat lain yang dapat mencoba mengakses SAN atau mengganggu komunikasi antara host dan SAN. Ini hanyalah salah satu contoh isolasi layanan.
Ukuran Subnet: Seperti yang dinyatakan sebelumnya jika satu situs menjadi terlalu besar Anda dapat memecah situs itu menjadi VLAN yang berbeda yang akan mengurangi jumlah host yang perlu memproses setiap siaran.
Pasti ada lebih banyak cara VLAN berguna (saya dapat memikirkan beberapa yang saya gunakan secara khusus sebagai Penyedia Layanan Internet), tetapi saya merasa ini adalah yang paling umum dan harus memberi Anda ide yang baik tentang bagaimana / mengapa kami menggunakannya. Ada juga VLAN Pribadi yang memiliki kasus penggunaan khusus dan layak disebutkan di sini.
Ketika jaringan tumbuh lebih besar dan lebih besar, skalabilitas menjadi masalah. Untuk berkomunikasi, setiap perangkat perlu mengirim siaran, yang dikirim ke semua perangkat dalam domain siaran. Karena lebih banyak perangkat ditambahkan ke domain siaran, lebih banyak siaran mulai memenuhi jaringan. Pada titik ini, banyak masalah merayap masuk, termasuk saturasi bandwidth dengan lalu lintas siaran, peningkatan pemrosesan pada setiap perangkat (penggunaan CPU), dan bahkan masalah keamanan. Membagi domain siaran besar ini menjadi domain siaran kecil menjadi semakin diperlukan.
Masukkan VLAN.
VLAN, atau Virtual LAN, membuat domain siaran terpisah secara virtual, menghilangkan kebutuhan untuk membuat LAN perangkat keras yang sepenuhnya terpisah untuk mengatasi masalah domain-broadcast-besar. Alih-alih, sebuah saklar dapat berisi banyak VLAN, masing-masing bertindak sebagai domain broadcast yang terpisah dan otonom. Faktanya, dua VLAN, tidak dapat berkomunikasi satu sama lain tanpa intervensi dari perangkat layer 3 seperti router, yang dimaksud dengan switching layer 3.
Singkatnya, VLAN, pada tingkat paling dasar, segmenkan domain siaran besar menjadi domain siaran yang lebih kecil dan lebih mudah dikelola untuk meningkatkan skalabilitas dalam jaringan Anda yang terus berkembang.
VLAN adalah jaringan logis yang dibuat dalam jaringan fisik. Penggunaan utama mereka adalah untuk menyediakan isolasi, seringkali sebagai cara untuk mengurangi ukuran domain siaran dalam jaringan, tetapi mereka dapat digunakan untuk sejumlah tujuan lain.
Mereka adalah alat yang harus akrab dengan insinyur jaringan dan seperti alat apa pun, mereka dapat digunakan secara tidak benar dan / atau pada waktu yang salah. Tidak ada alat tunggal yang benar di semua jaringan dan semua situasi, jadi semakin banyak alat yang dapat Anda gunakan, semakin baik Anda dapat bekerja di lebih banyak lingkungan. Mengetahui lebih lanjut tentang VLAN memungkinkan Anda untuk menggunakannya saat Anda membutuhkannya dan menggunakannya dengan benar saat melakukannya.
Salah satu contoh bagaimana mereka dapat digunakan, saya saat ini bekerja di lingkungan di mana perangkat SCADA (kontrol pengawasan dan akuisisi data) digunakan secara luas. Perangkat SCADA biasanya cukup sederhana dan memiliki sejarah panjang pengembangan perangkat lunak yang kurang dari bintang, seringkali memberikan kerentanan keamanan utama.
Kami telah mengatur perangkat SCADA di dalam VLAN terpisah tanpa gateway L3. Satu-satunya akses ke jaringan logis mereka adalah melalui server tempat mereka berkomunikasi (yang memiliki dua antarmuka, satu di SCADA VLAN) yang dapat diamankan dengan keamanan berbasis host sendiri, sesuatu yang tidak mungkin pada perangkat SCADA. Perangkat SCADA diisolasi dari sisa jaringan, bahkan saat terhubung ke perangkat fisik yang sama, sehingga kerentanan apa pun dikurangi.
Dalam hal prinsip-prinsip desain, implementasi yang paling umum adalah untuk menyelaraskan VLAN Anda dengan struktur organisasi Anda, yaitu orang-orang Teknik dalam satu VLAN, Pemasaran di yang lain, telepon IP di yang lain, dll. Desain lain termasuk menggunakan VLAN sebagai "transportasi" dari jaringan terpisah fungsi di satu (atau lebih) core. Pengakhiran VLAN pada layer 3 ('SVI' dalam bahasa Cisco, 'VE' dalam Brocade, dll.) Juga dimungkinkan pada beberapa perangkat, yang menghilangkan kebutuhan perangkat keras terpisah untuk melakukan komunikasi antar-VLAN bila berlaku.
VLAN menjadi rumit untuk dikelola dan dipertahankan pada skala, karena Anda mungkin pernah melihat kasus yang sudah ada di NESE. Di dunia penyedia layanan, ada PB (Provider Bridging - umumnya dikenal sebagai "QinQ", penandaan ganda, tag ditumpuk, dll), PBB (Provider Backbone Bridging - "MAC-in-MAC") dan PBB-TE, yang telah dirancang untuk mencoba mengurangi batasan jumlah ID VLAN yang tersedia. PBB-TE lebih bertujuan untuk menghilangkan kebutuhan akan pembelajaran yang dinamis, banjir, dan spanning tree. Hanya ada 12 bit yang tersedia untuk digunakan sebagai ID VLAN dalam C-TAG / S-TAG (0x000 dan 0xFFF dicadangkan) yang merupakan asal batas 4.094.
VPLS atau PBB dapat digunakan untuk menghilangkan plafon skala tradisional yang terlibat dengan PB.
The kasus penggunaan dasar VLAN hampir persis sama dengan kasus penggunaan dasar untuk segmentasi jaringan menjadi beberapa data link broadcast domain. Perbedaan utama adalah bahwa dengan LAN fisik , Anda memerlukan setidaknya satu perangkat (biasanya switch) untuk setiap domain broadcast, sedangkan dengan virtual LAN domain keanggotaan keanggotaan ditentukan berdasarkan port-by-port dan dapat dikonfigurasi ulang tanpa menambahkan atau mengganti perangkat keras.
Untuk aplikasi dasar, terapkan prinsip desain yang sama untuk VLAN seperti yang Anda lakukan untuk PLAN. Tiga konsep yang perlu Anda ketahui untuk melakukan ini adalah:
Penggunaan asli vlan adalah untuk membatasi area siaran dalam jaringan. Siaran terbatas pada vlan mereka sendiri. Kemudian funtionalitas tambahan ditambahkan. Namun, perlu diingat bahwa vlan adalah layer 2 di misalnya switch cisco. Anda dapat menambahkan layer 2 dengan menetapkan alamat IP ke port pada sakelar tetapi ini tidak wajib.
fungsi tambahan:
Jika saya dapat menawarkan satu informasi lagi, yang mungkin bisa membantu.
Untuk memahami VLAN, Anda juga harus memahami dua konsep utama.
-Subnetting - Dengan asumsi Anda ingin berbagai perangkat dapat berbicara satu sama lain (server dan klien, misalnya) setiap VLAN harus diberi subnet IP. Ini adalah SVI yang disebutkan di atas. Itu memungkinkan Anda untuk memulai routing antar vlan.
-Rute - Setelah Anda membuat setiap VLAN, subnet yang ditetapkan untuk klien pada setiap VLAN, dan SVI dibuat untuk setiap VLAN, Anda harus mengaktifkan perutean. Routing dapat menjadi pengaturan yang sangat sederhana, dengan rute default statis ke internet, dan pernyataan jaringan EIGRP atau OSPF untuk masing-masing subnet.
Setelah Anda melihat bagaimana semuanya bergabung, itu sebenarnya cukup elegan.