Tööstuslikud infovõrgud ja IT turvalisus

vLAN-I TEHNOLOOGIA PÕHIMÕTTED JA OMADUSED

1. Sissejuhatus – Mis on VLAN?

VLAN ehk virtuaalne kohalik võrk (Virtual Local Area Network) on tehnoloogia, mis võimaldab jagada füüsilist võrku loogilisteks segmentideks. Iga segment ehk VLAN toimib nagu eraldi füüsiline võrk, kuigi kõik VLAN-id võivad eksisteerida sama füüsilise infrastruktuuri (näiteks samade Switchide (Kommutaator/Lüliti ja kaablite) peal. VLAN-ide abil saab võrgu liiklust loogiliselt eraldada ja hallata sõltumata füüsilisest asukohast.

VLAN-i Eesmärk ja Eelised

  1. Turvalisus:
    • VLAN-id eraldavad tundlikku liiklust, takistades volitamata juurdepääsu ja vähendades turvariske. Näiteks saab kontoritöötajate ja tootmisseadmete võrgu liikluse eraldada, et tagada kriitiliste süsteemide turvalisus.
  2. Liiklusjuhtimine:
    • VLAN-id aitavad vähendada liiklusummikuid, suunates liikluse konkreetsetesse segmentidesse ja vähendades liikluskoormust kogu võrgus.
  3. Paindlikkus:
    • VLAN-id võimaldavad seadmeid kergesti ümber konfigureerida ja ümber paigutada ilma füüsiliste kaablite muutmiseta. Näiteks saab uusi tööjaamu lisada olemasolevasse VLAN-i lihtsalt tarkvara kaudu.
  4. Jõudlus:
    • Eraldades võrguliikluse VLAN-ideks, vähenevad kollisioonid ja suurendatakse võrgujõudlust.

Näide:

VLAN tehnika võimaldab ühel füüsilisel infrastruktuuril moodustada mitmeid loogilisi etherneti segmente, selliste võimalustega

  • lokaliseerida liiklust (on vaieldav kas tegu on ranges mõttes turvalisuse instrumendiga, vt nt VLAN Hopping)
  • lahendada topoloogilisi küsimusi ISO level 2 kihis, st kiht allpool ruuterid

VLAN ilises andmevahetuses osalevatel ethernet frame’idel on lisaks juures spetsiaalne VLAN silt (ingl. k. tag), mis sisaldab andmeid selle kohta, millisesse VLANi frame kuulub. VLAN siltide abil saavad võrgus osalevad seadmed kontrollida kõnealuse frame’i liikumist. Kasutaja jaoks esinevad VLAN sildid positiivsete täisarvude kujul, mida nimetatakse VLAN ID’deks.

Tavaliselt kõneldaks VLAN võimest seoses switchidega, kahes tähenduses

  • mode access – füüsilise switchi igale pordile on öeldud, millisesse VLANi ta kuulub ning ühendades selliselt seadistatud switchi portidesse arvutid nö näevad üksteist ethernetis ainult samasse VLANi kuuluvad arvutid. Tavaliselt kasutatakse erinevates VLANides töötavatel seadmetel erinevaid ip subnet aadresse ja kui sellise asjakorralduse puhul ka seadistada ühe VLANi arvutile aadress teise VLANi ip subnetist, siis ikkaga ühendust teine VLANi arvutitega ei teki kuna ethernet frame’ide tasemel (ISO level 2) on selline liiklus blokeeritud. Sellisel juhul omistab switch peale etherneti frame’i porti sisenemist talle VLAN märgi ning peale pordist väljumist VLAN silt eemaldatakse. Selliselt seadistatud switchi porte kasutavad arvutid iseenesest ei tea midagi VLANidest.
  • mode trunk – selleks, et mode access režiimis saaks kasutada sama VLANi nii, et see ulatub üle mitme switchi peab olema VLAN siltidega frame’idel võimalus liikuda switchide vahel nii, et need märgid säilivad. Kui näiteks ühte VLANi peab kuuluma porte ühe ja teise switchi küljest, siis piisab need kaks switchi ühendada omavahel kokku tavalise võrgukaabliga ning seadista vastavad pordid mode trunk’is, mis tähendab, et selliste portide läbimisel ethernet frame’idelt VLAN silte ei eemaldata. Seadistades switchi pordi mode trunk režiimi tuleb öelda, milliste VLAN ID’dega ethernet frame’id pordist läbi saavad.

Mode access või mode trunk režiimis olek on üksiku pordi mitte switchi omadus.

Switchis ehk kommutaatoris on igal vlani paigutatud pordil kaks asendit taged ja untaged ehk märgitud ja mittemärgitu.

Switchi(kommutaatori) poolselt näeb asi välja selline, et tekitatakse kaks Vlani. Sageli on esimene default vlan juba isegi olemas ja kõik pordid on sinna sisse untaged. Kui nüüd tekitada uus vlan ja lisada poole kommutaatori pordid sinna ümber ja untagida tekib meil virtuaalselt kaks teineteisest eraldatud kommutaatorit-võrku mis omavahel suhelda ei saa. 

Juhul kui aga tahame, et üks kommutaatori port oleks nii vlanis 1 kui ka vlanis 2 tuleb see port tagida ehk märkida. Samuti tuleb vlani tagid lisada võrguseadmele Linuxi/Unixi poolselt siis eraldab juba võrgukaart tagide kaudu neid võrke edasi.

Tagimine ehk märkimine toimub IEEE 802.1q standardi alusel, mille käigus lisatakse tagitavatele pakettidele lisainfot. Hiljem see info eemaldatakse võrgukaardi poolt.

Ülaloleval skeemil on pordid 1-4 untagitud vlani 1 ja 6-7 vlani 2. Port viis on aga tagitud mõlemasse vlani ning saab ligipääsu kõigile seal portidesse ühendatud seadmetele. Täpsemalt siis

  • Arvuti üks omab ligipääsu masinale arvuti2 ja arvuti3 aga mitte masinale arvuti4.
  • Arvuti4 pääseb ligi masinale arvuti3 aga mitte masinatele arvuti1 ja arvuti2.
  • Arvuti3 pääseb ligi kõigile kolmele masinale.

Seejuures ei vaja arvutid 1, 2 ja 4 mitte mingit täiendavat võrguseadistust. Küll aga vajab seda arvuti3, kuhu on vaja tekitada samuti vlani seadistused.

Link: VLAN kasutamine

Kuidas VLAN-e Kasutatakse Tööstuses ja Tootmises?

Tööstuslikus keskkonnas kasutatakse VLAN-e mitmete oluliste ülesannete täitmiseks:

  1. Tootmisliinide segmentimine:
    • Tootmisettevõtetes on sageli vaja eraldada erinevate tootmisliinide ja masinate võrguliiklus. VLAN-id võimaldavad iga tootmisliini või osakonna jaoks eraldi võrgu, mis tagab stabiilse ja turvalise andmeedastuse.
  2. Kriitiliste süsteemide Kaitse:
    • Kriitilisi juhtimissüsteeme, nagu SCADA (Supervisory Control and Data Acquisition) ja PLC (Programmable Logic Controller) süsteemid, kaitstakse, eraldades nende võrguliikluse muudest võrgusegmentidest. See vähendab riski, et volitamata isikud pääsevad juurde tundlikule andmevoole.
  3. Külalisvõrgud ja kaugühendused:
    • Tööstusettevõtted võivad luua VLAN-e külalisvõrkude jaoks, kus ajutised töötajad või tarnijad saavad ligipääsu ilma, et see mõjutaks peavõrku. See tagab, et külaliste tegevus ei häiri tootmisvõrgu toimimist.
  4. Tootmisandmete kogumine ja jälgimine:
    • VLAN-id võimaldavad tõhusat andmete kogumist ja jälgimist erinevatest tootmisüksustest. Näiteks saab andureid ja jälgimisseadmeid ühendada spetsiaalsetesse VLAN-idesse, et kogutud andmed oleksid eraldatud ja turvaliselt hallatud.

Näide VLAN-i Kasutamisest Tööstuskeskkonnas

Kujutage Ette Tehast, Kus Kasutatakse VLAN-e Järgmiselt:
  1. VLAN 10: Administratiivvõrk
    • Kõik kontoritöötajad ja administratiivsed seadmed on ühendatud VLAN 10-sse. See hõlmab arvuteid, printereid ja muid kontoriseadmeid.
  2. VLAN 20: Tootmisliini võrk
    • Kõik tootmisliiniga seotud seadmed, nagu PLC-d, andurid ja robottöötajad, on ühendatud VLAN 20-sse. See eraldab tootmisliini liikluse kontorivõrgust, tagades stabiilse ja kiire andmevahetuse.
  3. VLAN 30: Külalisvõrk
    • Külalistele, tarnijatele ja ajutistele töötajatele luuakse VLAN 30, mis võimaldab neil ligipääsu Internetile ja teatud ressurssidele, kuid mitte tootmis- või administratiivvõrkudele.
  4. VLAN 40: Jälgimis- ja Kontrollvõrk
    • Turvakaamerad, jälgimisseadmed ja muud turvasüsteemid on ühendatud VLAN 40-sse. See tagab, et turvaseadmete andmed on eraldatud ja turvaliselt hallatud.

VLAN-ide Konfigureerimine

VLAN-ide seadistamine ja haldamine hõlmab mitmeid samme, sealhulgas:

  1. VLAN-ide Määramine:
    • VLAN-id määratakse kommutaatoritele (switch) ja ruuteritele (router), kasutades nende haldustarkvara. Igal VLAN-il on unikaalne identifikaator (ID), mida kasutatakse liikluse eraldamiseks.
  2. Pordide Konfigureerimine:
    • Kommutaatori portide seadistamine VLAN-idesse. Näiteks võib port 1-10 kuuluda VLAN 10-sse, port 11-20 VLAN 20-sse jne.
  3. VLAN-i Liiklust Labeldamine (Tagging):
    • IEEE 802.1Q standardi järgi märgistatakse VLAN liiklus, et kommutaatorid ja ruuterid teaksid, millisele VLAN-ile konkreetne pakett kuulub.
  4. Trunk-portide Kasutamine:
    • Trunk-pordid kannavad liiklust mitmest VLAN-ist ja neid kasutatakse kommutaatorite ja ruuterite vaheliseks ühendamiseks, võimaldades mitme VLAN-i liiklust ühe kaabli kaudu.

Allikad ja Viited

Kasutades neid allikaid, saavad õpilased süvendada oma teadmisi VLAN-ide kohta ja õppida, kuidas neid tõhusalt kasutada tööstuskeskkonnas.

2. VLAN-i Tehnoloogia Alusmehhanism

VLAN-i tehnoloogia võimaldab võrkude loogilist segmentimist, eraldades võrgusegmendid loogiliselt, sõltumata nende füüsilisest paigutusest. See suurendab võrgu turvalisust ja tõhusust, võimaldades paremat haldamist ja liikluse suunamist. VLAN-id kasutavad sildamist ja marsruutimist liikluse eraldamiseks ja suunamiseks, pakkudes suuremat kontrolli ja paindlikkust võrgu arhitektuuris.

Loogiline Segmentimine

Virtuaalsed Kohalikud Võrgud (VLAN-id)

Virtuaalsed kohalikud võrgud (VLAN-id) on loogilised võrgusegmendid, mis eraldavad erinevad seadmed ja liikluse ühes füüsilises võrgus. VLAN-id võimaldavad hallata ja turvata võrku, jagades selle väiksemateks segmentideks.

  • Kasutusjuhud: Võimaldavad eri osakondade, meeskondade või projektide liikluse eraldamist samas füüsilises võrgus.
    • Näide: Suures ettevõttes on erinevatel osakondadel, nagu turundus, IT ja finants, oma VLAN-id, mis tagavad, et nende liiklus on eraldatud ja turvaline.
VLAN-i Konfiguratsioon
  • Pordi põhine VLAN: Iga kommutaatori port on konfigureeritud kuuluma kindlasse VLAN-i.
  • Näide: Kommutaatori port 1-10 kuuluvad VLAN 10 (turundus), port 11-20 kuuluvad VLAN 20 (IT), port 21-30 kuuluvad VLAN 30 (finants).
  • Tagimine (Tagging): VLAN-i identifikaatori (VID) lisamine andmepaketi päisesse (IEEE 802.1Q standard), mis võimaldab VLAN-ide andmepakettide liikumist üle mitme kommutaatori ja ruuteri.
    • Näide: Andmepakett, mis liigub VLAN 10 sees, on märgistatud VLAN 10 ID-ga, tagades, et see jääb samasse VLAN-i ka üle mitme kommutaatori liikudes.

Sildamine ja Marsruutimine

Sildamine (Bridging)

Sildamine võimaldab VLAN-i liiklusel liikuda sama VLAN-i sees ilma vajaduseta marsruutimise järele. Sildamine toimub kommutaatori tasandil ja tagab, et andmepaketid liiguvad VLAN-i sees kiiresti ja tõhusalt.

  • L2 sildamine: Kommutaator kontrollib MAC-aadresside tabelit, et suunata liiklus õigele pordile sama VLAN-i sees.
    • Näide: Arvuti A (MAC 00:11:22:33:44:55) VLAN 10-s saadab andmepaketi arvutile B (MAC 00:66:77:88:99:AA) VLAN 10-s. Kommutaatori kontrollib MAC-aadresside tabelit ja suunab paketi õigele pordile VLAN 10 sees.
Marsruutimine (Routing)

Marsruutimine võimaldab liikluse suunamist erinevate VLAN-ide vahel. See toimub L3 lülitite või ruuterite abil, mis suudavad teha otsuseid IP-aadresside alusel.

  • L3 marsruutimine: Ruuter või L3 lüliti kontrollib IP-aadresside tabelit, et suunata liiklus erinevate VLAN-ide vahel.
    • Näide: Arvuti A VLAN 10-s (IP 192.168.10.2) saadab andmepaketi arvutile C VLAN 20-s (IP 192.168.20.2). Ruuter kontrollib IP-aadresside tabelit ja suunab paketi VLAN 20-le.

Näide VLAN-i Kasutamisest Ettevõtte Võrgus

Ettevõtte Võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24, kommutaatori port 1-10
  • IT VLAN 20: IP vahemik 192.168.20.0/24, kommutaatori port 11-20
  • Finants VLAN 30: IP vahemik 192.168.30.0/24, kommutaatori port 21-30

Liikluse Suunamine:

  • Sildamine VLAN-i Sees: Turundus VLAN 10 sees liigub liiklus otse läbi L2 sildamise, näiteks arvuti A saadab paketi arvutile B, mis on sama VLAN-i sees.
  • Marsruutimine VLAN-ide Vahel: IT VLAN 20 liiklus suunatakse finants VLAN 30-le läbi L3 marsruutimise, näiteks arvuti C (VLAN 20) saadab paketi serverile D (VLAN 30).

Kokkuvõte

VLAN-i tehnoloogia võimaldab loogilist segmentimist, jagades füüsilise võrgu väiksemateks ja turvalisemateks segmentideks. VLAN-id kasutavad sildamist, et suunata liiklust sama VLAN-i sees, ja marsruutimist, et suunata liiklust erinevate VLAN-ide vahel. See pakub paindlikkust, turvalisust ja tõhusust, võimaldades võrguressursside paremat haldamist ja kaitset. Näited VLAN-ide kasutamisest ettevõtte võrgus illustreerivad, kuidas loogiline segmentimine ja liikluse suunamine toimivad reaalses keskkonnas, tagades eri osakondade ja meeskondade liikluse eraldamise ja turvalisuse.

3. Võrgu Eraldamise Kaitsemeede

VLAN-id on tõhusad vahendid võrgu segmentimiseks, mis suurendab turvalisust ja jõudlust. Eraldades võrguliiklust, piiravad VLAN-id potentsiaalseid turvariske ja optimeerivad võrguressursside kasutamist. Allpool on põhjalik ülevaade VLAN-ide kasutamise eelistest turvalisuse ja jõudluse seisukohalt.

Turvalisus ja Jõudlus

Eraldab Liiklust

VLAN-id piiravad liikluse levikut ja vähendavad turvariske. VLAN-id loovad eraldatud võrgusegmendid, mis tagavad, et andmed liiguvad ainult määratud segmentides ja ei saa suvaliselt levida üle kogu võrgu.

  • Liikluse eraldamine: VLAN-id jagavad võrgu väiksemateks osadeks, kus iga osa võib sisaldada konkreetseid seadmeid ja kasutajaid. See eraldab tundliku teabe ja kriitilised süsteemid muudest võrgusegmentidest.
    • Näide: Ettevõtte võrgus on eraldatud VLAN-id, nagu turundus, IT ja finants. Iga VLAN sisaldab ainult vastavate osakondade seadmeid, tagades, et finantsandmed ei ole kättesaadavad turundusosakonna seadmetele.
  • Turvariskide vähendamine: VLAN-id aitavad piirata ründajate liikumisvõimalusi võrgu sees. Kui ründaja saab juurdepääsu ühele VLAN-ile, ei tähenda see, et tal on automaatne juurdepääs teistele VLAN-idele.
    • Näide: Kui ründaja saab ligipääsu turundusosakonna VLAN-ile, jäävad IT- ja finantsosakonna VLAN-id turvaliseks ja ründaja ei pääse neile ligi ilma täiendavate turvameetmete rikkumiseta.
Parandab Jõudlust

VLAN-id vähendavad ülekoormust ja optimeerivad võrguliiklust. Loogiline segmentimine aitab paremini hallata ja optimeerida võrguressursside kasutamist, mis omakorda suurendab võrgu üldist jõudlust.

  • Vähendatud ülekoormus: VLAN-id piiravad ülekandevõimekuse kasutamist, vähendades vajadust kogu võrgu kaudu liikluse edastamiseks. See vähendab võrguliikluse ülekoormust ja suurendab töökindlust.
    • Näide: Kui kogu ettevõtte võrk oleks ühes VLAN-is, saaks kõikide osakondade liiklus liigelda läbi kogu võrgu, põhjustades suurema liikluskoormuse. VLAN-ide kasutamine jagab liikluse väiksemateks, hallatavateks osadeks.
  • Optimeeritud võrguliiklus: VLAN-id suunavad liikluse optimaalselt, tagades, et andmed liiguvad ainult vajalike sihtkohtadeni. See optimeerib võrguressursside kasutamist ja vähendab tarbetut liiklust.
    • Näide: Turundusosakonna seadmete vaheline liiklus liigub ainult VLAN 10 sees, ilma et see mõjutaks IT- või finantsosakonna võrgu segmente.

Näide VLAN-ide Kasutamisest Ettevõtte Võrgus

Ettevõtte Võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24, kommutaatori port 1-10
  • IT VLAN 20: IP vahemik 192.168.20.0/24, kommutaatori port 11-20
  • Finants VLAN 30: IP vahemik 192.168.30.0/24, kommutaatori port 21-30

Turvalisuse Näide:

  • Turundus VLAN 10: Kõik turundusosakonna seadmed asuvad VLAN 10-s. Kui seadmel tekib turvarikkumine, jäävad IT ja finants VLAN-id puutumata.
  • IT VLAN 20: IT-osakond hoiab kriitilisi süsteeme ja servereid VLAN 20-s, mis on eraldatud muudest VLAN-idest, vähendades riske.

Jõudluse Näide:

  • Turundus VLAN 10: Turundusosakonna seadmete vaheline liiklus liigub ainult VLAN 10 sees, vähendades ülekoormust ja optimeerides liiklust.
  • Finants VLAN 30: Finantsosakonna seadmete vaheline liiklus on optimeeritud VLAN 30 sees, tagades, et finantsandmed liiguvad tõhusalt ja turvaliselt.

Kokkuvõte

VLAN-id pakuvad tõhusat vahendit võrgu segmentimiseks, eraldades liiklust ja vähendades turvariske. VLAN-id piiravad liikluse levikut, eraldades eri osakondade ja meeskondade liikluse ning tagavad, et tundlikud andmed on kaitstud. Lisaks vähendavad VLAN-id võrgu ülekoormust ja optimeerivad liiklust, parandades üldist võrgu jõudlust. Näited VLAN-ide kasutamisest ettevõtte võrgus illustreerivad, kuidas VLAN-id aitavad parandada nii turvalisust kui ka jõudlust, eraldades liiklust ja optimeerides võrguliiklust.

4. VLAN-i Identifikaatori Kodeerimine

VLAN-i identifikaatori kodeerimine on oluline aspekt VLAN-i tehnoloogias, mis võimaldab andmepakettide liikumist määratud VLAN-ide sees. VLAN-i identifikaator (VID) on unikaalne number, mis määrab, millisesse VLAN-i andmepakett kuulub. Tagimine (tagging) on protsess, mille käigus lisatakse andmepaketi päisesse VLAN-i identifikaator, kasutades IEEE 802.1Q standardit. Allpool on põhjalik ülevaade VLAN-i identifikaatori kodeerimisest ja tagimise protsessist.

VID (VLAN Identifier)

Unikaalne Identifikaator

VLAN Identifier (VID) on unikaalne number, mis määrab, millisesse VLAN-i andmepakett kuulub. Igal VLAN-il on oma unikaalne identifikaator, mis eristab seda teistest VLAN-idest samas füüsilises võrgus.

  • VID vahemik: IEEE 802.1Q standard määrab VLAN-ID vahemikuks 0 kuni 4095. Praktikas kasutatakse VID-e vahemikus 1 kuni 4094, kus 0 ja 4095 on reserveeritud spetsiaalseteks eesmärkideks.
    • Näide: Turundus VLAN võib olla määratud VID-iga 10, IT VLAN VID-iga 20 ja finants VLAN VID-iga 30.
  • Kasutusjuhud: VID võimaldab võrguseadmetel, nagu kommutaatorid ja ruuterid, eristada liiklust erinevate VLAN-ide vahel ja suunata see õigesti määratud sihtkohtadele.
    • Näide: Kui kommutaatori saab andmepaketi VID-iga 10, teab see, et pakett kuulub turundus VLAN-ile ja suunab selle vastavalt.

Tagimine (Tagging)

VLAN-i Identifikaatori Lisamine Andmepaketi Päisesse

Tagimine (Tagging) on protsess, mille käigus lisatakse andmepaketi päisesse VLAN-i identifikaator (VID), kasutades IEEE 802.1Q standardit. See tagab, et andmepakett jääb samasse VLAN-i ka siis, kui see liigub läbi mitme kommutaatori või ruuteri.

  • IEEE 802.1Q standard: See standard määrab VLAN-tagimise protsessi, lisades 4-baidise sildi (tag) andmepaketi päisesse. Silt sisaldab VLAN-i identifikaatorit (VID), prioriteedi informatsiooni ja muid olulisi parameetreid.
    • Näide: Andmepakett, mis liigub VLAN 10 sees, saab 802.1Q sildi, mis sisaldab VID 10 ja muid vajalikke parameetreid.
  • Tagitud ja mittetagitud liiklus: VLAN-id toetavad nii tagitud kui ka mittetagitud liiklust. Mittetagitud liiklus kuulub tavaliselt vaikimisi VLAN-i (native VLAN), samas kui tagitud liiklus sisaldab VLAN-i identifikaatorit.
    • Näide: Kommutaatori võib port 1 kuuluda vaikimisi VLAN 1-le (mittetagitud liiklus), samas kui port 2 kasutab VLAN 10 (tagitud liiklus).

Näide VLAN-i Identifikaatori Kodeerimisest ja Tagimisest

Ettevõtte Võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24, VID 10
  • IT VLAN 20: IP vahemik 192.168.20.0/24, VID 20
  • Finants VLAN 30: IP vahemik 192.168.30.0/24, VID 30

Tagimise Näide:

  • Andmepaketi liikumine: Arvuti A (VID 10) turundus VLAN-is saadab andmepaketi kommutaatori kaudu arvutile B (VID 10). Andmepakett saab sildi, mis sisaldab VID 10, tagades, et pakett liigub ainult VLAN 10 sees.
  • 802.1Q silt: Andmepaketi päisesse lisatakse 4-baidine 802.1Q silt, mis sisaldab VID 10 ja muid vajalikke parameetreid. Kui pakett jõuab sihtlülitile, eemaldatakse silt ja pakett suunatakse õigesse porti.

Kokkuvõte

VLAN-i identifikaatori kodeerimine ja tagimine on võtmetehnoloogiad, mis võimaldavad andmepakettide liikumist määratud VLAN-ide sees. VLAN-i identifikaator (VID) on unikaalne number, mis määrab, millisesse VLAN-i andmepakett kuulub. Tagimine (tagging) on protsess, mille käigus lisatakse andmepaketi päisesse VLAN-i identifikaator, kasutades IEEE 802.1Q standardit. See tagab, et andmepakett jääb samasse VLAN-i ka siis, kui see liigub läbi mitme kommutaatori või ruuteri. Näited VLAN-i identifikaatori kodeerimisest ja tagimisest ettevõtte võrgus illustreerivad, kuidas loogiline segmentimine ja liikluse eraldamine toimivad reaalses keskkonnas, tagades võrgu turvalisuse ja tõhususe.

5. Pordi VID

VLAN-ide konfiguratsioonis on oluline mõista, kuidas pordid on määratud erinevatele VLAN-idele. Pordi VLAN ID (PVID) määrab, millisesse VLAN-i port vaikimisi kuulub. PVID määramine ja haldamine on oluline osa VLAN-ide seadistamisest ja võrgu liikluse eraldamisest.

PVID (Port VLAN ID)

Vaikimisi VLAN

PVID (Port VLAN ID) on identifikaator, mis määrab, millisesse VLAN-i port vaikimisi kuulub. PVID määrab, kuidas kommutaatori käsitleb sissetulevat liiklust konkreetsel pordil, kui liiklus ei ole märgistatud (untagged).

  • Vaikimisi VLAN: Kui porti siseneb mittetagitud liiklus, määratakse sellele liiklusele PVID-i põhjal vastav VLAN. See tagab, et kõik seadmed, mis ei toeta VLAN-tagimist, saavad ikkagi õigesse VLAN-i määratud.
    • Näide: Kui PVID on määratud 10-ks, siis kõik mittetagitud pakettid, mis sisenevad sellesse porti, määratakse VLAN 10-le.
Pordi Seadistamine

Pordi seadistamine: PVID määramine ja haldamine on oluline osa kommutaatori konfiguratsioonist. See võimaldab võrguadministraatoritel kontrollida, kuidas liiklus liigub läbi võrgu ja kuidas see on eraldatud erinevatesse VLAN-idesse.

  • PVID määramine: Iga kommutaatori porti saab määrata PVID, mis määrab, millisesse VLAN-i mittetagitud liiklus kuulub.
    • Näide: Kommutaatori port 1 võib olla määratud PVID 10-ks, mis tähendab, et kõik mittetagitud pakettid, mis sisenevad porti 1, kuuluvad VLAN 10-le.
  • PVID halduse tööriistad: Kaasaegsed kommutaatorid võimaldavad administraatoritel konfigureerida PVID-i käsurealiidese (CLI), veebipõhise graafilise kasutajaliidese (GUI) või võrgu haldusprotokollide (nt SNMP) kaudu.
    • Näide: Administraator võib kasutada CLI-d, et määrata kommutaatori port 2 PVID 20-ks järgmise käsuga:
      plaintext switchport access vlan 20
  • PVID ja tagitud liiklus: Kuigi PVID määrab, millisesse VLAN-i mittetagitud liiklus kuulub, võivad pordid ka käsitleda tagitud liiklust. See tähendab, et port võib samaaegselt käsitleda mitut VLAN-i liiklust, sõltuvalt pakettide siltidest.
    • Näide: Port võib olla määratud PVID 10-ks (vaikimisi VLAN), kuid see võib ka käsitleda tagitud liiklust VLAN 20 ja VLAN 30 jaoks.

Näide PVID-i Kasutamisest Ettevõtte Võrgus

Ettevõtte võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24, PVID 10
  • IT VLAN 20: IP vahemik 192.168.20.0/24, PVID 20
  • Finants VLAN 30: IP vahemik 192.168.30.0/24, PVID 30

Pordi seadistamise näide:

  • Port 1 (Turundus VLAN 10): PVID määratud 10-ks. Kõik mittetagitud liiklus, mis sisenevad porti 1, määratakse VLAN 10-le.
  • Port 2 (IT VLAN 20): PVID määratud 20-ks. Kõik mittetagatud liiklus, mis sisenevad porti 2, määratakse VLAN 20-le.
  • Port 3 (Trunk Port): PVID määratud 30-ks, kuid see port käsitleb ka tagitud liiklust VLAN 10 ja VLAN 20 jaoks. Mittetagatud liiklus määratakse VLAN 30-le.

Konfiguratsioon:

  • CLI Konfiguratsioon: 
interface ethernet 1
switchport access vlan 10

interface ethernet 2
switchport access vlan 20

interface ethernet 3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20,30
switchport access vlan 30
Mida tähendab CLI konfiguratsioon

CLI (Command Line Interface) konfiguratsioon tähendab seadme või tarkvara seadistamist ja haldamist käsurea liidese kaudu. CLI on tekstipõhine kasutajaliides, kus kasutajad sisestavad käske ja saavad tulemusi tekstivormingus. CLI konfiguratsiooni kasutatakse sageli võrguseadmete, nagu ruuterite, lülitite ja tulemüüride, seadistamiseks ja haldamiseks.

CLI konfiguratsiooni eelised
  1. Kiirus ja tõhusus:
    • CLI võimaldab administraatoritel kiiresti ja tõhusalt konfigureerida seadmeid, kasutades täpseid käske.
    • Skriptide abil saab automatiseerida korduvaid ülesandeid ja konfigureerimisprotsesse.
  2. Sügav ligipääs seadme funktsioonidele:
    • CLI kaudu on võimalik pääseda ligi kõikidele seadme funktsioonidele ja konfiguratsioonivalikutele, mida graafiline kasutajaliides (GUI) võib mitte pakkuda.
    • Detailne kontroll seadme üle võimaldab täpsemat ja kohandatumat konfiguratsiooni.
  3. Automatiseerimine ja skriptimine:
    • CLI võimaldab luua skripte, mis automatiseerivad keerukaid konfiguratsiooniprotsesse ja ülesandeid.
    • Skriptid võimaldavad seadistada mitmeid seadmeid korraga, säästes aega ja vähendades inimlike vigade võimalust.
  4. Kasutus mitme platvormi vahel:
    • CLI on sageli ühtlane erinevate seadmete ja platvormide vahel, võimaldades administraatoritel kasutada samu käske erinevates keskkondades.
    • See ühtlus vähendab vajadust õppida erinevaid kasutajaliideseid iga seadme jaoks.
CLI konfiguratsiooni puudused
  1. Õppimiskõver:
    • CLI võib olla algajatele keeruline, kuna see nõuab käsurea käskude tundmist ja mõistmist.
    • Konfigureerimisel tehtud vead võivad olla keerulisemad tuvastada ja parandada võrreldes graafilise kasutajaliidesega.
  2. Tekstipõhisus:
    • CLI on tekstipõhine, mis võib olla vähem intuitiivne ja visuaalselt atraktiivne võrreldes graafiliste kasutajaliidestega.
    • Puudub visuaalne ülevaade konfiguratsioonist, mis võib muuta keeruliste seadistuste haldamise raskemaks.
CLI konfiguratsiooni kasutamine
Näide: ruuteri seadistamine CLI kaudu
  1. Ühenduse loomine seadmega:
    • Ühenda seadmega läbi konsoolikaabli, SSH või Telneti.
  2. Autentimine:
    • Logi sisse kasutades administraatori kasutajanime ja parooli.
  3. CLI käsurea kasutamine:
    • Sisesta vajalikud käsud seadme konfigureerimiseks.
    • Näiteks, IP-aadressi määramine liidesele:
configure terminal
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
exit
  1. Konfiguratsiooni salvestamine:
    • Salvestage konfiguratsioon, et see püsiks seadme taaskäivitamisel:
plaintext write memory

Näide: tulemüüri seadistamine CLI kaudu

  1. Ühenduse loomine seadmega:
    • Ühenda seadmega läbi konsoolikaabli, SSH või Telneti.
  2. Autentimine:
    • Logi sisse kasutades administraatori kasutajanime ja parooli.
  3. CLI käsurea kasutamine:
    • Sisesta vajalikud käsud tulemüüri reeglite seadistamiseks.
    • Näiteks, lubada liiklus kindlal porti:
configure terminal
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 443
access-group 101 in interface outside
exit
  1. Konfiguratsiooni salvestamine:
    • Salvestage konfiguratsioon, et see püsiks seadme taaskäivitamisel:
plaintext write memory

CLI konfiguratsioon on võimas ja paindlik viis võrguseadmete ja tarkvara seadistamiseks, mis pakub sügavat ligipääsu seadme funktsioonidele ja võimaldab täpset kontrolli. Samas nõuab see kasutajalt teadmisi käsurea käskudest ja võib algajatele olla keerulisem võrreldes graafiliste kasutajaliidestega.

Kokkuvõte

PVID (Port VLAN ID) on kriitiline komponent VLAN-ide konfiguratsioonis, määrates, millisesse VLAN-i port vaikimisi kuulub. PVID määramine ja haldamine võimaldab võrguliiklust tõhusalt eraldada ja hallata. PVID tagab, et mittetagatud liiklus määratakse õigesse VLAN-i, võimaldades VLAN-ide toimimist ka seadmetega, mis ei toeta VLAN-tagimist. Näited PVID-i kasutamisest ettevõtte võrgus illustreerivad, kuidas portisid konfigureeritakse, et tagada liikluse õige eraldamine ja turvalisus erinevates VLAN-ides.

6. Staatilised ja Õpitud VID-id

VLAN-i konfigureerimine hõlmab staatiliste ja õpitud VID-ide kasutamist. Staatilised VID-id on administraatori poolt käsitsi määratud, samas kui õpitud VID-id on dünaamiliselt määratud seadmete poolt, kasutades liikluse analüüsi ja protokolle, nagu GVRP (GARP VLAN Registration Protocol).

Staatilised VID-id

Administraatori Poolt Määratud

Staatilised VID-id on käsitsi määratud administraatori poolt vastavalt võrgu vajadustele ja turvapoliitikatele. Need määramised on püsivad, kuni administraator neid muudab.

  • Eelised: Annab täieliku kontrolli võrguadministraatorile VLAN-ide seadistamisel ja tagab, et võrguliiklus on täpselt eraldatud vastavalt organisatsiooni nõuetele.
    • Näide: Võrgus on mitu osakonda (nt turundus, IT, finants) ja iga osakond vajab oma VLAN-i. Administraator määrab käsitsi iga osakonna jaoks unikaalse VID-i:
  • Turundus VLAN: VID 10
  • IT VLAN: VID 20
  • Finants VLAN: VID 30

Konfiguratsioon:

  • CLI Konfiguratsioon: 
vlan 10
name Turundus

vlan 20
name IT

vlan 30
name Finants

interface ethernet 1
switchport access vlan 10

interface ethernet 2
switchport access vlan 20

interface ethernet 3
switchport access vlan 30

Õpitud VID-id

Dünaamiliselt Õpitud

Õpitud VID-id on dünaamiliselt määratud seadmete poolt, kasutades liikluse analüüsi ja protokolle nagu GVRP (GARP VLAN Registration Protocol). Need määramised võivad muutuda vastavalt võrgu liiklusele ja seadmetele.

  • Eelised: Vähem manuaalset konfiguratsiooni ja paindlikkus võrgu dünaamiliste muutuste haldamisel. Seadmed saavad automaatselt määrata ja hallata VLAN-e, vähendades administraatori koormust.
  • Protokollid: GVRP võimaldab seadmetel dünaamiliselt registreerida ja õppida VLAN-e, mis tagab, et uued seadmed saavad automaatselt vajaliku VLAN-i liikluse.

Näide:

  • GVRP kasutamine: Kui uued seadmed ühenduvad võrku, kasutab kommutaatori GVRP-d, et määrata seadmete VID-id dünaamiliselt vastavalt olemasolevatele VLAN-idele.
  • Seadme ühendamine: Uus seade ühendub võrku ja saadab GVRP päringu. Kommutaator vastab ja määrab seadmele sobiva VID-i.

Näide Staatiliste ja Õpitud VID-ide Kasutamisest Ettevõtte Võrgus

Ettevõtte võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24, staatiline VID 10
  • IT VLAN 20: IP vahemik 192.168.20.0/24, staatiline VID 20
  • Finants VLAN 30: IP vahemik 192.168.30.0/24, staatiline VID 30

Staatiliste VID-ide näide:

  • Port 1 (Turundus VLAN 10): Administraator määrab port 1-le käsitsi VID 10, tagades, et kõik ühendused selle pordi kaudu kuuluvad turundus VLAN-i.
  • Port 2 (IT VLAN 20): Administraator määrab port 2-le käsitsi VID 20, tagades, et kõik ühendused selle pordi kaudu kuuluvad IT VLAN-i.

Õpitud VID-ide näide:

  • Uue seadme ühendamine: Uus seade ühendub porti 4, mis ei ole staatiliselt konfigureeritud. Kommutaator kasutab GVRP-d, et määrata seadmele dünaamiliselt sobiv VID, vastavalt võrgu konfiguratsioonile ja liiklusele.
  • GVRP päring ja vastus: Seade saadab GVRP päringu ja kommutaator määrab seadmele dünaamiliselt VID 10, kuna see kuulub turundus VLAN-i.

Konfiguratsioon:

CLI konfiguratsioon staatiliste VID-ide jaoks:

vlan 10
name Turundus

vlan 20
name IT

vlan 30
name Finants

interface ethernet 1
switchport access vlan 10

interface ethernet 2
switchport access vlan 20

interface ethernet 3
switchport access vlan 30

CLI Konfiguratsioon Õpitud VID-ide Jaoks GVRP Kasutamise

gvrp
interface ethernet 4
switchport mode dynamic

Kokkuvõte

Staatilised ja õpitud VID-id mängivad olulist rolli VLAN-ide haldamisel ja konfigureerimisel. Staatilised VID-id on administraatori poolt käsitsi määratud ja pakuvad kindlat ja täpset kontrolli võrgu segmentimise üle. Õpitud VID-id on dünaamiliselt määratud seadmete poolt, kasutades liikluse analüüsi ja protokolle, nagu GVRP, pakkudes paindlikkust ja automaatset konfiguratsiooni. Näited staatiliste ja õpitud VID-ide kasutamisest ettevõtte võrgus illustreerivad, kuidas erinevaid VID-e saab kasutada võrgu liikluse eraldamiseks ja turvalisuse tagamiseks, samas vähendades administraatori töökoormust ja võimaldades võrgu dünaamilist kohandamist.

7. VLAN-ide Graafiline Kujutamine

VLAN-ide graafiline kujutamine on oluline, et mõista võrgu struktuuri ja ühendusi visuaalselt. Diagrammid ja võrgukaardid aitavad võrguadministraatoritel ja inseneridel paremini planeerida, hallata ja tõrkeotsingut teha. Allpool on üksikasjalik ülevaade VLAN-ide graafilisest kujutamisest ja tööriistadest, mida saab selleks kasutada.

Diagrammid ja Võrkude kaardid

Graafiline Esitamine

Graafiline esitamine võimaldab võrgu struktuuri ja ühendusi visualiseerida, muutes keerulised võrgutopoloogiad hõlpsamini arusaadavaks. Diagrammid ja võrgukaardid võivad näidata erinevate VLAN-ide ühendusi, seadmeid ja nende vahelisi linke.

  • Topoloogia diagrammid: Need näitavad võrgu struktuuri, sealhulgas lüliteid, ruutereid, servereid ja muid võrgu komponente, samuti nendevahelisi ühendusi.
    • Näide: Diagramm, mis näitab, kuidas turundus VLAN 10 on ühendatud erinevate kommutaatorte ja ruuteritega, samuti selle ühendust IT VLAN 20 ja finants VLAN 30-ga.
  • VLAN-i ühendused: Diagrammid, mis näitavad, kuidas erinevad VLAN-id on ühendatud ja kuidas liiklus liigub nende vahel.
    • Näide: Diagramm, mis näitab, kuidas VLAN 10 ja VLAN 20 vaheline liiklus suunatakse läbi L3 ruuteri.

Graafilised Tööriistad VLAN-ide Kujutamiseks

Tööriistad nagu Microsoft Visio, Lucidchart ja teised graafilised tarkvarad võimaldavad võrguadministraatoritel luua ja hallata võrgudiagramme ning VLAN-ide kaarte.

  1. Microsoft Visio: Võimas tööriist, mis võimaldab luua üksikasjalikke võrgudiagramme ja topoloogia kaarte.
    • Eelised: Lai valik kujundeid ja šabloone, mis on spetsiaalselt loodud võrkude ja IT-infrastruktuuride jaoks.
    • LinkMicrosoft Visio
  2. Lucidchart: Veebipõhine diagrammitööriist, mis võimaldab koostööd ja jagamist reaalajas.
    • Eelised: Lihtne kasutada, koostöövõimalused, integratsioonid teiste tööriistadega nagu Google Drive ja Confluence.
    • LinkLucidchart
  3. Draw.io: Tasuta ja avatud lähtekoodiga diagrammitööriist, mis pakub laia valikut funktsioone ja šabloone võrgudiagrammide loomiseks.
    • Eelised: Tasuta kasutamine, lihtne liides, integratsioonid mitme platvormiga.
    • LinkDraw.io

Kasutades neid allikaid ja tööriistu, saavad õpilased ja võrguadministraatorid õppida, kuidas VLAN-e tõhusalt kasutada ja hallata tööstuskeskkonnas.

Näide VLAN-ide Graafilisest Kujutamisest

Ettevõtte võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24
  • IT VLAN 20: IP vahemik 192.168.20.0/24
  • Finants VLAN 30: IP vahemik 192.168.30.0/24

VLAN-ide diagrammi näide Microsoft Visio-s:

  1. Kommutaatorid ja Ruuterid:
  • Kommutaator 1: Port 1-10 (VLAN 10), Port 11-20 (VLAN 20), Port 21-30 (VLAN 30)
  • L3 Ruuter: Ühendab VLAN 10, VLAN 20 ja VLAN 30
  1. VLAN-ide Ühendused:
  • Turundus VLAN 10 on ühendatud kommutaatori 1 portidega 1-10.
  • IT VLAN 20 on ühendatud kommutaatori 1 portidega 11-20.
  • Finants VLAN 30 on ühendatud kommutaatori 1 portidega 21-30.
  • L3 Ruuter suunab liiklust VLAN 10, VLAN 20 ja VLAN 30 vahel.

Diagrammi Kujutamine:

               +----------------+
               |    L3 Ruuter   |
               +----------------+
                      |
  +---------+---------+---------+---------+
  |         |         |         |         |
+---+     +---+     +---+     +---+     +---+
|PC1|     |PC2|     |PC3|     |PC4|     |PC5|
+---+     +---+     +---+     +---+     +---+
  |         |         |         |         |
  1         2         3         4         5
+-------------------------------------------+
|                  Kommutaator 1                  |
+-------------------------------------------+
  6         7         8         9        10
  |         |         |         |         |
+---+     +---+     +---+     +---+     +---+
|PC6|     |PC7|     |PC8|     |PC9|     |PC10|
+---+     +---+     +---+     +---+     +---+

VLAN 10 - Ports 1-10 (Turundus)
VLAN 20 - Ports 11-20 (IT)
VLAN 30 - Ports 21-30 (Finants)

Tööriistade Kasutamine VLAN-ide Kujutamiseks

  1. Microsoft Visio:
  • Avage Visio ja valige võrgudiagrammi šabloon.
  • Lisage kujundeid, et esindada lüliteid, ruutereid ja arvuteid.
  • Määrake VLAN-id, kasutades värve või teksti sildistamist, et näidata erinevaid VLAN-e ja nende ühendusi.
VLAN kujutamine Microsoft Visio tarkvaraga
  1. Lucidchart:
  • Avage Lucidchart ja looge uus dokument.
  • Valige võrgudiagrammi šabloon.
  • Lisage ja ühendage kujundeid, et esindada VLAN-e ja nende ühendusi.
  • Määrake VLAN-id, kasutades värvikodeerimist ja silte.
Võrgu kujutamine Lucidchart tarkvaraga
  1. Draw.io:
  • Avage Draw.io ja valige võrgudiagrammi mall.
  • Lisage kujundeid ja ühendage need vastavalt teie võrgu topoloogiale.
  • Kasutage tekstisilte ja värvikodeerimist VLAN-ide määramiseks ja visualiseerimiseks.
Võrgu kujutamine Draw.io tarkvaraga

Kokkuvõte

VLAN-ide graafiline kujutamine diagrammide ja võrgukaartide abil on oluline võrgu struktuuri ja ühenduste mõistmiseks. Graafiline esitamine aitab võrguadministraatoritel planeerida, hallata ja tõrkeotsingut teha. Tööriistad nagu Microsoft Visio, Lucidchart ja Draw.io pakuvad tõhusaid vahendeid VLAN-ide ning võrgutopoloogiate kujutamiseks. Näited VLAN-ide graafilisest kujutamisest ja tööriistade kasutamisest illustreerivad, kuidas loogilist segmentimist ja liikluse eraldamist saab visuaalselt esitada, parandades võrgu haldamist ja turvalisust.

8. VLAN-sisene Marsruutimine

VLAN-sisene marsruutimine (Inter-VLAN routing) võimaldab liikluse liikumist erinevate VLAN-ide vahel, kasutades L3 ruutereid või L3 lüliteid. See on oluline võrgu toimimise ja turvalisuse tagamiseks, võimaldades erinevatel võrgusegmentidel suhelda üksteisega, säilitades samal ajal segmentatsiooni eelised.

L3 Marsruuterid ja L3 Lülitid

Inter-VLAN Marsruutimine

Inter-VLAN Marsruutimine võimaldab liikluse liikumist erinevate VLAN-ide vahel, kasutades L3 ruutereid või L3 lüliteid. See protsess on vajalik, kuna VLAN-id töötavad L2 tasandil ja ilma L3 seadmeteta ei saa liiklus erinevate VLAN-ide vahel liikuda.

  • L3 marsruuterid: Traditsioonilised ruuterid, mis toimivad L3 tasandil ja võimaldavad liikluse suunamist erinevate VLAN-ide vahel, kasutades alalisi marsruute ja marsruutimistabeleid.
    • Näide: Ettevõtte võrgus on VLAN 10 (turundus) ja VLAN 20 (IT). Liiklus nende vahel suunatakse läbi L3 ruuteri, mis ühendab need kaks VLAN-i.
  • L3 Lülitid: Kommutaatorid, mis sisaldavad L3 marsruutimisfunktsioone, võimaldades neil toimida nii L2 kui ka L3 tasandil. Need seadmed suudavad kiiresti ja tõhusalt suunata liiklust erinevate VLAN-ide vahel.
    • Näide: L3 lüliti suudab suunata liiklust VLAN 10 (turundus) ja VLAN 20 (IT) vahel ilma vajaduseta eraldi ruuteri järele.

Mis on L3 marsruuter ja L3 lüliti (Level 3 switch)
L3 marsruuter ja L3 lüliti

L3 marsruuter ja L3 lüliti (Level 3 switch) on võrguseadmed, mida kasutatakse andmesidevõrkudes liikluse juhtimiseks ja andmepakettide suunamiseks erinevate võrgusegmentide vahel. Kuigi neil on mõned sarnasused, on neil ka olulisi erinevusi.

L3 marsruuter

L3 marsruuter (Layer 3 router) on seade, mis toimib OSI mudeli kolmandal kihil ehk võrgukihil. Marsruuterid on kavandatud suunama andmepakette erinevate võrkude vahel, kasutades IP-aadresse. Nad teevad seda, kasutades marsruutimistabeleid ja protokolle, et otsustada, millisesse suunda andmepaketid saata.

Põhifunktsioonid:
  1. Marsruutimine:
    • Suunab liiklust erinevate IP-alamvõrkude vahel.
    • Kasutab marsruutimistabeleid, mis sisaldavad teavet võrgu teede kohta.
  2. Marsruutimisprotokollid:
    • Toetab staatilisi ja dünaamilisi marsruutimisprotokolle nagu OSPF, BGP, EIGRP.
  3. NAT (Network Address Translation):
    • Võimaldab IP-aadresside muundamist, et võimaldada mitmel seadmel ühendada internetti ühe avaliku IP-aadressi kaudu.
  4. VLAN ületamine:
    • Võimaldab liiklust VLAN-ide vahel, mis asuvad erinevates IP-alamvõrkudes.
Näide:
  • Ettevõtte ruuter, mis ühendab kontorivõrgu internetiga, suunab liiklust erinevate kontorivõrkude ja interneti vahel.
L3 lüliti

L3 lüliti (Layer 3 switch) on seade, mis ühendab endas nii L2 (andmekihi) lüliti kui ka L3 marsruuteri omadused. L3 lülitid suudavad mitte ainult liiklust edasi lülitada samas võrgus, vaid ka suunata liiklust erinevate alamvõrkude vahel.

Põhifunktsioonid:
  1. Kiire andmekihi lülitamine:
    • L2 funktsioonid võimaldavad kiiret pakettide edasitoimetamist sama alamvõrgu seadmete vahel.
  2. Marsruutimine:
    • L3 funktsioonid võimaldavad suunata liiklust erinevate alamvõrkude vahel, sarnaselt marsruuterile.
  3. VLAN-i toetamine:
    • Võimaldab liiklust VLAN-ide vahel samas seadmes.
  4. Kõrge jõudlus:
    • Tavaliselt suudavad L3 lülitid suunata liiklust kõrgema kiirusega ja suurema jõudlusega võrreldes traditsiooniliste marsruuteritega.
Näide:
  • Suur ettevõtte lüliti, mis ühendab mitmeid osakondi (igaüks oma VLAN-is) ja suunab liiklust nende VLAN-ide vahel.
Erinevused ja kasutusjuhtumid
  1. Marsruuterid on paremad, kui on vaja suunata liiklust erinevate võrkude ja interneti vahel, eriti keerukates võrgukeskkondades, kus on vaja täiustatud marsruutimisprotokolle ja NAT-i.
  2. L3 lülitid sobivad suurepäraselt suure jõudlusega ja kiireks andmekihi lülitamiseks ning VLAN-ide vaheliseks marsruutimiseks samas võrgus või alamvõrkude sees, pakkudes samas lihtsamat ja odavamat lahendust võrreldes eraldiseisva L2 lüliti ja L3 marsruuteriga.
Kokkuvõte

L3 lülitid ühendavad lülitamise ja marsruutimise, pakkudes kiiret pakettide edasitoimetamist ja VLAN-ide vahelist liiklust samas seadmes, mis on ideaalne suure jõudlusega sisevõrkudele.

L3 marsruuterid on suunatud erinevate võrkude vahelisele liikluse suunamisele, toetades keerukaid marsruutimisprotokolle ja NAT-i.

Mis on NAT (Network Address Translation)?
NAT (Network Address Translation)

NAT (Network Address Translation) on võrgutehnoloogia, mida kasutatakse IP-aadresside muundamiseks, võimaldades seadmetel suhtlemist interneti või teiste võrgu segmentidega. NAT muudab seadme privaatse IP-aadressi avalikuks IP-aadressiks ja vastupidi, võimaldades sel viisil võrguliiklust.

Kuidas NAT töötab?

NAT toimib ruuteri või tulemüüri tasemel, kus see muundab privaatseid IP-aadresse avalikeks IP-aadressideks. See on eriti kasulik IPv4 aadresside nappuse tõttu, võimaldades mitmel seadmel jagada ühte avalikku IP-aadressi. NAT jälgib ühenduse seansse, et tagada õigete vastuste tagastamine õigele seadmele privaatvõrgus.

NAT-i tüübid
  1. Staatiline NAT (Static NAT):
    • Funktsioon: Määrab ühe privaatse IP-aadressi ühele avalikule IP-aadressile. Seda kasutatakse harvemini, kuid see on kasulik, kui soovitakse kindlat seadet püsiva avaliku aadressiga.
      • Näide: Veebiserveri, millel on privaatne IP-aadress, muutmine avalikuks, et see oleks internetis kättesaadav sama IP-aadressi kaudu.
  2. Dünaamiline NAT (Dynamic NAT):
    • Funktsioon: Määrab privaatsetele IP-aadressidele dünaamiliselt avalikud IP-aadressid NAT-aadressi kogumist. Kui avalik aadresside kogum on piiratud, võib see tekitada probleeme, kui aadressid on otsas.
      • Näide: Suur ettevõtte võrk, kus seadmetele määratakse dünaamiliselt avalikud IP-aadressid vastavalt vajadusele.
  3. PAT (Port Address Translation), tuntud ka kui NAT ülekoormus:
    • Funktsioon: Kasutab ühte avalikku IP-aadressi mitme seadme privaatsete IP-aadresside muundamiseks, eristades seadmeid portide kaudu. See on kõige levinum NAT-i vorm, mis võimaldab mitmel seadmel jagada ühte avalikku IP-aadressi.
      • Näide: Kodu- või väikeettevõtte ruuter, kus kõik seadmed jagavad internetiühendust ühe avaliku IP-aadressi kaudu.
NAT-i eelised ja puudused

Eelised:

  • IP-aadresside säästmine: NAT võimaldab mitmel seadmel jagada ühte avalikku IP-aadressi, vähendades vajadust suure hulga avalike IP-aadresside järele.
  • Turvalisus: NAT peidab sisemise võrgu IP-aadressid välismaailma eest, lisades täiendava turvakihi, kuna väljastpoolt ei ole otsest juurdepääsu privaatvõrgus olevatele seadmetele.
  • Paindlikkus: NAT võimaldab privaatvõrgu seadmete hõlpsamat ümberkonfigureerimist ja IP-aadresside muutmist ilma mõju avalikule aadressile.

Puudused:

  • Komplekssus: NAT võib lisada võrgu konfiguratsioonile ja tõrkeotsingule keerukust.
  • Tulemuslikkuse küsimused: Suur hulk ühendusi võib tekitada lisakoormust NAT-seadmele, mis võib mõjutada võrguliikluse jõudlust.
  • Protokollide ühilduvus: Mõned protokollid ja rakendused ei tööta hästi NAT-iga, eriti need, mis nõuavad otsest peer-to-peer ühendust.
Kokkuvõte

NAT (Network Address Translation) on võrgutehnoloogia, mis võimaldab privaatsete IP-aadresside muundamist avalikeks IP-aadressideks ja vastupidi, võimaldades seadmetel suhelda üle interneti või erinevate võrgu segmentide vahel. See on oluline vahend IP-aadresside säästmiseks ja täiendava turvalisuse tagamiseks, kuid võib lisada ka keerukust ja teatud piiranguid võrgu toimimisele.

Konfiguratsioon ja Näited

L3 Marsruuteri Konfiguratsioon:

  • Alamliidesed (Sub-interfaces): L3 ruuteril luuakse alamliidesed, mis vastavad iga VLAN-ile. Iga alamliides saab oma IP-aadressi ja on seotud konkreetse VLAN-iga.
    • Näide: Ruuteri alamliides VLAN 10 jaoks saab IP-aadressi 192.168.10.1 ja VLAN 20 jaoks IP-aadressi 192.168.20.1.

Konfiguratsiooni Näide Cisco Ruuteril:

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

ip route 192.168.10.0 255.255.255.0 GigabitEthernet0/0.10
ip route 192.168.20.0 255.255.255.0 GigabitEthernet0/0.20

L3 Lüliti Konfiguratsioon:

  • SVI (Switched Virtual Interfaces): L3 lülititel kasutatakse SVI-sid, mis on virtuaalsed liidesed igale VLAN-ile. Need liidesed võimaldavad kommutaator suunata liiklust VLAN-ide vahel.
    • Näide: SVI VLAN 10 jaoks saab IP-aadressi 192.168.10.1 ja SVI VLAN 20 jaoks IP-aadressi 192.168.20.1.

Konfiguratsiooni näide Cisco kommutaatoril:

interface Vlan10
 ip address 192.168.10.1 255.255.255.0

interface Vlan20
 ip address 192.168.20.1 255.255.255.0

ip routing

Näide VLAN-sisese Marsruutimise Kasutamisest Ettevõtte Võrgus

Ettevõtte võrgustruktuur:

  • Turundus VLAN 10: IP vahemik 192.168.10.0/24
  • IT VLAN 20: IP vahemik 192.168.20.0/24
  • Finants VLAN 30: IP vahemik 192.168.30.0/24

L3 Marsruuteri kasutamine:

  • Alamliidesed VLAN 10 ja VLAN 20 jaoks: L3 ruuteril on alamliidesed VLAN 10 ja VLAN 20 jaoks, mis võimaldavad liiklust nende VLAN-ide vahel.
  • Turundus ja IT suhtlus: Kui turundusosakonna arvuti (IP 192.168.10.2) soovib suhelda IT osakonna serveriga (IP 192.168.20.2), suunab L3 ruuter liikluse vastavate alamliideste kaudu.

L3 Lüliti kasutamine:

  • SVI VLAN 10 ja VLAN 20 jaoks: L3 lülitil on SVI-d VLAN 10 ja VLAN 20 jaoks, mis võimaldavad kiiret ja tõhusat liikluse suunamist VLAN-ide vahel.
  • Turundus ja IT suhtlus: Kui turundusosakonna arvuti (IP 192.168.10.2) soovib suhelda IT osakonna serveriga (IP 192.168.20.2), suunab L3 lüliti liikluse otse SVI-de kaudu, ilma et oleks vaja eraldi ruuterit.

Kokkuvõte

VLAN-sisene marsruutimine (Inter-VLAN routing) võimaldab liikluse liikumist erinevate VLAN-ide vahel, kasutades L3 ruutereid või L3 lüliteid. L3 ruuterid kasutavad alamliideseid, et suunata liiklust VLAN-ide vahel, samas kui L3 lülitid kasutavad SVI-sid, et saavutada sama funktsionaalsus kiiremini ja tõhusamalt. Näited L3 ruuteri ja L3 lüliti konfiguratsioonist illustreerivad, kuidas VLAN-sisene marsruutimine võimaldab erinevatel võrgusegmentidel suhelda, säilitades samal ajal segmentatsiooni eelised ja parandades võrgu toimimist ja turvalisust.