Počet zariadení vo vašej sieti rýchlo rastie. Často ani netušíte, čo tieto zariadenia robia. Je bezpečný nápad umiestniť ich do samostatnej siete alebo podsiete pomocou virtuálnej siete alebo VLAN. Potom môžete zaviesť obmedzenia, ale tiež určiť dopravné priority. Ukážeme vám, ako to funguje, čo k tomu potrebujete a tiež ako môžete riešiť ďalšiu správu siete.
Takáto rastúca sieť so zariadeniami IoT je síce pekná, ale musí zostať tiež zvládnuteľná. Zvyčajne zariadenia používajú vašu normálnu domácu sieť, čo neposkytuje taký bezpečný pocit, pretože veľa zariadení ioT nemá zabezpečené zabezpečenie. S pomocou virtuálnych sietí (alebo virtuálnych sietí LAN alebo VLAN) je v poriadku oddeliť ich. Virtuálna sieť je v podstate samostatná sieť alebo podsieť, ktorá jednoducho používa vaše existujúce káble a prepínače. Šikovné je napríklad izolovať všetky tieto zariadenia internetu vecí, aby nemohli vstúpiť do vašej hlavnej siete alebo nadviazať kontakt s temným serverom v Číne, aby sme vymenovali aspoň niektoré.
01 Čo sú to podsiete?
Podsieť je vlastne séria adries IP, ktoré patria k sebe. V miestnej sieti sú to súkromné adresy IP, ktoré na internete neexistujú (pozri rámček „Známe rozsahy súkromných adries IP a masky podsiete“). Prvá časť každej adresy IP sa týka zodpovedajúcej siete, druhá časť sa týka konkrétneho zariadenia alebo hostiteľa. Maska podsiete označuje, ktorá časť popisuje sieť. Ak má váš smerovač samostatný sieťový port s izolovanou sieťou hostí, potom to je vlastne tiež samostatná podsieť s iným rozsahom adries IP. Pri práci s VLAN môžete v rámci jednej siete vytvoriť viac podsietí za predpokladu, že použijete spravovaný prepínač, ktorý dokáže takéto VLAN spracovať. Nech už ste kdekoľvek v tomto počítači! Celkovo sme pre vás otestovali množstvo známych modelov!
Známe súkromné rozsahy adries IP a masky podsiete
Hľadáte smerovač? Je pravdepodobné, že ho nájdete na adrese ako 192.168.1.1, pričom vaše sieťové zariadenia sú na adresách medzi 192.168.1.2 a 192.168.1.254. V tomto prípade je maska podsiete 255.255.255.0. Takáto maska podsiete označuje, na ktorú časť adresy IP smeruje sieť. V tomto prípade presne prvé tri čísla, ktoré sú rovnaké pre každú adresu IP v danej podsieti. To „hovorí“ ľahšie, ale nie je to povinné: môžete s tým experimentovať (pomôžu vám výpočtové nástroje na internete). Tiež sa často stretávate so skrátenou notáciou CIDR (Classless Inter-Domain Routing). Túto konkrétnu podsieť môžete potom zapísať ako 192.168.1.0/24. Ďalším známym rozsahom adries IP, ktorý tiež používame v tejto dielni, je 10.0.0.0/24.
02 Takto fungujú VLAN
VLAN sú oddelené jedinečnou „značkou“ alebo „VLAN ID“, čo je hodnota od 1 do 4094. Berte to ako značku, ktorá sa umiestňuje na prenos. Je praktické použiť takéto VLAN ID v sieťovej adrese, napríklad 10.0.10.0 / 24 pre VLAN 10 a 10.0.20.0 / 24 pre VLAN 20. Na základe ID VLAN určuje prepínač, na ktoré porty sa má prevádzkovať prenos. Pri nastavovaní musíte predovšetkým vedieť, čo robí pripojené zariadenie s VLAN. Ak to nefunguje, napríklad počítač alebo tlačiareň, nakonfigurujete port ako takzvanú bránu. Ak však zariadenie spracováva prenosy pre vybrané VLAN, ako sú napríklad určité smerovače, servery a podnikové prístupové body, nakonfigurujete ho ako hlavný port. Takéto zariadenia nazývame aj „VLAN-aware“.
03 Nastavenie sietí VLAN na prepínači
Na prepínač pridávate postupne VLAN (podľa VLAN ID) a vyberáte medzi označením na port Označené, Neoznačené alebo Nie člen. Ak port nemá nič spoločné s konkrétnou VLAN, vyberte Nie člen. Vyberiete si vstupnú bránu Neoznačené takže prevádzka opúšťajúca výhybku je zbavená značiek. Vyberiete si hlavný port Označenéaby zariadenie dostalo VLAN ID (a niečo s ním urobilo). Spravidla musíte tiež nastaviť takzvaný PVID (identifikátor portu VLAN) pre každý prístupový port, aby prichádzajúci prenos (ktorý neobsahuje ID VLAN a preto sa nazýva neoznačený / neoznačený) skončil v správnej VLAN. Pretože brána je iba „členom“ jednej VLAN, dá sa vlastne odvodiť aj z vašej konfigurácie. Niektoré prepínače preto fungujú nezávisle, vždy to však skontrolujte! Ak budete venovať zvýšenú pozornosť, uvidíte, že pri konfigurácii prepínača môžete nastaviť aj PVID pre hlavný port. Je to tak preto, lebo aj keď je lepšie sa tomu v praxi vyhnúť, môžete okrem označenej prenosu prostredníctvom takého kufra ponúknuť maximálne jednu neoznačenú VLAN.
04 Predvolená VLAN?
Upozorňujeme, že keď sú prepínače vybraté z krabice, často majú predvolenú alebo natívnu VLAN nastavenú takmer vždy s VLAN ID 1 ako PVID. To pochádza trochu zo sveta spoločnosti Cisco. Výsledkom je, že neoznačený prichádzajúci prenos bude predvolene namapovaný na VLAN 1. Všetky porty sa ďalej nastavujú ako prístupová brána (Neoznačené) pre túto VLAN. Hneď ako pripojíte port k inej VLAN, zapnite ho Označené alebo Neoznačené pre konkrétne VLAN ID môžete VLAN ID 1 znova odobrať. Ak port už nie je členom inej VLAN, obvykle sa automaticky preskupí do VLAN 1. Takéto správanie sa od switchu k switchu trochu líši, takže je rozumné skontrolovať toto pridelenie.
05 Opätovné použitie existujúcich prepínačov
Máte nedostatok sieťových portov? Sieť môžete ľahko rozšíriť o staré (nespravované) prepínače. Aj keď nemôžu pracovať s VLAN, nemusia. Pripojíte ich k prístupovému portu, ktorý, ako je vysvetlené vyššie, poskytuje neoznačený prenos a pomocou nastavenia PVID rozdeľuje prichádzajúci prenos späť na správnu VLAN. Je praktické na takýto prepínač nalepiť nálepku alebo štítok, aby ste vedeli, pre ktorú podsieť ho používate. V každom prípade je užitočné pri práci s VLAN označiť všetky porty na prepínačoch a prípadne aj káble. Alebo napríklad použijete samostatnú farbu kábla pre každú VLAN.
06 Praktický príklad: internet a sieť pre hostí
Máte smerovač so samostatným sieťovým portom pre prístup hostí? A chcete napríklad v spálni normálnu aj sieť pre hostí? Potom vložte riadený vypínač do meracej skrinky a spálne. Vyberte ID VLAN pre bežnú sieť (napríklad 6) a hosťovskú sieť (napríklad 8). Napríklad v meracej skrinke pripojte port 1 k bežnej sieti a 2 k hosťovskej sieti. Port (napríklad port 8) nastavíte ako takzvaný hlavný port tak, že ho označíte pre obidve VLAN ID. Prevádzka pre obe VLAN potom ide cez tento port k prepínaču v spálni.
Pri konfigurácii prepínača najskôr zadajte VLAN ID 6 so zapnutým portom 1 Neoznačené a port 8 zapnutý Označené. Potom zadajte druhé VLAN ID 8 s portom 2 Neoznačené a port 8 zapnutý Označené. Spravidla musíte ešte nastaviť PVID pre port 1 (6) a 2 (8). V spálni môžete opäť rozdeliť premávku s podobnou konfiguráciou. Zvyšné porty na prepínači je možné samozrejme usporiadať podľa vašich preferencií v bežnej sieti alebo v sieti hostí.
Televízia a internet cez samostatné káble?
Vo vlastnej sieti poskytovateľov internetu zvyčajne používajú VLAN na oddelenie napríklad internetu, televízie a VoIP. To je nielen bezpečnejšie, kvalitu môžu zaručiť aj tieto samostatné siete. Router môže takúto prevádzku interne rozdeliť medzi rôzne porty. Pre televíziu je to niekedy iná podsieť a poskytovateľ predpokladá, že kreslíte samostatné káble. Ak však máte k televízoru iba jeden sieťový kábel, môžete pohodlne používať VLAN. Vložte riadený prepínač do meracej skrinky aj do televízie a používajte VLAN na oddelenie prenosu, vlastne ako v našom praktickom príklade bežnej siete so sieťou pre hostí.
