El nombre de dispositius a la vostra xarxa està creixent ràpidament. Sovint no tens ni idea de què fan aquests dispositius. És una idea segura posar-los en una xarxa o subxarxa separada, amb l'ajuda d'una xarxa virtual o VLAN. A continuació, podeu imposar restriccions, però també establir prioritats de trànsit. Mostrem com funciona això, què necessiteu i també com podeu abordar una gestió posterior de la xarxa.
Una xarxa tan creixent amb dispositius IoT és agradable, però també ha de seguir sent manejable. Normalment, els dispositius utilitzen la vostra xarxa domèstica normal, la qual cosa no dóna una sensació molt segura perquè molts dispositius ioT no tenen la seguretat adequada. Ajudat per xarxes virtuals (també coneguts com LAN virtuals o VLAN), és perfectament separable. Una xarxa virtual és en realitat una xarxa separada (o subxarxa) que simplement utilitza els vostres cables i commutadors existents. Pràctic, per exemple, aïllar tots aquells dispositius IoT, de manera que no puguin entrar a la vostra xarxa principal o contactar amb un servidor obscur a la Xina, només per citar-ne alguns.
01 Què són les subxarxes?
Una subxarxa és en realitat una sèrie d'adreces IP que pertanyen juntes. Dins de la vostra xarxa local, aquestes són adreces IP privades que no existeixen a Internet (vegeu el quadre "Intervals d'IP privades i màscares de subxarxa coneguts"). La primera part de cada adreça IP fa referència a la xarxa associada, la segona part a un dispositiu o host específic. Una màscara de subxarxa indica quina part descriu la xarxa. Si el vostre encaminador té un port de xarxa independent amb una xarxa convidada aïllada, també és una subxarxa separada amb un rang IP diferent. En treballar amb VLAN, podeu crear diverses subxarxes dins de la mateixa xarxa, sempre que utilitzeu un commutador gestionat que pugui gestionar aquestes VLAN. En altres llocs d'aquest ordinador! Hem provat una sèrie de models coneguts per a tu!
Intervals IP privats i màscares de subxarxa coneguts
Busques el teu encaminador? És probable que el trobeu a una adreça com 192.168.1.1, amb els vostres dispositius de xarxa a adreces entre 192.168.1.2 i 192.168.1.254. En aquest cas, la màscara de subxarxa és 255.255.255.0. Aquesta màscara de subxarxa indica a quina part d'una adreça IP apunta la xarxa. En aquest cas, exactament els tres primers números, que són els mateixos per a cada adreça IP d'aquesta subxarxa. Això "parla" més fàcil, però no és obligatori: podeu experimentar-ho (ajudat amb eines de càlcul a Internet). També trobareu sovint la notació abreujada CIDR (Classless Inter-Domain Routing). A continuació, podeu escriure aquesta subxarxa específica com a 192.168.1.0/24. Un altre rang IP conegut, que també utilitzarem en aquest taller, és 10.0.0.0/24.
02 Així és com funcionen les VLAN
Les VLAN es mantenen separades per una "etiqueta" o "ID de VLAN" únic, un valor d'1 a 4094. Penseu-hi com una etiqueta que es col·loca al trànsit. És pràctic utilitzar aquest ID de VLAN a l'adreça de xarxa, per exemple 10.0.10.0/24 per a VLAN 10 i 10.0.20.0/24 per a VLAN 20. Un commutador determina a quins ports s'ha d'enviar trànsit en funció de l'ID de la VLAN. Quan el configureu, heu de saber què fa el dispositiu connectat amb les VLAN. Si no hi fa res, com ara un ordinador o una impressora, configureu el port com un anomenat port d'accés. Tanmateix, si el dispositiu gestiona el trànsit de les VLAN seleccionades, com ara determinats encaminadors, servidors i punts d'accés empresarial, configureu-lo com a port troncal. També anomenem aquests dispositius "conscients de VLAN".
03 Configureu les VLAN al commutador
Afegiu VLAN al commutador una darrere l'altra (per ID de VLAN) i trieu per port entre la designació Etiquetat, Sense etiquetar o No membre. Si un port no té res a veure amb una VLAN específica, trieu No membre. Per a una porta d'entrada escolliu Sense etiquetar de manera que el trànsit que surt de l'interruptor quedi sense etiquetes. Trieu un port troncal Etiquetat, de manera que el dispositiu obtingui l'ID de VLAN (i hi faci alguna cosa). Normalment també heu d'establir un PVID (identificador de port VLAN) per a cada port d'accés, de manera que el trànsit entrant (que no conté un ID de VLAN i, per tant, s'anomena sense etiquetar/sense etiquetar) arribi a la VLAN correcta. Com que un port d'accés només és un "membre" d'una VLAN, també es pot deduir de la vostra configuració. Per tant, alguns interruptors ho fan de manera independent, però sempre comproveu-ho! Si pareu atenció, veureu que també podeu configurar un PVID per a un port troncal quan configureu l'interruptor. Això és degut a que, tot i que és millor evitar-ho a la pràctica, també podeu oferir un màxim d'una VLAN sense etiquetar a través d'aquest tronc a més del trànsit etiquetat.
04 VLAN per defecte?
Tingueu en compte que quan els treu de la caixa, els commutadors solen tenir una VLAN predeterminada o nativa amb l'ID de VLAN 1 com a PVID de manera predeterminada. Això ve una mica del món de Cisco. Com a resultat, el trànsit d'entrada no etiquetat s'assignarà a la VLAN 1 de manera predeterminada. Tots els ports s'estableixen com a port d'accés (Sense etiquetar) per a aquesta VLAN. Tan aviat com uniu un port a una altra VLAN, Etiquetat o Sense etiquetar per a un ID de VLAN concret, podeu tornar a eliminar l'ID de VLAN 1. Si un port ja no és membre d'una altra VLAN, normalment es reassigna automàticament a la VLAN 1. Aquest comportament difereix una mica per commutador, per la qual cosa és aconsellable comprovar aquesta assignació.
05 Reutilització d'interruptors existents
Et falten ports de xarxa? Podeu ampliar fàcilment la vostra xarxa amb commutadors antics (no gestionats). Tot i que no poden gestionar les VLAN, no ho han de fer. Els connecteu a una passarel·la que, com s'ha explicat anteriorment, ofereix trànsit sense etiquetar i redirigeix el trànsit entrant a la VLAN correcta mitjançant la configuració PVID. És pràctic enganxar un adhesiu o una etiqueta en aquest interruptor, de manera que sàpigues per a quina subxarxa l'estàs utilitzant. En qualsevol cas, és útil si treballeu amb VLAN per etiquetar tots els ports dels commutadors i potser també els cables. O, per exemple, utilitzeu un color de cable independent per VLAN.
06 Exemple pràctic: Internet i xarxa de convidats
Teniu un encaminador amb un port de xarxa independent per accedir als convidats? I voleu una xarxa habitual i de convidats en un dormitori, per exemple? A continuació, col·loqueu un interruptor gestionat a l'armari del comptador i al dormitori. Trieu un ID de VLAN per a la xarxa normal (per exemple 6) i la xarxa convidada (per exemple 8). A l'armari del comptador, per exemple, connecteu el port 1 a la xarxa normal i el 2 a la xarxa convidada. Definiu un port (per exemple, el port 8) com a anomenat port troncal, etiquetant-lo per als dos ID de VLAN. El trànsit d'ambdues VLAN va a l'interruptor del dormitori mitjançant aquest port.
Quan configureu el commutador, primer introduïu l'ID de VLAN 6 amb el port 1 activat Sense etiquetar i el port 8 activat Etiquetat. A continuació, introduïu el segon ID de VLAN 8 amb ara el port 2 Sense etiquetar i el port 8 activat Etiquetat. Normalment encara heu de configurar el PVID per al port 1 (6) i 2 (8). Al dormitori podeu tornar a dividir el trànsit amb una configuració similar. Per descomptat, encara podeu assignar els ports restants del commutador a la xarxa normal o a la xarxa de convidats, segons les vostres preferències.
Televisió i internet per cables separats?
A la xarxa pròpia dels proveïdors d'Internet, solen utilitzar VLAN per separar Internet, televisió i VoIP, per exemple. Això no només és més segur, sinó que la qualitat també es pot garantir millor mitjançant aquestes xarxes separades. L'encaminador pot dividir internament aquest trànsit en diversos ports. Per a la televisió, aquesta és de vegades una subxarxa diferent i el proveïdor assumeix que estireu cables separats. Tanmateix, si només teniu un cable de xarxa al televisor, podeu utilitzar les VLAN de manera còmoda. Col·loqueu un commutador gestionat tant a l'armari del comptador com a la televisió i utilitzeu VLAN per mantenir el trànsit separat, bàsicament com en el nostre exemple pràctic de la xarxa normal amb una xarxa de convidats.
