Ang bilang ng mga device sa iyong network ay mabilis na lumalaki. Madalas ay wala kang ideya kung ano ang ginagawa ng mga device na iyon. Ito ay isang ligtas na ideya na ilagay ang mga ito sa isang hiwalay na network o subnet, sa tulong ng isang virtual network o VLAN. Pagkatapos ay maaari kang magpataw ng mga paghihigpit, ngunit magtakda rin ng mga priyoridad sa trapiko. Ipinapakita namin kung paano ito gumagana, kung ano ang kailangan mo para dito at kung paano ka makakalapit sa karagdagang pamamahala ng network.
Ang ganitong lumalagong network na may mga IoT device ay maganda, ngunit dapat din itong manatiling mapapamahalaan. Karaniwang ginagamit ng mga device ang iyong normal na home network, na hindi nagbibigay ng napakaligtas na pakiramdam dahil maraming mga ioT device ang walang seguridad sa pagkakasunud-sunod. Tinulungan ng mga virtual network (aka virtual LAN o VLAN), ito ay ganap na mapaghihiwalay. Ang virtual network ay talagang isang hiwalay na network – o subnet – na gumagamit lang ng iyong mga kasalukuyang cable at switch. Madaling gamitin, halimbawa, upang ihiwalay ang lahat ng mga IoT device na iyon, upang hindi sila makapasok sa iyong pangunahing network o makipag-ugnayan sa isang hindi kilalang server sa China, upang pangalanan lamang ang ilan.
01 Ano ang mga subnet?
Ang subnet ay talagang isang serye ng mga IP address na magkakasama. Sa loob ng iyong lokal na network, ito ay mga pribadong IP address na hindi umiiral sa internet (tingnan ang kahon na 'Mga kilalang pribadong IP range at subnet mask'). Ang unang bahagi ng bawat IP address ay tumutukoy sa nauugnay na network, ang pangalawang bahagi sa isang partikular na device o host. Ang isang subnet mask ay nagpapahiwatig kung aling bahagi ang naglalarawan sa network. Kung ang iyong router ay may hiwalay na network port na may nakahiwalay na guest network, iyon ay talagang isang hiwalay na subnet na may ibang IP range. Sa pamamagitan ng pagtatrabaho sa mga VLAN, maaari kang lumikha ng maramihang mga subnet sa loob ng parehong network, sa kondisyon na gumamit ka ng pinamamahalaang switch na maaaring pangasiwaan ang mga naturang VLAN. Sa ibang lugar sa Computer na ito! Sinubukan namin ang ilang kilalang modelo para sa iyo!
Mga kilalang pribadong IP range at subnet mask
Hinahanap mo ang iyong router? Malamang na makikita mo ito sa isang address tulad ng 192.168.1.1, kasama ang iyong mga network device sa mga address sa pagitan ng 192.168.1.2 at 192.168.1.254. Sa kasong ito, ang subnet mask ay 255.255.255.0. Ang nasabing subnet mask ay nagpapahiwatig kung aling bahagi ng isang IP address ang itinuturo ng network. Sa kasong ito, eksakto ang unang tatlong numero, na pareho para sa bawat IP address sa subnet na iyon. Ang 'pag-uusap' na iyon ay mas madali, ngunit hindi sapilitan: maaari kang mag-eksperimento dito (tinulungan ng mga tool sa pagkalkula sa internet). Madalas mo ring makikita ang pinaikling CIDR (Classless Inter-Domain Routing) notation. Maaari mong isulat ang partikular na subnet na ito bilang 192.168.1.0/24. Ang isa pang kilalang IP range, na gagamitin din namin sa workshop na ito, ay 10.0.0.0/24.
02 Ganito gumagana ang mga VLAN
Ang mga VLAN ay pinaghihiwalay ng isang natatanging 'tag' o 'VLAN ID', isang halaga mula 1 hanggang 4094. Isipin ito bilang isang label na inilalagay sa trapiko. Praktikal na gumamit ng naturang VLAN ID sa address ng network, halimbawa 10.0.10.0/24 para sa VLAN 10 at 10.0.20.0/24 para sa VLAN 20. Tinutukoy ng switch kung aling mga port ang magpapadala ng trapiko batay sa VLAN ID. Kapag sine-set up ito, kailangan mong malaman lalo na kung ano ang ginagawa ng konektadong device sa mga VLAN. Kung wala itong ginagawa dito, gaya ng PC o printer, iko-configure mo ang port bilang tinatawag na access port. Gayunpaman, kung pinangangasiwaan ng device ang trapiko para sa mga piling VLAN, gaya ng ilang partikular na router, server, at access point ng negosyo, i-configure ito bilang trunk port. Tinatawag din namin ang mga naturang device na 'VLAN-aware'.
03 I-set up ang mga VLAN sa switch
Magdaragdag ka ng mga VLAN sa switch nang sunud-sunod (bawat VLAN ID) at pumili sa bawat port sa pagitan ng pagtatalaga Na-tag, Hindi na-tag o Hindi Miyembro. Kung ang isang port ay walang kinalaman sa isang partikular na VLAN, pumili Hindi Miyembro. Para sa entrance gate ang pipiliin mo Hindi na-tag upang ang trapiko na umaalis sa switch ay matanggal ng mga tag. Pumili ng trunk port Na-tag, upang makuha ng device ang VLAN ID (at may gagawin dito). Karaniwang kailangan mo ring magtakda ng tinatawag na PVID (Port VLAN identifier) para sa bawat access port, upang ang papasok na trapiko (na hindi naglalaman ng VLAN ID at samakatuwid ay tinatawag na untagged/untagged) ay dumating sa tamang VLAN. Dahil ang isang access port ay isang 'miyembro' lamang ng isang VLAN, maaari din itong mahihinuha mula sa iyong configuration. Ang ilang mga switch samakatuwid ay ginagawa ito nang nakapag-iisa, ngunit palaging suriin! Kung bibigyan mo ng pansin, makikita mo na maaari ka ring magtakda ng PVID para sa isang trunk port kapag kino-configure ang switch. Ito ay dahil, bagama't mas mainam na iwasan ito sa pagsasanay, maaari ka ring mag-alok ng maximum na isang hindi naka-tag na VLAN sa pamamagitan ng naturang trunk bilang karagdagan sa naka-tag na trapiko.
04 Default na VLAN?
Tandaan na kapag inilabas mo ang mga ito sa kahon, ang mga switch ay kadalasang may default o native na VLAN na may VLAN ID 1 bilang PVID bilang default. Iyon ay medyo mula sa mundo ng Cisco. Bilang resulta, ang hindi naka-tag na papasok na trapiko ay imamapa sa VLAN 1 bilang default. Ang lahat ng mga port ay higit pang itinakda bilang access port (Hindi na-tag) para sa VLAN na iyon. Sa sandaling sumali ka sa isang port sa isa pang VLAN, Na-tag o Hindi na-tag para sa isang partikular na VLAN ID, maaari mong alisin muli ang VLAN ID 1. Kung ang isang port ay hindi na miyembro ng isa pang VLAN, karaniwan itong awtomatikong itinatalaga sa VLAN 1. Ang ganitong pag-uugali ay medyo naiiba sa bawat switch, kaya matalinong suriin ang takdang-aralin na ito.
05 Muling paggamit ng mga kasalukuyang switch
Kapos ka ba sa mga network port? Madali mong mapalawak ang iyong network gamit ang mga lumang (hindi pinamamahalaang) switch. Bagama't hindi nila kayang hawakan ang mga VLAN, hindi nila kailangan. Ikinonekta mo sila sa isang gateway na, gaya ng ipinaliwanag sa itaas, ay naghahatid ng trapiko na hindi naka-tag at nire-reroute ang papasok na trapiko sa tamang VLAN sa pamamagitan ng setting ng PVID. Praktikal na magdikit ng sticker o label sa naturang switch, para malaman mo kung saang subnet mo ito ginagamit. Sa anumang kaso, ito ay kapaki-pakinabang kung nagtatrabaho ka sa mga VLAN upang lagyan ng label ang lahat ng mga port sa mga switch at marahil din ang mga cable. O, halimbawa, gumamit ka ng hiwalay na kulay ng cable bawat VLAN.
06 Praktikal na halimbawa: Internet at guest network
Mayroon ka bang router na may hiwalay na network port para sa pag-access ng bisita? At gusto mo ba ang parehong regular at guest network sa isang kwarto, halimbawa? Pagkatapos ay maglagay ng pinamamahalaang switch sa aparador ng metro at silid-tulugan. Pumili ng VLAN ID para sa regular na network (halimbawa 6) at ang guest network (halimbawa 8). Sa metro cupboard, halimbawa, ikonekta ang port 1 sa regular na network at 2 sa guest network. Nagtakda ka ng port (halimbawa port 8) bilang tinatawag na trunk port, sa pamamagitan ng pag-tag nito para sa parehong VLAN ID. Ang trapiko para sa parehong VLAN ay napupunta sa switch sa kwarto sa pamamagitan ng port na ito.
Kapag kino-configure ang switch, ilagay muna ang VLAN ID 6 na naka-on ang port 1 Hindi na-tag at naka-on ang port 8 Na-tag. Pagkatapos ay ilagay ang pangalawang VLAN ID 8 na may port 2 na ngayon Hindi na-tag at naka-on ang port 8 Na-tag. Karaniwang kailangan mo pa ring itakda ang PVID para sa port 1 (6) at 2 (8). Sa kwarto maaari mong hatiin muli ang trapiko na may katulad na pagsasaayos. Siyempre, maaari mo pa ring italaga ang natitirang mga port sa switch sa regular na network o guest network, ayon sa kagustuhan.
Telebisyon at internet sa pamamagitan ng magkahiwalay na mga cable?
Sa sariling network ng mga tagapagbigay ng internet, kadalasang gumagamit sila ng mga VLAN upang paghiwalayin ang internet, telebisyon at VoIP, halimbawa. Ito ay hindi lamang mas ligtas, ang kalidad ay maaari ding mas magagarantiyahan ng mga magkahiwalay na network na ito. Ang router ay maaaring panloob na hatiin ang naturang trapiko sa ilang mga port. Para sa telebisyon minsan ito ay ibang subnet at ipinapalagay ng provider na humihila ka ng magkahiwalay na mga cable. Gayunpaman, kung mayroon ka lamang isang network cable sa telebisyon, maaari mong madaling gamitin ang mga VLAN. Maglagay ng pinamamahalaang switch sa metrong aparador at telebisyon at gumamit ng mga VLAN upang panatilihing hiwalay ang trapiko, gaya ng sa aming praktikal na halimbawa ng regular na network na may guest network.
