VLAN-isolering [netværksswitch] - Konfigurer lag 2-isolering undtagen for servere eller printere

Introduktion til

VLAN-isolering (Virtual Local Area Network) er en vigtig funktion i Zyxel-switche, der gør det muligt for netværksadministratorer at kontrollere netværkstrafikken effektivt og forbedre sikkerheden ved kun at tillade kommunikation mellem specifikke enheder inden for et VLAN. Denne artikel giver en dybdegående forståelse af VLAN-isolering, dens funktionalitet og trinvise instruktioner til, hvordan du konfigurerer den på din Zyxel-switch. Derudover vil vi udforske et scenarie fra den virkelige verden for at illustrere den praktiske anvendelse af VLAN-isolation.

Hvad er VLAN-isolation?

VLAN-isolering er en netværkskonfiguration, der muliggør segmentering af enheder inden for det samme VLAN. Det giver dig mulighed for at isolere specifikke enheder, mens du tillader kommunikation med udpegede undtagelser som servere eller printere. VLAN-isolering forbedrer netværkssikkerheden ved at forhindre uautoriseret kommunikation inden for et VLAN og sikrer effektiv trafikstyring.

Sådan fungerer VLAN-isolering

VLAN-isolering fungerer efter følgende principper:

1. Isolering af porte inden for et VLAN

• VLAN-isolering forenkler portisolering inden for et VLAN ved at give dig mulighed for at angive, hvilke porte der ikke skal isoleres. Dette opnås ved at tilføje disse porte til "promiscuous port list".
• Switchen kategoriserer automatisk de resterende porte inden for det samme VLAN som isolerede porte og begrænser trafikken mellem dem.

2. Promiskuøse porte

• Promiscuous-porte er undtagelser inden for et VLAN. Enheder, der er forbundet til disse porte, kan kommunikere med enhver port i det samme VLAN, inklusive andre promiscuous porte og isolerede porte.
• Promiscuous-porte tildeles typisk enheder som servere eller printere, der skal interagere med forskellige enheder inden for VLAN.

3. Isolerede porte

• Isolerede porte udgør størstedelen af portene i et VLAN. Enheder, der er forbundet til isolerede porte, kan kun kommunikere med promiskuøse porte inden for samme VLAN.
• Kommunikation mellem isolerede porte blokeres automatisk af switchen for at håndhæve isolationen.

Konfiguration af VLAN-isolation

Her er en trin-for-trin-guide til, hvordan du konfigurerer VLAN-isolering på din Zyxel-switch:

1. Konfiguration af adgangsswitch: Log ind på den webbaserede administrationsgrænseflade på din Zyxel-switch.

2. Konfigurer VLAN'er: Sørg for, at du allerede har konfigureret VLAN'erne på din switch. VLAN-isolering afhænger af allerede eksisterende VLAN-konfigurationer. Naviger til:

   • SWITCHING > VLAN > VLAN Setup > Static VLAN

     • 

3. Få adgang til VLAN-isolationsindstillinger: Naviger til"SWITCHING > VLAN Isolation" i administrationsgrænsefladen.
   

4. Opret en ny regel: Klik på "Add/edit" for at oprette en ny VLAN-isoleringsregel.
   

5. Aktivér reglen: Aktivér reglen ved at klikke på knappen "Aktiv".

6. Konfigurer detaljer om reglen:

   • Navn: Indtast et beskrivende navn for VLAN-isolationsreglen.
   • VLAN-ID: Angiv det VLAN-ID, som du ønsker at anvende isolationen på.
   • Promiskuøse porte: Tilføj den eller de porte, der skal udpeges som promiskuøse porte. Disse porte vil have ubegrænset kommunikation inden for VLAN.
     

7. Gem konfiguration: Når du har indtastet de nødvendige oplysninger, skal du gemme konfigurationen.

Praktisk scenarie: VLAN-isolation i aktion

Lad os udforske et scenarie fra den virkelige verden for at illustrere den praktiske anvendelse af VLAN-isolering på en Zyxel GS1920-8HP-switch:

Scenarie: Du har en Zyxel GS1920-8HP-switch med enheder tilsluttet som følger:

• PC'er tilsluttet port 2, 3 og 4.
• En server tilsluttet port 6.
• Din firewall er forbundet til port 10.

Alle disse enheder er en del af det samme VLAN, VLAN20. Her er, hvad du ønsker at opnå:

• Pc'er skal ikke kunne kommunikere med hinanden.
• PC'erne skal kunne kommunikere med serveren og firewallen.

Følg disse trin for at opnå dette:

1. Få adgang til switchens konfiguration: Log ind på den webbaserede administrationsgrænseflade på din GS1920-8HP-switch.

2. Konfigurer VLAN'er: Sørg for, at du har konfigureret VLAN20 på din switch, herunder at tildele de respektive porte (2, 3, 4, 6, 10) til dette VLAN.

3. Få adgang til VLAN-isolationsindstillinger: Naviger til "SWITCHING > VLAN Isolation" i administrationsgrænsefladen.

4. Opret en ny regel: Klik på "Add/edit" for at oprette en ny VLAN-isoleringsregel for VLAN20.

5. Aktivér reglen: Aktivér reglen ved at klikke på knappen "Aktiv".

6. Konfigurer detaljer om reglen:

   • Navn: Giv reglen et beskrivende navn, f.eks. "VLAN20 Isolation".
   • VLAN-ID: Indstil VLAN-ID'et til 20 (svarende til din VLAN-konfiguration).
   • Promiskuøse porte: Føj port 6 og 10 til listen over promiskuøse porte. Disse porte vil tillade kommunikation til serveren og firewallen.
     

7. Gem konfiguration: Når du har indtastet detaljerne, skal du gemme konfigurationen.

I dette scenarie kan pc'erne i VLAN20 ikke kommunikere med hinanden på grund af VLAN-isolationen. De kan dog kommunikere med serveren (forbundet til port 6) og firewallen (forbundet til port 10), da begge disse porte er udpeget som promiscuous. Denne opsætning sikrer, at vigtig kommunikation opretholdes, samtidig med at unødvendig trafik mellem pc'er inden for VLAN forhindres.

Ved at følge disse trin kan du med succes implementere VLAN-isolering for at forbedre netværkssikkerheden og optimere kommunikationen inden for dine VLAN'er på din Zyxel-switch.