VLAN-elkülönítés [Hálózati kapcsoló] - Layer 2 elszigetelés beállítása a szerverek és nyomtatók kivételével.

Bevezetés

A VLAN (virtuális helyi hálózat) elszigetelés a Zyxel switchek egyik alapvető funkciója, amely lehetővé teszi a hálózati rendszergazdák számára a hálózati forgalom hatékony szabályozását és a biztonság növelését azáltal, hogy csak a VLAN-on belüli meghatározott eszközök közötti kommunikációt engedélyezi. Ez a cikk részletesen ismerteti a VLAN-elkülönítést, annak működését, és lépésről lépésre útmutatást ad a Zyxel switch-en történő konfigurálásához. Emellett egy valós forgatókönyvet is megvizsgálunk a VLAN-elkülönítés gyakorlati alkalmazásának illusztrálására.

Mi az a VLAN-elkülönítés?

A VLAN-elkülönítés egy olyan hálózati konfiguráció, amely lehetővé teszi az eszközök szegmentálását ugyanazon a VLAN-on belül. Lehetővé teszi bizonyos eszközök elszigetelését, miközben lehetővé teszi a kommunikációt a kijelölt kivételekkel, például kiszolgálókkal vagy nyomtatókkal. A VLAN-elkülönítés növeli a hálózati biztonságot azáltal, hogy megakadályozza a VLAN-on belüli illetéktelen kommunikációt, és hatékony forgalomkezelést biztosít.

Hogyan működik a VLAN-elkülönítés

A VLAN-elkülönítés a következő elvek alapján működik:

1. A portok elkülönítése egy VLAN-on belül

• A VLAN-elszigetelés leegyszerűsíti a portok elszigetelését egy VLAN-on belül, mivel lehetővé teszi annak meghatározását, hogy mely portok ne legyenek elszigetelve. Ez úgy érhető el, hogy ezeket a portokat hozzáadjuk a "promiszkuus portok listájához".
• A kapcsoló automatikusan elszigetelt portokként kategorizálja az ugyanazon a VLAN-on belüli többi portot, és korlátozza a közöttük zajló forgalmat.

2. Promiscuous portok

• Apromiscuous portok kivételek egy VLAN-on belül. Az ezekhez a portokhoz csatlakoztatott eszközök kommunikálhatnak az ugyanazon VLAN-on belüli bármelyik porttal, beleértve a többi promiszkuous portot és az izolált portokat is.
• A promiscuous portokat általában olyan eszközökhöz, például kiszolgálókhoz vagy nyomtatókhoz rendelik, amelyeknek a VLAN-on belül különböző eszközökkel kell kapcsolatba lépniük.

3. Elszigetelt portok

• Azizolált portok alkotják a VLAN-on belüli portok többségét. Az elszigetelt portokhoz csatlakoztatott eszközök csak az ugyanazon VLAN-on belüli promiszkuous portokkal tudnak kommunikálni.
• Az elszigetelt portok közötti kommunikációt a kapcsoló automatikusan blokkolja az elszigetelés kikényszerítése érdekében.

A VLAN-elkülönítés beállítása

Az alábbiakban lépésről lépésre ismertetjük, hogyan konfigurálhatja a VLAN-elkülönítést a Zyxel switch-en:

1. Hozzáférési kapcsoló konfigurálása: Jelentkezzen be a Zyxel switch webalapú kezelőfelületére.

2. Konfigurálja a VLAN-okat: Győződjön meg róla, hogy már konfigurálta a VLAN-okat a kapcsolóján. A VLAN-elszigetelés a már meglévő VLAN-konfigurációktól függ. Navigáljon a következő címre: VLAN-ok:

   • dyn_repppppppp_0
     • 

3. Lépjen be a VLAN-izolációs beállításokba: Navigáljon a kezelőfelületen a"SWITCHING > VLAN izoláció" menüpontra.
   

4. Új szabály létrehozása: Kattintson a "Hozzáadás/szerkesztés" gombra egy új VLAN-elszigetelési szabály létrehozásához.
   

5. Engedélyezze a szabályt: Aktiválja a szabályt az "Aktív" gombra kattintva.

6. A szabály részleteinek konfigurálása:

   • Név: Adjon meg egy leíró nevet a VLAN-elszigetelési szabályhoz.
   • VLAN ID: Adja meg azt a VLAN azonosítót, amelyre az elszigetelést alkalmazni kívánja.
   • Promiscuous Ports: Adja hozzá a portot vagy portokat, amelyeket promiscuous portként kell kijelölni. Ezek a portok korlátlanul kommunikálhatnak a VLAN-on belül.
     

7. Konfiguráció mentése: A szükséges adatok megadása után mentse a konfigurációt.

Gyakorlati forgatókönyv: VLAN-izoláció a gyakorlatban

Vizsgáljunk meg egy valós forgatókönyvet a VLAN-elkülönítés gyakorlati alkalmazásának bemutatására egy Zyxel GS1920-8HP switchen:

Forgatókönyv: Van egy Zyxel GS1920-8HP switch, amelyhez a következő eszközök vannak csatlakoztatva:

• A 2., 3. és 4. portra csatlakoztatott PC-k.
• A 6-os porthoz egy kiszolgáló csatlakozik.
• A tűzfal a 10-es porthoz csatlakozik.

Mindezek az eszközök ugyanannak a VLAN-nak, a VLAN20-nak a részei. A következőt szeretné elérni:

• A PC-k ne tudjanak egymással kommunikálni.
• A PC-knek képesnek kell lenniük a szerverrel és a tűzfallal való kommunikációra.

Ennek eléréséhez kövesse a következő lépéseket:

1. Hozzáférési kapcsoló konfigurálása: Jelentkezzen be a GS1920-8HP kapcsoló webalapú kezelőfelületére.

2. Konfigurálja a VLAN-okat: Győződjön meg róla, hogy a kapcsolón konfigurálta a VLAN20-at, beleértve a megfelelő portok (2, 3, 4, 6, 10) hozzárendelését ehhez a VLAN-hoz.

3. Lépjen be a VLAN elkülönítési beállításokba: Navigáljon a kezelőfelületen a "SWITCHING > VLAN elkülönítés" menüpontra.

4. Hozzon létre egy új szabályt: Kattintson a "Hozzáadás/szerkesztés" gombra egy új VLAN-elkülönítési szabály létrehozásához a VLAN20-hoz.

5. Engedélyezze a szabályt: Aktiválja a szabályt az "Aktív" gombra kattintva.

6. A szabály részleteinek konfigurálása:

   • Név: Adjon a szabálynak egy leíró nevet, pl. "VLAN20 elkülönítés".
   • VLAN ID: Állítsa a VLAN ID-t 20-ra (a VLAN-konfigurációnak megfelelően).
   • Promiszkusz portok: Adja hozzá a 6. és 10. portot a promiszkuus portok listájához. Ezek a portok lehetővé teszik a kommunikációt a kiszolgálóval és a tűzfallal.
     

7. A konfiguráció mentése: A részletek megadása után mentse a konfigurációt.

Most ebben a forgatókönyvben a VLAN20-on belüli PC-k nem tudnak kommunikálni egymással a VLAN-elkülönítés miatt. A kiszolgálóval (a 6-os porthoz csatlakoztatva) és a tűzfallal (a 10-es porthoz csatlakoztatva) azonban tudnak kommunikálni, mivel mindkét port promiscuousként van kijelölve. Ez a beállítás biztosítja az alapvető kommunikáció fenntartását, miközben megakadályozza a VLAN-on belüli számítógépek közötti felesleges forgalmat.

A fenti lépések követésével sikeresen megvalósíthatja a VLAN-elkülönítést a hálózati biztonság növelése és a kommunikáció optimalizálása érdekében a Zyxel switchen lévő VLAN-okon belül.