VLAN-isolatie [Network Switch] - Laag 2-isolatie configureren, behalve voor servers of printers

Inleiding

VLAN-isolatie (Virtual Local Area Network) is een cruciale functie in Zyxel-switches waarmee netwerkbeheerders het netwerkverkeer effectief kunnen regelen en de beveiliging kunnen verbeteren door alleen communicatie tussen specifieke apparaten binnen een VLAN toe te staan. Dit artikel biedt een diepgaand inzicht in VLAN-isolatie, de functionaliteit ervan en stapsgewijze instructies voor het configureren ervan op uw Zyxel-switch. Daarnaast zullen we een scenario uit de praktijk bekijken om de praktische toepassing van VLAN-isolatie te illustreren.

Wat is VLAN-isolatie?

VLAN-isolatie is een netwerkconfiguratie die de segmentatie van apparaten binnen hetzelfde VLAN mogelijk maakt. Het stelt je in staat om specifieke apparaten te isoleren terwijl communicatie met aangewezen uitzonderingen zoals servers of printers mogelijk blijft. VLAN-isolatie verbetert de netwerkbeveiliging door ongeautoriseerde communicatie binnen een VLAN te voorkomen en zorgt voor een efficiënt verkeersbeheer.

Hoe VLAN-isolatie werkt

VLAN-isolatie werkt volgens de volgende principes:

1. Poortisolatie binnen een VLAN

• VLAN-isolatie vereenvoudigt poortisolatie binnen een VLAN door je de mogelijkheid te geven om aan te geven welke poorten niet geïsoleerd mogen worden. Dit wordt bereikt door deze poorten toe te voegen aan de "promiscuous port list.
• De switch categoriseert automatisch de resterende poorten binnen hetzelfde VLAN als geïsoleerde poorten en beperkt het verkeer tussen deze poorten.

2. Promiscue poorten

• Promiscue poorten zijn uitzonderingen binnen een VLAN. Apparaten die op deze poorten zijn aangesloten, kunnen communiceren met elke poort binnen hetzelfde VLAN, inclusief andere promiscue poorten en geïsoleerde poorten.
• Promiscue poorten worden meestal toegewezen aan apparaten zoals servers of printers die moeten communiceren met verschillende apparaten binnen het VLAN.

3. Geïsoleerde poorten

• Geïsoleerde poorten vormen de meerderheid van de poorten binnen een VLAN. Apparaten die op geïsoleerde poorten zijn aangesloten, kunnen alleen communiceren met promiscue poorten binnen hetzelfde VLAN.
• Communicatie tussen geïsoleerde poorten wordt automatisch geblokkeerd door de schakelaar om isolatie af te dwingen.

VLAN-isolatie configureren

Hier volgt een stapsgewijze handleiding voor het configureren van VLAN-isolatie op uw Zyxel switch:

1. Toegangsswitch Configuratie: Log in op de webgebaseerde beheerinterface van uw Zyxel switch.

2. Configureer VLAN's: Zorg ervoor dat u de VLAN's op uw switch al hebt geconfigureerd. VLAN-isolatie is afhankelijk van reeds bestaande VLAN-configuraties. Navigeer naar:

   • SWITCHING > VLAN > VLAN Setup > Static VLAN

     • 

3. Ga naar de instellingen voor VLAN-isolatie: Navigeer naar"SWITCHING > VLAN Isolation" in de beheerinterface.
   

4. Maak een nieuwe regel: Klik op "Add/edit" (Toevoegen/bewerken) om een nieuwe VLAN-isolatieregel aan te maken.
   

5. Activeer de regel: Activeer de regel door op de knop "Active" te klikken.

6. Configureer de details van de regel:

   • Naam: Voer een beschrijvende naam in voor de VLAN-isolatieregel.
   • VLAN ID: Specificeer de VLAN ID waarvoor u de isolatie wilt toepassen.
   • Promiscue poorten: Voeg de poort of poorten toe die moeten worden aangewezen als promiscue poorten. Deze poorten zullen onbeperkte communicatie binnen het VLAN hebben.
     

7. Configuratie opslaan: Sla de configuratie op na het invoeren van de vereiste gegevens.

Praktisch scenario: VLAN-isolatie in actie

Laten we een scenario uit de praktijk bekijken om de praktische toepassing van VLAN-isolatie op een Zyxel GS1920-8HP switch te illustreren:

Scenario: U hebt een Zyxel GS1920-8HP switch met apparaten die als volgt zijn aangesloten:

• Pc's aangesloten op poort 2, 3 en 4.
• Een server aangesloten op poort 6.
• Uw firewall aangesloten op poort 10.

Al deze apparaten maken deel uit van hetzelfde VLAN, VLAN20. Dit is wat je wilt bereiken:

• Pc's moeten niet met elkaar kunnen communiceren.
• Pc's moeten kunnen communiceren met de server en de firewall.

Volg deze stappen om dit te bereiken:

1. Toegang tot Switch Configuratie: Log in op de webgebaseerde beheerinterface van je GS1920-8HP switch.

2. Configureer VLAN's: Zorg ervoor dat je VLAN20 hebt geconfigureerd op je switch, inclusief het toewijzen van de respectievelijke poorten (2, 3, 4, 6, 10) aan dit VLAN.

3. Ga naar de instellingen voor VLAN-isolatie: Navigeer naar "SWITCHING > VLAN Isolation" in de beheerinterface.

4. Maak een nieuwe regel: Klik op "Toevoegen/bewerken" om een nieuwe VLAN-isolatieregel voor VLAN20 aan te maken.

5. Activeer de regel: Activeer de regel door op de knop "Active" te klikken.

6. Configureer de details van de regel:

   • Naam: Geef de regel een beschrijvende naam, bijvoorbeeld "VLAN20 Isolatie".
   • VLAN ID: Stel de VLAN ID in op 20 (overeenkomstig uw VLAN-configuratie).
   • Promiscue poorten: Voeg poorten 6 en 10 toe aan de lijst met promiscue poorten. Deze poorten staan communicatie naar de server en de firewall toe.
     

7. Configuratie opslaan: Sla de configuratie op nadat je de details hebt ingevoerd.

In dit scenario kunnen de PC's binnen VLAN20 niet met elkaar communiceren vanwege de VLAN-isolatie. Ze kunnen echter wel communiceren met de server (verbonden met poort 6) en de firewall (verbonden met poort 10), omdat deze beide poorten zijn aangewezen als promiscue. Deze opstelling zorgt ervoor dat essentiële communicatie behouden blijft terwijl onnodig verkeer tussen PC's binnen het VLAN wordt voorkomen.

Door deze stappen te volgen, kunt u VLAN-isolatie met succes implementeren om de netwerkbeveiliging te verbeteren en de communicatie binnen uw VLAN's op uw Zyxel switch te optimaliseren.