您网络上的设备数量正在迅速增长。您通常不知道这些设备的作用。在虚拟网络或 VLAN 的帮助下,将它们放在单独的网络或子网上是一个安全的想法。然后,您可以施加限制,但也可以设置流量优先级。我们展示了它是如何工作的,您需要什么,以及您如何进一步管理网络。
拥有物联网设备的这种不断增长的网络很好,但它也必须保持可管理性。通常设备使用您的普通家庭网络,这不会给人一种很安全的感觉,因为许多物联网设备没有安全保障。在虚拟网络(又名虚拟 LAN 或 VLAN)的帮助下,它是完全可分离的。虚拟网络实际上是一个单独的网络(或子网),它仅使用您现有的电缆和交换机。例如,方便地隔离所有这些物联网设备,使它们无法进入您的主网络或与中国的一个不起眼的服务器联系,仅举几例。
01 什么是子网?
子网实际上是属于一起的一系列 IP 地址。在您的本地网络中,这些是 Internet 上不存在的私有 IP 地址(参见“已知私有 IP 范围和子网掩码”框)。每个 IP 地址的第一部分是指关联的网络,第二部分是指特定的设备或主机。子网掩码指示哪个部分描述了网络。如果您的路由器有一个单独的网络端口和一个独立的访客网络,那么这实际上也是一个具有不同 IP 范围的单独子网。通过使用 VLAN,您可以在同一网络中创建多个子网,前提是您使用可以处理此类 VLAN 的管理型交换机。在这台电脑的其他地方!我们已经为您测试了许多知名型号!
已知的私有 IP 范围和子网掩码
正在寻找您的路由器?您可能会在 192.168.1.1 之类的地址中找到它,而您的网络设备的地址在 192.168.1.2 和 192.168.1.254 之间。在这种情况下,子网掩码是 255.255.255.0。这样的子网掩码指示网络指向 IP 地址的哪一部分。在这种情况下,正好是前三个数字,对于该子网中的每个 IP 地址都是相同的。这“谈话”更容易,但不是强制性的:您可以试验它(借助互联网上的计算工具)。您还经常会遇到缩写的 CIDR(无类别域间路由)表示法。然后,您可以将此特定子网写为 192.168.1.0/24。我们还将在本次研讨会中使用的另一个众所周知的 IP 范围是 10.0.0.0/24。
02 这就是 VLAN 的工作原理
VLAN 通过唯一的“标记”或“VLAN ID”(值从 1 到 4094)分隔开来。将其视为放置在流量上的标签。在网络地址中使用这样的 VLAN ID 是实用的,例如 10.0.0.0.0。10.0/24 用于 VLAN 10 和 10.0。20.0/24 表示 VLAN 20。交换机根据 VLAN ID 确定将流量发送到哪些端口。在设置时,您尤其需要知道连接的设备对 VLAN 做了什么。如果它不使用它,例如 PC 或打印机,则将该端口配置为所谓的访问端口。但是,如果设备处理选定 VLAN 的流量,例如某些路由器、服务器和业务接入点,则将其配置为中继端口。我们也称此类设备为“VLAN 感知”。
03 在交换机上设置VLAN
您在交换机上一个接一个地添加 VLAN(每个 VLAN ID),并在指定之间选择每个端口 标记, 未标记 或者 非会员.如果端口与特定 VLAN 无关,则选择 非会员.对于您选择的入口大门 未标记 以便离开交换机的流量被剥离标签。选择中继端口 标记,以便设备获取 VLAN ID(并对其进行处理)。您通常还必须为每个访问端口设置一个所谓的 PVID(端口 VLAN 标识符),以便传入流量(不包含 VLAN ID,因此称为未标记/未标记)到达正确的 VLAN。由于接入端口只是一个 VLAN 的“成员”,因此也可以从您的配置中推断出来。因此,有些开关是独立完成的,但要始终检查!如果你注意的话,你会发现在配置交换机的时候,你还可以为trunk端口设置一个PVID。这是因为,尽管在实践中最好避免这种情况,但除了标记的流量外,您还可以通过此类中继提供最多一个未标记的 VLAN。
04 默认VLAN?
请注意,当您开箱即用时,交换机通常有一个默认或本地 VLAN,默认情况下 VLAN ID 1 作为 PVID。这有点来自思科世界。因此,默认情况下,未标记的传入流量将映射到 VLAN 1。所有端口进一步设置为访问端口(未标记) 用于该 VLAN。一旦您将一个端口加入另一个 VLAN, 标记 或者 未标记 对于特定的 VLAN ID,您可以再次删除 VLAN ID 1。如果一个端口不再是另一个 VLAN 的成员,它通常会自动重新分配到 VLAN 1。这种行为因交换机而异,因此检查此分配是明智的。
05 重用现有开关
您是否缺少网络端口?您可以使用旧的(非管理型)交换机轻松扩展您的网络。尽管他们无法处理 VLAN,但他们不必这样做。您将它们连接到一个网关,如上所述,该网关传送未标记的流量并将传入流量通过 PVID 设置重新路由到正确的 VLAN。在这样的交换机上贴上贴纸或标签是很实用的,这样您就可以知道您使用的是哪个子网。在任何情况下,如果您使用 VLAN 来标记交换机上的所有端口以及电缆上的所有端口,这将非常有用。或者,例如,您为每个 VLAN 使用单独的电缆颜色。
06 实例:互联网和访客网络
您是否有带有单独网络端口供访客访问的路由器?例如,您是否想要在卧室中同时拥有普通网络和访客网络?然后在电表柜和卧室放置一个管理型交换机。为常规网络(例如 6)和访客网络(例如 8)选择 VLAN ID。例如,在仪表柜中,将端口 1 连接到常规网络,将端口 2 连接到访客网络。通过为两个 VLAN ID 标记端口,您可以将端口(例如端口 8)设置为所谓的中继端口。然后,两个 VLAN 的流量通过此端口进入卧室中的交换机。
配置交换机时,首先输入 VLAN ID 6,端口 1 打开 未标记 和端口 8 标记.然后使用现在的端口 2 输入第二个 VLAN ID 8 未标记 和端口 8 标记.您通常仍然需要为端口 1 设置 PVID (6) 和 2 (8)。在卧室中,您可以使用类似的配置再次拆分流量。当然,您仍然可以根据偏好将交换机上的其余端口分配给常规网络或访客网络。
电视和互联网通过单独的电缆?
例如,在互联网提供商自己的网络中,他们通常使用 VLAN 来分隔互联网、电视和 VoIP。这不仅更安全,质量也可以通过这些独立的网络得到更好的保证。路由器可以在内部将此类流量拆分到多个端口。对于电视,这有时是不同的子网,提供商假定您拉不同的电缆。但是,如果您只有一根网线连接到电视,则可以方便地使用 VLAN。在仪表柜和电视中放置一个管理型交换机,并使用 VLAN 来保持流量分离,这基本上就像我们在具有访客网络的常规网络的实际示例中一样。
