Số lượng thiết bị trên mạng của bạn đang tăng lên nhanh chóng. Bạn thường không biết những thiết bị đó làm gì. Một ý tưởng an toàn là đặt chúng trên một mạng hoặc mạng con riêng biệt, với sự trợ giúp của mạng ảo hoặc VLAN. Sau đó, bạn có thể áp đặt các hạn chế, nhưng cũng có thể đặt mức độ ưu tiên về lưu lượng truy cập. Chúng tôi chỉ ra cách hoạt động của điều này, những gì bạn cần cho nó và cũng là cách bạn có thể tiếp cận việc quản lý mạng hơn nữa.
Một mạng lưới đang phát triển với các thiết bị IoT như vậy là tốt, nhưng nó cũng phải duy trì được khả năng quản lý. Thông thường các thiết bị sử dụng mạng gia đình thông thường của bạn, điều này không mang lại cảm giác an toàn cho lắm vì nhiều thiết bị ioT không có bảo mật theo thứ tự. Được hỗ trợ bởi các mạng ảo (hay còn gọi là mạng LAN ảo hoặc VLAN), nó hoàn toàn có thể phân tách được. Mạng ảo thực chất là một mạng riêng biệt - hoặc mạng con - chỉ đơn giản là sử dụng cáp và thiết bị chuyển mạch hiện có của bạn. Ví dụ: Handy để cô lập tất cả các thiết bị IoT đó, để chúng không thể vào mạng chính của bạn hoặc liên hệ với một máy chủ ít người biết đến ở Trung Quốc, chỉ để nêu tên một số thiết bị.
01 Mạng con là gì?
Mạng con thực sự là một chuỗi các địa chỉ IP thuộc về nhau. Trong mạng cục bộ của bạn, đây là những địa chỉ IP riêng không tồn tại trên internet (xem hộp 'Các dải IP riêng đã biết và mặt nạ mạng con'). Phần đầu tiên của mỗi địa chỉ IP đề cập đến mạng được liên kết, phần thứ hai đề cập đến một thiết bị hoặc máy chủ cụ thể. Mặt nạ mạng con cho biết phần nào mô tả mạng. Nếu bộ định tuyến của bạn có một cổng mạng riêng biệt với một mạng khách biệt lập, thì đó thực sự cũng là một mạng con riêng biệt với dải IP khác. Bằng cách làm việc với VLAN, bạn có thể tạo nhiều mạng con trong cùng một mạng, miễn là bạn sử dụng một công tắc được quản lý có thể xử lý các VLAN đó. Ở những nơi khác trong Máy tính này! Chúng tôi đã thử nghiệm một số kiểu máy nổi tiếng dành cho bạn!
Các dải IP riêng đã biết và mặt nạ mạng con
Tìm kiếm bộ định tuyến của bạn? Rất có thể bạn sẽ tìm thấy nó ở một địa chỉ như 192.168.1.1, với các thiết bị mạng của bạn ở địa chỉ từ 192.168.1.2 đến 192.168.1.254. Trong trường hợp này, mặt nạ mạng con là 255.255.255.0. Mặt nạ mạng con như vậy cho biết phần nào của địa chỉ IP mà mạng trỏ đến. Trong trường hợp này, chính xác là ba số đầu tiên, giống nhau cho mọi địa chỉ IP trong mạng con đó. Điều đó 'nói chuyện' dễ dàng hơn, nhưng không bắt buộc: bạn có thể thử nghiệm với nó (được hỗ trợ bởi các công cụ tính toán trên internet). Bạn cũng sẽ thường bắt gặp ký hiệu CIDR (Định tuyến liên miền không phân lớp) viết tắt. Sau đó, bạn có thể viết mạng con cụ thể này là 192.168.1.0/24. Một dải IP nổi tiếng khác mà chúng tôi cũng sẽ sử dụng trong hội thảo này là 10.0.0.0/24.
02 Đây là cách VLAN hoạt động
Các VLAN được ngăn cách bởi một 'thẻ' hoặc 'ID VLAN' duy nhất, giá trị từ 1 đến 4094. Hãy coi nó như một nhãn được đặt trên lưu lượng truy cập. Thực tế là sử dụng một ID VLAN như vậy trong địa chỉ mạng, ví dụ 10.0.10.0 / 24 cho VLAN 10 và 10.0.20.0 / 24 cho VLAN 20. Một bộ chuyển mạch xác định cổng nào sẽ gửi lưu lượng truy cập dựa trên VLAN ID. Khi thiết lập nó, bạn đặc biệt cần biết thiết bị được kết nối làm gì với VLAN. Nếu nó không làm gì với nó, chẳng hạn như PC hoặc máy in, bạn định cấu hình cổng như một cái gọi là cổng truy cập. Tuy nhiên, nếu thiết bị xử lý lưu lượng truy cập cho các VLAN đã chọn, chẳng hạn như một số bộ định tuyến, máy chủ và điểm truy cập doanh nghiệp, thì hãy định cấu hình nó làm cổng trung kế. Chúng tôi cũng gọi các thiết bị như vậy là 'nhận biết VLAN'.
03 Thiết lập VLAN trên công tắc
Bạn lần lượt thêm các VLAN trên công tắc (mỗi ID VLAN) và chọn mỗi cổng giữa các chỉ định Được gắn thẻ, Không được gắn thẻ hoặc Không phải thành viên. Nếu một cổng không liên quan gì đến một VLAN cụ thể, hãy chọn Không phải thành viên. Đối với một cổng vào bạn chọn Không được gắn thẻ để lưu lượng truy cập rời khỏi nút chuyển đổi bị loại bỏ khỏi các thẻ. Chọn một cổng trung kế Được gắn thẻ, để thiết bị nhận được ID VLAN (và thực hiện điều gì đó với nó). Bạn cũng thường phải đặt cái gọi là PVID (định danh cổng VLAN) cho mỗi cổng truy cập để lưu lượng đến (không chứa ID VLAN và do đó được gọi là không được gắn thẻ / không được gắn thẻ) đến đúng VLAN. Bởi vì một cổng truy cập chỉ là 'thành viên' của một VLAN, nó cũng có thể được suy ra từ cấu hình của bạn. Do đó, một số công tắc làm việc đó một cách độc lập, nhưng hãy luôn kiểm tra! Nếu chú ý, bạn sẽ thấy rằng bạn cũng có thể đặt PVID cho cổng trung kế khi cấu hình switch. Điều này là do, mặc dù tốt hơn là nên tránh điều này trong thực tế, bạn cũng có thể cung cấp tối đa một VLAN không được gắn thẻ thông qua một đường trục như vậy ngoài lưu lượng được gắn thẻ.
04 VLAN mặc định?
Lưu ý rằng khi bạn lấy chúng ra khỏi hộp, các thiết bị chuyển mạch thường có VLAN mặc định hoặc VLAN gốc với VLAN ID 1 là PVID theo mặc định. Điều đó xuất phát một chút từ thế giới Cisco. Do đó, lưu lượng đến không được gắn thẻ sẽ được ánh xạ tới VLAN 1 theo mặc định. Tất cả các cổng được tiếp tục đặt làm cổng truy cập (Không được gắn thẻ) cho VLAN đó. Ngay sau khi bạn tham gia một cổng tới một VLAN khác, Được gắn thẻ hoặc Không được gắn thẻ đối với một ID VLAN cụ thể, bạn có thể xóa VLAN ID 1 một lần nữa. Nếu một cổng không còn là thành viên của một VLAN khác, cổng đó thường tự động được gán lại cho VLAN 1. Hành vi như vậy sẽ khác một chút trên mỗi bộ chuyển mạch, vì vậy bạn nên kiểm tra việc gán này.
05 Sử dụng lại các công tắc hiện có
Bạn đang thiếu cổng mạng? Bạn có thể dễ dàng mở rộng mạng của mình với các thiết bị chuyển mạch cũ (không được quản lý). Mặc dù họ không thể xử lý các VLAN, nhưng họ không cần phải làm như vậy. Bạn kết nối chúng với một cổng, như đã giải thích ở trên, cung cấp lưu lượng không được gắn thẻ và định tuyến lại lưu lượng đến vào đúng VLAN thông qua cài đặt PVID. Thực tế là dán một nhãn dán hoặc nhãn lên một công tắc như vậy, để bạn biết mình đang sử dụng mạng con nào. Trong mọi trường hợp, sẽ rất hữu ích nếu bạn làm việc với VLAN để gắn nhãn tất cả các cổng trên thiết bị chuyển mạch và có lẽ cả cáp. Hoặc, ví dụ, bạn sử dụng một màu cáp riêng biệt cho mỗi VLAN.
06 Ví dụ thực tế: Internet và mạng khách
Bạn có bộ định tuyến với cổng mạng riêng để truy cập với tư cách khách không? Và bạn có muốn cả mạng thông thường và mạng khách trong một phòng ngủ chẳng hạn? Sau đó, đặt một công tắc được quản lý trong tủ đồng hồ và phòng ngủ. Chọn một ID VLAN cho mạng thông thường (ví dụ 6) và mạng khách (ví dụ 8). Ví dụ, trong tủ đồng hồ, kết nối cổng 1 với mạng thông thường và 2 với mạng khách. Bạn đặt một cổng (ví dụ cổng 8) làm cái gọi là cổng trung kế, bằng cách gắn thẻ nó cho cả hai ID VLAN. Lưu lượng cho cả hai VLAN sau đó sẽ chuyển đến công tắc trong phòng ngủ qua cổng này.
Khi định cấu hình công tắc, trước tiên hãy nhập VLAN ID 6 với cổng 1 đang bật Không được gắn thẻ và cổng 8 trên Được gắn thẻ. Sau đó nhập VLAN ID 8 thứ hai với cổng 2 bây giờ Không được gắn thẻ và cổng 8 trên Được gắn thẻ. Bạn thường vẫn cần đặt PVID cho cổng 1 (6) và 2 (8). Trong phòng ngủ, bạn có thể phân chia lưu lượng truy cập lại với một cấu hình tương tự. Tất nhiên, bạn vẫn có thể gán các cổng còn lại trên switch cho mạng thông thường hoặc mạng khách, tùy theo sở thích.
Truyền hình và internet thông qua các loại cáp riêng biệt?
Trong mạng riêng của các nhà cung cấp internet, họ thường sử dụng VLAN để tách riêng internet, truyền hình và VoIP. Điều này không chỉ an toàn hơn mà chất lượng cũng có thể được đảm bảo tốt hơn bởi các mạng riêng biệt này. Bộ định tuyến có thể phân chia nội bộ lưu lượng như vậy qua một số cổng. Đối với truyền hình, đôi khi đây là một mạng con khác và nhà cung cấp giả định rằng bạn kéo các dây cáp riêng biệt. Tuy nhiên, nếu bạn chỉ có một dây mạng vào tivi, bạn có thể sử dụng VLAN rất tiện lợi. Đặt một công tắc được quản lý trong cả tủ đồng hồ và TV và sử dụng VLAN để giữ lưu lượng riêng biệt, về cơ bản như trong ví dụ thực tế của chúng tôi về mạng thông thường với mạng khách.
