A hálózat szegmentálása, a protokoll használata
A vállalat növekedése elkerülhetetlen folyamat, előbb-utóbb mindenkinek. Az ügyfelek számának növelése, az új részlegek megnyitása, egyesülések és felvásárlások - mindez növeli a számítógépek, nyomtatók és egyéb eszközök számát a hálózaton.
A hálózat szegmentálásához VLAN technológiát használunk, a 802.1Q protokollt alkalmazzuk, amely port-alapú VLAN néven ismert. A 802.1Q lehetővé teszi a VLAN felosztását a kapcsoló portokon. Vannak olyan VLAN implementációk is, amelyeket nem fogunk fedezni. Ne feledje, hogy a 802.1Q nem támogatott az összes hardveren. De általában az intelligens kapcsolók képesek erre.
Technológiailag a 802.1Q protokoll 4 bájtot helyez be az Ethernet keretbe, amelynek 12 bites a VLAN azonosítója (VID). Ennek megfelelően a VLAN-k maximális száma ebben a technológiában 4096 lehet.
Amire szükség van a szegmentálás előtt:
Először is meg kell vizsgálni a hálózati megosztottság elvét. Rendszerint az ellenőrzési síkot és az adatsíkot először kiosztják. A vezérlési sík menedzsment forgalom szétosztása (hypervisor menedzsment konzol szerverek kezelése hálózati eszközök), adatsík - üzleti adatok (RDP, 1C, SMB). A vezérlő síkhoz csak a rendszergazdák számítógépei számára kell hozzáférni, ezért ezeket a gépeket külön szegmenshez kell hozzárendelni. És így tovább, a hozzáférési szintektől függően (a mérnökök nem igényelnek hozzáférést a gépi kézikönyvekhez stb.). Hagyja el a 20% -os különbséget a szegmentációs struktúra lehetséges bővítéséhez vagy módosításához.
Ezt a struktúrát kaptam:
Ebben a tekintetben néhány tipp a személyes tapasztalat:
Gyakorlati rész
Mi fog működni a Mikrotik berendezések (RB951G-2HnD. Bár minden eszköz fel van szerelve egy szoftver, így az összes fenti igaz más modellek), és a D-Link, nagyon mindenütt a KKV szektorban.
Tehát van egy Mirotik router, a D-Link DES-3200 kapcsoló és 3 munkahely, amelyeknek különböző szegmenseknek kell lenniük.
Az útválasztón három VLAN virtuális interfészt kell létrehozni. Név: vlan15 vlan17, VID 15-17:
interfész vlan add name = vlan15 vlan-id = 15 interface = híd-helyi
interfész vlan add name = vlan16 vlan-id = 16 interfész = híd-helyi
interfész vlan add name = vlan17 vlan-id = 17 interfész = bridge-local
Ezután be kell állítania a DHCP szervert minden egyes felületen, de ez nem tartozik e cikk hatálya alá.
A kapcsoló konfigurálása.
Hagyja, hogy a router csatlakozik a switch port 26, így ez a port kell jönnie összes VLAN trunk (ide sorolva a terminológia D-Link'a). Az útválasztótól mindhárom VLAN'a adta. Készítse el a kívánt VLAN-ot, és hozzon létre egy portot a kívánt számítógép tartozékkal (hosszútípus nélkül).
Előtte, akkor mindig ubart ezzel port natív VLAN (1) helyezve a port helyére nem tag szerkesztése közben VLAN 1. Kapcsolja Egyes modellek egyszerűen nem adja meg a port címkézetlen, amíg címkézetlen adni bármely más VLAN.
Ezzel befejeződik az egyik szegmens konfigurációja, a többi pedig ugyanúgy van beállítva. Három hálózatot kapunk egy kapcsolón belül (valójában 4, mert van egy natív VLAN is). Egy-egy hálózati forgalom nem korlátozódik (csak a végpont beállítások), és a hálózatok között a forgalom megy át a router, amely akkor felállított szabályokat, hogy kiszűrje az adatforgalom rangsorolását, a különböző hálózati beállításokat egyes szegmenseinek a DHCP-szerver, és így tovább.
