Wirtualne sieci lokalne (ang. VLAN – Virtual Local Area Network), stosowane są m. in. aby:
– poprawić bezpieczeństwo poprzez wydzielenie stref w postaci odrębnych, niewidocznych wzajemnie sieci lokalnych.
– optymalnie zagospodarować (zaoszczędzić) fizyczne, wolne gniazda interfejsów na wybranych urządzeniach sieciowych.
Sprzętową podstawą działania sieci VLAN jest trunking, gdzie „trunk” jest rozumiany jako jeden fizyczny kanał komunikacyjny, który może mieć przypisane do siebie (zawierać w sobie) dwa lub więcej kanałów logicznych (wirtualnych).
Załóżmy, że zamierzamy użyć urządzenia Hillstone jako bramy dwóch różnych sieci lokalnych (tu: „192.168.20.1” oraz „192.168.30.1”), mając do dyspozycji tylko jeden nieużywany, fizyczny interfejs Ethernet.
W tym celu łączymy i konfigurujemy sieć komputerową, jak na poniższym schemacie:
Aby wykorzystać możliwości urządzenia Hillstone do założenia, skonfigurowania i enkapsulacji własnych wirtualnych sieci lokalnych, wykonujemy następujące czynności:34
1. Dostęp do sieci rozległej
Aby urządzenie (i w dalszej kolejności także cała sieć) mogło mieć dostęp do Internetu, należy ten dostęp wstępnie skonfigurować na jednym z wolnych interfejsów (tu: „ethernet0/3”). Opis konfiguracji tutaj: Podłączenie urządzenia Hillstone do Internetu (zabezpieczenia.it).
2. Wyznaczenie strefy dla VLAN
Wybieramy zakładkę Network -> Zone (1), następnie New i w oknie Zone Configuration ustawiamy pola:
– Zone – nazwa strefy (tu: “VLAN) (2)
– Type – typ strefy (tu: “Layer 3 Zone”) (3)
– Virtual Router – router wirtualny (tu: “trust-vr”; domyślny) (4)
– Binding Interface – wybrane interfejsy powiązane (chwilowo puste; zostaną wskazane w pkt.3 (5)
Nowo założoną strefę VLAN zatwierdzamy przyciskiem OK.
3. Użycie interfejsu fizycznego i zdefiniowanie pod-interfejsów logicznych
Wybieramy zakładkę Network -> Interface (1), a następnie New -> Sub-interface i w oknie Ethernet Sub-Interface ustawiamy pola:
– Interface Name – nazwa interfejsu oraz pod-interfejsu (tu: “ethernet0/8.20) (2). Końcówka „.20” dla interfejsu pomocniczego jest identyfikatorem nowo zakładanej VLAN. Jej zbieżność z trzecim oktetem adresu IP jest niewymagana, ale w praktyce przydatna do zachowania logicznego porządku w sieci.
– Binding Zone – typ powiązanej strefy (tu: „Layer 3 Zone”) (3)
– Zone – nazwa strefy tu: „VLAN” (4)
W sekcji IP Configuration:
– Type – typ adresowania (tu: „Static IP”) (5)
– IP Address – główny (bramowy) adres naszej sieci VLAN (tu: „192.168.20.1”) (6)
– Netmask – maska sieciowa (tu: „255.255.255.0”; 24-bitowa) (7)
– Management – wybrane protokoły sieciowe do ewentualnego zarządzania urządzeniem poprzez interfejs (8)
Nowo zdefiniowany pod-interfejs zatwierdzamy przyciskiem OK, a następnie JEDNORAZOWO POWTARZAMY pkt.3 – analogicznie – tym razem definiując interfejs “ethernet0/8.30” nadając mu adres IP „192.168.30.1”.
Po zdefiniowaniu drugiego interfejsu przechodzimy do zakładki Network -> Zone, zaznaczamy naszą strefę (VLAN) i klikamy Edit.Jeśli w polu Binding Interface widnieją nasze pod-interfejsy (tu: „ethernet0/8.20” oraz „ethernet0.8/30”), przechodzimy do następnego kroku.
4. Switch zarządzany
Przystępujemy do zarządzania przełącznikiem (switchem). Po zalogowaniu się do posiadanego urządzenia:
– interfejs sieciowy (dekapsulujący) połączony z urządzeniem Hillstone ustawiamy w tryb Trunk.
– interfejsy połączone z komputerami/stacjami roboczymi ustawiamy w tryb Access i nadajemy im identyfikatory (tu: „20” i „30”)
– rozmieszczenie zakładek i opcji w graficznym interfejsie użytkownika (GUI) lub składnia poleceń w trybie konsolowym (CLI) switcha; zależne jest od producenta.
W niniejszym przykładzie posłużymy się urządzeniem Cisco SF300-24.
4.1. Dopisanie identyfikatorów VLAN-ów w switchu
Wybieramy zakładkę VLAN Management -> Create VLAN (1), naciskamy Add (2) a następnie w oknie Add VLAN:
– w polu VLAN ID (3) wpisujemy numer identyfikacyjny (tu: „20” i „30”)
– w polu VLAN Name (4) wpisujemy opcjonalnie nazwę (tu: „dwadzieścia” i „trzydzieści”)
– każdą sieć wirtualną zatwierdzamy naciskając Apply (5), a by dodać ją do tabeli „VLAN Table” (6)
4.2. Ustawienie wyjściowych gniazd switcha w tryb „Access” (*)
Wybieramy zakładkę VLAN Management -> Interface Settings (1), wskazujemy interfejs mający pracować w trybie „Access” (tu: „FE21”; potem „FE22”), naciskamy Edit (2), a następnie w oknie Edit Interface Setting:
– dla Interface VLAN Mode wskazujemy opcję „Access” (3)
– każdą zmianę trybu dla interfejsu, zatwierdzamy naciskając Apply (4).
(*) – jeśli nie są już ustawione; analogicznie dla trybu „Trunk”
4.3. Przypisanie identyfikatorów VLAN-ów do interfejsów
Wybieramy zakładkę VLAN Management -> Port VLAN Membership (1), wskazujemy interfejs pracujący w trybie „Trunk” (tu: „FE10”), naciskamy Join VLAN (2), a następnie w oknie Join VLAN:
– dla Select VLAN (3) dobieramy identyfikatory „20” oraz „30” (przyciskami [<] oraz [>]; oznaczane jako „20T” oraz „30T”)
– każde przypisanie zatwierdzamy naciskając Apply (4)
Analogicznie postępujemy z interfejsami pracującymi w trybie „Access” (tu: „FE21” oraz „FE22”), dobierając im identyfikatory pojedynczo; oznaczane – adekwatnie do trybu – jako „20UP” oraz „30UP” (5)
4.4. Zapisanie ustawień na stałe
W celu permanentnego zapisania ustawień wybieramy zakładkę Administration -> Copy/Save Configuration (1) lub naciskamy Save (2).
Zatwierdzamy zapis przyciskiem Apply (3).
5 . Podłączenie stacji roboczych do osobnych VLAN-ów
Ustawiamy interfejs (kartę sieciową) w komputerze PC widocznym na schemacie. Poniżej przykładowa konfiguracja dla polskojęzycznej wersji środowiska Windows:
– Adres IP – dowolny adres z wyznaczonej klasy adresowej, a więc z przedziału [192.168.20.2 – 192.168.20.254] (tu: „192.168.20.73”) (1)
– Maska podsieci – adekwatna to klasy adresów (tu: „255.255.255.0”, 24-bitowa) (2)
– Brama domyślna – wyznaczony w pkt.3 adres VLAN (tu: „192.168.20.1”) (3)
Adresację lokalnego interfejsu sieciowego zatwierdzamy przyciskiem OK, a następnie JEDNORAZOWO POWTARZAMY pkt.5 w drugim komputerze PC – analogicznie – dla adresów 192.168.30.X.
W efekcie, komputery znajdują się w dwóch, wzajemnie niewidocznych, sieciach VLAN.