VLAN dan menjembatani konsep-konsep

Dasar

Sebelum terlalu jauh ke rincian, penting untuk mengetahui apa VLAN dan bagaimana mereka bekerja.

Sebuah VLAN (Virtual LAN) adalah, dalam istilah dasar, sekelompok interface fisik pada sebuah switch yang bertingkah seakan-akan mereka adalah switch standalone terpisah. Hal ini memungkinkan kita untuk menggunakan satu tombol fisik, tapi partisi menjadi beberapa LAN, masing-masing benar-benar terisolasi dari yang lain. Saklar harus mendukung konfigurasi VLAN - paling murah switch tidak mengizinkan ini, tetapi dikelola high end switch lakukan, seperti halnya saklar internal di OpenWRT.

VLAN digunakan ketika Anda harus memisahkan kelompok lalu lintas antara perangkat, tetapi anda hanya ingin menggunakan satu fisik switch. Sebagai contoh, Anda mungkin ingin satu VLAN luar firewall anda, untuk umum web / mail server, dan lain VLAN untuk mesin internal seperti desktop dan kotak-kotak dengan data pribadi. Mereka tidak dapat ditempatkan pada LAN yang sama untuk alasan keamanan, jadi Anda menggunakan VLAN untuk mengisolasi kelompok pelabuhan.

Katakanlah kita memiliki 10 port switch, dan kita mengkonfigurasi port 1-5 sebagai VLAN1 dan 6-10 sebagai VLAN2. Semua perangkat yang terhubung ke port 1 sampai 5 bertingkah seakan-akan mereka beralih pada mereka sendiri, dan perangkat di pelabuhan-pelabuhan 6-10 bertindak seolah-olah mereka berada dalam switch lain. Aturan utama adalah bahwa komunikasi antara port pada VLAN yang terpisah tersebut akan diblokir - bahkan jika Anda mengkonfigurasi perangkat dengan subnet yang sama, mereka tidak akan terjangkau ke perangkat dalam VLAN lainnya.

Dan tentu saja, hal itu juga memungkinkan untuk mengkonfigurasi secara berbeda - jika Anda kemudian memutuskan anda perlu menambahkan perangkat lain di VLAN1 dan Anda hanya digunakan 4 port di VLAN2, Anda dapat mengkonfigurasi ulang _any_ dari pelabuhan VLAN2 ke VLAN1 (bukan hanya port 6 ). Jadi, maka Anda mungkin berakhir dengan VLAN1 sebagai pelabuhan 1-5 dan 8, dan VLAN2 sebagai pelabuhan 6,7,9,10.

Jumlah VLAN yang Anda dapat mengkonfigurasi pada setiap perangkat OpenWRT hanya dibatasi oleh jumlah port.

Subyek VLAN bisa menjadi sangat rumit dan luas, namun ringkasan ini meliputi apa yang diperlukan untuk menggunakan OpenWRT VLAN di peron.

VLAN Trunking

Jika Anda memiliki sebuah saklar dengan beberapa VLAN, anda mungkin ingin melampirkan perangkat (seperti tombol lain) yang perlu untuk berbicara dengan lebih dari satu VLAN. Ini bisa jadi firewall, yang akan membawa paket-paket dari satu VLAN, filter mereka, kemudian meneruskannya VLAN lain. Sebagai alternatif, Anda mungkin memiliki kedua tombol yang memiliki dua VLAN yang sama pada mereka, dan Anda ingin beralih ke dua paket pertukaran antara satu sama lain untuk kedua VLAN, sementara mempertahankan pemisahan.

Daripada buang terpisah pelabuhan dengan menggunakan port per VLAN, kami menggunakan proses yang dikenal sebagai trunking. Salah satu port pada switch harus dikonfigurasi sebagai trunk port, dan pelabuhan ini akan memiliki konektivitas kepada semua VLAN yang it's set untuk menjadi pelabuhan bagasi. Jika Anda memiliki sebuah saklar dengan 3 VLAN, Anda dapat mengkonfigurasi satu (atau lebih) trunk port (s) untuk memiliki konektivitas untuk semua VLAN, atau hanya subset dari VLAN.

Bagaimana mempertahankan saklar isolasi dengan pelabuhan ini? Hal ini dilakukan dengan "penandaan". Setiap paket yang dikirim atau diterima dari bagasi pelabuhan memiliki sedikit tag yang melekat padanya, yang menunjukkan apa VLAN itu untuk atau dari. Jadi perangkat menerima paket melihat pada tag untuk melihat apa VLAN bahwa paket dari. Ketika perangkat mengirim lalu lintas ke switch, itu akan menambahkan tag sendiri, dan saklar akan melihat tag dan mengirim paket ke VLAN yang ditunjukkan.

Dalam contoh firewall terpasang, sebuah paket yang datang dari LAN internal akan dikirim ke luar pelabuhan untuk bagasi firewall, ditandai dengan nomor VLAN internal. Firewall akan memproses paket tersebut, lalu mengirimkannya kembali ke switch dengan tag untuk VLAN eksternal, dan saklar akan melihat tag ini dan mengirimkannya ke perangkat luar.

Anda dapat melihat bahwa sebuah perangkat seperti firewall akan melihat masing-masing VLAN terpisah seolah-olah itu antarmuka jaringan yang berbeda. VLAN internal seperti NIC di bagian dalam jaringan, dan antarmuka eksternal berperilaku sama seperti NIC di luar. Karena ini, sebagian besar host dan firewall yang mendukung tag VLAN setup sedemikian rupa sehingga masing-masing VLAN tag adalah seolah-olah itu adalah antarmuka jaringan terpisah lain, meskipun itu kabel fisik yang sama.

Bridging

Dalam jaringan, sebuah jembatan adalah link antara dua antarmuka ethernet sedemikian rupa untuk menghubungkan mereka bersama-sama ke LAN yang sama. Jika Anda memiliki sebuah kotak dengan dua ethernet interface bridge, kemudian hubungkan setiap antarmuka untuk memisahkan switch, switch kedua terhubung secara efektif bersama-sama seolah-olah mereka terhubung dengan kabel. Anda juga dapat menghubungkan bersama dengan kabel antarmuka ethernet dengan antarmuka nirkabel - dua kemudian dikaitkan bersama-sama, seperti wireless AP atau jembatan.

Salah satu fitur yang berguna menjembatani adalah bahwa kotak Linux yang melakukan bridging dapat mendengarkan dan lalu lintas mengirimkan sendiri. Hal ini dilakukan dengan membuat antarmuka yang lain. Jika anda link eth0 dan eth1, mereka akan terikat untuk sebuah antarmuka eth0 (atau br1, dll). Anda kemudian dapat menetapkan sebuah alamat IP untuk eth0 dan akan berperilaku seperti jaringan normal melekat pada jaringan bridge ini. Anda tidak dapat mengkonfigurasi alamat IP di jembatan anggota (eth0 atau eth1), maka perlu dilakukan di jembatan antarmuka.

Pengetahuan ini jembatan penting di bawah ini.

Antarmuka di bawah OpenWRT

Arsitektur

Sebuah kotak OpenWRT sebenarnya tiga dalam satu perangkat. Ini terdiri dari switch VLAN dikonfigurasi, pelabuhan nirkabel, dan host Linux. Saklar dan host dihubungkan oleh satu internal "kawat", di mana paket tagged VLAN dipertukarkan. Semua port ethernet fisik pada kotak hanya pada satu pelabuhan saklar internal. VLAN kemudian digunakan untuk memisahkan pelabuhan dalam kelompok-kelompok. Diagram di bawah menunjukkan arsitektur.