O número de dispositivos em sua rede está crescendo rapidamente. Muitas vezes você não tem ideia do que esses dispositivos fazem. É uma ideia segura colocá-los em uma rede ou sub-rede separada, com a ajuda de uma rede virtual ou VLAN. Você pode então impor restrições, mas também definir prioridades de tráfego. Mostramos como isso funciona, o que você precisa e também como você pode abordar o gerenciamento adicional da rede.
Essa rede crescente com dispositivos IoT é bom, mas também deve permanecer gerenciável. Normalmente, os dispositivos usam sua rede doméstica normal, o que não dá uma sensação muito segura porque muitos dispositivos ioT não têm a segurança em ordem. Auxiliado por redes virtuais (também conhecidas como LANs virtuais ou VLANs), é perfeitamente separável. Uma rede virtual é, na verdade, uma rede separada - ou sub-rede - que simplesmente usa os cabos e switches existentes. Útil, por exemplo, para isolar todos esses dispositivos IoT, de modo que eles não possam entrar na sua rede principal ou fazer contato com um servidor obscuro na China, apenas para citar alguns.
01 O que são sub-redes?
Uma sub-rede é, na verdade, uma série de endereços IP que pertencem um ao outro. Na sua rede local, são endereços IP privados que não existem na Internet (consulte a caixa 'Intervalos de IP privados conhecidos e máscaras de sub-rede'). A primeira parte de cada endereço IP refere-se à rede associada, a segunda parte a um dispositivo ou host específico. Uma máscara de sub-rede indica qual parte descreve a rede. Se o seu roteador tiver uma porta de rede separada com uma rede de convidado isolada, então essa também é uma sub-rede separada com um intervalo de IP diferente. Ao trabalhar com VLANs, você pode criar várias sub-redes na mesma rede, desde que use um switch gerenciado que possa lidar com essas VLANs. Em outro lugar neste computador! Testamos vários modelos conhecidos para você!
Intervalos de IP privados conhecidos e máscaras de sub-rede
Procurando seu roteador? Provavelmente, você o encontrará em um endereço como 192.168.1.1, com seus dispositivos de rede em endereços entre 192.168.1.2 e 192.168.1.254. Nesse caso, a máscara de sub-rede é 255.255.255.0. Essa máscara de sub-rede indica para qual parte de um endereço IP a rede aponta. Nesse caso, exatamente os três primeiros números, que são os mesmos para todos os endereços IP nessa sub-rede. Isso 'fala' mais fácil, mas não é obrigatório: você pode experimentar (auxiliado por ferramentas de cálculo na internet). Você também encontrará frequentemente a notação CIDR (Classless Inter-Domain Routing) abreviada. Você pode então escrever esta sub-rede específica como 192.168.1.0/24. Outro intervalo de IP bem conhecido, que também usaremos neste workshop, é 10.0.0.0/24.
02 É assim que as VLANs funcionam
As VLANs são mantidas separadas por uma única 'tag' ou 'VLAN ID', um valor de 1 a 4094. Pense nisso como um rótulo colocado no tráfego. É prático usar esse ID de VLAN no endereço de rede, por exemplo 10.0.10.0 / 24 para VLAN 10 e 10.0.20.0 / 24 para VLAN 20. Um switch determina para quais portas enviar tráfego com base no ID de VLAN. Ao configurá-lo, você precisa saber especialmente o que o dispositivo conectado faz com as VLANs. Se não fizer nada com ele, como um PC ou impressora, você configura a porta como uma chamada porta de acesso. No entanto, se o dispositivo lida com o tráfego para VLANs selecionadas, como determinados roteadores, servidores e pontos de acesso de negócios, configure-o como uma porta de tronco. Também chamamos esses dispositivos de 'reconhecimento de VLAN'.
03 Configure VLANs no switch
Você adiciona VLANs no switch, uma após a outra (por VLAN ID) e escolhe por porta entre as designações Etiquetado, Sem etiqueta ou Não Sócio. Se uma porta não tem nada a ver com uma VLAN específica, escolha Não Sócio. Para um portão de entrada você escolhe Sem etiqueta de modo que o tráfego que sai do switch seja removido de tags. Escolha uma porta de tronco Etiquetado, para que o dispositivo obtenha o ID da VLAN (e faça algo com ele). Normalmente, você também precisa definir um PVID (identificador de VLAN de porta) para cada porta de acesso, de modo que o tráfego de entrada (que não contém um ID de VLAN e, portanto, é chamado de não marcado / não marcado) chegue na VLAN correta. Como uma porta de acesso é apenas um 'membro' de uma VLAN, ela também pode ser deduzida de sua configuração. Portanto, alguns interruptores fazem isso de forma independente, mas sempre verifique! Se você prestar atenção, verá que também pode definir um PVID para uma porta de tronco ao configurar o switch. Isso ocorre porque, embora seja melhor evitar isso na prática, você também pode oferecer no máximo uma VLAN não marcada por meio de um tronco, além do tráfego marcado.
04 VLAN padrão?
Observe que, quando você os tira da caixa, os switches geralmente têm uma VLAN padrão ou nativa com VLAN ID 1 como PVID por padrão. Isso vem um pouco do mundo Cisco. Como resultado, o tráfego de entrada não marcado será mapeado para a VLAN 1 por padrão. Todas as portas são ainda definidas como portas de acesso (Sem etiqueta) para essa VLAN. Assim que você conectar uma porta a outra VLAN, Etiquetado ou Sem etiqueta para um determinado VLAN ID, você pode remover o VLAN ID 1 novamente. Se uma porta não for mais membro de outra VLAN, ela geralmente é reatribuída automaticamente à VLAN 1. Esse comportamento difere um pouco por switch, portanto, é aconselhável verificar essa atribuição.
05 Reutilizando interruptores existentes
Você tem poucas portas de rede? Você pode expandir sua rede facilmente com switches antigos (não gerenciados). Embora eles não possam lidar com VLANs, eles não precisam. Você os conecta a um gateway que, conforme explicado acima, entrega o tráfego sem etiqueta e redireciona o tráfego de entrada para a VLAN correta por meio da configuração de PVID. É prático colar um adesivo ou etiqueta em tal switch, para que você saiba para qual sub-rede o está usando. Em qualquer caso, é útil se você trabalhar com VLANs para rotular todas as portas em switches e talvez também cabos. Ou, por exemplo, você usa uma cor de cabo separada por VLAN.
06 Exemplo prático: Internet e rede de hóspedes
Você tem um roteador com uma porta de rede separada para acesso de convidado? E você quer uma rede regular e de convidado em um quarto, por exemplo? Em seguida, coloque um interruptor gerenciado no armário do medidor e no quarto. Escolha um ID de VLAN para a rede regular (por exemplo 6) e a rede de convidado (por exemplo 8). No armário de medidores, por exemplo, conecte a porta 1 à rede regular e 2 à rede de hóspedes. Você define uma porta (por exemplo, porta 8) como a chamada porta de tronco, marcando-a para ambos os IDs de VLAN. O tráfego para ambas as VLANs vai para o switch no quarto por meio dessa porta.
Ao configurar o switch, primeiro insira a VLAN ID 6 com a porta 1 ativada Sem etiqueta e porta 8 em Etiquetado. Em seguida, insira o segundo VLAN ID 8 com agora a porta 2 Sem etiqueta e porta 8 em Etiquetado. Normalmente, você ainda precisa definir o PVID para a porta 1 (6) e 2 (8) No quarto, você pode dividir o tráfego novamente com uma configuração semelhante. É claro que você ainda pode atribuir as portas restantes no switch à rede regular ou à rede de convidado, de acordo com a preferência.
Televisão e internet por meio de cabos separados?
Na própria rede dos provedores de internet, eles costumam usar VLANs para separar internet, televisão e VoIP, por exemplo. Isso não é apenas mais seguro, a qualidade também pode ser melhor garantida por essas redes separadas. O roteador pode dividir internamente esse tráfego em várias portas. Para televisão, às vezes é uma sub-rede diferente e o provedor assume que você puxa cabos separados. No entanto, se você tiver apenas um cabo de rede para a televisão, poderá usar VLANs de maneira conveniente. Coloque um switch gerenciado no armário do medidor e na televisão e use VLANs para manter o tráfego separado, basicamente como em nosso exemplo prático de rede regular com uma rede de convidado.
