چگونه در Cisco Packet Tracer یک VLAN بسازیم؟
قبل از اینکه بخوایم به این سوال جواب بدیم باید بدونیم مفهوم vlan چیه؟ چه مزیتی داره که ما میایم ساختارش رو توی سازمان یا شبکه محلیمون پیاده میکنیم؟بیاین فرض کنیم که یه اداره ای داریم که در اون به صورت همزمان 3 واحد «مالی»،«فنی» و «منابع انسانی» در حال فعالیت هستن.
طبیعتا هر بخش پرونده و اطلاعات خودش رو داره و نمیخواد که واحدای دیگه به اسناد و مدارکش دسترسی داشته باشن، اینجاست که میایم برای هر واحد یه بایگانی جدا میسازیم و کلید هر بخش رو فقط به اعضای اون واحد میدیم.
در دنیای شبکه VLAN نقش بایگانی رو بازی میکنه. یعنی در واقع میاد یه دیوار نامرئی بین واحدها میکشه که موجب میشه هر واحد فقط به دیتای خودش دسترسی داشته باشه.
اصطلاح تخصصی اینکار در واقع این هست که ما میایم محدوده broadcast domain رو جدا سازی میکنیم تا یک محیط ایزوله داشتیم و بدونیم که فقط اعضای همون واحد به اطلاعات آن دسترسی دارند.
خلاصه بخوام بگم با VLAN ترافیک به گونه ای تفکیک میشه که انگار یه شبکه مجزا با کابل و سوییچ های جدا ساختیم که یک LAN جداگونه تشکیل بدیم.

 

توپولوژی شبکه بدون استفاده از VLAN

توپولوژی شبکه با استفاده از VLAN
همونطور که تو عکسای بالا دیدین به جای اینکه از 3 سوییچ استفاده کنیم با استفاده از مکانیزم VLAN، از یک سوییچ استفاده کردیم و این یعنی جلوگیری از هدر رفت منابع که در سازمان های واقعی از اهمیت زیادی برخورداره.
اگر vlan ایجاد نکنیم،زمانی که یک فریم ارسال میشود حجم ترافیک زیاد میشود(خصوصا زمانی که کلاینت های زیادی در شبکه موجود باشند) فرض کنید به ازای 20 کاربر، 20 فریم ارسال شود و همه آن ها را درگیر کند، این یعنی بالا رفتن ترافیک در شبکه. زمانی که vlan ایجاد میکنیم، فریم های هر vlan صرفا در آن vlan تبادل میشوند و بقیه شبکه را درگیر نمیکنند.

VLAN ID چیست؟

ما برای اینکه شخصی رو صدا بزنیم،نیاز داریم که اسمش رو بدونیم Vlan ID نقش اسم برای هر vlan داره.
به طور کلی بازه vlan های قابل تعریف، از صفر تا 4095 هست که علاوه بر صفر و 4095 که از قبل رزرو شدن و نمیتونیم اونا رو ببینیم، یه تعدادی از اون ها هم هستن که قابل استفاده نیستن.

    • بازه استاندارد از 1 تا 1005 هست که بازه 1002 تا 1005 برای Token ring و FDDI رزرو شدن که قادر به حذف
      کردن اون ها نیستیم.
    • Vlan 1 به Native vlan معروفه، و همه Interface ها به صورت پیش فرض در این vlan قرار دارن.
    •بازه extended شامل 1006 تا 4094 میشه که اگه بخوایم ازش استفاده کنیم باید با دستورات فعال کنیم.

تا الان که یه کلیت از vlan فهمیدیم بهتره که با استفاده از یه شبیه ساز وارد قضیه بشیم ببینیم که چجوری میشه با مفهوم vlan این سناریویی که اول راجع بهش صحبت کردیم پیاده کنیم.
من قصد دارم با استفاده از یک سوییچ 2960 به 3 تا کامپیتور وصل بشم و هر کامپیوتر نماینده واحدهای فنی،مالی و انسانی هست. در نهایت هدف این هست که واحد ها نتونن هم دیگه رو ببینن یا به معنای فنی نتونن همدیگه رو ping کنن.
با استفاده از Cisco Packet Tracer میخوایم این سناریو رو پیاده کنیم:


برای راه اندازی VLAN به این ترتیب پیش میریم:


1.ساخت VLAN:


همونطور که توی عکس نوشتیم، وقتی وارد محیط Config شدیم، با نوشتن vlan <vlan-id> یک vlan میسازیم، میشه مثل عکس برای هر vlan اسم بزاریم اما اختیاری هست ولی پیشنهاد میشه اینکارو انجام بدیم تا وقتی که یه زمانی اومدیم سراغش و یادمون نبود برای چه منظوری این vlan ساخته شده، اسمش مشخص کنه که کارش چیه.
به همین ترتیب بقیه vlanهارو میسازیم.
برای اینکه ببینیم آیا واقعا vlanهایی که میخواستیم ساخته شده یا نه دستور show vlan brief رو اجرا میکنیم:

همونطور که انتظار میرفت vlan های ما ساخته شد و وضعیتشون active هست.
یادتون میاد گفته بودم که همه Port های یک سوییچ به صورت پیش فرض در vlan 1 هستن؟ الان دیگه به جوابتون رسیدین.

 

2.تخصیص Port:


حالا رسیدیم به اونجایی که باید پورت ها رو توی vlan مد نظر بیاریم که Broadcast Domain جدا بشه و هر واحد توی یه محیط ایزوله به اسم vlan قرار بگیره. پس حالا مشخص میکنیم هر PC تو کدوم vlan باشه:

ابتدا باید وارد اینترفیس بشیم و قبل از اینکه مستقیما switchposrt access vlan <vlan-id> بزنیم باید mode اون اینترفیس رو تعیین کنیم، از اونجایی که این اینترفیس به یک دستگاه (end-device) متصل است، mode آن را access میکنیم و سپس آن پورت را به vlan مدنظر اختصاص میدهیم.
به همین ترتیب بقیه پورت ها را عضو vlan  مربوط میکنیم و بعد از زدن show vlan brief پورت های 0/2 و 0/3 باید از native vlan خارج بشن و توی vlan خودشون قرار بگیرن.

تبریک میگم!
موفق شدیم هر پورت رو به vlan تعیین شده اختصاص بدیم. حالا من میام به صورت استاتیک به هر pc یک IP اختصاص میدم و تست میکنم که آیا Ping هم دیگه رو میتونن دریافت کنن یا نه؟ روی هر pc میزنیم و از صفحه ای که باز میشه به این ترتیب پیش میریم تا IP تنظیم کنیم:

Desktop ---> ip configuration


به همین ترتیب برای بقیه PC2 و PC3 به ترتیب IP، 192.168.10.2 و 192.168.10.3 را تنظیم میکنیم.
حالا مجدد روی PC0 زده و به ترتیب:  

Desktop ---> command prompt


اول Ping خود PC0 رو میگیریم که ببینیم درست کار میکنه یا نه؟

به درستی تونستیم Ping انجام بدیم ولی الان وقتش رسیده که ببینیم واقعا vlan داره درست عمل میکنه یا نه
میخوام از PC0، IP 192.168.10.2  رو ping کنم، اگه ping اتفاق نیوفته یعنی اینکه من به درستی تونستم vlan رو پیاده سازی کنم.
پینگ دستگاه PC0
همونطور که انتظار داشتیم پینگ انجام نشد و به این معنی هست که ما موفق شدیم vlan رو به درستی پیاده سازی کنیم که واحد مالی به ترافیک واحد فنی دسترسی نداشته باشه.
با اینکار broadcast domain به طور کامل جدا شد و هیچگونه ارتباطی بین آن ها برقرار نیست.
در مقاله های بعد روش Router on-a-stick گفته میشه که میتونه بین vlan ها ارتباط برقرار کنه.

جمع بندی و تجربه شخصی

توی این آموزش یاد گرفتیم چند vlan مختلف ایجاد و پورت ها رو بهشون اختصاص بدیم، نتیجش این شد که هر بخش شبکه ترافیک مخصوص به خودش رو داره.
اولین باری که این تمرین رو انجام میدادم متوجه شدم که با مفهوم vlan به راحتی میشه «جداسازی منطقی» انجام داد بدون اینکه نیاز باشه دستگاه اضافه تری استفاده کنیم تا ترافیک جداسازی بشه.