اگه بخوایم در خصوص Vlan صحبت کنیم اول باید به کمی قبل تر از بوجود آمدن این مفهوم مراجعه کنیم تا دلایل و چرایی بوجود اومدن اون رو درک کنیم.
به طور کلی پیام ها توی شبکه به 3 شکل ارسال میشن که بین اونا وقتی صحبت از broadcast میشه باید بدونیم که این نوع پیام ها به همه دستگاه های شبکه ارسال میشن. پس وقتی که ما شبکه رو به واسطه یک سوییچ برقرار و دستگاه هامون رو به اون وصل کردیم پیام های broadcast وقتی به سوییچ میرسن به تمام پورت های اون ارسال خواهند شد(پس سوییچ بصورت پیشفرض یک broadcast-domain هست). این خودش کلی مشکل (امنیتی و ترافیکی و پردازشی) ایجاد میکنه. بزارید با یه مثال منظورم رو بیشتر بفهونم:
مثلا فرض کنید من یک ساختمان چند طبقه دارم و داخل همه طبقات یک سوییچ قرار داره که دستگاه ها به اون وصل و شبکه برقرار شده و سوییچ طبقات هم به هم وصل هستن و ارتباط دارند. می تونید تصور کنید اگر در چنین ساختاری یک پیام broadcast ارسال بشه چه اتفاقی می افته؟
بله دقیقا! پیام به تمام طبقات و دستگاه های موجود داخل تمام ساختمان ارسال خواهد شد. این ارسال مشکلات زیادی رو بوجود میاره: فرض کنید یک هکر یا فرد غیر مجاز در یکی از طبقات دستگاه خودش رو به سوییچ وصل و خودش رو به جای دستگاه دیگه معرفی کنه، این کار باعث میشه اطلاعات به درستی به مقصد مورد نظرمون ارسال نشه و در اختیار افراد غیر مجاز قرار بگیره. همچنین ارسال این همه پیام بخش های مختلف به همدیگه باعث میشه ترافیک و load و سربار شبکه بالا بره.
خب چاره رفع این مشکل چی بود؟؟؟ یکی از پیشنهاد ها جداکردن تمامی ساختار بصورت فیزیکی بود که البته راه خوبیه اما بسیار پرهزینه. پس برای رفع بهتر این مشکل مفهوم مهمی به نام Vlan یا virtual local area network بوجود اومد تا با تشکیل شبکه های محلی مجازی و تقسیم broadcast-domain ها این مشکل رو حل کنه و ما بتونیم علاوه بر رفع مشکلات امنیتی، عملکرد سوییچ رو هم بهبود بدیم و کنترل بهتری روی ترافیک شبکه داشته باشیم.
ابزارها و پیش نیاز ها
- آشنایی ابتدایی با دستورات سیسکو
- نرم افزار packet tracer
آموزش راه اندازی VLAN
حالا که با دلایل و مفاهیم ابتدایی Vlan آشنا شدیم میریم سراغ راه اندازی اون در سوییچ های سیسکو اما قبل از اون بایستی در مورد مفهوم دیگه ای به اسم vlan-id صحبت کنیم.
هر Vlan که ساخته میشه دارای یک Vlan-id که یه عددی بین 0 تا 4095 هست که خود این بازه عددی به چند بخش تقسیم میشه و میتونیم از اون ها برای ساخت vlan استفاده کنیم.
- خود 0 و 4095 در واقع Vlan های رزرو هستند و نمی تونیم از اون ها استفاده کنیم.
- vlan شماره 1 پیشفرض سوییچ های سیسکو هستش و وجود داره و بصورت پیشفرض تمامی پورت های سوییچ عضو اون هستن.
- از 2 تا 1001 قابل استفاده برای ما بوده و normal vlan ها هستن.
- از 1002 تا 1005 برای استاندارد های غیر از شبکه های ethrnet مثل token-ring و ... استفاده میشن.
- از 1006 تا 4094 در واقع extended vlan ها بوده که اگه بخاهیم استفاده کنیم باید با دستورات روی سوییچ اون هارو فعال کنیم.
برای راه اندازی و تنظیم Vlan در سوییچ های سیسکو دو مرحله داریم:
1- تعریف VLAN در سوییچ سیسکو
برای این کار ابتدا نرم افزار cisco packet tracer رو باز کرده و یک سوییچ 2960 قرار میدیم و 2 دستگاه کامپیوتر به اون وصل می کنیم و روی سوییچ کلیک می کنیم و توی بخش CLI دستورات زیر رو می زنیم:
|
> enable # configure terminal (config)# vlan <vlan-id> |
پیشنهاد میشه بعد از ساخت vlan به آن name هم اختصاص بدیم تا بدونیم هر vlan متعلق به چه بخشی هست که این کار با دستور زیر در محیط vlan انجام میشه:
| (config-vlan)#name IT |
2- اختصاص پورت یا Port Assignment در سوییچ سیسکو
بعد از اینکه vlan رو ساختیم و بهش نام اختصاص دادیم باید پورت های موردنظر و دلخواهمون رو عضو اون vlan کنیم تا بتونیم broadcast-domain ها رو جدا کنیم و شبکه محلی مجازیمون رو تشکیل بدیم.
اینجا چون با اینترفیس ها و پورت هامون کار داریم پس باید روی اون ها دستوراتی اعمال کنیم پس باید وارد محیط هر پورت بشیم و بعد دستورات زیر رو بزنیم:
|
پورت دلخواه(config)# Interface [fastethenet / gigabitethernet] 0/1 -- (config-if)# switchport mode access (config-if)# switchport access vlan 10 |
با دستور شماره 1 وارد محیط اینترفیس شده و سپس با دستور شماره 2 به سوییچ میگیم که این پورت به یک دستگاه نقطه پایانی (کامپیوتر، لپتاپ، پرینتر یا ...) وصل هست و بعدش با دستور شماره 3 اون اینترفیس یا پورت رو عضو vlan دلخواه می کنیم.
تمام شد حالا شبکه این دو تا کامپیوتر از هم جدا شد و انگار توی دو تا شبکه مجزا قرار دارن.
حالا اگه میخای تنظیمات vlan هارو در سوییچت ببینی توی محیط enable می تونیم با دستور زیر اون هارو ببینیم:
| Switch# show vlan brief |
همونطوری که توی تصویر می بینید vlan 10 با نام IT ساخته شده و اینترفیس 1 عضو اون vlan شده و بقیه پورت ها هم بصورت پیشفرض عضو vlan 1 هستند و شبکه اون ها با اون پورت شماره 1 از هم جدا شده.
به همین ترتیب می تونیم یک vlan دیگه به اسم 20 بسازیم و اینترفیس یا پورتی که به کامپیوتر 2 وصل هست رو عضو اون کنیم.
میبینیم که با این کار هیچ ارتباطی بین اون ها برقرار نیست و broadcast-domain ها از هم جدا شده اند.
اشتباهات رایج و نکات کاربردی
1- بعد از ساختن هر vlan حتما برای اون اسم بزارید چون با زیاد شدن تعداد VLAN ها امکان اشتباه وجود داره.
2- گذاشتن توضیحات (description) یکی دیگه از آپشن هاییه که میتونید استفاده کنید و البته در محیط اینترفیس یا پورت امکان پذیر هستش و بگید هر پورت به چه vlanای اختصاص داده شده.
3- برای اینکه بتونید چند پورت رو همزمان عضو یک vlan کنید کافیه با دستور زیر اون پورت ها رو انتخاب و عضو vlan کنید:
| پورت های دلخواه(config)# Interface range [fastethenet / gigabitethernet] 0/1-10 -- |
محتوای خوب و کاربردی بود ، ممنون از به اشتراک گذاری محتوا
خواهش میکنم امیدوارم کاربردی باشه و مورد استفاده قرار بگیره