مقدمه
شبکههای مدرن برای مدیریت ترافیک و افزایش امنیت، نیاز به شبکههای محلی مجازی (VLAN) دارند. VLAN به ما اجازه میدهد تا یک شبکه فیزیکی را به چند شبکه منطقی تقسیم کنیم. هر VLAN مانند یک شبکه جداگانه عمل میکند و ترافیک آن با VLANهای دیگر تفکیک میشود.
VLAN چیست؟
VLAN مخفف Virtual Local Area Network یعنی شبکه محلی مجازی است.
بهصورت خلاصه:
VLAN روشی است برای تقسیم یک شبکه فیزیکی (مثل یک سوئیچ) به چند شبکه مجازی مجزا.
هر VLAN رفتار خودش را دارد، انگار که روی سوئیچ جداگانهای قرار دارد.
این کار باعث امنیت بیشتر، مدیریت راحتتر و کاهش ترافیک شبکه میشود.
مثال ساده:
خب بیایید فرض کنید در یک شرکت ، همه کامپیوترها به یک سوییچ وصل هستند :
حسابداری 10 نفر
فروش 15 نفر
آیتی 5 نفر
در واقع بدون VLAN همه در یک شبکه میتوانند همه دیگر را پینگ کنند و Brodcast DOMAIN برای هم دیگه بفرستند .
اما وقتی از VLAN میایم استفاده میکنیم :
هر بخش در شبکه خودش رو داره
مثلا حسابداری نمیتونه به سیستمهای فروش دسترسی مستقیم داشته باشد.
نحوه کار VLAN:
هر پورت روی سوئیچ میتواند به یک VLAN خاص اختصاص داده شود.
بهطور ساده:
-
پورتهای 1 تا 10 → VLAN 10
-
پورتهای 11 تا 20 → VLAN 20
وقتی یک فریم اترنت از پورت وارد سوئیچ میشود، سوئیچ Tag (برچسب) VLAN را به آن اضافه میکند تا بدونه مربوط به کدام VLAN است.
این برچسب در استاندارد IEEE 802.1Q تعریف شده است.
انواع پورت در VLAN:
-
Access Port
برای اتصال دستگاه نهایی (مثل کامپیوتر) — فقط عضو یک VLAN است.
مثال: پورت 1 در VLAN 10. -
Trunk Port
برای اتصال بین سوئیچها یا بین سوئیچ و روتر — میتواند چند VLAN را عبور دهد.
ترافیک VLANها با tag ارسال میشود تا سوئیچ بعدی بداند هر فریم متعلق به کدام VLAN است
مزایای استفاده از VLAN:
امنیت بالاتر (تفکیک بخشها)
کاهش Broadcast (پخش گستردهی بستهها)
مدیریت سادهتر شبکه
امکان ایجاد شبکههای مجازی بدون نیاز به سختافزار جدید
خب بریم سراغ سناریو :
فرض کنید شرکت شما داری سه واحد آیتی ، حسابداری ، فروش هست :
حسابداری vlan 10
فروش vlan 20
IT Vlan 30
وارد محیط cli مربوط به سوییچ میشیم و دستورات زیر میزنیم :
pc1,pc4حسبادری
pc2,pc5 فروش
pc3,pc6 مربوط به واحد آیتی
Switch2(config)# vlan 10,20,30
switch2(config)$ int vlan 10
Switch2(config-vlan)# name Accounting
switch2(config)$ int vlan 20
Switch2(config-vlan)# name Sale
switch2(config)$ int vlan 30
Switch2(config-vlan)# name IT
Switch2(config)# interface fa 0/11
Switch2(config-if)# switchport mode access
Switch2(config-if)# switchport access vlan 10
Switch2(config)# interface fa 0/18
Switch2(config-if)# switchport mode access
Switch2(config-if)# switchport access vlan 20
Switch2(config)# interface fa 0/6
Switch2(config-if)# switchport mode access
Switch2(config-if)# switchport access vlan 10
دستورات مربوط به switch 3
Switch3(config)# vlan 10,20,30
switch2(config)$ int vlan 10
Switch3(config-vlan)# name Accounting
switch3(config)$ int vlan 20
Switch3config-vlan)# name Sale
switch23config)$ int vlan 30
Switch3(config-vlan)# name IT
Switch3(config)# interface fa 0/11
Switch3(config-if)# switchport mode access
Switch3(config-if)# switchport access vlan 10
Switch3(config)# interface fa 0/18
Switch3(config-if)# switchport mode access
Switch3(config-if)# switchport access vlan 20
Switch3(config)# interface fa 0/6
Switch3(config-if)# switchport mode access
Switch3(config-if)# switchport access vlan 10
-
توصیهها و چکلیست قبل از راهاندازی
-
اطمینان از تنظیمات native VLAN
-
جلوگیری از loop با استفاده از STP
-
مستندسازی VLANها و پورتها
-
بررسی امنیت (مثلاً جلوگیری از VLAN hopping)
-
مانیتورینگ و بررسی Broadcast
-
-
عیبیابی رایج و راهحلها
-
دستگاهها در VLAN درست نیستند ← بررسی پورت Access
-
trunk عمل نمیکند ← بررسی allowed VLANs و encapsulation
-
Broadcast زیاد در یک VLAN ← جداسازی بخشها یا بررسی STP
-
دستگاهها نمیتوانند با بخش دیگر ارتباط بگیرند ← اگر نیاز است از روتر/لایه 3 بین VLANها استفاده شود
-
-
نتیجه گیری
-
خلاصه مزایا
-
اشاره به اینکه VLAN فقط بخشی از طراحی شبکه است، نه کلِ راهحل
-
گزینه برای گسترش به VLAN آیپی، VXLAN برای دیتاسنترها
-
-
منابع و مطالعه بیشتر
-
لینک به استاندارد IEEE 802.1Q
-
مقالههای مرتبط با شبکههای مجازی، VXLAN
-
کتابها یا دورههای آموزشی
-
نظرات کاربران (0)