نوشته شده توسط : مهشید افخمی

VLAN چیست

VLAN چیست؟

VLAN مخفف Virtual Local Area Network در واقع یک LAN مجازی است که شامل مجموعه ای از پورت های یک سوئیچ شبکه یا تعدادی سوئیچ می باشد که از لحاظه منطقی در یک Broadcast Domain مستقل قرار دارند. بنابراین هدف از ایجاد VLANها، جدا کردن محدوده Broadcast Domain ها می باشد. در واقع اگر بخواهیم Broadcast گروهی از PC ها را به گروهی دیگر در LAN و در سوئیچ و یا سوئیچ های لایه 2 محدود کنیم، باید از VLAN ها استفاده نماییم.

البته VLAN بندی محدود به شبکه‌های محلی و سوییچ‌ها نیست و این امکان وجود دارد که شبکه‌های بزرگ‌تر مجازی را نیز با هدف مدیریت دقیق ترافیک به گروه‌های منطقی مختلفی تقسیم کرد. این مکانیزم گروه‌بندی که VXLAN به معنای شبکه محلی گسترش‌پذیر مجازی نام دارد منعطف‌تر از VLAN است، زیرا با محدودیت ۴۰۹۶ زیرشبکه روبرو نیست و سرپرست شبکه می‌تواند به هر تعدادی که نیاز دارد شبکه منطقی مجازی پیاده‌سازی کند.

انواع VLAN: 

ـ end to end vlan: در این حالت اعضای هر VLAN در سرتاسر شبکه پراکنده هستند. این حالت برای اشتراک منابع و اعمال سیاست ها و پراکندگی میزبان مورد استفاده قرار می گیرد. در این حالت خطایابی پیچیده تر می باشد چون ترافیک VLANهای مختلف در سراسر شبکه در حال انتقال است.

ـ local vlan: در این حالت میزبان ها براساس موقعیت فیزیکی خود در VLANها قرار می گیرند.به طور مثال یک طبقه از یک ساختمان این طراحی مقیاس پذیرتر و خطایابی در ان ساده تر می باشد چون نحوی جریان ترافیک مشخص است. برای اشتراک منابع در این روش نیاز routing داریم.

 

روش های عضویت در VLAN: 

عضویت در VLAN به طریق ایستا (Static) و پویا (Dynamic) صورت می گیرد:

 

  • Static VLAN: به عنوان VLAN مبتنی بر پورت یا port-based معرفی می شود. وظایف استاتیک VLAN با اختصاص پورت به VLAN ایجاد می شود. با ورود یک دستگاه به شبکه، آن دستگاه بطور خودکار عضو VLAN پورت فرض می شود. اگر کاربر پورت ها را تغییر دهد و نیاز داشته باشد به همان VLAN دسترسی پیدا کند، سرپرست شبکه باید برای اتصال جدید تعریف پورت به VLAN را انجام دهد.

  • Dynamic VLAN: با استفاده از نرم افزار یا بصورت پروتکل ایجاد می شوند. با یک VLAN Management Policy Server (VMPS)، یک مدیر می تواند پورت های سوئیچ را به VLAN بر اساس اطلاعاتی نظیر MAC Address دستگاه متصل شده به پورت یا نام کاربری مورد استفاده جهت لاگین شده به آن دستگاه تعیین کند. با ورود دستگاه به شبکه، سوئیچ از یک پایگاه داده برای عضویت VLAN به پورتی که دستگاه به آن متصل شده است، بررسی های لازم را انجام می دهد. متدهای پروتکل شامل Multiple VLAN Registration Protocol (MVRP) و تا حدودی روش منسوخ شده GARP VLAN Registration Protocol (GVRP) می باشد.

 

Broadcast Domain چیست؟

یک شبکه کاملاً لایه 2 به یک شبکه Flat یا Flat Network Topology معروف است. در این شبکه از یک رنج آدرس استفاده می شود. پس این شبکه فاقد Subnet های مختلف بوده و به طبع آن بین قسمت های مختلف Routing صورت نمی گیرد. پیام Braodcast یک دستگاه به همه نودهای در شبکه می رسد. این مدل برای شبکه های بزرگ و متوسط پیشنهاد نمی شود. در شبکه های متوسط و بزرگ که بیشتر از 100 کامپیوتر دارند، توصیه می شود تا توسط ایجاد VLAN شبکه را به شبکه های کوچکتری تبدیل کنیم که به هر یک از این ناحیه ها اصطلاحاً یک Broadcast Domain می گویند.

VLAN تفکیک کننده Broadcast Domain در شبکه و متشکل از گروهی از دستگاه ها است که در لایه 2 به یکدیگر متصل اند و می توانند در لایه دو MAC و فریم های همدیگر را ببینند. هر VLAN کاملا مجزا و توسط روتر یا یک سوئیچ لایه 3، در نقاطی نظیر VLAN Core ها به یکدیگر Route می شوند تا بتوانند با یکدیگر ارتباط برقرار کنند، اما در عین حال Broadcast های آنها به یکدیگر نمی رسد.

به وسیله ایجاد VLAN، می توان شبکه ای کاملاً مستقل ایجاد کرد که Broadcast Domain خود را داشته باشد و فریم ها تنها داخل خود VLAN رد و بدل شوند. ترافیک به گونه ای تفکیک خواهد شد که گویی شبکه ای مجزا با کابل و سوئیچ مستقل، یک LAN جداگانه ای را تشکیل داده است.

کافیست در سوئیچ، پورت ها را به شماره VLAN مورد نظر ربط دهیم. مثلا شبکه 300 کامپیوتری خود را به سه VLAN هر یک حاوی 100 دستگاه با آدرس شبکه مجزای 25/ تقسیم می کنیم.

Subnet mask:255.255.255.128=/25 (128 IP Addresses)

 

مزایای VLAN بندی شبکه:

 

به‌طور معمول سازمان‌ها و شرکت‌های بزرگ به دلایل زیر از شبکه‌های محلی مجازی یا VLAN استفاده می‌کنند:

  • شبکه VLAN می‌تواند تعداد دامنه‌های پخشی را زیاد کند.
  • شبکه VLAN ریسک‌ امنیتی را با کاهش تعداد میزبان‌هایی که یک کپی از فریم‌هایی سوییچ دریافت می‌کنند را کاهش می‌دهد که در عمل شانس پیاده‌سازی موفقیت‌آمیز حمله‌های DDoS بر علیه شبکه سازمانی را کم می‌کند.
  • امکان ایزوله‌سازی میزبان‌هایی که اطلاعات حساسی را نگه‌داری می‌کنند فراهم می‌شود. به‌طوری که می‌توان این میزبان‌ها را روی شبکه VLAN خاصی قرار داد.
  • گروه‌بندی کاربران وابسته به موقعیت مکانی نیست و می‌توان بر مبنای نقش و واحدی که مشغول به کار در آن هستند گروه‌بندی را انجام داد. به‌طور مثال، کارمندان حسابداری را در یک گروه منطقی و کارمندان کارگزینی را در گروه دیگری قرار داد.

 

معایب VLAN بندی شبکه: 

  • اگر VLAN بندی به درستی صورت نگیرید یک بسته می تواند از یک VLAN به دیگری نشت کند.
  • بسته اطلاعاتی ممکن است منجر به حمله سایبری شود.
  • داده ها ممکن است یک ویروس را از طریق یک شبکه منطقی کامل منتقل کند.
  • برای کنترل حجم کار در شبکه های بزرگ به یک روتر اضافی نیاز دارید.
  • در زمینه همکاری با مدیران شبکه و عوض کردن متخصصین شبکه در زمان‌های مختلف با مشکلاتی زیادی روبرو خواهید شد.
  • یک VLAN نمی تواند ترافیک شبکه را به سایر VLANها ارسال کند.

 

مقایسه VLAN و Subnet:

Subnet یا زیر شبکه به فرآیند تقسیم یک شبکه بزرگ به چند شبکه کوچک گفته می شود که هدف از این کار کاهش ترافیک شبکه، بهبود عملکرد، بهینه‌سازی و مدیریت ساده‌تر شبکه است. بزرگ‌ترین مشکلی که روش subnet دارد این است که فرآیند مسیریابی را پیچیده‌تر می‌کند. اصلی‌ترین دلیل که باعث می‌شود سازمان‌ها از رویکرد زیرشبکه‌سازی استفاده کنند به‌کارگیری بهینه آدرس‌های IP است که خود مقوله مفصل و پیچیده‌ای است. حال بریم سراغ تفاوتی که VLAN با Subnet دارد:

  • VLAN قابلیت تفکیک Subnet را فراهم می‌کند، به‌طوری که امکان تخصیص دستگاه‌های محدود به Subnet وجود دارد.
  • یک Subnet را می‌توان به یک VLAN اختصاص داد. البته این امکان وجود دارد که بیش از یک Subnet را به یک VLAN تخصیص داد، اما رویکرد فوق پیچیدگی طراحی را بیش از اندازه زیاد می‌کند.
  • هنگامی که قصد استفاده از فناوری‌هایی نظیر MPLS را داریم، به‌کارگیری Subnet های بیشتر بهتر از VLAN است، زیرا MPLS برای بهبود عملکرد و افزایش سرعت میان‌برهایی میان آدرس‌های آی‌پی Subnet ها ایجاد می‌کند.
  • VLANها هنگامی که می خواهیم در محدوده گسترده‌ای ارتباط میان چند ساختمان را با یکدیگر برقرار کنیم (به‌طور مثال در محیط‌های دانشگاهی) عملکرد بسیار خوبی دارد.

 VLAN ID چیست؟

 

هر VLAN یک شماره یا اصطلاحاً VLAN ID دارد و به وسیله آن شماره صدا زده می شود. حتی می توان به آن نامی اختصاص داد. در کل می توان به تعداد 2 به توان 12 یعنی 4096 عدد VLAN بر روی یک سوئیچ تعریف نمود که به صورت ویژه از4096 عدد از 4096 تا از VLAN ها استفاده می شود و دو VLAN یعنی 0 و 4096 که برای سیستم فقط استفاده می شوند و رزور شده اند شما نمی توانید این VLAN ها را ببینید یا از آنها استفاده کنید.

VLAN ها به سه دسته تقسیم می شوند:

  • VLAN های رنج نرمال یا استاندارد با VLAN ID بین 1 تا 1005 که از VLAN 1 به Native VLAN یا VLAN Default اختصاص داده شده است و VLAN های 1002 تا 1005 نیز برای FDDI و Token ring از پیش رزرو شده اند. توجه داشته باشید که می توانید از VLAN 1 استفاده کنید ولی قادر به حذف آن نیستید، به علاوه شما نمی توانید VLAN های 1002 تا 1005 را نیز حذف کنید.
  • VLAN های Extended با VLAN ID بین 1006 تا 4096
  • VLAN های بدون VLAN ID

 

فرآیند ارسال اطلاعات در VLAN :

هنگامی که یک شبکه محلی مجازی را پیاده سازی می‌کنید، تمامی فریم‌های منتشر شده توسط کلاینت‌های عضو یک VLAN تنها بین پورت‌های همان شبکه محلی مجازی توزیع می‌شود، بنابراین پهنای باندی که تجهیزات عضو یک گروه منطقی دریافت می‌کنند محدود به ظرفیتی است که گروه دریافت می‌کند. این کار یک مزیت مهم دارد که مانع از آن می‌شود تا کلاینتی بیش از اندازه از پهنای باند شبکه استفاده کند و علاوه بر این شناسایی تجهیزات شبکه ای که پهنای باند شبکه را زیاد مصرف‌ می‌کنند ساده خواهد بود.

عملکرد شبکه محلی مجازی شباهت زیادی به شبکه محلی فیزیکی دارد، اما به میزبان‌ها اجازه می‌دهد در حوزه پخشی یکسانی با یکدیگر گروه‌بندی شوند، حتا اگر به سوییچ‌های یکسانی متصل نشده باشند. در شکل زیر توپولوژی شبکه‌ای را مشاهده می‌کنید که میزبان‌ها درون شبکه محلی واحدی قرار دارند. در تصویر زیر هنگامی که پیامی از نوع فراگیر (Broadcast) از میزبان A ارسال می‌شود، تمامی دستگاه‌ها آن‌را دریافت می‌کنند. اگر به مسیر فلش‌ها دقت کنید مشاهده می‌کند که پیام‌ها توسط دستگاه‌های دیگر نیز دریافت می‌شود.

 

حذف VLAN در سوئیچ سیسکو:

یکی از مشکلاتی که برخی سرپرستان شبکه هنگام کار با سوییچ های سیسکو و به ویژه VLAN روبرو هستند، نحوه حذف تنظیمات ذخیره شده در startup configuration و نحوه حذف تنظیمات VLAN در سوئیچ سیسکو است که دو مقوله جدا از هم هستند.

توجه کنید با حذف startup configuration، تمامی پورت‌های سوئیچ که عضو VLANهای دیگری هستند از شبکه‌های محلی مجازی حذف می‌شوند و به VLAN پیش‌فرض خود سوئیچ انتقال پیدا می‌کنند، اما خود VLANهای ساخته حذف نمی‌شوند و باید به شکل دستی آن‌ها را حذف کنید.

اطلاعات VLAN در یک فایل به‌نام vlan.dat ذخیره می‌شوند که محل آن در حافظه Flash سوئیچ است. اگر دستور show flash را در وضعیت privilege اجرا کنید، این فایل را مشاهده می‌ کنید. البته دقت کنید این اطلاعات تنها زمانی نشان داده می‌ شوند که روی سوئیچ یک VLAN ساخته باشید، در غیر این صورت اطلاعات عادی سوییچ نشان داده می‌شوند.

به‌طور مثال، فرض کنید یک سوئیچ دست دوم خریداری کرده‌اید و قبل از استفاده از این سوئیچ در شبکه خود، قصد دارید همه تنظیمات سوییچ که شامل vlanهای ساخته شده در سوییچ می‌شوند را حذف کنید. انجام این‌کار فرایند ساده‌ای است و تنها کاری که باید انجام دهید حذف تنظیمات ذخیره شده در startup-configuration و راه اندازی سوئیچ است.

دستور حذف vlan در سیسکو دستور زیر است که باید در وضعیت privilege آن را اجرا کنید:

Switch#erase startup-config

با اجرای این دستور، پیغامی مبنی بر حذف پیکربندی‌ها نشان داده می‌شود که باید کلید اینتر را فشار دهید. لازم به توضیح است که برای این‌منظور ios سوییچ نیز حذف می‌‌شود.

?Erasing the nvram filesystem will remove all configuration files! Continue

[confirm]

[OK]

Erase of nvram: complete

همان‌گونه که مشاهده می‌کنید تمامی تنظیمات از nvram حذف شدند، با این‌حال در runing-config این تنظیمات در حافظه فعال وجود دارند. تنها کاری که باید انجام دهید راه‌اندازی سوییچ است تا همه چیز پاک شود. برای این‌کار دستور reload را اجرا کنید تا سوئیچ ریستارت شود.

Switch#reload

اکنون زمان آن رسیده تا شبکه‌های محلی ساخته شده را حذف کنیم، اگر دستور زیر را اجرا کنید، مشاهده می‌کنید که شبکه‌های محلی مجازی روی سوییچ وجود دارند.

Switch#show vlan brief

هنگامی که مراحل بالا را اجرا کنید، مشاهده می‌کنید که پورتی مرتبط با شبکه‌های محلی مجازی نیست، اما شبکه‌های محلی مجازی حذف نشده‌اند. با اجرای دستور show vlan brief، تعداد شبکه‌های محلی مجازی پیکربندی شده روی سوییچ را مشاهده می‌کنید. همان‌گونه که اشاره کردیم، این شبکه‌های محلی مجازی در فایلی به‌نام vlan.dat که در فلش است ذخیره می‌شود. اکنون کافی است دستور show flash را اجرا کنید.

:Switch#show flash

/:Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

rw-         616            vlan.dat-

۶۴۰۱۶۳۸۴ bytes total (59600847 bytes free)

شما می‌توانید این فایل از حافظه flash سوئیچ حذف و سوئیچ را reload کنید تا vlan ها حذف شوند. برای این منظور از دستور زیر استفاده کنید.

Switch#delete vlan.dat

با اجرای دستور فوق، دو پیغام تایید حذف زیر را تایید کنید تا فایل vlan.dat حذف شود.

?Delete filename [vlan.dat]

Delete flash:/vlan.dat? [confirm]

اگر یکبار دیگر دستور Show flash را اجرا کنید، مشاهده می‌کنید که دیگر فایل vlan.dat وجود ندارد.

Switch#sh flash

:/Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

۶۴۰۱۶۳۸۴ bytes total (59601463 bytes free)

در نهایت دستور reload را اجرا کنید تا سوئیچ راه‌اندازی شود. بعد از بارگذاری کامل میان‌افزار اگر یکبار دیگر دستور show vlan brief را اجرا کنید، مشاهده خواهید کرد که تمامی vlan ها حذف شده‌اند.

 

حذف یک پورت از VLAN در سوئیچ:

فرض کنید قصد داریم پورت ۱۱ از VLAN 4 که روی سوییچ (Device-A) نشان داده شده در شکل زیر قرار دارد را حذف کنیم.

این کار در چهار مرحله به شرح زیر انجام می‌شود:

1ـ با وارد کردن دستورات زیر به حالت پیکربندی سراسری در سوییچ دسترسی پیدا کنید.

device-A> enable

…No password has been assigned yet

device-A# configure terminal

device-A(config)#

2ـ با وارد کردن دستور زیر به سطح cli برای پیکربندی vlan 4 مبتنی بر پورت مذکور دسترسی پیدا کنید.

device-A(config)# vlan 4

3ـ دستور زیر را برای حذف پورت ۱۱ از vlan 4 وارد می کنیم.

device-A(config-vlan-4)# no untagged ethernet 11

deleted port ethernet 11 from port-vlan 4

4ـ دستورات زیر را برای خروج از حالت پیکربندی vlan و ذخیره پیکربندی در فایل پیکربندی سیستم اجرا می‌کنیم.

device-A(config-vlan-4)# end

 

device-A# write memory

VLANs IEEE 802.1Q چیست؟

پروتکل 802.1Q از quality of service (QoS) و Virtual LAN (VLAN) در هنگام حرکت ترافیک در شبکه اترنت پشتیبانی می کند. پروتکل 802.1Q یکی از پروتکل های برچسب گذاری(تگ گذاری) VLAN است که توسط سوئیچ های سیسکو پشتیبانی می شود. این استاندارد توسط موسسه مهندسان برق و الکترونیک (IEEE) ایجاد شده است، بنابراین یک استاندارد عمومی است و می تواند در سوئیچ های غیر سیسکو نیز استفاده شود.

 VLAN ها برای تقسیم broadcast domain در لایه 2(Data Link) استفاده می شوند. یک شبکه محلی  مجازی است که برای انتقال داده ها به جای شبکه فیزیکی خود از LAN دیگری استفاده می کند. پروتکل 802.1Q به اندازه فریم اترنت اجازه می دهد تا چهار بایت به محدوده 68 تا 1522 بایت اضافه کند. این افزایش اندازه، به دلیل درج یک برچسب VLAN چهار بایتی در فریم است. برچسب ها، که شامل شناسه VLAN (VID) است، توسط آدرس MAC به هر فریم اترنت متصل می شوند. این VID 12 بیتی به هر VLAN اختصاص داده شده است و 4094 شناسه برای استفاده در دسترس است.

از trunk برای رد و بدل کردن ترافیک VLAN بین سوئیچ ها استفاده می شود. سوئیچ ها را می توان از طریق پورت trunk به یکدیگر متصل کرد. هنگامی که از ترانک استفاده می شود، دستگاه متصل فریم های اترنت دارای برچسب را دریافت می کند. استاندارد 802.1Q از پیکربندی منحصر به فرد VLAN های جداگانه پشتیبانی می کند.

 VLAN Trunking چیست ؟

حال که، متوجه شدید VLAN چیست، به موضوع دیگری می پردازیم. زمانی که بسته ای بخواهد، از یک vlan به vlan دیگری ارسال شود، یک برچسب با عنوان tag، روی آن می خورد که، هویت بسته مشخص شود. این برچسب مشخص می کند که، بسته از کدام vlan ارسال شده است. پورت های سیسکو، باید عضو ترانک یا اکسس باشند، غیر از این دو مورد وجود ندارد. برای پورت هایی که، در یک vlan هستند، باید از پورت اکسس استفاده کرد. ولی برای اینکه ترافیک تمام vlan ها عبور داده شود، باید از پورت trunk استفاده کرد.

روی هر سوئیچ یک  vlan به صورت پیش فرض، و از قبل آماده شده وجود دارد که، شماره این vlan برابر با یک می باشد. این پورت، با نام native vlan شناخته شده است. اگر شما پورتها را، به صورت مجزا عضو vlan دیگری نکنید. همه ی آنها جزو native هستند. و ویژگی این پورت native این می باشد که، بسته ها بدون tag ارسال می شوند، و نیازی به ساخت header نمی باشد. به آنها پورتهای untagged هم گفته می شود

یکی از پروتکل های vlan، بنام vtp می باشد. شما زمانی که، می خواهید بین دو سوئیچ مختلف، ارتباط برقرار کنید، باید از این پروتکل استفاده کنید. این پروتکل سه حالت مختلف دارد: client،server، transparent با توجه به این ویژگی، می توان یک یا چند سوئیچ را، در حالت server قرار داد. و تنظیمات مشخص را، روی سوئیچ مورد نظر انجام داد. 

سپس با فعال کردن پروتکل vtp، تمامی این تنظیمات بر سوئیچ های client، نیز اعمال خواهد شد. تمام این تغییراتی که، بر روی سوئیچ سرور انجام می شود، revision number  آن تغییر می کند، و این عدد برای تمام این سوئیچ های کلاینت نیز، ارسال می شود. با هر تغییر در سوئیچ سرور، یک عدد به revision number اضافه می شود. سوئیچی که، حالت transparent دارد، فقط این تغییرات را میگیرد، و به سوئیچ بعدی ارسال می کند.

منبع : VLAN چيست





:: بازدید از این مطلب : 648
|
امتیاز مطلب : 0
|
تعداد امتیازدهندگان : 0
|
مجموع امتیاز : 0
تاریخ انتشار : شنبه 18 دی 1400 | نظرات ()
مطالب مرتبط با این پست
لیست
می توانید دیدگاه خود را بنویسید


نام
آدرس ایمیل
وب سایت/بلاگ
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

آپلود عکس دلخواه: