VLAN چیست؟
VLAN مخفف Virtual Local Area Network در واقع یک LAN مجازی است که شامل مجموعه ای از پورت های یک سوئیچ شبکه یا تعدادی سوئیچ می باشد که از لحاظه منطقی در یک Broadcast Domain مستقل قرار دارند. بنابراین هدف از ایجاد VLANها، جدا کردن محدوده Broadcast Domain ها می باشد. در واقع اگر بخواهیم Broadcast گروهی از PC ها را به گروهی دیگر در LAN و در سوئیچ و یا سوئیچ های لایه 2 محدود کنیم، باید از VLAN ها استفاده نماییم.
البته VLAN بندی محدود به شبکههای محلی و سوییچها نیست و این امکان وجود دارد که شبکههای بزرگتر مجازی را نیز با هدف مدیریت دقیق ترافیک به گروههای منطقی مختلفی تقسیم کرد. این مکانیزم گروهبندی که VXLAN به معنای شبکه محلی گسترشپذیر مجازی نام دارد منعطفتر از VLAN است، زیرا با محدودیت ۴۰۹۶ زیرشبکه روبرو نیست و سرپرست شبکه میتواند به هر تعدادی که نیاز دارد شبکه منطقی مجازی پیادهسازی کند.
انواع VLAN:
ـ end to end vlan: در این حالت اعضای هر VLAN در سرتاسر شبکه پراکنده هستند. این حالت برای اشتراک منابع و اعمال سیاست ها و پراکندگی میزبان مورد استفاده قرار می گیرد. در این حالت خطایابی پیچیده تر می باشد چون ترافیک VLANهای مختلف در سراسر شبکه در حال انتقال است.
ـ local vlan: در این حالت میزبان ها براساس موقعیت فیزیکی خود در VLANها قرار می گیرند.به طور مثال یک طبقه از یک ساختمان این طراحی مقیاس پذیرتر و خطایابی در ان ساده تر می باشد چون نحوی جریان ترافیک مشخص است. برای اشتراک منابع در این روش نیاز routing داریم.
روش های عضویت در VLAN:
عضویت در VLAN به طریق ایستا (Static) و پویا (Dynamic) صورت می گیرد:
-
Static VLAN: به عنوان VLAN مبتنی بر پورت یا port-based معرفی می شود. وظایف استاتیک VLAN با اختصاص پورت به VLAN ایجاد می شود. با ورود یک دستگاه به شبکه، آن دستگاه بطور خودکار عضو VLAN پورت فرض می شود. اگر کاربر پورت ها را تغییر دهد و نیاز داشته باشد به همان VLAN دسترسی پیدا کند، سرپرست شبکه باید برای اتصال جدید تعریف پورت به VLAN را انجام دهد.
-
Dynamic VLAN: با استفاده از نرم افزار یا بصورت پروتکل ایجاد می شوند. با یک VLAN Management Policy Server (VMPS)، یک مدیر می تواند پورت های سوئیچ را به VLAN بر اساس اطلاعاتی نظیر MAC Address دستگاه متصل شده به پورت یا نام کاربری مورد استفاده جهت لاگین شده به آن دستگاه تعیین کند. با ورود دستگاه به شبکه، سوئیچ از یک پایگاه داده برای عضویت VLAN به پورتی که دستگاه به آن متصل شده است، بررسی های لازم را انجام می دهد. متدهای پروتکل شامل Multiple VLAN Registration Protocol (MVRP) و تا حدودی روش منسوخ شده GARP VLAN Registration Protocol (GVRP) می باشد.
Broadcast Domain چیست؟
یک شبکه کاملاً لایه 2 به یک شبکه Flat یا Flat Network Topology معروف است. در این شبکه از یک رنج آدرس استفاده می شود. پس این شبکه فاقد Subnet های مختلف بوده و به طبع آن بین قسمت های مختلف Routing صورت نمی گیرد. پیام Braodcast یک دستگاه به همه نودهای در شبکه می رسد. این مدل برای شبکه های بزرگ و متوسط پیشنهاد نمی شود. در شبکه های متوسط و بزرگ که بیشتر از 100 کامپیوتر دارند، توصیه می شود تا توسط ایجاد VLAN شبکه را به شبکه های کوچکتری تبدیل کنیم که به هر یک از این ناحیه ها اصطلاحاً یک Broadcast Domain می گویند.
VLAN تفکیک کننده Broadcast Domain در شبکه و متشکل از گروهی از دستگاه ها است که در لایه 2 به یکدیگر متصل اند و می توانند در لایه دو MAC و فریم های همدیگر را ببینند. هر VLAN کاملا مجزا و توسط روتر یا یک سوئیچ لایه 3، در نقاطی نظیر VLAN Core ها به یکدیگر Route می شوند تا بتوانند با یکدیگر ارتباط برقرار کنند، اما در عین حال Broadcast های آنها به یکدیگر نمی رسد.
به وسیله ایجاد VLAN، می توان شبکه ای کاملاً مستقل ایجاد کرد که Broadcast Domain خود را داشته باشد و فریم ها تنها داخل خود VLAN رد و بدل شوند. ترافیک به گونه ای تفکیک خواهد شد که گویی شبکه ای مجزا با کابل و سوئیچ مستقل، یک LAN جداگانه ای را تشکیل داده است.
کافیست در سوئیچ، پورت ها را به شماره VLAN مورد نظر ربط دهیم. مثلا شبکه 300 کامپیوتری خود را به سه VLAN هر یک حاوی 100 دستگاه با آدرس شبکه مجزای 25/ تقسیم می کنیم.
Subnet mask:255.255.255.128=/25 (128 IP Addresses)
مزایای VLAN بندی شبکه:
بهطور معمول سازمانها و شرکتهای بزرگ به دلایل زیر از شبکههای محلی مجازی یا VLAN استفاده میکنند:
- شبکه VLAN میتواند تعداد دامنههای پخشی را زیاد کند.
- شبکه VLAN ریسک امنیتی را با کاهش تعداد میزبانهایی که یک کپی از فریمهایی سوییچ دریافت میکنند را کاهش میدهد که در عمل شانس پیادهسازی موفقیتآمیز حملههای DDoS بر علیه شبکه سازمانی را کم میکند.
- امکان ایزولهسازی میزبانهایی که اطلاعات حساسی را نگهداری میکنند فراهم میشود. بهطوری که میتوان این میزبانها را روی شبکه VLAN خاصی قرار داد.
- گروهبندی کاربران وابسته به موقعیت مکانی نیست و میتوان بر مبنای نقش و واحدی که مشغول به کار در آن هستند گروهبندی را انجام داد. بهطور مثال، کارمندان حسابداری را در یک گروه منطقی و کارمندان کارگزینی را در گروه دیگری قرار داد.
معایب VLAN بندی شبکه:
- اگر VLAN بندی به درستی صورت نگیرید یک بسته می تواند از یک VLAN به دیگری نشت کند.
- بسته اطلاعاتی ممکن است منجر به حمله سایبری شود.
- داده ها ممکن است یک ویروس را از طریق یک شبکه منطقی کامل منتقل کند.
- برای کنترل حجم کار در شبکه های بزرگ به یک روتر اضافی نیاز دارید.
- در زمینه همکاری با مدیران شبکه و عوض کردن متخصصین شبکه در زمانهای مختلف با مشکلاتی زیادی روبرو خواهید شد.
- یک VLAN نمی تواند ترافیک شبکه را به سایر VLANها ارسال کند.
مقایسه VLAN و Subnet:
Subnet یا زیر شبکه به فرآیند تقسیم یک شبکه بزرگ به چند شبکه کوچک گفته می شود که هدف از این کار کاهش ترافیک شبکه، بهبود عملکرد، بهینهسازی و مدیریت سادهتر شبکه است. بزرگترین مشکلی که روش subnet دارد این است که فرآیند مسیریابی را پیچیدهتر میکند. اصلیترین دلیل که باعث میشود سازمانها از رویکرد زیرشبکهسازی استفاده کنند بهکارگیری بهینه آدرسهای IP است که خود مقوله مفصل و پیچیدهای است. حال بریم سراغ تفاوتی که VLAN با Subnet دارد:
- VLAN قابلیت تفکیک Subnet را فراهم میکند، بهطوری که امکان تخصیص دستگاههای محدود به Subnet وجود دارد.
- یک Subnet را میتوان به یک VLAN اختصاص داد. البته این امکان وجود دارد که بیش از یک Subnet را به یک VLAN تخصیص داد، اما رویکرد فوق پیچیدگی طراحی را بیش از اندازه زیاد میکند.
- هنگامی که قصد استفاده از فناوریهایی نظیر MPLS را داریم، بهکارگیری Subnet های بیشتر بهتر از VLAN است، زیرا MPLS برای بهبود عملکرد و افزایش سرعت میانبرهایی میان آدرسهای آیپی Subnet ها ایجاد میکند.
- VLANها هنگامی که می خواهیم در محدوده گستردهای ارتباط میان چند ساختمان را با یکدیگر برقرار کنیم (بهطور مثال در محیطهای دانشگاهی) عملکرد بسیار خوبی دارد.
VLAN ID چیست؟
هر VLAN یک شماره یا اصطلاحاً VLAN ID دارد و به وسیله آن شماره صدا زده می شود. حتی می توان به آن نامی اختصاص داد. در کل می توان به تعداد 2 به توان 12 یعنی 4096 عدد VLAN بر روی یک سوئیچ تعریف نمود که به صورت ویژه از4096 عدد از 4096 تا از VLAN ها استفاده می شود و دو VLAN یعنی 0 و 4096 که برای سیستم فقط استفاده می شوند و رزور شده اند شما نمی توانید این VLAN ها را ببینید یا از آنها استفاده کنید.
VLAN ها به سه دسته تقسیم می شوند:
- VLAN های رنج نرمال یا استاندارد با VLAN ID بین 1 تا 1005 که از VLAN 1 به Native VLAN یا VLAN Default اختصاص داده شده است و VLAN های 1002 تا 1005 نیز برای FDDI و Token ring از پیش رزرو شده اند. توجه داشته باشید که می توانید از VLAN 1 استفاده کنید ولی قادر به حذف آن نیستید، به علاوه شما نمی توانید VLAN های 1002 تا 1005 را نیز حذف کنید.
- VLAN های Extended با VLAN ID بین 1006 تا 4096
- VLAN های بدون VLAN ID
فرآیند ارسال اطلاعات در VLAN :
هنگامی که یک شبکه محلی مجازی را پیاده سازی میکنید، تمامی فریمهای منتشر شده توسط کلاینتهای عضو یک VLAN تنها بین پورتهای همان شبکه محلی مجازی توزیع میشود، بنابراین پهنای باندی که تجهیزات عضو یک گروه منطقی دریافت میکنند محدود به ظرفیتی است که گروه دریافت میکند. این کار یک مزیت مهم دارد که مانع از آن میشود تا کلاینتی بیش از اندازه از پهنای باند شبکه استفاده کند و علاوه بر این شناسایی تجهیزات شبکه ای که پهنای باند شبکه را زیاد مصرف میکنند ساده خواهد بود.
عملکرد شبکه محلی مجازی شباهت زیادی به شبکه محلی فیزیکی دارد، اما به میزبانها اجازه میدهد در حوزه پخشی یکسانی با یکدیگر گروهبندی شوند، حتا اگر به سوییچهای یکسانی متصل نشده باشند. در شکل زیر توپولوژی شبکهای را مشاهده میکنید که میزبانها درون شبکه محلی واحدی قرار دارند. در تصویر زیر هنگامی که پیامی از نوع فراگیر (Broadcast) از میزبان A ارسال میشود، تمامی دستگاهها آنرا دریافت میکنند. اگر به مسیر فلشها دقت کنید مشاهده میکند که پیامها توسط دستگاههای دیگر نیز دریافت میشود.
حذف VLAN در سوئیچ سیسکو:
یکی از مشکلاتی که برخی سرپرستان شبکه هنگام کار با سوییچ های سیسکو و به ویژه VLAN روبرو هستند، نحوه حذف تنظیمات ذخیره شده در startup configuration و نحوه حذف تنظیمات VLAN در سوئیچ سیسکو است که دو مقوله جدا از هم هستند.
توجه کنید با حذف startup configuration، تمامی پورتهای سوئیچ که عضو VLANهای دیگری هستند از شبکههای محلی مجازی حذف میشوند و به VLAN پیشفرض خود سوئیچ انتقال پیدا میکنند، اما خود VLANهای ساخته حذف نمیشوند و باید به شکل دستی آنها را حذف کنید.
اطلاعات VLAN در یک فایل بهنام vlan.dat ذخیره میشوند که محل آن در حافظه Flash سوئیچ است. اگر دستور show flash را در وضعیت privilege اجرا کنید، این فایل را مشاهده می کنید. البته دقت کنید این اطلاعات تنها زمانی نشان داده می شوند که روی سوئیچ یک VLAN ساخته باشید، در غیر این صورت اطلاعات عادی سوییچ نشان داده میشوند.
بهطور مثال، فرض کنید یک سوئیچ دست دوم خریداری کردهاید و قبل از استفاده از این سوئیچ در شبکه خود، قصد دارید همه تنظیمات سوییچ که شامل vlanهای ساخته شده در سوییچ میشوند را حذف کنید. انجام اینکار فرایند سادهای است و تنها کاری که باید انجام دهید حذف تنظیمات ذخیره شده در startup-configuration و راه اندازی سوئیچ است.
دستور حذف vlan در سیسکو دستور زیر است که باید در وضعیت privilege آن را اجرا کنید:
Switch#erase startup-config
با اجرای این دستور، پیغامی مبنی بر حذف پیکربندیها نشان داده میشود که باید کلید اینتر را فشار دهید. لازم به توضیح است که برای اینمنظور ios سوییچ نیز حذف میشود.
?Erasing the nvram filesystem will remove all configuration files! Continue
[confirm]
[OK]
Erase of nvram: complete
همانگونه که مشاهده میکنید تمامی تنظیمات از nvram حذف شدند، با اینحال در runing-config این تنظیمات در حافظه فعال وجود دارند. تنها کاری که باید انجام دهید راهاندازی سوییچ است تا همه چیز پاک شود. برای اینکار دستور reload را اجرا کنید تا سوئیچ ریستارت شود.
Switch#reload
اکنون زمان آن رسیده تا شبکههای محلی ساخته شده را حذف کنیم، اگر دستور زیر را اجرا کنید، مشاهده میکنید که شبکههای محلی مجازی روی سوییچ وجود دارند.
Switch#show vlan brief
هنگامی که مراحل بالا را اجرا کنید، مشاهده میکنید که پورتی مرتبط با شبکههای محلی مجازی نیست، اما شبکههای محلی مجازی حذف نشدهاند. با اجرای دستور show vlan brief، تعداد شبکههای محلی مجازی پیکربندی شده روی سوییچ را مشاهده میکنید. همانگونه که اشاره کردیم، این شبکههای محلی مجازی در فایلی بهنام vlan.dat که در فلش است ذخیره میشود. اکنون کافی است دستور show flash را اجرا کنید.
:Switch#show flash
/:Directory of flash
rw- 4414921 c2960-lanbase-mz.122-25.FX.bin-
rw- 616 vlan.dat-
۶۴۰۱۶۳۸۴ bytes total (59600847 bytes free)
شما میتوانید این فایل از حافظه flash سوئیچ حذف و سوئیچ را reload کنید تا vlan ها حذف شوند. برای این منظور از دستور زیر استفاده کنید.
Switch#delete vlan.dat
با اجرای دستور فوق، دو پیغام تایید حذف زیر را تایید کنید تا فایل vlan.dat حذف شود.
?Delete filename [vlan.dat]
Delete flash:/vlan.dat? [confirm]
اگر یکبار دیگر دستور Show flash را اجرا کنید، مشاهده میکنید که دیگر فایل vlan.dat وجود ندارد.
Switch#sh flash
:/Directory of flash
rw- 4414921 c2960-lanbase-mz.122-25.FX.bin-
۶۴۰۱۶۳۸۴ bytes total (59601463 bytes free)
در نهایت دستور reload را اجرا کنید تا سوئیچ راهاندازی شود. بعد از بارگذاری کامل میانافزار اگر یکبار دیگر دستور show vlan brief را اجرا کنید، مشاهده خواهید کرد که تمامی vlan ها حذف شدهاند.
حذف یک پورت از VLAN در سوئیچ:
فرض کنید قصد داریم پورت ۱۱ از VLAN 4 که روی سوییچ (Device-A) نشان داده شده در شکل زیر قرار دارد را حذف کنیم.
این کار در چهار مرحله به شرح زیر انجام میشود:
1ـ با وارد کردن دستورات زیر به حالت پیکربندی سراسری در سوییچ دسترسی پیدا کنید.
device-A> enable
…No password has been assigned yet
device-A# configure terminal
device-A(config)#
2ـ با وارد کردن دستور زیر به سطح cli برای پیکربندی vlan 4 مبتنی بر پورت مذکور دسترسی پیدا کنید.
device-A(config)# vlan 4
3ـ دستور زیر را برای حذف پورت ۱۱ از vlan 4 وارد می کنیم.
device-A(config-vlan-4)# no untagged ethernet 11
deleted port ethernet 11 from port-vlan 4
4ـ دستورات زیر را برای خروج از حالت پیکربندی vlan و ذخیره پیکربندی در فایل پیکربندی سیستم اجرا میکنیم.
device-A(config-vlan-4)# end
device-A# write memory
VLANs IEEE 802.1Q چیست؟
پروتکل 802.1Q از quality of service (QoS) و Virtual LAN (VLAN) در هنگام حرکت ترافیک در شبکه اترنت پشتیبانی می کند. پروتکل 802.1Q یکی از پروتکل های برچسب گذاری(تگ گذاری) VLAN است که توسط سوئیچ های سیسکو پشتیبانی می شود. این استاندارد توسط موسسه مهندسان برق و الکترونیک (IEEE) ایجاد شده است، بنابراین یک استاندارد عمومی است و می تواند در سوئیچ های غیر سیسکو نیز استفاده شود.
VLAN ها برای تقسیم broadcast domain در لایه 2(Data Link) استفاده می شوند. یک شبکه محلی مجازی است که برای انتقال داده ها به جای شبکه فیزیکی خود از LAN دیگری استفاده می کند. پروتکل 802.1Q به اندازه فریم اترنت اجازه می دهد تا چهار بایت به محدوده 68 تا 1522 بایت اضافه کند. این افزایش اندازه، به دلیل درج یک برچسب VLAN چهار بایتی در فریم است. برچسب ها، که شامل شناسه VLAN (VID) است، توسط آدرس MAC به هر فریم اترنت متصل می شوند. این VID 12 بیتی به هر VLAN اختصاص داده شده است و 4094 شناسه برای استفاده در دسترس است.
از trunk برای رد و بدل کردن ترافیک VLAN بین سوئیچ ها استفاده می شود. سوئیچ ها را می توان از طریق پورت trunk به یکدیگر متصل کرد. هنگامی که از ترانک استفاده می شود، دستگاه متصل فریم های اترنت دارای برچسب را دریافت می کند. استاندارد 802.1Q از پیکربندی منحصر به فرد VLAN های جداگانه پشتیبانی می کند.
VLAN Trunking چیست ؟
حال که، متوجه شدید VLAN چیست، به موضوع دیگری می پردازیم. زمانی که بسته ای بخواهد، از یک vlan به vlan دیگری ارسال شود، یک برچسب با عنوان tag، روی آن می خورد که، هویت بسته مشخص شود. این برچسب مشخص می کند که، بسته از کدام vlan ارسال شده است. پورت های سیسکو، باید عضو ترانک یا اکسس باشند، غیر از این دو مورد وجود ندارد. برای پورت هایی که، در یک vlan هستند، باید از پورت اکسس استفاده کرد. ولی برای اینکه ترافیک تمام vlan ها عبور داده شود، باید از پورت trunk استفاده کرد.
روی هر سوئیچ یک vlan به صورت پیش فرض، و از قبل آماده شده وجود دارد که، شماره این vlan برابر با یک می باشد. این پورت، با نام native vlan شناخته شده است. اگر شما پورتها را، به صورت مجزا عضو vlan دیگری نکنید. همه ی آنها جزو native هستند. و ویژگی این پورت native این می باشد که، بسته ها بدون tag ارسال می شوند، و نیازی به ساخت header نمی باشد. به آنها پورتهای untagged هم گفته می شود
یکی از پروتکل های vlan، بنام vtp می باشد. شما زمانی که، می خواهید بین دو سوئیچ مختلف، ارتباط برقرار کنید، باید از این پروتکل استفاده کنید. این پروتکل سه حالت مختلف دارد: client،server، transparent با توجه به این ویژگی، می توان یک یا چند سوئیچ را، در حالت server قرار داد. و تنظیمات مشخص را، روی سوئیچ مورد نظر انجام داد.
سپس با فعال کردن پروتکل vtp، تمامی این تنظیمات بر سوئیچ های client، نیز اعمال خواهد شد. تمام این تغییراتی که، بر روی سوئیچ سرور انجام می شود، revision number آن تغییر می کند، و این عدد برای تمام این سوئیچ های کلاینت نیز، ارسال می شود. با هر تغییر در سوئیچ سرور، یک عدد به revision number اضافه می شود. سوئیچی که، حالت transparent دارد، فقط این تغییرات را میگیرد، و به سوئیچ بعدی ارسال می کند.
منبع : VLAN چيست
:: بازدید از این مطلب : 648
|
امتیاز مطلب : 0
|
تعداد امتیازدهندگان : 0
|
مجموع امتیاز : 0