نوشته‌ها

آموزش پیکربندی VLAN سوئیچ سیسکو

آموزش پیکربندی VLAN سوئیچ سیسکو

/0 دیدگاه /در /توسط

آموزش پیکربندی VLAN سوئیچ سیسکو

همان گوه که در فصل های قبل مواردی را در لایه دو بررسی کردیم؛ بعضی از ترافیک های ارسال شده در شبکه ماهیت پخشی دارند و نمیتوان از وجود آنها در شبکه اجتناب کرد. برخی از این ترافیک ها شامل:

ترافیک های Broadcast که مقصد آنها تمامی سیستم های موجود در شبکه است.

ترافیک های Multicast که مقصد آنها برای بعضی از سیستم های موجود در شبکه است.

ترافیک های Unknown که مقصد آنها ناشمخص است.

وجود تعداد زیاد کاربران در یک شبکه موجب افزایش این نوع ترافیک ها خواهد شدکه ممکن است شبکه را با کاهش کارایی مواجه کند.

برای مقابله با این مشکل راه های متفاوتی وجود دارد که بهترین روش، تقسیم شبکه فعلی به شبکه جداگانه است اما توجه داشته باشید که این کار باعث افزایش هزینه در تهیه دستگاه های شبکه خواهد شد.

همان گونه که مشخص است برای برقراری ارتباط بین شبکه های مختلف نیاز به روتر خواهد بود؛ هرچه تعداد شبکه ها افزایش پیدا کند نیاز به تعداد پورت های بیشتری بر روی دستگاه روتر خواهد بود. استفاده از VLAN میتواند در مدیریت بهتر شبکه و هزینه های تحمیلی به شما کمک کند که در این مقاله به صورت کامل VLAN را مورد بررسی قرار خواهیم داد.

لینک دانلود: آموزش پیکربندی VLAN سوئیچ سیسکو

فرمت: PDF

حجم: 6.70 MB

فصل اول آشنایی با سوئیچ سیسکو

فصل دوم مدیریت سوئیچ و روتر سیسکو

فصل سوم آموزش مفاهیم اولیه پل ها سوئیچ های سیسکو

فصل پنجم آموزش مفاهیم مسیریابی

فصل ششم آموزش پیکربندی پروتکلهای بردار فاصله

فصل هفتم آموزش پیکربندی پروتکل های مسیریابی پیشرفته

 

مطالب مرتبط:

مفهوم پایه VLAN در سوئیچ های سیسکو

کاربرد ها و پروتکل های VLAN قسمت اول

کاربرد ها و پروتکل های VLAN قسمت دوم

مفهوم VLAN

کاربرد ها و پروتکل های VLAN قسمت اول

/2 دیدگاه /در /توسط

در این مقاله قصد داریم تا با کاربرد ها و پروتکل های VLAN آشنا بشویم ، پس با همراه باشید .

تعریف مفهوم LAN

یک LAN شامل تمام دستگاه ­هایی است که در یک Broadcast Domain باشند.

اما Broadcast Domain چیست ؟

یک پیام Broadcast (پیام­های فراگیر)، به دامنه ه­ایی که این پیام­ ها تا آنجا می­توانند ارسال شوند و پیش بروند Broadcast Domain (دامنه Broadcast ) گفته می­شود.

به عنوان یک تعریف دیگر تمام ایستگاه­ ها و وسایلی که به LAN متصل­ اند عضو یک Broadcast Domain اند و در این صورت اگر یکی از ایستگاه ­ها پیامی را به صورت Broadcast ارسال کند، تمام ایستگاه­ های عضو آن Broadcast Domain یک کپی از آن پیام را دریافت می­کنند.

تعریف VLAN

VLAN کوتاه شده عبارت ( Virtual LAN ( Virtual Local Area Network است. همه چیز برای تعریف VLAN ها از نامشان مشخص است، LAN های مجازی!یعنی LAN هایی که به صورت مجازی پیاده سازی می­شوند.

اما چرا نیاز است که VLAN داشته باشیم ؟

در ابتدا حالتی را در نظر بگیرید که VLAN نداریم؛ در حالت معمول در یک LAN تمام پورت­های یک سوییچ عضو Broadcast Domain مشابهی ­اند. به این ترتیب اگر یک ایستگاه پیامی را به صورت Broadcast ارسال کند، تمام دستگاه ­هایی که در آن Broadcast Domain هستند. مثلا در شکل زیر کامپیوتر بنفش پیامی را به صورت Broadcast ارسال می­کند و همان طور که در شکل مشخص است این پیام به تمام هاست ­هایی که در آن Broadcast Domain هستند می­رسد.

 

LAN

در حالت کلی خوب نیست! چرا که ممکن است که کامپیوتر بنفش بخواهد که این پیام را تنها به کامپیوتر نارنجی برساند، اما از این طریق سایر کامپیوترها نیز این پیام را دریافت می کنند، شاید به نظر شما برای این کار به جای ارسال Broadcast می­تواند از ارسال مستقیم به کامپیوتر نارنجی استفاده کند؛ این فکر درست است ، اما باید بدانید که این شکل تنها یک مثال ساده برای بیان چیزی است که می خواهیم در موردش بیشتر بدانیم؛ به عبارت بهتر اگر فرض کنید که هر کدام از این کامپیوترها نماد 1000 کامپیوتر هستند چه ؟! اینجاست که ارسال Broadcast کاملاً مفید به نظر می رسد! اما همان طور که گفتیم هنوز این مشکل وجود دارد که علاوه بر کامپیوتر نارنجی ( یا بهتر بگوییم ، کامپیوترهای نارنجی ) سایر کامپیوترها هم این پیام را دریافت می کنند. این کار پهنای باند زیادی را به هدر می­دهد. بحث پهنای باند را هم که کنار بگذاریم از نظر امنیتی به مشکل برمی­خوریم.

برای رفع این مشکل، می­شود که کامپیوتر­های بنفش و نارنجی را عضو یک LAN قرار داد و سایر کامپیوتر­ها را عضو یک LAN دیگر، تا هر کدام از این LAN ها Broadcast Domain خود را داشته باشند . اما برای این راه حل نیاز است که یک سوییچ دیگر بخریم و این یعنی هزینه زیادی! اما اگر از VLAN استفاده کنیم می توانیم همین دو شبکه مجزا را روی یک سوییچ پیاده سازی کنیم و دو VLAN مجزا داشته باشیم. به این ترتیب که برخی از پورت­ های سوییچ را مثلا به VLAN شماره 2 و برخی دیگر را به VLAN شماره 3 نسبت می­دهیم و هر کدام از VLANها Broadcast Domain خاص خود را خواهند داشت که از دسترس سایر ایستگاه­ های VLAN دیگر دور خواهد ماند. شکل زیر این موضوع را بهتر نشان می دهد.

 

کاربرد ها و پروتکل های VLAN

برای درک بهتر کاربرد VLANها ،مقاله  ( مفهوم پایه VLAN در سوئیچ سیسکو ) را مطالعه نمایید .

VLAN Trunking

یکی از کاربرد ها و پروتکل های VLAN این نمونه است . همان طور که از نامش مشخص است ، VTP پروتکل VLAN Trunking است . یعنی مخصوص VLAN ها آن­ هم برای حالت Trunking است . و تنها از ترانک برای انتشار می­ تواند استفاده کند . یعنی تنها مخصوص انتقال بین “سوییچ­ ها” است .

با استفاده از پروتکل VTP می توانیم اطلاعات VLAN را روی یک سوییچ ست کنیم بعد با استفاده از VTP سایر سوییچ ­ها را از وجود این VLAN و پیکربندی­ش آگاه کنیم . نتیجه این می­ شود که باقی سوییچ ­ها نیز این VLAN را خواهند شناخت . برای درک بهتر مفهوم VLAN Trunking مقاله ( مفهوم VLAN Trunking در سوئیچ های سیسکو ) را مطالعه نمایید .

اما آیا این پیکربندی اولیه را می توانیم روی هر سوییچی که خواستیم اعمال کنیم و بعد از VTP استفاده کنیم ؟

نه ! به طور کلی پروتکل VTP سوییچ ­ها را در سه حالت دسته بندی می­ کند و هر سوییچ تنها در یکی از این سه حالت قرار می­ گیرد که باز تنظیم این حالت به عهده ادمین شبکه است . حالت­ های Server ، کلاینت و Transparent (شفاف) .

هر ادمین یک یا چند تا از سوییچ ­ها را در حالت VTP Server و باقی را برای حالت VTP Client ست می­ کند . به این ترتیب تنها روی سوییچ­ های VTP Server می توانیم پیکربندی­ های دلخواه را تنظیم یا تغییر بدهیم و سپس از طریق پروتکل VTP این تنظیمات را به دیگر سوییچ ­های VTP Server و VTP Client مخابره کنیم . هر کدام از سوییچ­ های VTP Server و کلاینت هم که این پیام را دریافت کردند آن­ها هم متقابلاً آن پیام را برای ترانک­ های خارجی­شان می ­فرستند .

پس تا اینجا متوجه شدیم که تنها تغییر در پیکربندی سوییچ ­های VTP Server است که منجر به مخابره پیام­های VTP به کل شبکه می­ شود .

به عبارت دیگر تنها روی یک سوییچ VTP Server می توانیم یک VLAN جدید اضافه کنیم و یا حذف کنیم و یا تنظیمات­ش را تغییر دهیم و این کاراز طریق سوییچ ­های VTP Client امکان پذیر نیست .

چه هنگامی پیام­ های VTP صادر می­شود ؟

همان طور که پیش­تر گفته شد ، هنگامی که تنظیمات پیکربندی یک سوییچ تغییر کند ، این پیام­ها فرستاده می ­شوند .

به علاوه این پیام­ ها هر 5 دقیقه یکبار نیز توسط VTP سرور­ها در کل شبکه مخابره می­ شود .

و به غیر از این موارد هنگامی که یک سوییچ جدید ایجاد شود که شامل VLAN هایی است ، سوییچ­ ها می ­توانند با یک پیام VTP از سوییچ تازه تاسیس بخواهند که اطلاعات VLAN هایش را برای آن­ها ارسال کند .

پس همان طور که احتمالاً دقت نکردید ، سه نوع پیام مختلف برای VTP داریم !

  • پیام­ هایی که به هنگام تغییر تنظیمات پیکربندی یک سوییچ VTP Server ارسال می­ شوند ،
  • پیام­ هایی که به طور اتوماتیک هر 5 دقیقه یک بار مخابره می­ شوند ،
  • پیام­ هایی که به هنگام ایجاد سوییچ جدیدی به جهت آشنایی ارسال می ­شوند.

پروتکل VTP چطور کار می­ کند ؟

سوییچ­ ها چه زمانی می­ فهمند که باید پایگاه داده VTP خود را به روز کنند ؟

از کجا می­فهمند که پیام VTP تکراری است و حاوی تغییر جدیدی نیست ؟

شکل زیر را در نظر بگیرید .

 

VTP

 

کاربرد ها و پروتکل های VLAN

در این شکل یک سوییچ­ از نوع VTP Server و دو سوییچ از نوع VTP Client انتخاب شده­ اند .

داستان از اینجا شروع می ­شود که تصمیم می­گیریم که یک VLAN جدید را روی سوییچ VTP Server ایجاد کنیم . در هر VTP شماره ای وجود دارد که Revision Number نام دارد و مقدار این شماره برابر آخرین باری است که VTP حاوی اطلاعات جدیدی بوده مثل تغییر در پیکربندی یک VTP Server ، و البته این شماره برای کل سوییچ­ های شبکه مقدار یکسانی دارد چرا که این پیام­ها به صورت سراسری برای تمام سوییچ­ها ارسال می­ شود . هنگامی که VTP مجدداً حاوی پیام جدیدی شود به این شماره یکی اضافه می­شه و پیام VTP جدید به همراه این شماره جدید به کل شبکه ارسال می­ شود .

بار دیگر به شکل بالا نگاه کنید . در این شکل Revision Number فعلی 2 است . تصمیم می­گیریم که VLAN جدیدی را به سوییچ VTP Server اضافه کنیم ، این کار باعث می ­شود که پیکربندی سوییچ تغییر کند که در نتیجه ی این تغییرات ، شماره پیام VTP ، یک واحد اضاف می­ شود و از دو به سه تغییر می­ کند و سپس اطلاعات این پیکربندی به همراه این شماره جدید برای سایر سوییچ­ ها ارسال می­ شود . سایر سوییچ ­ها این شماره را با شماره VTP خود چک می­ کنند اگر از Revision Number فعلی خود بیشتر بود این پیام را دریافت می­ کنند ، به شماره VTP خود یکی اضافه می­­ کنند و این پیام را برای پورت­ های ترانک خود ارسال می­ کنند و در غیر این صورت پیام VTP رسیده را رد می­ کنند .

در حقیقت باید بگوییم که پروتکل VTP تا حد زیادی شبیه پروتکل­های مسیریابی عمل می­ کند .

همان طور که گفتیم پیام­ های VTP برای کل سوییچ ­های شبکه ارسال می­ شود . حالا شرکتی را فرض کنید که بخش امور مالی در یک VLAN و بخش حسابداری در VLAN دیگری و بر روی سوییچ ­های مختلفی قرار دارند و تنها هم نیاز است که اطلاعات تغییر در پیکربندی این سوییچ ­ها برای هم ارسال شود و به طور مثال بخش انبار نیازی به دریافت این پیام­های VTP ندارد !!

چطور می­ شود از سرازیر شدن پیام­های VTP به کل شبکه جلوگیری کرد ؟ راه حل این مشکل هم همین جاست ! استفاده از راه کار VTP Domain

قسمت دوم این مقاله را مطالعه فرمایید .

منبع : en.wikipedia.org

مفهوم VLAN

کاربرد هاوپروتکل های VLAN قسمت دوم

/0 دیدگاه /در /توسط

در این پست به سراغ قسمت دوم مقاله کاربرد هاوپروتکل های VLAN خواهیم رفت .

VTP Domain

VTP Domain این امکان رو به ادمین می ­دهد که برای مجموعه ­­ای از سوییچ ­ها نام دامنه یکسان انتخاب کند که باعث می­ شود سوییچ­ ها در دامنه­ های مختلف پیام­ های VTP یکدیگر را نادیده بگیرند . همین !

مثلا در مورد مثال بالا (قسمت اول مقاله) می ­توانیم برای سوییچ­ های مربوط به VLAN های بخش مالی و حسابداری ، VTP Domain یکسانی انتخاب کنیم و در نتیجه پیام­ های VTP در این سوییچ ­ها تا جایی پیش می­ رود که دامنه اجازه می دهد !

آیا امکانش هست که یک سوییچ نام دامنه ­ای نگیرد ولی باز هم پیام­های VTP را دریافت نکند ؟ یا به عبارت دیگر راهی هست که یک سوییچ پیام­های VTP را دریافت کند ولی عکس العملی به این پیام ­ها نشان ندهد ؟ یعنی اطلاعات پیکربندی خود را تغییر ندهد طوری که گویی این پیام اصلا به گوش او نرسیده ؟

برای این کار بایستی که VTP را غیرفعال کنیم . اما دو مشکل وجود دارد ، یکی اینکه بعضی از سوییچ­ های سیسکو نمی­ توانند VTP را غیر فعال کنند و مشکل دوم اینکه حتی اگر بتوانیم VTP را برای سوییچی غیر فعال کنیم ، این راه حل مناسبی نخواهد بود . چرا که ممکن است این سوییچ واسطه­ ای برای سایر سوییچ ­ها باشد که نیاز به دریافت این پیام­ های VTP دارند . با غیر فعال کردن این سوییچ ، عملاً سایر سوییچ­ های وابسته نیز این پیام را دریافت نخواهند کرد .

راه حل بهتر استفاده از VTP Transparent است .

VTP Transparent

بهترین تشبیهی که از Transparent VTP می­ توانیم بکنیم مثال شیشه است . شیشه می ­تواند نور را از خود عبور دهد و نیز آن را منعکس کند بدون اینکه خودش تغییری کند . VTP  Transparent نیز همین کار را با سوییچ می­ کند ، یعنی باعث می­ شود که سوییچ پیام ­های VTP را دریافت کند آن را از خود عبور داده و برای سایر سوییچ ­های همسایه دوباره ارسال ( Forward ) کند اما با دریافت این پیام ­های VTP خودش تغییری نمی ­کند .

این در واقع حالت سوم پروتکل VTP است . قبلا گفتیم که VTP برای سوییچ ­ها سه حالت دارد که دو مورد آن­ها VTP Server و VTP Client بود و VTP Transparent همان حالت سوم است .

سوییچ­­ هایی که روی حالت VTP Transparent تنظیم می­ شوند نیز به مانند VTP Server ها می­توانند VLAN ها را پیکربندی کنند و صاحب VLAN های جدید شوند اما بر خلاف VTP Server ها هرگز این اطلاعات پیکربندی را برای دیگران ارسال نمی­ کنند . در حقیقت سوییچ ­های VTP Transparent به نوعی نسبت به سایر سوییچ­­ ها ایزوله اند .

در سری جدید سوییچ­­ های سیسکو حالت چهارمی به نام noon وجود دارد ، که باعث غیر فعال کردن VTP روی یک سوییچ می­ شود که بهتر است از آن برای سوییچ­­ های ترمینال شبکه استفاده کنیم .

VTP Pruning

قبلاً گفتیم که اگر پیام Broadcast ای از یکی از VLANهای سویچ ارسال شود سوییچ بایستی که این پیام رو بر روی پورت­های ترانک خود ( به جز حالتی خاص ) نیز ارسال کند ، حالا می­خواهیم همون رو توضیح بدیم .

غیر از پیام­ های VTP که که بهتر است کنترل شود تا بی­خودی در کل شبکه پخش نشود ، پیام­ های Broadcast که از ترانک­های سوییچ­ ها خارج می­ شوند نیز باید کنترل شوند . چرا ؟ شکل زیر را در نظر بگیرید.

 

کاربرد هاوپروتکل های VLAN - کنترل ترانک­ها

در این شکل هر کدام از کامپیوتر­ها نماد یک VLAN هستند. هاست ه­ایی که با رنگ سبز مشخص شده است، قصد دارد که پیامی را به صورت Broadcast ارسال کند . سوییچ 1 این پیام رو برای سایر کامپیوتر­های VLAN23 بر روی خود می­ فرستد ، همچنین بایستی که این پیام را بر روی تمام پورت­های ترانک خود نیز ارسال کند تا این پیام به سایر اعضای VLAN23 در سوییچ­ های دیگر نیز برسد . پیام به سوییچ­های دو و سه می رسد .

سوییچ دو : VLAN ID بسته را کنترل می­کند و متوجه می­ شود که این پیام به VLAN­ای از مجموعه VLAN های خودش مربوط نیست بنابراین تنها آن را بر روی ترانک­های خود ( به غیر از ترانکی که پیام ازش آمده ) فوروارد می­ کند ، پیام فوروارد شده از سوییچ دو به دست سوییچ چهار می­رسد، سوییچ چهار سرآیند بسته را کنترل می­ کند و متوجه می­ شود که این بسته به VLAN23 او مربوط است ، بنابراین سرآیند بسته را حذف می­ کند و پیام اصلی را برای VLAN23 خود فوروارد می­ کند .

سوییچ سه : سرآیند پیام رسیده را چک می­ کند و متوجه می­ شود که VLAN ID این پیام ربطی به VLAN ID های خودش ندارد، بنابراین پیام را برای بر روی ترانک­های خود ( به غیر از ترانکی که پیام ازش رسیده ) ارسال می­ کند که در این شکل سوییچ سه دیگر ترانکی ندارد تا پیام را برای آن فوروارد کند !

سوال اینجاست که آیا واقعاً لازم است که این پیام­ها برای همه سوییچ­ها و بر روی همه ترانک­های خارجی ارسال شود ؟

مثلا در شکل بالا چه نیازی هست که این پیام به سوییچ سه برسد ؟!

همان طور که مشخص است نه تنها نیازی به ارسال بیهوده این پیام­ها نیست بلکه نباید هم این طور باشد ، چرا که این عمل پهنای باند شبکه را به هدر می­ دهد و همچنین سبب پردازش و یک سری اعمال اضافه روی سوییچ­ ها می ­شود .

برای اجتناب از این عمل سوییچ­ ها از دو روش پشتیبانی می­ کنند که به وسیله آن ادمین می­ تواند جریان ترافیک روی هر ترانک را کنترل و محدود کند . یکی پیکربندی دستی است که به موجب آن ادمین باید روی هر ترانک لیست VLAN های مجاز را تعریف کند و روش دیگر VTP Pruning یا هرس کردن VTP نام دارد .

VTP می­ تواند به صورت پویا تشخیص دهد که کدام سوییچ­ ها به فریم ­هایی از VLAN مشخصی نیاز ندارد و سپس VTP آن فریم­ های ارسالی از آن VLAN ها را از طریق ترانک­های مناسبی هرس می کند .

شکل زیر این مفهوم را بهتر نشان می­دهد.

 

VTP Pruning

اما VTP چطور به صورت پویا تشخیص می­ دهد که فلان سوییچ نیازی به دریافت فریم­ های فلان VLAN را ندارد ؟

به طور خیلی ساده این طور می­شود توضیح داد که VTP مسئول پیام رسانی بین سوییچ ­ها است و نیز اطلاعاتی از VLAN ها شامل نام و ID شان و اینکه چه VLAN هایی به چه سوییچی وصل است را همراه خود دارد که این اطلاعات دائماً به صورت داینامیکی در فایلی به نام VLAN.dat که dat مخفف database است در حافظه ذخیره و نگهداری می­ شود . به این ترتیب هرس کردن VLAN ها برای VTP کار سختی نخواهد بود !

DTP

در حالت کلی یک پورت سوییچ یا به VLAN خاصی نسبت داده شده یا یک پورت ترانک است . ( البته اگر کلاً بلااستفاده نباشد!! ) اگر این پورت ترانک باشد به راحتی می­ تواند اطلاعات سایر سوییچ ­ها و VLAN ها را از خود عبور بده .

پروتکل DTP ( که فقط مخصوص سوییچ ­های سیسکو است ) کمک می­ کند که در موارد لزوم یک پورت به صورت داینامیکی به پورت ترانک تبدیل شود و بتواند با سوییچ همسایه خود ارتباط برقرار کند و نتیجتاً اطلاعات ترانک را از خود عبور دهد . اکثر سوییچ ­ها به صورت پیش فرض در حالت DTP قرار دارند . به این عمل ترانکینگ پویا گفته می­ شود .

بعد از همه این موارد این سوال پیش می آید که چطور هر پورت رو به VLAN اختصاص می­ دهیم ؟

Static VLAN و Dynamic VLAN

این کار به دو صورت استاتیک ( دستی ) و داینامیک ( غیر دستی ) پیاده سازی می­ شود . در روش دستی ، ادمین شبکه خودش مشخص می­ کند که فلان پورت از فلان سوییچ به کدام VLAN متعلق است که البته این برای شبکه­ های بزرگ کار بسیار مشکل و تقریبا ناممکنی است ! و البته یک ایراد اساسی هم دارد ! و آن این است که در این روش مثلاً ادمین مشخص می­کند که شماره پورت­های 13 ، 14 و 18 از سوییچ 3 متعلق به VLAN بخش مالی یک شرکت است . حالا اگر شخصی لپ تاپ خود را بیاورد و به یکی از این پورت­ها وصل شود عضو VLAN مالی محسوب می­ شود و این یعنی بد !!

در روش پویا تمام سوییچ­ ها را به یک سرور وصل می­ کنیم ، ادمین یک فایل متنی که لیست دسترسی ( Access List ) نام دارد را تعریف می­ کند به طور کلی مشخص می­ کند که مجموعه از پورت­های سوییچ به چه “نوع” کاربری یا “گروه کاربری” ای متعلق است ، مثلا می­تواند این سیاست را با Mac Address اعمال کند یا به روش­های مختلف دیگر؛ در این صورت تکلیف هر سوییچ روشن می­ شود . در این صورت اگر کاربر نامربوطی بخواهد از پورتی که به او مربوط نیست استفاده کند، سوییچ به طور خود به خود او را از دسترسی به VLAN ای که به او مربوط است منع می­ کند !

VLAN ها و Subnetting

در حالت عادی، تمام کامپیوترهایی که در یک LAN عضو هستند ، Subnet مشترکی دارند ، VLAN ها هم درست مانند LAN هستند، به این معنی که اینجا هم کامپیوترهایی که عضور یک VLAN هستند بایستی که Subnet های یکسانی داشته باشند .

پیش­تر گفتیم که مقصد پیام­ها در بین سوییچ ­های مختلف از طریق VLAN ID ای که به هنگام خروج از پورت ترانک به فریم اضافه می­ شود به راحتی قابل تشخیص ­اند ، اما در مورد پیام­هایی که از یک VLAN در یک سوییچ به یک VLAN دیگر در همان سوییچ فرستاده می­ شود چه ؟ چطور می­شود مقصد پیام را تشخیص داد که مربوط به چه VLAN ای است ؟ با لزوم متفاوت بودن subnet که برای VLAN های مختلف است این کار انجام می شود !

شکل زیر را در نظر بگیرید.

 

VLANها و subnetting

 

در این شکل یک سوییچ لایه دو را می­ بینیم که شامل سه VLAN است . در مورد این سوییچ بعد از تشریح شکل ، توضیحاتی نوشته شده است .

قدم 1

کامپیوتر موجود در VLAN2 با ساب.نت 10.1.1.0 و آدرس 10.1.1.2 تصمیم دارد که پیامی را به کامپیوتر 10.2.2.3 با ساب.نت 10.2.2.0 بفرستد. پیام صادر شده از کامپیوتر 10.1.1.2 به سوییچ می­رسد، سوییچ پیام را گرفته ، subnet پیام را چک می­ کند و چون subnet مقصد پیام با subnet مبدا فرق می­کند متوجه می­شود که پیام برای VLAN دیگری ارسال شده است اما نمی­ داند که آدرس Subnet مقصد به کدام یکی از VLAN هایش متعلق است ( در حقیقت چیزی از مسیریابی نمی ­داند ).

قدم 2

سوییچ بسته را برای مسیریابی به روتر می­ فرستد.

قدم3

روتر عملیات مسیریابی را انجام داده و با توجه به subnet متوجه می­ شود که بسته به VLAN3 متعلق است ، سپس VLAN ID مقصد را به همراه فریم برای سوییچ ارسال می­ کند .

قدم4

سوییچ بسته را دریافت کرده و آن به سوی کامپیوتر 10.2.2.3 روانه می­ کند .

این مثال غیر از بیان مفهوم subnetting در سوییچ­ ها به ما این مطلب را نشان داد که می توانیم از همین سوییچ ­های معمولی لایه دو خودمون ( که البته قابلیت VLANing داشته باشند) به همراه روتر برای VLANing استفاده کنیم .

همین طور این مطلب را به ما نشان داد که البته این کار درست مثل این است که شما قاشق غذا را برای رساندنش به دهانتان دور سرتان بچرخانید ! چرا ؟! چون به خاطر نفهمی سوییچ باید که یک بار پیام را به روتر بفرستیم و بعد روتر دوباره پیام را به سوییچ بفرستد ! به جای این کار می توانیم از سوییچ­­ های فهمیده استفاده کنیم. یعنی چی ؟

سوییچ­ های معمولی که قابلیت VLAN داشته باشند ، سوییچ­ های لایه دو هستند، سوییچ ­هایی­­ اند که با پورت­ها سر و کار دارند. ولی سوییچ­ه ای لایه سه که جدیدتر هم هستند سوییچ­ه ایی هستند که هم می­ توانند کار سوییچ­ های لایه دو را انجام بدهند و هم مسیریابی که کار روتر­هاست ! به عبارتی هم زبان پورت­ها را می­ فهمند و هم زبان IP ها را . و البته خب مسلم است که استفاده از این سوییچ­ ها اگرچه گرانتر از سوییچ­ های لایه دو و روتر­ها هستند ولی در کل باعث ساده شدن شبکه و بالاتربردن قابلیتش می شود .

به هر حال برای استفاده از VLANing نیازی به متحمل شدن هزینه اضافی برای خرید سوییچ­ های لایه سه نیست ، کار با همان سوییچ­های لایه دو هم حل می­ شود اما اگر قصد خرید سوییچ جدیدی برای شبکه خود را دارید استفاده از سوییچ­ های لایه سه مناسب­تر است .

امنیت VLAN ها و ترانک­ها

VLANها درست است که از یک جنبه­ هایی امنیت را فراهم می­ کنند مثلاً با جدا کردن ترافیک بخش­های مختلف از هم ، به طوری که یک بخش قادر به مشاهده ترافیک بخش دیگر نباشد ؛ اما از یک سری لحاظ دیگر می­ توانند امنیت شبکه را دچار مشکل کنند ! در ادامه به بررسی این موارد می ­پردازیم .

یکی از مهمترین­ هایش وجود VLAN1 است ! که به صورت پیش فرض در همه سوییچ ­ها به عنوان native VLAN تعبیه شده است . و پیام­هایی که از این VLAN صادر می­ شود برچسب نخواهند خورد ! و همین امر باعث می­شود که کلیه پیام­ های VLANهای 1 به راحتی قابل شنود باشند . دلیل بعدیش همان طور که گفتیم ترافیک بین سوییچ ­ها از طریق ترانک­ها و توسط پروتکل­های ترانکینگ ISL و 802.1Q کنترل می­ شوند .

این پروتکل­ها تنها از طریق هدر بسته های رسیده از VLAN ها به وظایف خود عمل می ­کنند، حالا یک مهاجم از ترکیب این دو ویژگی می ­تواند به هر VLAN ای که خواست دسترسی داشته باشد ! چه طور ؟ مهاجم بسته خارج شده از VLAN1 را که به راحتی قابل شنود است و بسته بندی هم نشده است ، بسته بندی می­ کند و هدر خود را به آن اضافه می­ کند ! پروتکل­ های ترانکینگ حالا با بسته ­ای سر و کار دارند که هدر دارد و وظیفه دارد که پیام را به سوییچ مربوطه برساند !!

و اما چطور می­شود جلوی این کار را گرفت ؟ بهترین کار این است که تمامی پورت­ها و ترانک­ها را از VLAN1 خارج کنیم، و تا آنجا که می­ توانیم از این VLAN استفاده نکنیم ، و به جای آن VLAN دیگری را به عنوان native VLAN تعریف کنیم . اگر پروتکل­هایی داریم که تنها باید از VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم .

مورد بعدی اینکه تمام پورت­هایی که در یک سوییچ بلا استفاده هستند را خاموش ( shut down ) کنیم، باید توجه داشت که حتی disable کردن هم امن نیست چرا که امکان Enable کردنش وجود خواهد داشت و سپس این پورت­های بلااستفاده را در یک VLAN جداگانه قرار دهید و آن VLAN را به هیچ VLAN دیگری ارتباط ندهید . به این VLAN ها اصطلاحاً Parking lot VLAN می­ گویند !

  1. اگر یک سری از پورت­ها خیلی مهم و حیاتی هستند ، آن­ها را از سایر پورت­ها جدا کرده و در یک VLAN جداگانه­ ی امن ، نگهداری کنید .
  2. اگر نسبت به یک سری از کاربران مشکوک هستید ، آن­ها را در VLAN های جداگانه ­ای قرار بدهید ( نگاهی کنید به شکل 6 )
  3. پروتکل DTP را که امکان ترانک کردن یک پورت در صورت نیاز را مهیا می­ کرد، غیر فعال کنیم ، چرا که این کار می­ تواند توسط یک هکر صورت گیرد!
  4. برای سوییچ ­ها پسورد بگذارید. از سیاست­های port security استفاده کنید.
  5. و توجه داشته باشید که این تنها پاره ­ای از مواردی بودند که می­ شد با اتکا به آنها امنیت بیشتری را در VLAN ها برقرار کرد و پیدا کردن باقی راه­ها و روش­ها بر عهده خودتان است .

منبع : en.wikipedia.org

مفهوم VLAN

مفهوم VLAN در سوئیچ های سیسکو

/در /توسط

مفهوم VLAN

برای درک بهتر مفهوم VLAN باید به این جمله از تعاریف موجود برای شبکه LAN اتکا کرد “ یک شبکه LAN شامل تمام دستگاه­هایی است که در یک Broadcast Domain باشند” .

Broadcast Domain

یک پیام Broadcast (پیام­های فراگیر)، به دامنه­ ای که این پیام­ ها تا آنجا می­ توانند ارسال شوند و پیش بروند (Broadcast Domain)  دامنه (Broadcast) گفته می­شود .

به عنوان یه تعریف دیگر تمام ایستگاه­ ها و وسایلی که بهLAN  متصل­ هستند عضو یک Broadcast Domain اند و در این صورت اگر یکی از ایستگاه­ ها پیامی را به صورت Broadcast ارسال کند، تمام ایستگاه ­های عضو آن Domain Broadcast یک کپی از آن پیام را دریــــافت می­ کنند .

(VLAN   (Virtual Local Area Network

VLAN یعنی LAN هایی که به صورت مجازی پیاده سازی می­ شوند .

دلیل استفاده از VLAN ؟

در ابتدا حالتی را در نظر بگیرید که VLAN نداریم؛ در حالت معمول در یک LAN تمام پورت­های یک سوئیچ عضو Broadcast Domain مشابهی­ اند. به این ترتیب اگر یک ایستگاه پیامی را به صورت Broadcast ارسال کند، تمام دستگاه­هایی که در آن Broadcast Domain هستند. مثلا در شکل زیر کامپیوتر بنفش پیامی را به صورت Broadcast ارسال می­کند و همان طور که در شکل مشخص است این پیام به تمام هاست­هایی که در آن Broadcast Domain هستند می­رسد. به نظر شما این روش از لحاظ کارایی معقول می­باشد ؟

 

مفهوم VLAN

LAN

در حالت کلی این روش معقول نمی  باشد!! چرا که ممکن است که PC 1 بخواهد که این پیام را تنها به PC 2 برساند، اما از این طریق سایر کامپیوترها نیز این پیام را دریافت میکنند، شاید به نظرتان برسد که برای این کار به جای ارسال Broadcast میتواند از ارسال مستقیم به PC 2 استفاده کند؛ این فکر درست است، اما باید بگویم که این شکل تنها یک مثال سـاده برای بیان چیــــزی است که می خواهیم در موردش بیشتر بدانیم؛

به عبارت بهتر اگر فرض کنید که هر کدام از این کامپیوترها نماد ۱۰۰۰ کامپیوتر باشد قضیه به چه شکل خواهد بود؟! اینجاست که ارسال Broadcast کاملاً مفید به نظر میرسد! اما همان طور که گفتیم هنوز این مشکل وجود دارد که علاوه بر PC 2 سایر کامپیوترها هم این پیام را دریافت می کنند. این کار پهنای باند زیادی را هدر می هد. بحث پهنای باند را هم که کنار بگذاریم از نظر امنیتی به مشکل بر می خوریم.

برای رفع این مشکل می توان PC 1 و  PC 2 را عضو یک LAN قرار داد و سایر کامپیوتر ها را را عضو یک LAN دیگر، تا بدین شکل هرکدام از این LAN ها Broadcast Domain خودشان را داشته باشند. اما برای این راه حل نیاز است که یک سوئیچ دیگر خریداری کنیم و این هزینه زیادی برای ما در بر خواهد داشت. اما اگر از VLAN استفاده کنیم می توانیم همین دو شبکه مجـزا را روی یک سوئیچ پیاده سازی کنیم و دو VLAN مجزا داشته باشیم.

به این ترتیب که برخی از پورت های سوئیچ را مثلا به VLAN شماره ۲ و برخی دیگر را به VLAN شماره ۳ نسبت می دهیم و هر کدام از VLANها Broadcast Domain خاص خود را خواهند داشت که از دسترس ســایر ایستگاه های VLANدیگر دور خواهد ماند. شکل زیر این موضوع را بهتر نشان می دهد.

 

مفهوم VLAN

VLAN

برای درک بهتر مفهوم VLAN ، دانشگاهی را در نظر بگیرید که از دانشکده های مختلفی تشکیل شده است. فرض کنید که دانشکده IT و MBA در یک ساختمان دو طبقه قرار داشته باشند، و هر کدام شبکه LAN مخصوص به خود را داشته باشند.

حالا اگر در دانشکده MBA با کمبود فضا برای استاد جدیدی روبرو شویم ناچاریم که کاربر را در مکان دانشکده IT جای دهیم و با اتصال کابل او به پورت سوئیچ واقع در دانشکده IT از این پس آن کاربر عضوی از Broadcast Domain دانشکده IT میشود و تمام اطلاعات مربوط به این دانشکده را میتواند دریافت کند کما اینکه با Broadcast Domain دانشکده MBA نیز در ارتباط نخواهد بود. در نظر بگیرید که پورت های سوئیچ شبکه دانشکده MBA پر شده، در حالی که پورت های سوئیچ دانشکده IT هنوز خالی است.

اگر استاد جدیدی به دانشکده MBA دعوت شود می توانیم او را به عضو پورتی از پورت های سوئیچ شبکه IT در بیاوریم که در این صورت باز همان دو مشکل بالا بروز خواهد کرد و یا اینکه می توانیم هزینه اضافی ای را متحمل شویم و سوئیچ دیگری را خریداری کنیم!

IT-and-MBA-Department

IT-and-MBA-Department

اما اگر از VLAN استفاده کنیم، این مشکل­ها دیگر وجود نخواهند داشت. به این ترتیب که تمام پورت­های سوئیچ را به یک LAN اختصاص ندهیم بلکه تعدادی از آن را به یک VLAN و تعدای دیگر را به یک VLAN دیگر و… اختصاص بدهیم.

برای درک بهتر مفهوم VLAN شکل زیر را در نظر بگیرید.

در این شکل دو سوئیچ داریم که یکی متعلق به دانشکده IT و دیگری متعلق به دانشکده MBA است، روی سوئیچ دانشکده IT دو VLAN ساخته­ایم که یکی متعلق به دانشکده IT و دیگری مربوط به دانشکده MBA است.

در نهایت نتیجه این می­شود که کامپیوتر­های دانشکده IT در یک VLAN با یک Broadcast Domain مخصوص به خود و کامپیوتر­های دانشکده MBA در یک VLAN دیگر با Broadcast Domain  خاص خود قرار خواهند داشت صرف نظر از اینکه در چه مکان فیزیکی­ای (طبقه اول یا دوم) قرار دارند.

اگر تاکنون مفهوم VLAN را خوب متوجه شده باشید، می­بینید که وجود دو سوئیچ مجزا برای این دو دانشکده بیهوده است و کار با یک سوئیچ نیز راه می افتد !! یک سوئیچ و دو یا چند VLAN مجزا ! فقط بایستی سوئیچی که انتخاب می­شود قابلیت VLANing را داشته باشد و به تعداد کافی پورت داشته باشد .

 

VLAN-Concepts

VLAN-Concepts

از مجموع این دو مثال متوجه می­شویم که VLAN ها موارد پرکاربردی هستند! و حتماً متوجه شدید که در واقع در VLAN ما یک LAN بزرگ با یک Broadcast Domain به همان اندازه بزرگ را به VLAN های کوچکتر با Broadcast Domain های کوچکتر تقسیم می­کنیم و در حقیقت این عمل باعث صرفه جویی در پهنای باند، امنیت بیشتر، جلوگیری از صرف هزینه اضافی در جهت خریدن سوئیچ و برخوداری از یک طراحی منعطف برای شبکه­ می­شود.

به علاوه VLAN ها مزایای دیگری نیز دارند از جمله نگهداری و حفاظت از کامپیوتر­هایی که با سایر کامپیوتر­ها عضو یک LAN می­باشند اما حاوی اطلاعات مهمی­ بوده و با استفاده از مفهوم VLAN می توانیم آن­ها را در VLAN مجزایی نگهداری کنیم.

همین طور در (VOIP (Voice Over IP به وسیله VLAN ها می توانیم ترافیکی که توسط یک IP Phone فرستاده می­شود را از ترافیکی که توسط کامپیوتر متصل به تلفن فرستاده می­شود مجزا کنیم.

یک بار دیگر دو مثال بالا را با هم مرور می­کنیم. در مثال اولی ما شبکه­ای شامل یک سوئیچ داشتیم که آن را به دو VLAN تبدیل کردیم. پیاده سازی این مثال کار ساده­ای خواهد بود. کافی است که به تنظیمات پیکربندی سوئیچ برویم و پورت­هایی از سوئیچ را به VLAN1، و سایر پورت­ها را به VLAN2 اختصاص بدهیم. البته لازم است که بدانیم محدودیتی بر تعداد VLAN ها روی یک سوئیچ وجود ندارد و اســاساً به تعداد پورت­ها و ایستگاه­های موجود در یک VLAN بستگی دارد.

اما شبکه ها همیشه به همین سادگی نخواهند بود. برای درک این موضوع مجدداً مثال دانشکده MBA و IT را در نظر بگیرد. در آنجا دو سوئیچ با دو VLAN داشتیم. که برخی از پورت­های سوئیچ دانشکده IT به VLAN2 و برخی دیگر به VLAN3 اختصاص داده شده بود. همچنین پورت­های سوئیچ دانشکده MBA نیز به VLAN3 اختصاص داده شده بود. پر واضح است که باید دو سوئیچ به طریقی با هم در ارتباط باشند تا بتوانند ترافیک ­VLAN­های مشابه را از هم انتقال بدهند.

جهت آگاهی از قیمت سوئیچ سیسکو ، روی عبارت مورد نظر کلیک کنید .

منبع : آقای اکرمی و www.computernetworkingnotes.com

لینک های مفید :

آموزش VLAN Trunking در سوئیچ های سیسکومفهوم پروتکل VTP در سوئیچ های سیسکو