درباره VLAN
Virtual Local Area Networks) VLAN) ، يکی از جديدترين و جالبترين تکنولوژی های شبکه است که اخيرا” مورد توجه بيشتری قرار گرفته است . رشد بدون وقفه شبکه های LAN و ضرورت کاهش هزينه ها برای تجهيزات گرانقيمت بدون از دست دادن کارآئی و امنيت ، اهميت و ضرورت توجه بيشتر به VLAN را مضاعف نموده است
وضعيت شبکه های فعلی
تقريبا” در اکثر شبکه ها امروزی از يک (و يا چندين) سوئيچ که تمامی گره های شبکه به آن متصل می گردند ، استفاده می شود . سوئيچ ها روشی مطمئن و سريع به منظور مبادله اطلاعات بين گره ها در يک شبکه را فراهم می نمايند.با اين که سوئيچ ها برای انواع شبکه ها ، گزينه ای مناسب می باشند ، ولی همزمان با رشد شبکه و افزايش تعداد ايستگاهها و سرويس دهندگان ، شاهد بروز مسائل خاصی خواهيم بود . سوئيچ ها ، دستگاه های لايه دوم (مدل مرجع OSI ) می باشند که يک شبکه Flat را ايجاد می نمايند .
يکی ديگر از مسائل مهم ، موضوع امنيت است . در شبکه هائی که با استفاده از سوئيچ ايجاد می گردند ، هر يک از کاربران شبکه قادر به مشاهده تمامی دستگاههای موجود در شبکه خواهند بود . در شبکه ای بزرگ که دارای سرويس دهندگان فايل ، بانک های اطلاعاتی و ساير اطلاعات حساس و حياتی است ، اين موضوع می تواند امکان مشاهده تمامی دستگاههای موجود در شبکه را برای هر شخص فراهم نمايد . بدين ترتيب منابع فوق در معرض تهديد و حملات بيشتری قرار خواهند گرفت . به منظور حفاظت اينچنين سيستم هائی می بايست محدوديت دستيابی را در سطح شبکه و با ايجاد سگمنت های متعدد و يا استقرار يک فايروال در جلوی هر يک از سيستم های حياتی ، انجام داد .
تمامی مسائل اشاره شده در بخش قبل را و تعداد بيشتری را که به آنان اشاره نشده است را می توان با ايجاد يکVLAN به فراموشی سپرد . به منظور ايجاد VLAN ، به يک سوئيچ لايه دوم که اين تکنولوژی را حمايت نمايد ، نياز می باشد . تعدادی زيادی از افراديکه جديدا” با دنيای شبکه آشنا شده اند ، اغلب دارای برداشت مناسبی در اين خصوص نمی باشند و اينگونه استنباط نموده اند که صرفا” می بايست به منظور فعال نمودن VLAN ، يک نرم افزار اضافه را بر روی سرويس گيرندگان و يا سوئيچ نصب نمايند . ( برداشتی کاملا” اشتباه ! ) . با توجه به اين که در شبکه هایVLAN ، ميليون ها محاسبات رياضی انجام می شود ، می بايست از سخت افزار خاصی که درون سوئيچ تعبيه شده است ، استفاده گردد (دقت در زمان تهيه يک سوئيچ)،در غير اينصورت امکان ايجاد يک VLAN با استفاده از سوئيچ تهيه شده ، وجود نخواهد داشت .
هر VLAN که بر روی سوئيچ ايجاد می گردد ، به منزله يک شبکه مجزا می باشد . بدين ترتيب برای هر VLAN موجود يک broadcast domain جداگانه ايجاد می گردد . پيام های broadcast ، به صورت پيش فرض ، از روی تمامی پورت هائی از شبکه که عضوی از يک VLAN مشابه نمی باشند، فيلتر می گردند . ويژگی فوق ، يکی از مهمترين دلايل متداول شدن VALN در شبکه های بزرگ امروزی است ( تمايز بين سگمنت های شبکه ) . شکل زير يک نمونه شبکه با دو VLAN را نشان می دهد :
در حقيقت ، سوئيچی که قادر به حمايت از VLAN می باشد ، امکان پياده سازی چندين شبکه مجزا را فراهم می نمايد ( مشابه داشتن دو سوئيچ جداگانه و اتصال سه ايستگاه به هر يک از آنان در مقابل استفاده از VLAN ) . بدين ترتيب شاهد کاهش چشمگير هزينه های برپاسازی يک شبکه خواهيم بود .
فرض کنيد قصد داشته باشيم زير ساخت شبکه موجود در يک سازمان بزرگ را به دوازده شبکه جداگانه تقسيم نمائيم . بدين منظور می توان با تهيه دوازده سوئيچ و اتصال ايستگاههای مورد نظر به هر يک از آنان ، دوازده شبکه مجزا که امکان ارتباط بين آنان وجود ندارد را ايجاد نمائيم . يکی ديگر از روش های تامين خواسته فوق ، استفاده از VLAN است . بدين منظور می توان از يک و يا چندين سوئيچ که VLAN را حمايت می نمايند ، استفاده و دوازده VLAN را ايجاد نمود . بديهی است ، هزينه برپاسازی چنين شبکه هایی به مراتب کمتر از حالتی است که از دوازده سوئيچ جداگانه ، استفاده شده باشد .
در زمان ايجاد VALN ، می بايست تمامی ايستگاهها را به سوئيچ متصل و در ادامه ، ايستگاههای مرتبط با هر VLAN را مشخص نمود. هر سوئيچ در صورت حمايت از VLAN ، قادر به پشتيبانی از تعداد مشخصی VLAN است . مثلا” يک سوئيچ ممکن است 64 و يا 266 VLAN را حمايت نمايد.
برخلاف Network های دیروز که بر مبنای Collapsed-Backbone بودند Network های امروزی در طراحی به Flatter Architecture تقیسم بندی میشوند (استفاده از Switch ها). یعنی چطور میتوانیم Broadcast-domain را تقسیم بندی نماییم؟ با تعریف VLAN
VLAN مجموعه ایی Logical از Network user ها و Resource ها که متصل به Port هایی که روی Switch تعریف شده است.
وقتی که شما VLAN میسازید روی Switch در واقع Broadcast-domain را به واحد های کوچکتری توی لایه 2 یا همون Switched internetwork تون تقسیم بندی میکنید با اختصاص Port هایی از Switch برای هر Subnetwork .
هر VLAN برای خود Subnet یا Broadcast-domain ایجاد میکند به این معنی که frame هایی که Broadcast ایجاد میکنند در Network فقط Switch میشوند به Port هایی که از لحاظ Logical درون همان VLAN هستند. در اینجا یک سوالی پیش می اید که ایا با این تفاصیل به Router نیاز دازیم یا خیر؟ جواب هم بله است و هم خیر. جواب این سوال بسته به نیاز ما دارد.
به صورت پیش فرض Host هایی که درون یک VLAN قرار دارند نمیتوانند با Host های دیگری که درون VLAN دیگری قرار دارند ارتباط برقرار کنند. پس اگر Inter-vlan communication میخواهیم به Router نیاز مندیم.
مزایای VLAN
1.User هایی که به High-security نیازمندهستند را میتوان درون یک VLAN تعریف کرد که Communication با سایر اعضا غیر ممکن شود.
2.Management یا مدیریت کردن User ها اسان میشود.
3.با ساخت VLAN و ایجاد Broadcast-domain های جداگانه میتوان Traffic شبکه را به نحو قابل توجهی کم کرد. و Broadcast-storm را حذف کرد.(در واقع یکی از روشهای Bypass کردن Broadcast-storm استفاده از VLANing هست با قانون 24/)
4.با ساخت VLAN دیگر منطقه جغرافیایی User ها مد نظر نیست و از لحاظ Physical میتواند درهر جایی از شبکه قرار بگیرد.
VLAN به دو صورت وجود دارد:
1.Static: که Administrator به صورت Manually پورت خاصی را عضو VLAN میکند.
2.Dynomic: که به صورت Dynomic از یک Server که به ان VPMS Server میگوییم اختصاص داده میشود که بر اساس MAC-address کار میکند و دیگر از سمت Cisco پشتیبانی نمیشود.
و Switch های Catalyst 6500-4500 میتوانند این نقش را بازی کنند.
Switch port ها به 3 دسته تقسیم بندی میشوند:
1. Access Switchport : که یک VLAN برای هر port در نظر گرفته میشود.
2. Trunck Switchport: که چندین VLAN برای Port در نظر گرفته میشود.
3.Dynomic Switchport: که به صورت اتوماتیک Trunck یا Access انتخاب میشود.
در مقالات بعدی در رابطه با راه اندازی VLAN روی Platform های معروف صحبت خواهم کرد.
همانطور که در فوق اشاره شد به شبکه Layer 2 یا لایه 2 Flat Network میگوییم.و اشاره کردیم در این Network ها Routing صورت نمیگیرد و در رابطه با VLAN صحبت کردیم.
در شبکه های Enterprise یا Medium با بیش از 100 کامپیوتر نیازمند VLAN هستیم.
VLAN تفکیک کننده Broadcast-Domain در شبکه مجموعه ایی از Device هاست که در Layer2 میتوانند MAC و Frame همدیگر را ببینند.
هر VLAN برای ارتباط با VLAN دیگر نیاز مند یک Device لایه3 مثل Router یا Switch لایه 3 مثل Cisco Catalyst 3750 هست.
برای راه اندازی VLAN کافیست در Switch پورت های مربوطه را عضو VLAN ایی که ساختیم کنیم.
مثلا شبکه ایی دارای 200 کامپیوتر است و میتوان 4 تا VLAN که هر VLAN دارای 50 Node میابشد تقسیم بندی کنیم با قانون فرضا 24/ یا Subnet-Mask 255.255.255.0
براین اساس هر VLAN یک شبکه IP یا به اصطلاح Subnet است.
برای پیاده سازس VLAN در Switch های Cisco از فرامین زیر استفاده میکنیم:
Switch# Conf t
Switch(config) # vlan 10
Switch(config-vlan)# name departeman IT
Switch(confi-vlan)#end
برای اختصاص Port به VLAN موردنظر از فرامین ریز استفاده میکنیم:
Switch(config-if)#switchport access vlan vlan id
Switch(config)# interface fastethernet 0/1
Switch(config-if)#switchport access vlan 10
برای راه اندازی VLAN روی Platform هایی نظیر HP-Procurve نیز مبنای کاری همان است ولی Command ها تغییر پیدا میکنند که در اینده در رابطه با Config سوییچ های HP نیز بحث خواهیم کرد.
نویسنده : مهندس مجتبی مددی چلیچه
منبع: پایگاه اطلاع رسانی پلیس فتا
