VLAN چيست؛ آموزش VLANing در سوئيچ سيسكو

معرفي محصولات شبكه

VLAN چيست؛ آموزش VLANing در سوئيچ سيسكو

شنبه ۱۸ دی ۰۰ | ۱۴:۳۵ ۳۰ بازديد

VLAN چيست

VLAN چيست؟

VLAN مخفف Virtual Local Area Network در واقع يك LAN مجازي است كه شامل مجموعه اي از پورت هاي يك سوئيچ شبكه يا تعدادي سوئيچ مي باشد كه از لحاظه منطقي در يك Broadcast Domain مستقل قرار دارند. بنابراين هدف از ايجاد VLANها، جدا كردن محدوده Broadcast Domain ها مي باشد. در واقع اگر بخواهيم Broadcast گروهي از PC ها را به گروهي ديگر در LAN و در سوئيچ و يا سوئيچ هاي لايه 2 محدود كنيم، بايد از VLAN ها استفاده نماييم.

البته VLAN بندي محدود به شبكه‌هاي محلي و سوييچ‌ها نيست و اين امكان وجود دارد كه شبكه‌هاي بزرگ‌تر مجازي را نيز با هدف مديريت دقيق ترافيك به گروه‌هاي منطقي مختلفي تقسيم كرد. اين مكانيزم گروه‌بندي كه VXLAN به معناي شبكه محلي گسترش‌پذير مجازي نام دارد منعطف‌تر از VLAN است، زيرا با محدوديت ۴۰۹۶ زيرشبكه روبرو نيست و سرپرست شبكه مي‌تواند به هر تعدادي كه نياز دارد شبكه منطقي مجازي پياده‌سازي كند.

انواع VLAN:  

ـ end to end vlan: در اين حالت اعضاي هر VLAN در سرتاسر شبكه پراكنده هستند. اين حالت براي اشتراك منابع و اعمال سياست ها و پراكندگي ميزبان مورد استفاده قرار مي گيرد. در اين حالت خطايابي پيچيده تر مي باشد چون ترافيك VLANهاي مختلف در سراسر شبكه در حال انتقال است.

ـ local vlan: در اين حالت ميزبان ها براساس موقعيت فيزيكي خود در VLANها قرار مي گيرند.به طور مثال يك طبقه از يك ساختمان اين طراحي مقياس پذيرتر و خطايابي در ان ساده تر مي باشد چون نحوي جريان ترافيك مشخص است. براي اشتراك منابع در اين روش نياز routing داريم.

 

 روش هاي عضويت در VLAN:  

عضويت در VLAN به طريق ايستا (Static) و پويا (Dynamic) صورت مي گيرد:

 

  • Static VLAN: به عنوان VLAN مبتني بر پورت يا port-based معرفي مي شود. وظايف استاتيك VLAN با اختصاص پورت به VLAN ايجاد مي شود. با ورود يك دستگاه به شبكه، آن دستگاه بطور خودكار عضو VLAN پورت فرض مي شود. اگر كاربر پورت ها را تغيير دهد و نياز داشته باشد به همان VLAN دسترسي پيدا كند، سرپرست شبكه بايد براي اتصال جديد تعريف پورت به VLAN را انجام دهد.

  • Dynamic VLAN: با استفاده از نرم افزار يا بصورت پروتكل ايجاد مي شوند. با يك VLAN Management Policy Server (VMPS)، يك مدير مي تواند پورت هاي سوئيچ را به VLAN بر اساس اطلاعاتي نظير MAC Address دستگاه متصل شده به پورت يا نام كاربري مورد استفاده جهت لاگين شده به آن دستگاه تعيين كند. با ورود دستگاه به شبكه، سوئيچ از يك پايگاه داده براي عضويت VLAN به پورتي كه دستگاه به آن متصل شده است، بررسي هاي لازم را انجام مي دهد. متدهاي پروتكل شامل Multiple VLAN Registration Protocol (MVRP) و تا حدودي روش منسوخ شده GARP VLAN Registration Protocol (GVRP) مي باشد.

 

Broadcast Domain چيست؟

يك شبكه كاملاً لايه 2 به يك شبكه Flat يا Flat Network Topology معروف است. در اين شبكه از يك رنج آدرس استفاده مي شود. پس اين شبكه فاقد Subnet هاي مختلف بوده و به طبع آن بين قسمت هاي مختلف Routing صورت نمي گيرد. پيام Braodcast يك دستگاه به همه نودهاي در شبكه مي رسد. اين مدل براي شبكه هاي بزرگ و متوسط پيشنهاد نمي شود. در شبكه هاي متوسط و بزرگ كه بيشتر از 100 كامپيوتر دارند، توصيه مي شود تا توسط ايجاد VLAN شبكه را به شبكه هاي كوچكتري تبديل كنيم كه به هر يك از اين ناحيه ها اصطلاحاً يك Broadcast Domain مي گويند.

VLAN تفكيك كننده Broadcast Domain در شبكه و متشكل از گروهي از دستگاه ها است كه در لايه 2 به يكديگر متصل اند و مي توانند در لايه دو MAC و فريم هاي همديگر را ببينند. هر VLAN كاملا مجزا و توسط روتر يا يك سوئيچ لايه 3، در نقاطي نظير VLAN Core ها به يكديگر Route مي شوند تا بتوانند با يكديگر ارتباط برقرار كنند، اما در عين حال Broadcast هاي آنها به يكديگر نمي رسد.

به وسيله ايجاد VLAN، مي توان شبكه اي كاملاً مستقل ايجاد كرد كه Broadcast Domain خود را داشته باشد و فريم ها تنها داخل خود VLAN رد و بدل شوند. ترافيك به گونه اي تفكيك خواهد شد كه گويي شبكه اي مجزا با كابل و سوئيچ مستقل، يك LAN جداگانه اي را تشكيل داده است.

كافيست در سوئيچ، پورت ها را به شماره VLAN مورد نظر ربط دهيم. مثلا شبكه 300 كامپيوتري خود را به سه VLAN هر يك حاوي 100 دستگاه با آدرس شبكه مجزاي 25/ تقسيم مي كنيم.

Subnet mask:255.255.255.128=/25 (128 IP Addresses)

 

مزاياي VLAN بندي شبكه:

به‌طور معمول سازمان‌ها و شركت‌هاي بزرگ به دلايل زير از شبكه‌هاي محلي مجازي يا VLAN استفاده مي‌كنند:

  • شبكه VLAN مي‌تواند تعداد دامنه‌هاي پخشي را زياد كند.
  • شبكه VLAN ريسك‌ امنيتي را با كاهش تعداد ميزبان‌هايي كه يك كپي از فريم‌هايي سوييچ دريافت مي‌كنند را كاهش مي‌دهد كه در عمل شانس پياده‌سازي موفقيت‌آميز حمله‌هاي DDoS بر عليه شبكه سازماني را كم مي‌كند.
  • امكان ايزوله‌سازي ميزبان‌هايي كه اطلاعات حساسي را نگه‌داري مي‌كنند فراهم مي‌شود. به‌طوري كه مي‌توان اين ميزبان‌ها را روي شبكه VLAN خاصي قرار داد.
  • گروه‌بندي كاربران وابسته به موقعيت مكاني نيست و مي‌توان بر مبناي نقش و واحدي كه مشغول به كار در آن هستند گروه‌بندي را انجام داد. به‌طور مثال، كارمندان حسابداري را در يك گروه منطقي و كارمندان كارگزيني را در گروه ديگري قرار داد.

 

معايب VLAN بندي شبكه: 

  • اگر VLAN بندي به درستي صورت نگيريد يك بسته مي تواند از يك VLAN به ديگري نشت كند.
  • بسته اطلاعاتي ممكن است منجر به حمله سايبري شود.
  • داده ها ممكن است يك ويروس را از طريق يك شبكه منطقي كامل منتقل كند.
  • براي كنترل حجم كار در شبكه هاي بزرگ به يك روتر اضافي نياز داريد.
  • در زمينه همكاري با مديران شبكه و عوض كردن متخصصين شبكه در زمان‌هاي مختلف با مشكلاتي زيادي روبرو خواهيد شد.
  • يك VLAN نمي تواند ترافيك شبكه را به ساير VLANها ارسال كند.

 

مقايسه VLAN و Subnet:

Subnet يا زير شبكه به فرآيند تقسيم يك شبكه بزرگ به چند شبكه كوچك گفته مي شود كه هدف از اين كار كاهش ترافيك شبكه، بهبود عملكرد، بهينه‌سازي و مديريت ساده‌تر شبكه است. بزرگ‌ترين مشكلي كه روش subnet دارد اين است كه فرآيند مسيريابي را پيچيده‌تر مي‌كند. اصلي‌ترين دليل كه باعث مي‌شود سازمان‌ها از رويكرد زيرشبكه‌سازي استفاده كنند به‌كارگيري بهينه آدرس‌هاي IP است كه خود مقوله مفصل و پيچيده‌اي است. حال بريم سراغ تفاوتي كه VLAN با Subnet دارد:

  • VLAN قابليت تفكيك Subnet را فراهم مي‌كند، به‌طوري كه امكان تخصيص دستگاه‌هاي محدود به Subnet وجود دارد.
  • يك Subnet را مي‌توان به يك VLAN اختصاص داد. البته اين امكان وجود دارد كه بيش از يك Subnet را به يك VLAN تخصيص داد، اما رويكرد فوق پيچيدگي طراحي را بيش از اندازه زياد مي‌كند.
  • هنگامي كه قصد استفاده از فناوري‌هايي نظير MPLS را داريم، به‌كارگيري Subnet هاي بيشتر بهتر از VLAN است، زيرا MPLS براي بهبود عملكرد و افزايش سرعت ميان‌برهايي ميان آدرس‌هاي آي‌پي Subnet ها ايجاد مي‌كند.
  • VLANها هنگامي كه مي خواهيم در محدوده گسترده‌اي ارتباط ميان چند ساختمان را با يكديگر برقرار كنيم (به‌طور مثال در محيط‌هاي دانشگاهي) عملكرد بسيار خوبي دارد.

 VLAN ID چيست؟

هر VLAN يك شماره يا اصطلاحاً VLAN ID دارد و به وسيله آن شماره صدا زده مي شود. حتي مي توان به آن نامي اختصاص داد. در كل مي توان به تعداد 2 به توان 12 يعني 4096 عدد VLAN بر روي يك سوئيچ تعريف نمود كه به صورت ويژه از4096 عدد از 4096 تا از VLAN ها استفاده مي شود و دو VLAN يعني 0 و 4096 كه براي سيستم فقط استفاده مي شوند و رزور شده اند شما نمي توانيد اين VLAN ها را ببينيد يا از آنها استفاده كنيد.

VLAN ها به سه دسته تقسيم مي شوند:

  • VLAN هاي رنج نرمال يا استاندارد با VLAN ID بين 1 تا 1005 كه از VLAN 1 به Native VLAN يا VLAN Default اختصاص داده شده است و VLAN هاي 1002 تا 1005 نيز براي FDDI و Token ring از پيش رزرو شده اند. توجه داشته باشيد كه مي توانيد از VLAN 1 استفاده كنيد ولي قادر به حذف آن نيستيد، به علاوه شما نمي توانيد VLAN هاي 1002 تا 1005 را نيز حذف كنيد.
  • VLAN هاي Extended با VLAN ID بين 1006 تا 4096
  • VLAN هاي بدون VLAN ID

 

فرآيند ارسال اطلاعات در VLAN :

هنگامي كه يك شبكه محلي مجازي را پياده سازي مي‌كنيد، تمامي فريم‌هاي منتشر شده توسط كلاينت‌هاي عضو يك VLAN تنها بين پورت‌هاي همان شبكه محلي مجازي توزيع مي‌شود، بنابراين پهناي باندي كه تجهيزات عضو يك گروه منطقي دريافت مي‌كنند محدود به ظرفيتي است كه گروه دريافت مي‌كند. اين كار يك مزيت مهم دارد كه مانع از آن مي‌شود تا كلاينتي بيش از اندازه از پهناي باند شبكه استفاده كند و علاوه بر اين شناسايي تجهيزات شبكه اي كه پهناي باند شبكه را زياد مصرف‌ مي‌كنند ساده خواهد بود.

عملكرد شبكه محلي مجازي شباهت زيادي به شبكه محلي فيزيكي دارد، اما به ميزبان‌ها اجازه مي‌دهد در حوزه پخشي يكساني با يكديگر گروه‌بندي شوند، حتا اگر به سوييچ‌هاي يكساني متصل نشده باشند. در شكل زير توپولوژي شبكه‌اي را مشاهده مي‌كنيد كه ميزبان‌ها درون شبكه محلي واحدي قرار دارند. در تصوير زير هنگامي كه پيامي از نوع فراگير (Broadcast) از ميزبان A ارسال مي‌شود، تمامي دستگاه‌ها آن‌را دريافت مي‌كنند. اگر به مسير فلش‌ها دقت كنيد مشاهده مي‌كند كه پيام‌ها توسط دستگاه‌هاي ديگر نيز دريافت مي‌شود.

 

حذف VLAN در سوئيچ سيسكو:

يكي از مشكلاتي كه برخي سرپرستان شبكه هنگام كار با سوييچ هاي سيسكو و به ويژه VLAN روبرو هستند، نحوه حذف تنظيمات ذخيره شده در startup configuration و نحوه حذف تنظيمات VLAN در سوئيچ سيسكو است كه دو مقوله جدا از هم هستند.

توجه كنيد با حذف startup configuration، تمامي پورت‌هاي سوئيچ كه عضو VLANهاي ديگري هستند از شبكه‌هاي محلي مجازي حذف مي‌شوند و به VLAN پيش‌فرض خود سوئيچ انتقال پيدا مي‌كنند، اما خود VLANهاي ساخته حذف نمي‌شوند و بايد به شكل دستي آن‌ها را حذف كنيد.

اطلاعات VLAN در يك فايل به‌نام vlan.dat ذخيره مي‌شوند كه محل آن در حافظه Flash سوئيچ است. اگر دستور show flash را در وضعيت privilege اجرا كنيد، اين فايل را مشاهده مي‌ كنيد. البته دقت كنيد اين اطلاعات تنها زماني نشان داده مي‌ شوند كه روي سوئيچ يك VLAN ساخته باشيد، در غير اين صورت اطلاعات عادي سوييچ نشان داده مي‌شوند.

به‌طور مثال، فرض كنيد يك سوئيچ دست دوم خريداري كرده‌ايد و قبل از استفاده از اين سوئيچ در شبكه خود، قصد داريد همه تنظيمات سوييچ كه شامل vlanهاي ساخته شده در سوييچ مي‌شوند را حذف كنيد. انجام اين‌كار فرايند ساده‌اي است و تنها كاري كه بايد انجام دهيد حذف تنظيمات ذخيره شده در startup-configuration و راه اندازي سوئيچ است.

دستور حذف vlan در سيسكو دستور زير است كه بايد در وضعيت privilege آن را اجرا كنيد:

Switch#erase startup-config

با اجراي اين دستور، پيغامي مبني بر حذف پيكربندي‌ها نشان داده مي‌شود كه بايد كليد اينتر را فشار دهيد. لازم به توضيح است كه براي اين‌منظور ios سوييچ نيز حذف مي‌‌شود.

?Erasing the nvram filesystem will remove all configuration files! Continue

[confirm]

[OK]

Erase of nvram: complete

همان‌گونه كه مشاهده مي‌كنيد تمامي تنظيمات از nvram حذف شدند، با اين‌حال در runing-config اين تنظيمات در حافظه فعال وجود دارند. تنها كاري كه بايد انجام دهيد راه‌اندازي سوييچ است تا همه چيز پاك شود. براي اين‌كار دستور reload را اجرا كنيد تا سوئيچ ريستارت شود.

Switch#reload

اكنون زمان آن رسيده تا شبكه‌هاي محلي ساخته شده را حذف كنيم، اگر دستور زير را اجرا كنيد، مشاهده مي‌كنيد كه شبكه‌هاي محلي مجازي روي سوييچ وجود دارند.

Switch#show vlan brief

هنگامي كه مراحل بالا را اجرا كنيد، مشاهده مي‌كنيد كه پورتي مرتبط با شبكه‌هاي محلي مجازي نيست، اما شبكه‌هاي محلي مجازي حذف نشده‌اند. با اجراي دستور show vlan brief، تعداد شبكه‌هاي محلي مجازي پيكربندي شده روي سوييچ را مشاهده مي‌كنيد. همان‌گونه كه اشاره كرديم، اين شبكه‌هاي محلي مجازي در فايلي به‌نام vlan.dat كه در فلش است ذخيره مي‌شود. اكنون كافي است دستور show flash را اجرا كنيد.

:Switch#show flash

/:Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

rw-         616            vlan.dat-

۶۴۰۱۶۳۸۴ bytes total (59600847 bytes free)

شما مي‌توانيد اين فايل از حافظه flash سوئيچ حذف و سوئيچ را reload كنيد تا vlan ها حذف شوند. براي اين منظور از دستور زير استفاده كنيد.

Switch#delete vlan.dat

با اجراي دستور فوق، دو پيغام تاييد حذف زير را تاييد كنيد تا فايل vlan.dat حذف شود.

?Delete filename [vlan.dat]

Delete flash:/vlan.dat? [confirm]

اگر يكبار ديگر دستور Show flash را اجرا كنيد، مشاهده مي‌كنيد كه ديگر فايل vlan.dat وجود ندارد.

Switch#sh flash

:/Directory of flash

rw-     4414921            c2960-lanbase-mz.122-25.FX.bin-

۶۴۰۱۶۳۸۴ bytes total (59601463 bytes free)

در نهايت دستور reload را اجرا كنيد تا سوئيچ راه‌اندازي شود. بعد از بارگذاري كامل ميان‌افزار اگر يكبار ديگر دستور show vlan brief را اجرا كنيد، مشاهده خواهيد كرد كه تمامي vlan ها حذف شده‌اند.

 

حذف يك پورت از VLAN در سوئيچ:

فرض كنيد قصد داريم پورت ۱۱ از VLAN 4 كه روي سوييچ (Device-A) نشان داده شده در شكل زير قرار دارد را حذف كنيم.

اين كار در چهار مرحله به شرح زير انجام مي‌شود:

1ـ با وارد كردن دستورات زير به حالت پيكربندي سراسري در سوييچ دسترسي پيدا كنيد.

device-A> enable

…No password has been assigned yet

device-A# configure terminal

device-A(config)#

2ـ با وارد كردن دستور زير به سطح cli براي پيكربندي vlan 4 مبتني بر پورت مذكور دسترسي پيدا كنيد.

device-A(config)# vlan 4

3ـ دستور زير را براي حذف پورت ۱۱ از vlan 4 وارد مي كنيم.

device-A(config-vlan-4)# no untagged ethernet 11

deleted port ethernet 11 from port-vlan 4

4ـ دستورات زير را براي خروج از حالت پيكربندي vlan و ذخيره پيكربندي در فايل پيكربندي سيستم اجرا مي‌كنيم.

device-A(config-vlan-4)# end

 

device-A# write memory

VLANs IEEE 802.1Q چيست؟

پروتكل 802.1Q از quality of service (QoS) و Virtual LAN (VLAN) در هنگام حركت ترافيك در شبكه اترنت پشتيباني مي كند. پروتكل 802.1Q يكي از پروتكل هاي برچسب گذاري(تگ گذاري) VLAN است كه توسط سوئيچ هاي سيسكو پشتيباني مي شود. اين استاندارد توسط موسسه مهندسان برق و الكترونيك (IEEE) ايجاد شده است، بنابراين يك استاندارد عمومي است و مي تواند در سوئيچ هاي غير سيسكو نيز استفاده شود.

 VLAN ها براي تقسيم broadcast domain در لايه 2(Data Link) استفاده مي شوند. يك شبكه محلي  مجازي است كه براي انتقال داده ها به جاي شبكه فيزيكي خود از LAN ديگري استفاده مي كند. پروتكل 802.1Q به اندازه فريم اترنت اجازه مي دهد تا چهار بايت به محدوده 68 تا 1522 بايت اضافه كند. اين افزايش اندازه، به دليل درج يك برچسب VLAN چهار بايتي در فريم است. برچسب ها، كه شامل شناسه VLAN (VID) است، توسط آدرس MAC به هر فريم اترنت متصل مي شوند. اين VID 12 بيتي به هر VLAN اختصاص داده شده است و 4094 شناسه براي استفاده در دسترس است.

از trunk براي رد و بدل كردن ترافيك VLAN بين سوئيچ ها استفاده مي شود. سوئيچ ها را مي توان از طريق پورت trunk به يكديگر متصل كرد. هنگامي كه از ترانك استفاده مي شود، دستگاه متصل فريم هاي اترنت داراي برچسب را دريافت مي كند. استاندارد 802.1Q از پيكربندي منحصر به فرد VLAN هاي جداگانه پشتيباني مي كند.

 

 VLAN Trunking چيست؟

حال كه، متوجه شديد VLAN چيست، به موضوع ديگري مي پردازيمزماني كه بسته اي بخواهد، از يك vlan به vlan ديگري ارسال شود، يك برچسب با عنوان tag، روي آن مي خورد كه، هويت بسته مشخص شوداين برچسب مشخص مي كند كه، بسته از كدام vlan ارسال شده استپورت هاي سيسكو، بايد عضو ترانك يا اكسس باشند، غير از اين دو مورد وجود نداردبراي پورت هايي كه، در يك vlan هستند، بايد از پورت اكسس استفاده كردولي براي اينكه ترافيك تمام vlan ها عبور داده شود، بايد از پورت trunk استفاده كرد.

روي هر سوئيچ يك  vlan به صورت پيش فرض، و از قبل آماده شده وجود دارد كه، شماره اين vlan برابر با يك مي باشداين پورت، با نام native vlan شناخته شده استاگر شما پورتها را، به صورت مجزا عضو vlan ديگري نكنيدهمه ي آنها جزو native هستندو ويژگي اين پورت native اين مي باشد كه، بسته ها بدون tag ارسال مي شوند، و نيازي به ساخت header نمي باشدبه آنها پورتهاي untagged هم گفته مي شود

يكي از پروتكل هاي vlan، بنام vtp مي باشدشما زماني كه، مي خواهيد بين دو سوئيچ مختلف، ارتباط برقرار كنيد، بايد از اين پروتكل استفاده كنيداين پروتكل سه حالت مختلف دارد: client،server، transparent با توجه به اين ويژگي، مي توان يك يا چند سوئيچ را، در حالت server قرار دادو تنظيمات مشخص را، روي سوئيچ مورد نظر انجام داد

سپس با فعال كردن پروتكل vtp، تمامي اين تنظيمات بر سوئيچ هاي client، نيز اعمال خواهد شدتمام اين تغييراتي كه، بر روي سوئيچ سرور انجام مي شود، revision number  آن تغيير مي كند، و اين عدد براي تمام اين سوئيچ هاي كلاينت نيز، ارسال مي شودبا هر تغيير در سوئيچ سرور، يك عدد به revision number اضافه مي شودسوئيچي كه، حالت transparent دارد، فقط اين تغييرات را ميگيرد، و به سوئيچ بعدي ارسال مي كند.

منبع : VLAN چيست

 

تا كنون نظري ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در مونوبلاگ ثبت نام کرده اید می توانید ابتدا وارد شوید.
سه شنبه ۱۶ اردیبهشت ۰۴

نويسندگان

آرشيو

برچسب ها

محبوب ترين مطالب

پربحث ترين مطالب

آخرين نظرات

تازه ترين مطالب

پربازديدترين مطالب

پيوندها

خلاصه آمار

  • مجموع نمایش‌ ۱۴,۵۹۵
  • مجموع بازدید ۹,۰۷۰
  • بازدید امروز ۱۱۶
  • بازدید دیروز ۱
  • مجموع مطالب ۲۵۸
  • مجموع نظرات ۵
  • افراد آنلاین ۱
مونو بلاگ : رسـانه وبلاگ نويسان حرفـه اي