VLAN چیست، چگونه کار می‌کند و پیکربندی می‌شود

VLAN چیست؟

شبکه محلی مجازی یا همان VLAN) Virtual LAN) عبارت است از سابنتی (زیرشبکه‌ای) که می‌تواند مجموعه‌هایی از دستگاه‌ها در شبکه‌های محلی فیزیکی (LAN) جدا را گروه‌بندی کند. شبکه محلی یا LAN عبارت است از گروهی از کامپیوترها و دستگاه‌ها که از خط ارتباطی یا لینک بی‌سیم مشترک به سرور مورد نظر در یک ناحیه جغرافیایی یکسان استفاده می‌کنند. هدف اصلی VLAN در واقع ایجاد برودکست دامینی است که از طریق اختصاص یک یا چند پورت سوئیچ تعریف می‌شود. کلیه ترافیک یونیکست، برودکست و مالتی‌کست محدود به VLAN می‌شوند و، از این رو، مصرف پهنای باند کاهش می‌یابد.

ادمین‌های شبکه با استفاده از VLAN می‌توانند راحت‌تر یک شبکه سوئیچ‌شده واحد را برای برآورده کردن لازمه‌های کاربردی و امنیتی سیستم‌شان پارتیشن‌بندی یا تقسیم کنند بدون این که لازم باشد کابل‌های جدید بکشند یا تغییرات بزرگی در زیرساخت شبکه فعلی‌شان ایجاد کنند. غالباً شرکت‌های بزرگ‌تر به منظور پارتیشن‌بندی مجدد دستگاه‌‌ها برای مدیریت ترافیک بهتر از VLAN استفاده می‌کنند.

یکی دیگر از دلایل اهمیت شبکه‌های محلی مجازی (VLAN) این است که می‌توانند با گروه‌بندی دستگاه‌هایی که مرتب با هم در ارتباطند به بهبود کلی عملکرد شبکه کمک کنند. شبکه محلی مجازی همچنین، با امکان‌پذیر ساختن کنترل بیشتر روی دسترسی دستگاه‌ها به یکدیگر، امنیت بیشتر در شبکه‌های بزرگ‌تر را فراهم می‌سازد. VLANها معمولاً انعطاف‌پذیرند چون، به جای اتصالات فیزیکی، مبتنی بر اتصالات منطقی‌اند.

یک یا چند سوئیچ شبکه ممکن است از چند VLAN مستقل پشتیبانی کنند، که پیاده‌سازی لایه ۲ (دیتا لینک) سابنت‌ها را نتیجه می‌دهد. دستگاه‌های VLAN در دامین برودکست یکسان گروه‌بندی می‌شوند. هر VLAN معمولاً متشکل از یک یا چند سوئیچ شبکه است.

توپولوژی زیر شبکه‌ای با کلیه هاست‌ها در داخل یک VLAN را نشان می‌دهد:

VLAN چیست

بدون VLAN، برودکست ارسالی از هاست A به همه دستگاه‌های شبکه ارسال خواهد شد. با قرار دادن اینترفیس‌های Fa0/0 و Fa0/1 هر دو سوئیچ در VLAN جداگانه، برودکست ارسالی از هاست A فقط به هاست B ارسال خواهد شد، چون هر VLAN دامین برودکست جداگانه‌ای است و فقط هاست B درون VLAN یکسان با هاست A است. هاست‌های VLAN3 و VLAN5 حتی متوجه هم نمی‌شوند که چنین ارتباطی برقرار شده است. شکل زیر را ببینید:

VLAN‌ چیست

توجه: برای اینکه هاست‌ها به VLAN دیگری دسترسی پیدا کنند، روتر نیاز است.

پورت‌های دسترسی و ترانک (Access Port & Trunk Port)

هر پورت سوئیچ را می‌توان یا به صورت پورت دسترسی یا پورت ترانک پیکربندی کرد. پورت دسترسی پورتی است که می‌توان به یک VLAN واحد متصل کرد. این نوع اینترفیس روی پورت‌هایی از سوئیچ پیکربندی می‌شوند که به دستگاه‌هایی با کارت شبکه عادی (برای مثال هاست در شبکه) متصلند. اینترفیس ترانک اینترفیسی است که به سوئیچ دیگری متصل می‌شود. این نوع اینترفیس می‌تواند ترافیک چند VLAN را جابجا کند.

در شبکه نمونه بالا، لینک بین SW1 و SW2 به صورت اینترفیس ترانک پیکربندی می‌شود. سایر پورت‌های سوئیچ به دستگاه‌های کاربر نهایی متصل می‌شوند، بنابراین، باید به صورت پورت‌های دسترسی پیکربندی شوند.

انواع VLAN

انواع VLAN عبارت است از مبتنی بر پروتکل (Protocol-based)، استاتیک و دینامیک.

  • شبکه محلی مجازی مبتنی بر پروتکل در واقع بر اساس پروتکلش ترافیک را مدیریت می‌کند. سوئیچ ترافیک را بر اساس پروتکل ترافیک تفکیک یا ارسال می‌کند.
  • در شبکه محلی مجازی استاتیک، که VLAN مبتنی بر پورت هم نامیده می‌شود، ادمین شبکه باید پورت‌های سوئیچ شبکه را به شبکه مجازی تخصیص بدهد.
  • در شبکه محلی مجازی دینامیک، ادمین شبکه فقط می‌تواند بر اساس ویژگی‌های دستگاه عضویت شبکه را تعریف کند و مکان پورت سوئیچ را نمی‌تواند تعیین کند.

نحوه کار VLAN

پورت‌های (اینترفیس‌های) سوئیچ را می‌توان به یک یا چند VLAN تخصیص داد. به این ترتیب، سیستم‌ها را می‌توان به گروه‌های منطقی تقسیم کرد و قوانینی تعیین کرد که مشخص می‌کنند چطور سیستم‌های موجود در گروه‌های مختلف مجاز به ارتباط به یکدیگرند. این گروه‌ها از گروه‌های ساده و عملی (کامپیوترهای موجود در یک VLAN می‌توانند پرینتر موجود در آن VLAN را ببینند، اما کامپیوترهای خارج از VLAN‌ نمی‌توانند) تا گروه‌های پیچیده و حقوقی (برای مثال، کامپیوترهای موجود در دپارتمان‌های بانکداری نمی‌توانند با دپارتمان‌های بازرگانی در تعامل باشند) متغیرند.

هر VLAN دسترسی دیتا لینک به همه هاست‌های متصل به پورت‌های سوئیچ پیکربندی‌شده با شناسه VLAN یکسان را فراهم می‌سازد. تگ VLAN فیلدی ۱۲ بیتی در هدر اترنت است که از ۴۰۹۶ VLAN در هر دامین سوئیچینگ پشتیبانی می‌کند. تگ‌گذاری VLAN در IEEE 802.1Q استانداردسازی شده است و اغلب Dot1Q نامیده می‌شود.

وقتی فریمی بدون تگ از هاستی متصل دریافت می‌شود، تگ VLAN ID پیکربندی‌شده در آن اینترفیس با استفاده از فرمت 802.1Q به هدر فریم دیتا لینک اضافه می‌شود. سپس، فریم 802.1Q به مقصد ارسال می‌شود. هر سوئیچ از تگ برای جدا نگه داشتن ترافیک VLAN از سایر VLANها استفاده می‌کند، و فقط آن را به جایی ارسال می‌کند که VLAN پیکربندی شده است. لینک‌های ترانک بین سوئیچ‌ها چند VLAN را با استفاده از تگ برای جدا نگه داشتن‌شان از هم مدیریت می‌کنند. وقتی فریم به پورت سوئیچ مقصد می‌رسد، قبل از اینکه فریم به دستگاه مقصد انتقال یابد، تگ VLAN از آن حذف می‌شود.

چند VLAN را می‌توان با استفاده از پیکربندی ترانک روی یک پورت واحد پیکربندی کرد، که در آن هر فریم ارسال‌شده از طریق این پورت با VLAN ID تگ‌گذاری می‌شود. اینترفیس دستگاه مجاور، که ممکن است روی سوئیچ دیگر یا هاستی که از تگ‌گذاری 802.1Q پشتیبانی می‌کند باشد، باید برای انتقال و دریافت فریم‌های تگ‌شده از پیکربندی حالت ترانک پشتیبانی کند. هر فریم اترنت بدون تگ به یک VLAN پیش‌فرض تخصیص داده می‌شود، که در پیکربندی سوئیچ قابل تعیین است.

وقتی سوئيچی که روی آن VLAN تنظیم شده است فریم اترنت بدون تگ از هاست متصل دریافت می‌کند، تگ VLAN اختصاص‌یافته به اینترفیس اینگرس (ingress – درونی) را اضافه می‌کند. این فریم به پورت هاست با آدرس مک مقصد ارسال می‌شود. برودکست، یونیکست نامشخص و مولتی‌کست (ترافیک BUM) به همه پورت‌ها در VLAN ارسال می‌شود.

پیکربندی VLAN

به طور پیش‌فرض، همه پورت‌های سوئیچ در VLAN 1 هستند. برای بررسی این موضوع می‌توانید فرمان show vlan را در IOS سیسکو در حالت فعال (enable mode) سوئیچ اجرا کنید:

پیکربندی VLAN

در تصویر بالا، می‌بینید که همه ۲۴ پورت سوئیچ در VLAN یکسان، با نام VLAN 1، هستند.

برای ایجاد VLAN و اختصاص پورت سوئیچ به VLAN، دو مرحله باید طی شود:

  1. ایجاد VLAN با استفاده از فرمان vlan NUMBER در حالت گلوبال (global mode)؛ مثلاً vlan 12
  2. تخصیص پورت به VLAN‌ مورد نظر با استفاده از دو فرمان اینترفیس. اولین فرمان عبارت است از switchport mode access، که معین می‌کند اینترفیس از نوع دسترسی است. دومین فرمان عبارت است از switchport access vlan NUMBER، که این اینترفیس را به VLAN مورد نظر تخصیص می‌دهد؛ مثلاً switchport access vlan 12.

در ادامه مثالی از تخصیص VLAN 2 به اینترفیس مورد نظر را می‌بینید:

پیکربندی VLAN

اولین فرمان (vlan 2) در واقع VLAN 2 را ایجاد می‌کند. سپس وارد حالت اینترفیس Fa0/1 شده‌ایم و اینترفیس را به صورت اینترفیس دسترسی که به VLAN 2 تعلق دارد پیکربندی کرده‌ایم. برای بررسی این موضوع، می‌توانیم دوباره از فرمان show vlan استفاده کنیم:

پیکربندی VLAN

پیکربندی پورت‌های دسترسی و ترانک (Access Port & Trunk Port)

برای اینکه اینترفیسی را روی حالت اینترفیس دسترسی پیکربندی کنیم، فرمان اینترفیس switchport mode access را به کار می‌بریم. این نوع اینترفیس را فقط می‌توان به یک VLAN واحد اختصاص داد.

برای اینکه اینترفیسی را روی حالت اینترفیس ترانک پیکربندی کنیم، فرمان اینترفیس switchport mode trunk را به کار می‌بریم. این نوع اینترفیس می‌تواند ترافیک چند VLAN را جابجا کند.

با مثال زیر می‌توانید این مفهوم را بهتر درک کنید.

پیکربندی VLAN

هاست A و هاست B در VLANهای مختلف، یعنی VLAN 1 و VLAN 2 هستند. این پورت‌ها باید به صورت پورت دسترسی پیکربندی شوند و با استفاده از فرمان‌های زیر به VLAN مربوطه‌شان تخصیص یابند:

پیکربندی VLAN

چون لینک بین SW1 و SW2 باید ترافیک چند VLAN را جابجا کند، باید به صورت اینترفیس ترانک پیکربندی شود. این کار با استفاده از فرمان‌های زیر هم در SW1 و هم در SW2 صورت می‌گیرد:

در SW1:

پیکربندی VLAN

در SW2:

پیکربندی VLAN

حالا لینک بین SW1 و SW2 می‌تواند ترافیک را از هر دوی VLAN1 و VLAN2 جابجا کند. با استفاده از فرمان show interface Fa0/3 switchport در SW1 می‌توانید بررسی کنید که آیا اینترفیس مورد نظر از نوع ترانک هست یا خیر.

پیکربندی VLAN

توجه: شبکه VLAN1 لازم نیست ایجاد شود، این VLAN به طور پیش‌فرض وجود دارد. همچنین، به طور پیش‌فرض، همه پورت‌ها در VLAN1 هستند، بنابراین Fa0/1 نیازی به فرمان switchport access vlan 1 ندارد.


منابع: https://study-ccna.com/what-is-a-vlan/ | https://searchnetworking.techtarget.com/definition/virtual-LAN

 

اشتراک‌گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *