باسمه تعالی


برگرفته از مجله علم الكترونيك و كامپيوتر شماره 377-گودرزي


Vlaning یکی از پرکاربردترین و جالبترین مسائل شبکه به شمار می آید در این مقاله سعی شده است مدیران و کاربران شبکه بامفاهيم و انواع متدها و روشهای اعمال آن بر روي شبكه آشنا شوند.

 

1)         مفهوم Vlan

2)         روش تشخیص Vlan در Switch

3)         اهداف Vlaning

4)         روشهای پیاده سازی Vlan

5)         Port security

6)         VTP

 

مقدمه:

شبکه های مجازی محلی را می توان زیر مجموعه شبکه های محلی دانست ،مجموعه هائی که هر کدام خود مشخصات یک شبکه محلی را بصورت کاملاً مجزا دارند.

 

Vlaning را مکمل عمل Sub Netting می دانند به عبارتی برای مجزا کردن واحدهای یک شرکت از یکدیگر بعد از عمل Sub Netting و تشخیص Range هر گروه کاری آنها را با Vlaning از یکدیگر جدا می سازند.

Vlaning یک مفهموم لایه دومي Data Link بشمار می رود و اعمال تنظیمات و setting آن بر روی Switch لایه 2 شبکه اعمال می شود به عبارت دیگر نمیتوان بر روی Switch لایه 3 Vlan (Network) ایجاد کرد دلیل این موضوع را می توان در تفاوت ساختار Switch لایه 2 و 3 جستجو کرد در گاههای (port) سوئیچ لایه 3 دارای IP Address هستند ولی یک Switch لایه 2 در تمام درگاههای (port) خود دارای (Mac)هستند و همین موضوع باعث شده تا اعمال Vlaning  به لایه 2 شبکه اختصاص یابد.به عبارتي ميتوان گفت سطح دسترسي به اطلاعات (Packe) مشخص كننده نوع سوئيچ است،در لايه دوم سوئيچ تا Mac Address را مي خواند ور لايه 3 سوئيچ با مفهوم IP Address آشنا شده است.در حقیقت یک سوئیچ لایه 3 را می توان یک Router با کمی امکانات اضافی دانست که همین موضوع باعث فزونی قیمت آنها نیست به Router ها شده است.

در عملیات Vlaning شکل مجازی شبکه سازمان را به قسمتها و واحدهای کوچکتر تقسیم می کنند و دسترسی هر گروه را به دیگر گروهها محدود می کنند. به طور کلی هدف از ایجاد Vlan را موارد ذیل می دانند.

 

الف) افزایش امنیت گروههای کاری سازمان : مشخص است که اگر دسترسی گروهها و بخشهای مختلف سازمان به یکدیگر محدود شود و نتوانند بسادگی به منابع هم دسترسی داشته باشند درحقیقت بر روی منابع سازمان یک پوشش امنیتی اعمال شده است.

 

ب ) جدا کردن گروههای کاری :

اگر از کارمندان یک سیستم دولتی باشید بطور حتم تاکنون با این مسئله روبرو شده اید که مسئولان یکی از واحدها ( معمولاً مالی و یا IT) مدعی می شود که اطلاعات واحد آنها محرمانه است و دیگر واحدها نباید دسترسی به آنها داشته باشند این مشکل را Vlan حل کرده است.

ج ) کم کردن ترافیک شبکه :

بطور کلی هر port یک Switch را یک Collision Domain    و کل port های آن را يك Broadcast domain می دانند.

منظور از Colision Domain محدوده ای که یک Collision ( تصادم بسته های اطلاعاتی ) شنیده می شود و منظور از Broadcast Domain منطقه ای است که برای ارسال اطلاعات همگانی،  بسته اطلاعات تا آنجا ارسال می شود واضح است که در یک Switch با 24 درگاه (port) محدوده انتشار بسته اطلاعاتی بسیار بزرگ است ولی پس از Vlan این محدوده به اندازه تعداد درگاههای عضو آن Vlan، کوچک می شود و همین موضوع باعث کم شدن ترافیک شبکه خواهد شد.

 

اعمال Vlaning :

پس از ساخت Vlan یک Switch بطور مجازی به تكه های مجزا تقسیم می شود که هیچکدام با دیگری مرتبط نیستند به عبارتی پس از اعمال Vlaning بر روی یک Switch  آن را به چند Switch مجزا تقسیم کرده ایم.

برای نمونه پس از Vlaning یک Switch 24 port را طوری تنظیم می کنید که port هائی با شماره (1 و 2 و 3 و 4) در یک Vlan با نام فرضی 10 و port های 5 تا 18 عضو Vlan دیگری با نام فرضی 20 و port های 19 تا 24 در یک حوزه مجزا با نام فرضی 30 فعالیت کنند در این حالت می توان گفت شبکه قبلی به 3 شبکه مجزا و کاملاً جدا از هم تقسیم شده اند ولی از آنجا که این تقسیم بصورت مجازی صورت گرفته این شبکه های کوچک را Vlan می گویند.

Vlan شماره 10 چهار کامپیوتر ، Vlan شماره 20 چهارده کامپیوتر و Vlan شماره 30 شش کامپیوتر را پشتیبانی می کند.

روش تشخیص این تقسیم بندی را جدول Camtable یا Mactable موجود در Switch مشخص می کند این جدول معمولاً دارای 3 ستون و به تعداد port خودش ردیف دارد در ستونها شماره port سوئیچ، Mac درگاه سوئیچ و شماره Vlan ذخیره می شود و به این ترتیب پس از روشن شدن کامپیوتر ، توسط این جدول Mac فعال شده بر روی Switch  شناسائی شده و مشخص می شود که این Mac جزء کدام Vlan قرار دارد.

 

در حال حاضر مسئله مدیران شبکه ها پرکردن این Camtable می باشد آنها گاهی مجبور می شوند ساعتها از وقت و زمان خود را صرف وارد کردن اطلاعات این جداول کنند مسلماً شبکه ای با صدها Switch را نمی توان بسادگی Vlaning کرد ، Vlaning به دو صورت استاتیک و Dynamic قابل پیاده سازی است.

در روش استاتیک مدیران مشخص می کنند که مثلاً فلان port در Vlan شماره 50 عضو است.

در روش Dynamic تمام سوئیچها به یک server متصل می شوند و یک فایل text را از روی آن می خوانند ، این فایل text (Access list) وضعیت هر Switch را مشخص می کند البته قابل ذکر است که مفاهیم استاتیک و Dynamic را می توان در حوزه Port security هم مطرح کرد.

 

منظور از port security کنترل در گاههای یک Switch با Mac  کارت شبکه کامپیوترهای متصل به آن می باشد.

این مبحث یکی از پولسازترین مباحث فعلی در شبکه ها بشمار می رود.

Port security بصورت Dynamic این امکان را فراهم می آورد تا هر یک از کامپیوترهای شبکه در هر کجا که به شبكه متصل شدند بصورت کاملاً اتوماتیک به همان Vlan خودشان متصل شوند.

برای نمونه شما یک کامپیوتر کیفی از واحد مالی در طبقه 7 دریافت می کنيد و آن را در طبقه 3 سازمان که واحد IT است به شبکه متصل می کنند ، Switch طبقه 3 شما را به Vlan مالی متصل می کند و حضور شما در طبقه 3 و واحد IT را نادیده می گیرد.

از جالبترین امکانات این سیستم اعمال تنبیهاتی برای کاربران مختلف است برای نمونه شما کابل شبکه میز روبروی خود  که از اینترنت با پهنای باند بیشتری برخوردار است را به کارت شبکه خود متصل می کنید بی خبر از اینکه مدیر شبکه تنظیماتی اعمال کرده که در صورت بروز چنین تخلفی Port سوئیچ  منتهی به pc شما را خاموش (Down) می کند و شما برای فعال شدن مجدد آن مجبور به تماس با وی هستید.

وجود این امکانات جذاب و متحیر کننده باعث شده تا مدیران شبکه به سمت کمک گرفتن از port security حرکت کنند ولی از آنجا که متخصصان ارائه دهنده این سرویس در کشور ما انگشت شمارند پیاده سازی آن کمی زمانبر شده است.

یکی دیگر از ابزارهائی که باعث سهولت در تنظیم Switch ها در Vlaning شده را (vista transformation pack)VTP می دانند.

 

از آنجا که در این مقاله قصد بازکردن VTP را نداریم تنها با مفهوم VTP بسنده می کنیم اصول کار VTP بدین شکل است که یکی از Switch ها را server معرفی می کنید و بقیه را client ، سوئیچهائی که در mode سرویس گیرنده (client) قرار دارند تنظیمات خود را از server می گیرند و مدیر شبکه تنها تنظیمات همان یک سوئیچ را Set  مي كند.یک Mode دیگر نيز وجود دارد که تنظیمات server را از خود عبور می دهد به عبارتی نه server  است  نه client و تنظیماتش را از مدیر سیستم می گيرد به این مدل سوئیچ Transparent می گویند.

نکته مهم در VTP این است که باید همواره امنیت server را مد نظر داشت چرا که اگر تنظیماتش به هر دلیل تغيير کند، تمام سوئیچها منحرف خواهند شد.

توجه داشته باشید در VTP  سرور یک Switch است ولی در Dynamic Vlanning سرور یک کامپیوتر است.