شبکه محلی مجازی VLAN چیست و چگونه پیادهسازی میشود؟
شبکه محلی مجازی (VLAN) سرنام Virtual LAN یک زیرشبکه منطقی است که میتواند مجموعهای از دستگاههای موجود در شبکههای محلی فیزیکی مختلف را گروهبندی و کنار یکدیگر قرار دهد. به بیان دیگر، شبکههای محلی مجازی گروهبندی منطقی دستگاههایی هستند که در حوزه فراگیر (broadcast domain) یکسانی قرار دارند. مدیران شبکه میتوانند در شبکههای بزرگتر از رویکرد مجازیسازی شبکه محلی برای تقسیمبندی مجدد شبکه با هدف بهبود ترافیک استفاده کنند، بدون آنکه به کابلکشی جدید یا اعمال تغییرات بزرگ در زیرشبکه فعلی نیازی باشد. شبکههای محلی مجازی کاربرد مهم دیگری نیز دارند که اجازه میدهند با گروهبندی دستگاههایی که دائما با یکدیگر در ارتباط هستند عملکرد کلی شبکه را بهبود بخشید.
مطالب پربازدید
شبکههای محلی مجازی به جای اتصالات فیزیکی از اتصالات منطقی استفاده میکنند و به همین دلیل انعطافپذیری زیادی دارند و به مدیران شبکه اجازه میدهند سطح بالاتری از نظارت و کنترل روی دسترسی دستگاهها به یکدیگر اعمال کنند، در نتیجه امنیت شبکههای بزرگتر به میزان قابل توجهی بهبود پیدا میکند. بهطور معمول، یک یا چند سوییچ شبکه میتوانند از شبکههای محلی مجازی مستقل پشتیبانی کنند و لایه 2 زیرشبکهها (لایه دادهها) را پیادهسازی کنند.
شبکههای محلی مجازی میتوانند به شکل توزیع شده روی چند سوییچ قرار بگیرند و در قالب زیر شبکه یا دامنه پخشی (پخش (Broadcast) رویکردی در شبکه سازی کامپیوتری است تا اطمینان حاصل شود که دستگاههای موجود در شبکه یک بسته (پخش شده) را دریافت خواهند کرد.) مخصوص خود کار کنند. در این حالت فریمهای پخش شده روی شبکه، تنها بین پورتهای همان شبکه محلی مجازی سوییچ میشوند. یک شبکه محلی مجازی عملکردی شبیه به یک شبکه محلی فیزیکی دارد، با این حال، اجازه میدهد میزبانها در حوزه پخشی یکسانی با هم گروهبندی شوند، حتا اگر میزبانها به سوییچ یکسانی متصل نشده باشند. سازمانهای بزرگ به دلایل زیر تصمیم میگیرند از شبکه محلی مجازی در ساختار اصلی شبکه خود استفاده کنند:
- شبکه محلی مجازی تعداد دامنههای پخشی را افزایش میدهد.
- شبکه محلی مجازی مخاطرات امنیتی را با کاهش تعداد میزبانهایی که یک کپی از فریمهای سوییچ را دریافت میکنند کم میکند. رویکرد فوق به میزان قابل توجهی خطر حملات سیلابی را کاهش میدهد.
- این امکان وجود دارد تا میزبانهایی که اطلاعات حساسی را نگهداری میکنند روی یک شبکه محلی مجازی متمایز قرار داد تا امنیت بهبود پیدا کند.
- این امکان وجود دارد تا به جای گروهبندی کاربران بر مبنای موقعیت فیزیکی از یک طراحی انعطافپذیر استفاده کرد و کاربران را بر مبنای دپارتمانی که در آن کار میکنند گروهبندی کنید.
- با پیکربندی یک پورت در شبکه محلی مناسب، امکان پیادهسازی تغییرات در شبکه با سهولت هرچه بیشتر فراهم میشود.
شکل 1 توپولوژی شبکهای را نشان میدهد که تمامی میزبانها درون شبکه محلی یکسانی قرار دارند. بدون وجود شبکههای محلی مجازی، پیام فراگیر (Broadcast) ارسالی از میزبان A به تمامی دستگاههای شبکه میرود، اما زمانی که رابطهای Fa0/0 و Fa0/1 هر دو سوییچ در شبکههای محلی مجازی جداگانهای قرار بگیرند، پیام فراگیر ارسالی از میزبان A تنها به میزبان B ارسال میشود، زیرا هر شبکه محلی مجازی دامنه فراگیر جداگانه خاص خود را دارد.
در این حالت تنها میزبان B در شبکه محلی مجازی یکسان با میزبان A قرار گرفته و میزبانهای مستقر در شبکه محلی مجازی 3 و 5 حتا از وجود چنین ارتباطی مطلع نمیشوند. شکل 2 توپولوژی چنین شبکهای را نشان میدهد. برای آنکه میزبانها بتوانند به شبکههای محلی دیگری دست پیدا کنند، وجود روتر ضروری است.
درگاههای دسترسی و ترانک (Access & trunk ports)
هر درگاه/پورت سوییچ را میتوان به صورت درگاه دسترسی یا درگاه ترانک پیکربندی کرد. درگاه دسترسی به نوع خاصی از درگاهها اشاره دارد که امکان برقراری ارتباط با یک شبکه محلی مجازی واحد را فراهم میکند. این نوع رابطها روی درگاههای متصل به تجهیزات شبکه از طریق کارت شبکه (بهطور مثال یک هاست روی یک شبکه) پیکربندی میشوند. رابط ترانک به درگاه یک سوییچ اجازه میدهد به سوییچ دیگری متصل شود. این نوع رابطها قادر به هدایت ترافیک به سمت چند شبکه محلی مجازی هستند. در شبکه نشان داده شده در شکل 2، لینک میان SW1 و SW2 به صورت رابط ترانک پیکربندی شده و سایر درگاههای سوئیچ که به دستگاههای نقطه پایانی مورد استفاده کاربر متصل شدهاند به شکل درگاههای دسترسی پیکربندی میشوند.
انواع شبکههای محلی مجازی
شبکههای محلی مجازی به سه گروه مبتنی بر پروتکل، ایستا و پویا طبقهبندی میشوند.
- شبکه محلی مجازی مبتنی بر پروتکل ترافیک را بر مبنای پروتکلش مدیریت میکند. در شبکههای فوق سوئیچ، ترافیک را بر مبنای پروتکلی که بر مبنای آن کار میکند ارسال میکند.
- شبکههای محلی مجازی ایستا که شبکههای محلی مجازی مبتنی بر پورت نیز نامیده میشوند به مدیران شبکه اجازه میدهند تا درگاههای سوییچ را به شبکه مجازی اختصاص دهند. در یک شبکه محلی مجازی ایستا، مدیر باید یک به یک درگاههای موردنظر را به شبکه مجازی تخصیص دهد.
- شبکههای محلی مجازی پویا به مدیران شبکه اجازه میدهند بر مبنای ویژگیهای دستگاهها، عضویت در شبکه را تعریف کنند و به همین دلیل امکان تعیین شماره درگاه سوئیچ فراهم نیست. بهطور مثال یک شبکه مجازی پویا میتواند شامل فهرستی از مکآدرسها یا حسابهای کاربری باشد.
آشنایی با نحوه عملکرد شبکههای محلی مجازی
سرپرستان شبکه میتوانند با تخصیص درگاههای سوییچ به یک یا چند شبکه محلی مجازی، سامانههای تحت شبکه را به گروههای منطقی تقسیم کنند و با تعیین خطمشیهایی، مشخص کنند چگونه سامانههای موجود در گروههای مختلف قادر به برقراری ارتباط با یکدیگر باشند. این گروهها کامپیوترهای درون یک شبکه محلی مجازی هستند که قادر به مشاهده تجهیزاتی همچون چاپگر روی شبکه محلی مجازی هستند یا گروهی پیچیده و متشکل از کامپیوترهای مستقر در دپارتمانهای مختلف هستند. هر شبکه محلی مجازی میتواند یک لینک دسترسی به دادهها در اختیار تمام میزبانهایی قرار دهد که به درگاههای سوییچ (سوییچی که درگاههای آن برای بهکارگیری VLAN پیکربندی شدهاند) متصل شدهاند و شناسه شبکه محلی مجازی یکسانی دارند. برچسبگذاری شبکه محلی مجازی بر اساس استاندارد IEEE 802.1Q که بهنام Dot1Q معروف است، انجام میشود. در استاندارد فوق برچسب شبکه محلی مجازی فیلدی 12 بیتی در سرآیند اترنت است که از VLAN 4095 در هر دامنه سوئیچینگ پشتیبانی میکند (به عبارت دقیقتر VLAN ID میتواند عددی در بازه 0 تا 4095 باشد.). هر زمان فریمی فاقد برچسب توسط یک میزبان متصل به سوییچ دریافت شود، برچسب VLAN ID پیکربندی شده در آن رابط با استفاده از فرمت 802.1Q به سرآیند فریم دیتا لینک افزوده میشود و فریم 802.1Q به مقصد ارسال میشود. هر سوئیچ از تگی برای متمایز ساختن ترافیک شبکه محلی مجازی از سایر شبکههای محلی مجازی استفاده میکند و ترافیک را به مکانی که شبکه محلی مجازی برای آن پیکربندی شده ارسال میکند. لینکهای ترانک میان سوییچها برای متمایز ساختن چند شبکه محلی مجازی از یکدیگر و همچنین مدیریت بهتر آنها از برچسبها استفاده میکنند. زمانیکه فریم به درگاه سوئیچ مقصد رسید، قبل از آنکه فریم به دستگاه مقصد دیگری انتقال پیدا کند، باید برچسب شبکه محلی مجازی از آن حذف شود. این امکان وجود دارد که چند شبکه محلی مجازی را با استفاده از پیکربندی ترانک روی یک درگاه واحد پیکربندی کرد. در این حالت هر فریم ارسال شده توسط این درگاه با شناسه شبکه محلی مجازی برچسبگذاری میشود. رابط دستگاه مجاور که ممکن است روی سوئیچ یا میزبان دیگری قرار داشته باشد باید از برچسبگذاری 802.1Q پشتیبانی میکند و همچنین بتواند از رویکرد انتقال و دریافت برچسبهای تک شده مبتنی بر حالت ترانک پشتیبانی کند. ممکن است فریمهای اترنتی بدون برچسب در شبکه ارسال شوند، در این حالت فریمها به یک شبکه محلی مجازی پیشفرض که در پیکربندی سوئیچ مشخص شده تخصیص داده میشوند. هر زمان سوییچی که شبکه محلی مجازی روی آن تنظیم شده، فریم اترنت بدون برچسبی از یک میزبان متصل به سوئیچ دریافت کند، برچسب شبکه محلی مجازی تخصیص یافته را به رابط داخلی اضافه میکند و در ادامه فریم فوق به درگاه میزبان با مکآدرس مشخص ارسال میشود. شکل 3 قالب فریم در در استاندارد IEEE 802.1Q را نشان میدهد. دقت کنید برودکست، یونیکست ناشناخته و مولتیکتسها (ترافیک BUM) به تمامی درگاههای شبکه محلی مجازی ارسال میشوند.
چرا باید از شبکههای محلی مجازی استفاده کنیم؟
شبکههای محلی مجازی میتوانند عملکرد کلی شبکههای شلوغ و با ترافیک زیاد را بهبود بخشند، به شرطی که درست تنظیم شوند. شبکههای محلی مجازی میتوانند دستگاههایی که بیشترین میزان ارتباط با یکدیگر را دارند در یک گروه و در کنار یکدیگر قرار دهند. اگر تجهیزات و کامپیوترها در شبکههای فیزیکی مختلفی قرار داشته باشند، ترافیک بین تجهیزات باید از چند روتر اصلی عبور کند، اما اگر از یک شبکه محلی خصوصی استفاده شود ترافیک به شکل کارآمدی توسط سوئیچها مدیریت میشود. یکی دیگر از مزایای مهم شبکههای خصوصی مجازی بهبود امنیت شبکه است که اجازه میدهد روی سامانههایی که قصد دسترسی به یکدیگر را دارند نظارت دقیقی اعمال شود. دقت کنید شبکههای بیسیم ویژه کاربران مهمان که توسط اکسسپوینتها ایجاد میشوند قابلیت پشتیبانی از شبکههای خصوصی مجازی را دارند.
چگونه یک شبکه محلی مجازی را باید پیکربندی کرد؟
بهطور کلی مراحل راهاندازی یک شبکه محلی مجازی به شرح زیر است:
- ابتدا باید یک شماره شناسایی قابل قبول برای شبکه محلی مجازی انتخاب شود.
- یک محدوده آدرس آیپی خصوصی برای تخصیص به دستگاههای موجود در شبکه محلی مجازی انتخاب شود.
- روی سوییچ تنظیمات مرتبط به شبکه محلی مجازی به شکل ایستا، پویا یا مبتنی بر پروتکل انجام شود. در پیکربندی ایستا باید تمامی پورتهای موردنظر را در شبکه محلی مجازی قرار دهید، اما در پیکربندی پویا فهرست مکآدرسها یا نامهای کاربری مشخص میشود.
- تنظیمات مربوطه روی روتر انجام شود. اگر از دو یا چند شبکه محلی مجازی استفاده میشود باید از روترهایی با ویژگی پشتیبانی از شبکه محلی مجازی یا سوییچهای لایه 3 در شبکه استفاده کرد.
برای درک بهتر یک شبکه محلی مجازی اجازه دهید بهطور اجمالی نگاهی به نحوه پیکربندی یک شبکه محلی مجازی مبتنی بر محصولات سیسکو داشته باشیم. بهطور پیشفرض، تمامی درگاههای سوییچ در VLAN1 قرار دارند. برای اطمینان از این موضوع میتوان فرمان Show vlan را در سیستمعامل سیسکو (IOS) و در وضعیت فعال سوییچ (enable mode) اجرا کرد. خروجی فرمان فوق در شکل 4 نشان داده شده است.
در شکل 4 مشاهده میکنید که تمامی 24 درگاه سوییچ در شبکه محلی یکسان با نام VLAN1 قرار دارند. برای ساخت شبکه محلی مجازی و اختصاص درگاههای سوییچ به شبکه محلی مجازی باید دو کار زیر انجام شود:
- ساخت شبکه محلی مجازی با اجرای فرمان vlan NUMBER که شبکه محلی مجازی در وضعیت سراسری ایجاد میشود.
- تخصیص درگاه سوییچ به شبکه محلی مجازی که با استفاده از دو زیر فرمان رابط انجام میشود.
فرمان اول switchport mode access است که نشان میدهد در حال ساخت یک رابط دسترسی هستیم.
فرمان دوم switchport access vlan NUMBER است که رابط را به یک شبکه محلی مجازی اختصاص میدهد. در شکل 5 نحوه تخصیص VLAN 2 به رابط مورد نظر را مشاهده میکنید.
اولین فرمان (vlan 2) باعث میشود تا VLAN 2 ساخته شود. با انجام اینکار بهطور خودکار به حالت زیررابط Fa0/1 وارد میشویم. رابطی که به عنوان یک رابط دسترسی متعلق به VLAN 2 پیکربندی شده است. برای بررسی این موضوع کافی است دو مرتبه از فرمان show vlan استفاده کنیم (شکل 6).
پیکربندی درگاههای دسترسی و ترانک
برای اینکه رابطی به صورت رابط دسترسی پیکربندی شود، سیسکو فرمان switchport mode access را ارائه میکند. دقت کنید تخصیص این رابط تنها به یک شبکه محلی مجازی منفرد امکانپذیر است. برای آنکه رابطی را به شکل رابط ترانک پیکربندی کنیم باید از فرمان switchport mode trunk
استفاده کنیم. این نوع رابط میتواند ترافیک چند شبکه محلی مجازی را انتقال دهد. شکل 7 عملکرد این رابط را نشان میدهد.
میزبان A و B در شبکههای محلی مجازی مختلف یعنی VLAN1 و VLAN2 قرار دارند. به همین دلیل درگاهها باید به شکل پورت دسترسی پیکربندی شوند و در ادامه به شبکه محلی مجازی مربوطه تخصیص پیدا کنند. شکل 8 مجموعه فرامینی که برای این منظور باید اجرا شوند را نشان میدهد.
با توجه به اینکه لینک میان SW1 و SW2 باید ترافیک چند شبکه محلی مجازی را انتقال دهند به همین دلیل باید به صورت رابط ترانک پیکربندی شوند. برای این منظور باید فرمانهای زیر روی هر دو لینک SW1 و SW2 اجرا شود.
SW1 (config) # int fa0/3
SW1(config-if) @switchport mode trunk
در SW2 نیز فرمانهای مشابه به شرح زیر اجرا میشوند:
SW2 (config) #int fa0/1
SW2(config-if) @switchport mode trunk
اکنون لینک میان SW1 و SW2 میتواند ترافیک را از هر دو VLAN1 و VLAN2 انتقال دهد. برای بررسی این موضوع که آیا رابط SW1 از نوع ترانک است یا خیر باید از فرمان show interface Fa0/3 switchport در SW1 استفاده کنید (شکل 9).
دقت کنید ضرورتی به ایجاد VLAN1 وجود ندارد، زیرا این شبکه محلی مجازی بهطور پیشفرض وجود دارد. همچنین در حالت پیشفرض تمامی پورتها در VLAN1 قرار دارند، بنابراین Fa0/1 نیازی به فرمان
switchport access vlan 1 ندارد.
برچسبگذاری فریم
برای شناسایی شبکه محلی مجازی که یک بسته به آن تعلق دارد، سوییچها از تکنیک برچسبزنی برای اختصاص یک مقدار عددی به هر فریم در شبکهای مبتنی بر چند شبکه محلی مجازی استفاده میکنند. رویکرد فوق این اطمینان خاطر را میدهد که سوییچها میدانند کدامیک از درگاهها فریمها را ارسال میکنند. برای روشن شدن بهتر موضوع به توپولوژی نشان داده شده در شکل 10 دقت کنید.
در شکل 10 دو شبکه محلی مجازی بهنامهای VLAN 3 و VLAN 4 وجود دارند. میزبان A یک بسته دادهای برای سوییچ SW1 ارسال میکند. سوئیچ SW1 بسته را دریافت میکند، بسته را با VLAN ID 3 برچسبگذاری میکند و آنرا به SW2 میفرستد. SW2 بسته را دریافت کرده و به شناسه شبکه محلی مجازی نگاه میکند و سپس بسته را برای درگاه Fa0 / 1 ارسال میکند، زیرا فقط آن درگاه در VLAN 3 قرار دارد. به عبارت دقیقتر، میزبان B و میزبان C بسته را دریافت نمیکنند، زیرا در شبکه محلی مجازی متفاوت از میزبان A قرار دارند.
