آنچه در این مقاله میخوانید [پنهانسازی]
این مقاله جامع با هدف معرفی مفهوم شبکههای محلی مجازی یا VLAN به کاربران تنظیم شده است، به طوری که مفاهیم پیچیده شبکه به زبانی ساده و کاربردی توضیح داده شود.
در شبکههای بزرگ امروزی، مدیریت حجم بالای ترافیک، تضمین امنیت دادهها و تسهیل مدیریت سیستم، امری حیاتی است. شبکههای محلی سنتی (LAN) با افزایش تعداد دستگاهها، دچار مشکلات امنیتی و ترافیکی (مانند طوفانهای Broadcast) میشوند.
اینجا است که مفهوم وی لن چیست به عنوان یک فناوری قدرتمند برای سادهسازی مدیریت شبکه وارد عمل میشود. قبل از راهاندازی شبکه VLAN، درک چیستی این فناوری، انواع VLAN و مزایای آن برای کسبوکار شما ضروری است.
Virtual Local Area Network یا شبکه محلی مجازی، یک دامنه Broadcast شبکه محلی است که به صورت مجازی در لایه پیوند داده (لایه 2 مدل OSI) تقسیم و ایزوله شده است.
وی لن عبارت است از گروهبندی یک یا چند شبکه محلی (LAN) که میتوانند با یکدیگر ارتباط برقرار کنند، در حالی که لزوماً در یک بخش فیزیکی شبکه محلی قرار ندارند. در واقع، VLAN به عنوان یک سوئیچ مجازی یا لینک شبکه عمل میکند که میتواند زیرساخت فیزیکی مشابهی را با سایر VLANها به اشتراک بگذارد، اما از نظر منطقی از آنها جدا میماند.
این جداسازی به مدیران شبکه اجازه میدهد تا میزبانها را صرف نظر از موقعیت فیزیکی آنها، به صورت منطقی گروهبندی کنند، که این امر طراحی و استقرار شبکه را بسیار ساده میسازد.
اگر تازه وارد دنیای شبکه شده اید و مفاهیمی مثل VLAN، سوییچینگ و لایهبندی شبکه برایتان تازه است، دوره Network+ بهترین نقطه شروع شماست.
در این دوره، زیرساخت شبکه، مدل OSI، مفاهیم LAN/VLAN و اصولی که برای ادامه مسیر در CCNA نیاز دارید، به صورت پروژهمحور آموزش داده میشود.
پیادهسازی فناوری وی لن مزایای متعددی را برای کسبوکارها به همراه دارد که شامل امنیت بیشتر، عملکرد بهتر و مدیریت آسانتر است.
با استفاده از VLAN، تهدیدات داخلی و خارجی کاهش مییابد. کاربران تنها میتوانند به شبکهای دسترسی داشته باشند که متناسب با وظایف منحصر به فرد آنها باشد، و در صورت ورود مهاجمان به یک شبکه VLAN، دسترسی آنها به سایر سیستمها محدود میشود. VLANها با تفکیک منطقی بخشها، خطر دسترسی غیرمجاز و طوفانهای Broadcast را کاهش میدهند.
VLANها با تقسیم یک دامنه Broadcast بزرگ به دامنههای کوچکتر و مستقل، میزان ترافیک Broadcast را که هر دستگاه باید تحمل کند، کاهش میدهند. این تقسیمبندی بهینهسازی کلی شبکه را افزایش داده و باعث میشود که کاربران عملکرد بهتری را تجربه کنند، به ویژه زمانی که ترافیک شبکه بسیار زیاد است.
مدیریت مجازیسازی شده یکی از بهترین مزایای VLAN است که مدیریت شبکه را ساده میکند. کنترل دسترسی به شبکه آسانتر میشود، به خصوص زمانی که کاربری به گروه یا ایستگاه کاری دیگری منتقل میشود، زیرا نیازی به سیمکشی مجدد فیزیکی نیست.
VLANها نیاز به خرید تعداد زیادی سوئیچ یا روتر برای تقسیمبندی شبکه را کاهش میدهند. دستگاههای مرتبط با یک VLAN میتوانند از طریق سوئیچها ارتباط برقرار کنند و به طور موثرتری بار داده را مدیریت کنند.
در کنار مزایای فراوان، استفاده از VLAN نیز دارای محدودیتها و معایبی است که باید در نظر گرفته شود.
پیادهسازی و پیکربندی وی لن ها، به ویژه در شبکههای بزرگ با چندین LAN، پیچیدگی پیکربندی بیشتری را به همراه دارد. اجرای دستی و تغییرات پیکربندی میتواند خطر بروز خطاها و مشکلات تأخیر (latency) را افزایش دهد.
اگرچه VLAN امنیت را افزایش میدهد، اما در صورت عدم پیکربندی صحیح، میتواند در برابر حملاتی مانند “VLAN hopping” (پرش از VLAN) آسیبپذیر باشد. حمله “Double VLAN Tagging” نیز میتواند به مهاجم اجازه دهد به VLANهای غیرمجاز دسترسی پیدا کند. همچنین اگر یک دستگاه آلوده شود، ویروس میتواند در کل شبکه گسترش یابد.
به دلیل ایزولهسازی جریانهای ترافیک، عیبیابی در شبکههای وی لن میتواند چالشبرانگیزتر باشد. با این حال، VLANها با محدود کردن مشکلات به بخشهای خاص، عیبیابی را نیز ساده میکنند.
انواع وی لن بر اساس هدف و نوع ترافیکی که حمل میکنند، به دستههای اصلی تقسیم میشوند:
با شروع به کار سوئیچ، همه پورتها در این VLAN قرار میگیرند (معمولاًVLAN 1). این وی لن قابل تغییر نام یا حذف نیست و مانند یک لابی عمل میکند که دستگاههای جدید ابتدا در آنجا قرار میگیرند.
این وی لن که به آن VLAN کاربر نیز گفته میشود، فقط برای انتقال دادههای تولید شده توسط کاربر (مانند مرور وب و اشتراکگذاری فایل) طراحی شده است. گروهبندی شبکه در این نوع اغلب بر اساس گروههای کاری یا دپارتمانها (مانند فروش یا مهندسی) انجام میشود.
این وی لن جداگانه برای سازمانهایی که از VoIP (Voice over IP) استفاده میکنند، به منظور حفظ پهنای باند سایر برنامهها و تضمین کیفیت صدای بالا (Quality of Service – QoS) پیکربندی میشود. ترافیک صوتی در این شبکه معمولاً نسبت به سایر ترافیک شبکه، اولویت انتقال بالاتری دارد.
این VLAN جداگانه برای ترافیک مدیریتی مانند نظارت، ثبت وقایع سیستم/برنامه (logging) و سایر وظایف حساس مرتبط با مدیریت، تنظیم میشود. استفاده از VLAN مدیریت، تضمین میکند که پهنای باند برای مدیریت حتی در زمان اوج ترافیک کاربران نیز در دسترس باشد.
این وی لن، ترافیک بدون برچسب (Untagged traffic) را هنگام دریافت در پورت ترانک میپذیرد. این نوع شبکه اغلب برای دستگاههای قدیمی یا دستگاههایی که تگگذاری VLAN را پشتیبانی نمیکنند (مانند برخی نقاط دسترسی بیسیم) استفاده میشود.
پورتهای ترانک وی لن را روی یک لینک فیزیکی واحد حمل میکنند و هر فریم را با شناسه وی لن (VLAN ID) تگ میکنند. این کار باعث میشود که یک لینک مانند یک آسانسور عمل کند که به تمام طبقات (VLANها) خدمات میدهد.
VLANها به معماران شبکه کمک میکنند تا با ارائه بخشبندی شبکه، مسائل مربوط به مقیاسپذیری، امنیت و مدیریت را حل کنند.
شبکهها را میتوان به بخشهای مجزا تقسیم کرد، به عنوان مثال، یک VLAN برای تولید، یکی برای مدیریت شبکه و دیگری برای ویپ. این امر به تفکیک دادههای حساس (مانند دادههای مالی) از ترافیک عمومی کمک میکند و امنیت را بهبود میبخشد.
ایجاد یک وی لن جداگانه برای کاربران مهمان، دسترسی آنها به مناطق حساس شبکه را محدود میکند.
VLANها این امکان را فراهم میکنند که ترافیک دارای اولویت (مانند ترافیک صوتی و تصویری) در لاین اختصاصی خود قرار گیرد تا کیفیت تماس یا کنفرانس ویدئویی تضمین شود.
وی لن ها امکان گروهبندی منطقی شبکهها را فراهم میکنند تا مکان شبکه کاربران از مکان فیزیکی آنها جدا شود. این انعطافپذیری به مدیران اجازه میدهد تا با تغییر مکان کارمندان یا تجهیزات، به سرعت واکنش نشان دهند.
در محیطهای ابری و مجازیسازی، VLANها برای جداسازی حجم کاری مستأجرین (tenant workloads) و ماشینهای مجازی (VMs) استفاده میشوند و امنیت و مدیریت جریان ترافیک را بهبود میبخشند.
VLAN ID (Virtual Local Area Network Identifier)یک عدد منحصر به فرد است که برای شناسایی اینکه یک فریم شبکه متعلق به کدام VLAN است، به بستههای اترنت اضافه میشود (VLAN Tagging).
VLAN IDیک فیلد ۱۲ بیتی در هدر IEEE 802.1Q است که حداکثر ۴۰۹۴ عدد VLAN (از ۱ تا ۴۰۹۴) را در یک شبکه اترنت معین امکانپذیر میسازد (اعداد ۰ و ۴۰۹۵ رزرو شدهاند).
پروتکل استاندارد مورد استفاده برای تگگذاری VLAN در شبکههای اترنت، IEEE 802.1Q است. این پروتکل یک تگ ۴ بایتی را در فریم اترنت قرار میدهد.
این شناسه تضمین میکند که فریمهای دادهای که از لینکهای Trunk عبور میکنند (لینکهایی که چندین VLAN را حمل میکنند)، به درستی تفکیک شده و به VLAN مقصد خود هدایت شوند.
پیادهسازی وی لن شامل پیکربندی سوئیچها برای تقسیم پورتها به گروههای منطقی است.
اگر قصد دارید VLAN، Trunk، Inter-VLAN Routing، Subnetting و طراحی شبکههای حرفهای را به صورت عملی روی تجهیزات سیسکو یاد بگیرید، دوره CCNA انتخاب استاندارد و تخصصی شماست.
برای راهاندازی موفقیتآمیز و بهرهبرداری از VLANها، وجود تجهیزات و پیکربندیهای خاصی الزامی است:
VLANها باید روی سوئیچهای مدیریتپذیر (VLAN-aware) پیکربندی شوند. سوئیچهای مدیریتپذیر قادر به درج تگ IEEE 802.1Q و درک VLAN IDها هستند. سوئیچهای غیرقابل مدیریت (Unmanaged) معمولاً از VLAN پشتیبانی نمیکنند.
مدیران شبکه باید زمان کافی را صرف درک ساختار سازمان و تعیین بهترین روش برای گروهبندی کاربران نمایند تا تقسیمبندی منطقی بر اساس بخشها یا نیازهای امنیتی انجام گیرد.
برای اینکه دستگاههای موجود در VLANهای مختلف بتوانند با یکدیگر ارتباط برقرار کنند، یک دستگاه لایه 3 (مانند روتر یا سوئیچ لایه 3) برای انجام عمل مسیریابی بین VLANها (Inter-VLAN Routing) لازم است.
فرآیند ارسال اطلاعات در یک شبکه وی لن بسته به اینکه ترافیک درون یک VLAN باشد یا بین VLANهای مختلف، متفاوت است:
دستگاههایی که به یک VLAN تعلق دارند، میتوانند مستقیماً و بدون نیاز به روتر با یکدیگر ارتباط برقرار کنند. در این حالت، سوئیچ بستههای Broadcast ارسال شده توسط یک میزبان را تنها به دستگاههای موجود در همان VLAN هدایت میکند، که این امر ترافیک غیرضروری را محدود میسازد.
هنگامی که ترافیک VLAN از یک سوئیچ به سوئیچ دیگر یا به روتر منتقل میشود (از طریق پورت Trunk)، پروتکل IEEE 802.1Q یک تگ VLAN حاوی VLAN ID را به فریم اترنت اضافه میکند. این تگ تضمین میکند که فریم پس از عبور از لینک Trunk، به VLAN صحیح تحویل داده شود.
هنگامی که یک میزبان در یک VLAN نیاز به برقراری ارتباط با میزبانی در یک VLAN دیگر دارد، بستهها باید به یک دستگاه لایه ۳ (روتر یا سوئیچ لایه ۳) ارسال شوند. این دستگاه مسیریابی را انجام داده و بسته را به VLAN مقصد هدایت میکند.
در مجموع، وی لن چیست (VLAN) یک فناوری بسیار مهم و انعطافپذیر در شبکهسازی مدرن است که محدودیتهای شبکههای محلی سنتی را برطرف میکند. VLANها با ایجاد پارتیشنهای منطقی در زیرساخت فیزیکی، به طور همزمان امنیت را با ایزولهسازی ترافیک حساس بهبود میبخشند، عملکرد را با کاهش دامنههای Broadcast بهینه میکنند و مدیریت شبکه را سادهتر میسازند. تسلط بر انواع VLAN به مهندسان شبکه کمک میکند تا شبکههای سریعتر، ایمنتر و با مدیریت آسانتری را طراحی و نگهداری کنند.
VLAN (Virtual Local Area Network) یک گروهبندی منطقی از دستگاهها است که برای تقسیمبندی یک شبکه فیزیکی جهت بهبود امنیت و کارایی استفاده میشود.
بله، یک پورت Trunk میتواند با استفاده از تگگذاری VLAN (IEEE 802.1Q) ترافیک چندین VLAN را حمل کند.
Native VLAN ترافیک بدون برچسب (untagged) را که از پورتهای Trunk بین سوئیچها یا روترها عبور میکند، حمل میکند.
VLANها با ایزولهسازی بخشهای شبکه، خطر دسترسی غیرمجاز و طوفانهای Broadcast را کاهش میدهند.
حداکثر تعداد VLANها در یک شبکه اترنت بر اساس استاندارد 802.1Q، 4094 است.
پورت Access ترافیک یک VLAN را حمل میکند و برای اتصال دستگاههای نهایی (مانند رایانه) استفاده میشود؛ پورت Trunk ترافیک چندین VLAN را حمل میکند و برای اتصال سوئیچها/روترها استفاده میشود.
در حالی که خود VLANها ذاتاً بر تأخیر تأثیر نمیگذارند، پیکربندی نامناسب میتواند تأخیر را افزایش دهد؛ اما در صورت پیادهسازی صحیح، میتوانند با تقسیمبندی ترافیک و اولویتبندی برنامهها، عملکرد را بهینه کرده و تأخیر را به حداقل برسانند.
