vlan چیست: فناوری و پیکربندی. پیکربندی VLAN (شبکه محلی مجازی) روی تجهیزات شبکه میکروتیک

در حال حاضر، بسیاری از سازمان ها و شرکت های مدرن عملا از چنین فرصت بسیار مفید و اغلب ضروری مانند سازماندهی یک مجازی (VLAN) در چارچوب یک زیرساخت یکپارچه، که توسط اکثر سوئیچ های مدرن ارائه می شود، استفاده نمی کنند. این به دلیل عوامل زیادی است، بنابراین ارزش دارد که این فناوری را از نقطه نظر امکان استفاده از آن برای چنین اهدافی در نظر گرفت.

توضیحات کلی

اول، ارزش این را دارد که VLAN ها چیستند. منظور از این، گروهی از رایانه های متصل به یک شبکه است که به طور منطقی بر اساس یک ویژگی خاص در یک دامنه توزیع پیام پخش گروه بندی می شوند. به عنوان مثال، گروه ها را می توان بسته به ساختار شرکت یا با انواع کار روی یک پروژه یا کار با هم متمایز کرد. VLAN ها چندین مزیت را ارائه می دهند. برای شروع، ما در مورد استفاده بسیار کارآمدتر از پهنای باند (در مقایسه با شبکه های محلی سنتی)، افزایش درجه حفاظت از اطلاعات منتقل شده و همچنین یک طرح مدیریت ساده صحبت می کنیم.

از آنجایی که هنگام استفاده از VLAN، کل شبکه به حوزه های پخش تقسیم می شود، اطلاعات درون چنین ساختاری فقط بین اعضای آن و نه به همه رایانه های موجود در شبکه فیزیکی منتقل می شود. به نظر می رسد که ترافیک پخش تولید شده توسط سرورها به یک دامنه از پیش تعریف شده محدود می شود، یعنی به همه ایستگاه های این شبکه پخش نمی شود. به این ترتیب، می توان به توزیع بهینه پهنای باند شبکه بین گروه های اختصاصی رایانه ها دست یافت: سرورها و ایستگاه های کاری از VLAN های مختلف به سادگی یکدیگر را نمی بینند.

همه فرآیندها چگونه پیش می روند؟

در چنین شبکه ای، اطلاعات نسبتاً به خوبی از تبادل داده ها در یک گروه خاص از رایانه ها محافظت می شود، یعنی آنها نمی توانند ترافیک ایجاد شده در ساختار مشابه دیگری را دریافت کنند.

اگر در مورد آنچه VLAN ها هستند صحبت کنیم، پس مناسب است که به مزیت این روش سازماندهی توجه کنیم زیرا شبکه ساده شده بر وظایفی مانند افزودن عناصر جدید به شبکه، انتقال آنها و همچنین حذف آنها تأثیر می گذارد. به عنوان مثال، اگر یک کاربر VLAN به مکان دیگری نقل مکان کند، مدیر شبکه نیازی به اتصال مجدد کابل ها ندارد. او فقط باید تجهیزات شبکه را از محل کار خود پیکربندی کند. در برخی از پیاده‌سازی‌های چنین شبکه‌هایی، حرکت اعضای گروه را می‌توان به طور خودکار کنترل کرد، حتی بدون نیاز به دخالت مدیر. او فقط باید بداند که چگونه VLAN را پیکربندی کند تا بتواند تمام عملیات لازم را انجام دهد. او می تواند گروه های کاربری منطقی جدیدی ایجاد کند بدون اینکه حتی از روی صندلی خود بلند شود. همه اینها تا حد زیادی باعث صرفه جویی در زمان کار می شود که می تواند برای حل مشکلات کم اهمیت مفید باشد.

روش های سازماندهی VLAN

سه گزینه مختلف وجود دارد: مبتنی بر پورت، مبتنی بر L3 یا مبتنی بر MAC. هر روش به ترتیب مربوط به یکی از سه لایه پایین مدل OSI است: فیزیکی، شبکه و پیوند داده. اگر در مورد آنچه VLAN ها هستند صحبت کنیم، شایان ذکر است که چهارمین روش سازماندهی - بر اساس قوانین - وجود دارد. در حال حاضر به ندرت استفاده می شود، اگرچه انعطاف پذیری زیادی را فراهم می کند. می توانید هر یک از روش های ذکر شده را با جزئیات بیشتری در نظر بگیرید تا بفهمید آنها چه ویژگی هایی دارند.

VLAN مبتنی بر پورت

این فرض یک گروه بندی منطقی از پورت های سوئیچ فیزیکی خاص است که برای ارتباط انتخاب شده اند. به عنوان مثال، می تواند تعیین کند که پورت های خاصی، به عنوان مثال، 1، 2، و 5 از VLAN1 تشکیل می دهند، و اعداد 3، 4 و 6 برای VLAN2 و غیره استفاده می شوند. ممکن است از یک پورت سوئیچ برای اتصال چندین کامپیوتر استفاده شود که برای مثال از یک هاب استفاده می شود. همه آنها به عنوان اعضای یک شبکه مجازی تعریف می شوند که پورت سرویس سوئیچ در آن ثبت شده است. این سخت‌افزار عضویت در شبکه مجازی، نقطه ضعف اصلی این سازمان است.

VLAN بر اساس آدرس های MAC

این روش مبتنی بر استفاده از آدرس‌های لایه پیوند هگزادسیمال منحصر به فرد است که برای هر سرور یا ایستگاه کاری در شبکه موجود است. اگر در مورد VLAN ها صحبت کنیم، شایان ذکر است که این روش در مقایسه با روش قبلی انعطاف پذیرتر است، زیرا اتصال رایانه های متعلق به شبکه های مجازی مختلف به یک پورت سوئیچ کاملاً امکان پذیر است. علاوه بر این، به طور خودکار حرکت رایانه ها را از یک پورت به پورت دیگر نظارت می کند، که به شما امکان می دهد بدون دخالت مدیر، کلاینت را متعلق به یک شبکه خاص نگه دارید.

اصل کار در اینجا بسیار ساده است: سوئیچ جدولی از مکاتبات بین آدرس های MAC ایستگاه های کاری و شبکه های مجازی را حفظ می کند. به محض اینکه کامپیوتر به پورت دیگری سوئیچ می‌کند، فیلد آدرس MAC با داده‌های جدول مقایسه می‌شود و پس از آن نتیجه‌گیری صحیح در مورد تعلق کامپیوتر به یک شبکه خاص انجام می‌شود. معایب این روش پیچیدگی پیکربندی VLAN است که در ابتدا می تواند باعث خطا شود. با وجود این واقعیت که سوئیچ به طور مستقل جداول آدرس را می سازد، مدیر شبکه باید همه آن را بررسی کند تا مشخص کند کدام آدرس ها با کدام گروه های مجازی مطابقت دارند و پس از آن آن را به VLAN های مربوطه اختصاص می دهد. و اینجاست که جایی برای خطاها وجود دارد که گاهی اوقات در VLAN های Cisco اتفاق می افتد، پیکربندی آن بسیار ساده است، اما توزیع مجدد بعدی دشوارتر از استفاده از پورت ها خواهد بود.

VLAN بر اساس پروتکل های لایه سوم

این روش به ندرت در سوئیچ های گروه کاری یا بخش استفاده می شود. این برای ستون فقرات مجهز به امکانات مسیریابی داخلی برای پروتکل های LAN اصلی - IP، IPX و AppleTalk است. این روش فرض می‌کند که گروهی از پورت‌های سوئیچ که به یک VLAN خاص تعلق دارند، با برخی زیرشبکه‌های IP یا IPX مرتبط می‌شوند. در این حالت، انعطاف پذیری با این واقعیت فراهم می شود که حرکت کاربر به پورت دیگری که متعلق به همان شبکه مجازی است، توسط سوئیچ نظارت می شود و نیازی به پیکربندی مجدد ندارد. مسیریابی VLAN در این مورد بسیار ساده است، زیرا سوئیچ در این مورد آدرس های شبکه رایانه هایی را که برای هر یک از شبکه ها تعریف شده است، تجزیه و تحلیل می کند. این روش همچنین از تعامل بین VLAN های مختلف بدون استفاده از ابزارهای اضافی پشتیبانی می کند. همچنین یک اشکال این روش وجود دارد - هزینه بالای سوئیچ هایی که در آن اجرا می شود. پشتیبانی VLAN Rostelecom در این سطح کار می کند.

نتیجه گیری

همانطور که قبلاً متوجه شدید، شبکه های مجازی ابزار نسبتاً قدرتمندی هستند که می توانند مشکلات مربوط به امنیت انتقال داده ها، مدیریت، کنترل دسترسی و افزایش کارایی استفاده را حل کنند.

بیایید وضعیت زیر را تصور کنیم. ما دفتر یک شرکت کوچک با 100 کامپیوتر و 5 سرور در زرادخانه آن داریم. در عین حال، این شرکت رده های مختلفی از کارکنان را استخدام می کند: مدیران، حسابداران، افسران پرسنل، متخصصان فنی، مدیران. لازم است که هر یک از بخش ها در زیر شبکه خود کار کنند. چگونه ترافیک این شبکه را متمایز کنیم؟ به طور کلی، دو راه وجود دارد: راه اول این است که مجموعه ای از آدرس های IP را به زیر شبکه ها تقسیم کنید و زیر شبکه خود را برای هر بخش اختصاص دهید، راه دوم استفاده از VLAN است.

VLAN (شبکه محلی مجازی) گروهی از گره‌های شبکه است که ترافیک آنها، از جمله پخش، کاملاً از ترافیک سایر گره‌های شبکه در سطح پیوند جدا می‌شود. در شبکه های مدرن، VLAN ها مکانیسم اصلی برای ایجاد یک توپولوژی شبکه منطقی مستقل از توپولوژی فیزیکی آن هستند.

فناوری VLAN در IEEE 802.1q تعریف شده است، یک استاندارد باز که یک روش برچسب گذاری برای انتقال اطلاعات عضویت VLAN را توصیف می کند. 802.1q یک برچسب را در داخل فریم اترنت قرار می دهد که اطلاعات مربوط به ترافیک متعلق به یک VLAN را منتقل می کند.

فیلدهای VLAN TAG را در نظر بگیرید:

• TPID (شناسه پروتکل برچسب) - شناسه پروتکل برچسب گذاری. نشان می دهد که کدام پروتکل برای برچسب گذاری استفاده می شود. برای 802.1Q، مقدار 0x8100 است.
• اولویت - اولویت. برای تنظیم اولویت ترافیک ارسالی (QoS) استفاده می شود.
• CFI (شاخص فرمت Canoncial) - فرمت آدرس MAC (اترنت یا حلقه توکن) را نشان می دهد.
• VID (Vlan Indentifier) ​​- شناسه VLAN. نشان می دهد که فریم متعلق به کدام VLAN است. می توانید یک عدد از 0 تا 4094 را مشخص کنید.

هنگام ارسال فریم، رایانه نمی داند که در چه VLAN است - سوئیچ این کار را انجام می دهد. سوئیچ می داند کامپیوتر به کدام پورت متصل است و بر این اساس تعیین می کند که این کامپیوتر در کدام VLAN قرار دارد.

سوئیچ دو نوع پورت دارد:

• پورت برچسب گذاری شده (برچسب شده، ترانک) - درگاهی که از طریق آن می توانید ترافیک را از چندین گروه VLAN ارسال یا دریافت کنید. هنگامی که از طریق یک پورت برچسب گذاری شده ارسال می شود، یک تگ VLAN به فریم اضافه می شود. برای اتصال به سوئیچ ها، روترها (یعنی دستگاه هایی که برچسب های VLAN را تشخیص می دهند) استفاده می شود.
• پورت بدون برچسب (بدون برچسب، دسترسی) - درگاهی که فریم های بدون برچسب از طریق آن منتقل می شوند. برای اتصال به گره های انتهایی (رایانه ها، سرورها) استفاده می شود. هر پورت بدون برچسب روی یک VLAN خاص قرار دارد. وقتی ترافیک از این پورت منتقل می شود، تگ VLAN حذف می شود و ترافیک بدون برچسب به رایانه می رود (که VLAN را نمی شناسد). در غیر این صورت، هنگامی که ترافیک در یک پورت بدون برچسب دریافت می شود، یک تگ VLAN به آن اضافه می شود.

پیکربندی VLAN در سوئیچ مدیریت شده Dlink DES-3528

سری سوئیچ‌های DES-3528/3552 xStack شامل سوئیچ‌های دسترسی L2 + قابل انباشته می‌شوند که کاربران نهایی را به‌طور ایمن به شبکه‌های بزرگ سازمانی و کسب‌وکارهای کوچک و متوسط ​​(SMB) متصل می‌کنند. سوئیچ ها انباشته فیزیکی، مسیریابی استاتیک، پشتیبانی چندپخشی و ویژگی های امنیتی پیشرفته را ارائه می دهند. همه اینها این دستگاه را به یک راه حل لایه دسترسی ایده آل تبدیل می کند. سوئیچ به راحتی با سوئیچ های هسته L3 یکپارچه می شود تا یک شبکه چند لایه با ستون فقرات و سرورهای متمرکز تشکیل شود. سوئیچ های سری DES-3528/3552 مجهز به 24 یا 48 پورت اترنت 10/100 مگابیت بر ثانیه هستند و تا 4 پورت اترنت آپلینک گیگابیتی را پشتیبانی می کنند.

بیایید اصول پیکربندی VLAN در سوئیچ های مدیریت شده Dlink را در نظر بگیریم. در طول کار خود، نحوه ایجاد، حذف، تغییر VLAN، افزودن انواع پورت ها (تگ شده و بدون برچسب) را مطالعه خواهیم کرد.

اتصال به سوئیچ از طریق پورت کنسول با استفاده از برنامه HyperTerminal انجام می شود.

از دستور show vlan برای مشاهده اطلاعات VLAN های موجود استفاده کنید.

در شکل بالا می بینید که در ابتدا فقط یک VLAN پیش فرض روی سوئیچ با نام پیش فرض ایجاد شده است. دستور show vlan فیلدهای زیر را نمایش می دهد:

• VID - شناسه VLAN
• نوع VLAN - نوع VLAN
• بنادر اعضا - بنادر درگیر
• درگاه های استاتیک - پورت های استاتیک
• پورت های برچسب گذاری شده فعلی - پورت های برچسب گذاری شده فعلی
• پورت های بدون برچسب فعلی - پورت های بدون برچسب فعلی
• درگاه‌های برچسب‌گذاری شده ثابت - پورت‌های دارای برچسب استاتیک
• درگاه های بدون برچسب استاتیک - پورت های بدون برچسب ثابت
• کل ورودی ها - کل ورودی ها
• نام VLAN - نام VLAN
• آگهی - وضعیت

بیایید یک VLAN جدید با استفاده از حروف اول AA به عنوان نام و عدد 22 به عنوان شناسه ایجاد کنیم.برای این کار از دستور create vlan استفاده می کنیم.

VLAN جدید هنوز شامل هیچ پورتی نیست. با استفاده از config vlan، VLAN AA را تغییر دهید تا پورت های دارای برچسب 10، 14-17 و پورت های بدون برچسب 2-5 در آن ظاهر شوند.

از دستور show vlan برای نمایش اطلاعات VLAN های ایجاد شده استفاده کنید.

مشخص است که پورت های برچسب گذاری شده می توانند به چندین VLAN تعلق داشته باشند و پورت های بدون برچسب فقط می توانند متعلق به یک VLAN باشند. در حال حاضر، هر دو پورت برچسب دار و بدون برچسب در VLAN پیش فرض و VLAN AA گنجانده شده اند. از دستور config vlan برای حذف تمام پورت های استفاده شده در VLAN AA از پیش فرض VLAN استفاده کنید.

از تصویر بالا می بینید که اکنون پورت های 2-5، 10، 14-17 فقط در VLAN AA هستند.

تقسیم شبکه به VLAN های مختلف را در نظر بگیرید. مدار در کمد سیم کشی مونتاژ شده و زیرشبکه 10.0.0.0 / 8 پیکربندی شده است.

در لحظه اولیه، همه رایانه ها در یک زیر شبکه قرار دارند و بین خودشان پینگ می کنند. لازم است آنها را از هم جدا کنید تا PC22، PC20، PC18 در یک VLAN و PC 19، PC21 در VLAN دیگری قرار گیرند. برای انجام این کار، دو VLAN ایجاد کنید:

• VLAN = 10 با نام net1 (PC18، PC20، PC22)
• VLAN = 20 با نام net2 (PC19، PC21)

برای سوئیچ ها، یک طرح پیکربندی پورت بر اساس نمودار توسعه داده شد. در همان زمان، در نظر گرفته شد که پورت های بدون برچسب برای کامپیوترها و پورت های برچسب گذاری شده برای اتصال بین سوئیچ ها باید استفاده شوند. هنگام پیکربندی سوئیچ ها، پورت های برچسب گذاری شده در VLAN = 10 و VLAN = 20 قرار می گرفتند و پورت های بدون برچسب فقط در VLAN که رایانه به آن تعلق دارد قرار می گرفت.

در هر یک از سوئیچ ها، باید پورت ها را مطابق نمودار پیکربندی کنید. شکل زیر نمونه ای از تنظیم SW5 را نشان می دهد. ابتدا یک vlan با شناسه net1 و برچسب 10 ایجاد می شود. سپس دومین vlan net2 را با برچسب 20 ایجاد می کنیم. پس از آن پورت های سوئیچ را به vlan مربوطه اضافه می کنیم. پورت 1 به PC22 متصل است که در VLAN 10 است. این به این معنی است که پورت 1 بدون برچسب خواهد بود. پورت دوم طبق طرح به SW4 متصل است و باید 10 و 20 VLAN را از خود عبور دهد.

بقیه سوئیچ ها به صورت قیاسی پیکربندی می شوند.

برای مشاهده هر یک از VLAN هایی که ساخته ایم از دستور show vlan استفاده کنید.

VLAN (شبکه محلی مجازی) عملکردی در روترها و سوئیچ ها است که به شما امکان می دهد چندین VLAN را در یک رابط فیزیکی شبکه (اترنت، رابط Wi-Fi) ایجاد کنید.

VLAN بخشی از یک LAN بزرگتر است. ساده ترین مکانیسم برای جداسازی زیرشبکه های مختلف در واسط های اترنت چیست، WI-FI. برای سازماندهی یک VLAN، یک سوئیچ شبکه (نحوه انتخاب سوئیچ شبکه (سوئیچ، سوئیچ)) باید از فناوری VLAN و پروتکل 802.1q پشتیبانی کند.

مزایای VLAN:

تعداد دامنه های پخش را افزایش می دهد، اما اندازه هر دامنه پخش را کاهش می دهد، که به نوبه خود ترافیک شبکه را کاهش می دهد و امنیت شبکه را افزایش می دهد (هر دو پیامد به دلیل یک دامنه پخش بزرگ به هم مرتبط می شوند).

تلاش مدیران برای ایجاد زیرشبکه ها را کاهش می دهد.

مقدار تجهیزات را کاهش می دهد، زیرا شبکه ها را می توان به طور منطقی به جای فیزیکی جدا کرد.

مدیریت انواع مختلف ترافیک را بهبود می بخشد.

شرایط VLAN

Native VLAN چیست؟ این مفهومی در استاندارد 802.1Q است که به معنای VLAN روی یک سوئیچ است، جایی که همه فریم ها بدون برچسب می روند. ترافیک بدون برچسب ارسال می شود. به‌طور پیش‌فرض، این VLAN 1 است. در برخی از مدل‌های سوئیچ، مانند سیسکو، این می‌تواند با تعیین یک VLAN متفاوت به عنوان بومی تغییر کند.

مدت، اصطلاح بدون برچسب: فقط یک VLAN می تواند تمام بسته هایی را که به هیچ VLAN اختصاص داده نشده است (در اصطلاح 3Com, Planet, Zyxel -) دریافت کند. بدون برچسب، در اصطلاح سیسکو - VLAN بومی). سوئیچ تگ های این VLAN را به تمام فریم های دریافتی که هیچ تگ ندارند اضافه می کند.

تنه VLAN یک کانال فیزیکی است که چندین کانال VLAN را حمل می کند که با برچسب ها (برچسب های اضافه شده به بسته ها) از هم متمایز می شوند. ترانک ها معمولاً بین «پورت های برچسب گذاری شده» دستگاه های VLAN ایجاد می شوند: سوئیچ سوئیچ یا سوئیچ روتر. (در اسناد سیسکو، اصطلاح "Trunk" را به تجمع چندین پیوند فیزیکی در یک پیوند منطقی نیز می گویند: Link Aggregation، Port Trunking). یک روتر (سوئیچ لایه 3) به عنوان ستون فقرات برای ترافیک شبکه VLAN های مختلف عمل می کند.

به بیان ساده، vlan یک کانال منطقی در یک کانال فیزیکی (کابل) و ترانک مجموعه ای از کانال های منطقی (vlans) در یک کانال فیزیکی (کابل) است.

VLAN ها را می توان با موارد زیر شناسایی کرد:

پورتو (بیشترین استفاده). پورت VLAN به شما امکان می دهد یک پورت خاص را در یک VLAN شناسایی کنید. پورت ها را می توان به صورت جداگانه، گروهی، در ردیف های کامل و حتی در سوئیچ های مختلف از طریق پروتکل ترانک تعریف کرد. این ساده ترین و رایج ترین روش تشخیص VLAN است. این رایج ترین استفاده از تزریق VLAN مبتنی بر پورت زمانی است که ایستگاه های کاری از پروتکل پیکربندی دینامیک TCP/IP (DHCP) استفاده می کنند. در زیر تصویری از VLAN مبتنی بر پورت را مشاهده می کنید:

آدرس MAC - آدرس (بسیار نادر). VLAN‌های مبتنی بر آدرس‌های MAC به کاربران اجازه می‌دهند تا در همان VLAN باشند حتی اگر کاربر از یک مکان به مکان دیگر حرکت کند. این روش به یک مدیر نیاز دارد تا آدرس MAC هر ایستگاه کاری را تعیین کند و سپس این اطلاعات را در سوئیچ وارد کند. اگر کاربر آدرس MAC را تغییر داده باشد، عیب یابی این روش می تواند بسیار دشوار باشد. هر گونه تغییر پیکربندی باید با مدیر شبکه هماهنگ شود، که می تواند باعث تاخیر اداری شود.

شناسه کاربری (بسیار نادر)

VLAN Linux و D-Link DGS-1100-08P

راه اندازی DGS-1100-08P... بیایید در اولین پورت به آن وصل شویم. بیایید به آن IP 10.90.91.2 اختصاص دهیم. بیایید 3 VLAN ایجاد کنیم: vlan1 (پورت 1 (برچسب شده)) برای استفاده از سرویس، یعنی فقط برای پیکربندی سوئیچ، vlan22 (پورت 1 (برچسب شده)؛ پورت های 2،3،4 (بدون برچسب))، vlan35 (پورت 1 ( برچسب زده شده)؛ پورت های 5.6 (بدون برچسب)). پورت های 7.8 استفاده نشده و از طریق منوی تنظیمات پورت (سرعت: غیرفعال) غیرفعال می شوند.
اشاره می کنیم که در آینده می توانید D-Link DGS-1100-08P (IP 10.90.91.2) را فقط از طریق vlan1 کنترل کنید، یعنی در مورد ما، مدیر سیستم باید به اولین پورت DGS-1100-08P متصل شود. (هنگام اتصال به پورت دیگر - سوئیچ اجازه دسترسی به 10.90.91.2 را نمی دهد).

یک VLAN با نام vlan22 ایجاد کنید که به پورت eth4 متصل است. بیایید به آن یک IP اختصاص دهیم: 192.168.122.254. لینک آی پی افزودن لینک eth4 نام vlan22 نوع vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

سرویس vlan فقط برای پیکربندی سوئیچ:

لینک آی‌پی افزودن لینک eth4 نام vlan44 نوع vlan id 1 ip addr افزودن 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up لینک آی‌پی افزودن لینک eth4 نام vlan35 نوع vlan id 35 ip addr اضافه کردن 192.168.35.25.254.

• ما به پارامترهای vlan ایجاد شده در فایل های ls -l / proc / net / vlan / total 0 -rw ------- 1 root root 0 Aug 17 15:06 config -rw ----- نگاه می کنیم -- 1 ریشه ریشه 0 اوت 17 15:06 vlan1 -rw ------- 1 ریشه ریشه 0 اوت 17 15:06 vlan22

  ایجاد vlan از طریق vconfig و بارگیری خودکار از طریق / etc / network / interface ها کار نمی کند، بنابراین یک فایل راه اندازی ایجاد می کنیم و آن را در بوت استرپ سرور می نویسیم. vlan_create.sh #! / bin / sh -e پیوند آی‌پی افزودن پیوند eth4 نام vlan22 نوع vlan id 22 ip addr 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

9) مسیریابی: ایستا و پویا به عنوان مثال RIP، OSPF و EIGRP.
10) ترجمه آدرس های شبکه: NAT و PAT.
11) پروتکل های رزرو اولین هاپ: FHRP.
12) امنیت شبکه های کامپیوتری و شبکه های خصوصی مجازی: VPN.
13) شبکه های جهانی و پروتکل های مورد استفاده: PPP، HDLC، Frame Relay.
14) مقدمه ای بر IPv6، پیکربندی و مسیریابی.
15) مدیریت شبکه و نظارت بر شبکه.

P.S. شاید با گذشت زمان این لیست تکمیل شود.

در مقاله‌های قبلی، ما قبلاً با بسیاری از دستگاه‌های شبکه کار کرده‌ایم، تفاوت آنها با یکدیگر را درک کرده‌ایم و بررسی کرده‌ایم که از چه فریم‌ها، بسته‌ها و PDU‌های دیگر تشکیل شده‌اند. در اصل با این دانش می توانید یک شبکه محلی ساده را سازماندهی کنید و در آن کار کنید. اما دنیا ثابت نمی ماند. روز به روز دستگاه های بیشتری وجود دارند که شبکه را بارگیری می کنند یا حتی بدتر، تهدیدی برای امنیت هستند. و قاعدتاً "خطر" قبل از "امنیت" ظاهر می شود. حالا این را با ساده ترین مثال نشان خواهم داد.

ما در حال حاضر به روترها و زیرشبکه های مختلف دست نخواهیم داد. فرض کنید همه گره ها در یک زیر شبکه قرار دارند.

من بلافاصله لیستی از آدرس های IP را ارائه می دهم:

1. PC1 - 192.168.1.2/24
2. PC2 - 192.168.1.3/24
3. PC3 - 192.168.1.4/24
4. PC4 - 192.168.1.5/24
5. PC5 - 192.168.1.6/24
6. PC6 - 192.168.1.7/24

ما 3 بخش داریم: مدیریت، حسابداری، بخش پرسنل. هر بخش سوئیچ مخصوص به خود را دارد و از طریق بالای مرکزی به هم متصل می شوند. و حالا PC1 به PC2 پینگ می کند.

اگر می خواهید آن را در انیمیشن ببینید، اسپویلر را باز کنید (پینگ از PC1 به PC5 را نشان می دهد).

عملیات شبکه در یک دامنه پخش

خوبه ها؟ در مقالات قبلی، ما قبلاً بیش از یک بار در مورد عملکرد پروتکل ARP صحبت کرده بودیم، اما آن سال گذشته بود، بنابراین به طور خلاصه توضیح می دهم. از آنجایی که PC1 آدرس MAC (یا آدرس لایه پیوند) PC2 را نمی‌داند، یک جستجوگر ARP را می‌فرستد تا به آن اطلاع دهد. به سوییچ می آید، از آنجا به تمام پورت های فعال یعنی PC2 و سوئیچ مرکزی رله می شود. از سوئیچ مرکزی به سوئیچ های همسایه و غیره پرواز می کند تا زمانی که به همه برسد. این مقدار کمی از ترافیک ناشی از یک پیام ARP نیست. همه اعضای شبکه آن را دریافت کردند. ترافیک زیاد و غیر ضروری اولین مشکل است. موضوع دوم امنیت است. فکر می کنم متوجه شدند که این پیام حتی به بخش حسابداری رسیده است که رایانه های آنها اصلاً در این کار شرکت نکرده اند. هر مهاجمی که به هر یک از سوئیچ ها متصل شود به کل شبکه دسترسی خواهد داشت. در اصل، شبکه ها قبلاً به این شکل کار می کردند. کامپیوترها در یک محیط کانال قرار داشتند و تنها با کمک روترها از هم جدا می شدند. اما زمان گذشت و لازم بود این مشکل در سطح پیوند داده حل شود. سیسکو، به عنوان یک پیشگام، پروتکل خود را ارائه کرد که فریم ها را برچسب گذاری می کرد و تعلق به یک محیط کانال خاص را تعیین می کرد. نامیده شد ISL (لینک بین سوئیچ)... همه از این ایده خوششان آمد و IEEE تصمیم گرفت استاندارد باز مشابهی را توسعه دهد. استاندارد نامگذاری شد 802.1q... توزیع بزرگی داشت و سیسکو نیز تصمیم گرفت به آن سوئیچ کند.
و این دقیقاً فناوری VLAN است که بر اساس کار پروتکل 802.1q است. بیایید شروع به صحبت در مورد او کنیم.

در قسمت 3، من به شما نشان دادم که یک فریم اترنت چگونه است. به آن نگاه کنید و حافظه خود را تازه کنید. این همان چیزی است که یک قاب بدون برچسب به نظر می رسد.

حالا بیایید نگاهی به تگ شده بیندازیم.

همانطور که می بینید، تفاوت این است که مشخص است برچسب بزنید... این چیزی است که ما به آن علاقه داریم. بیایید عمیق تر کاوش کنیم. از 4 قسمت تشکیل شده است.

1) TPID (شناسه پروتکل برچسب) یا شناسه پروتکل برچسب شده- شامل 2 بایت است و همیشه 0x8100 برای VLAN است.
2) PCP (نقطه کد اولویت) یا مقدار اولویت- شامل 3 بیت است. برای اولویت بندی ترافیک استفاده می شود. سیستم‌عامل‌های باحال و ریش‌دار می‌دانند چگونه آن را به درستی مدیریت کنند و در هنگام ترافیک مختلف (صدا، ویدیو، داده و غیره) از آن استفاده کنند.
3) CFI (شاخص فرمت متعارف) یا نشانگر قالب متعارف- یک فیلد ساده متشکل از یک بیت. اگر 0 باشد، این فرمت استاندارد برای آدرس MAC است.
4) VID (شناسه VLAN انگلیسی) یا شناسه VLAN- شامل 12 بیت است و نشان می دهد که فریم در کدام VLAN قرار دارد.

من می خواهم توجه شما را به این واقعیت جلب کنم که فریم ها بین دستگاه های شبکه (سوئیچ، روتر و غیره) برچسب گذاری می شوند و فریم ها بین گره انتهایی (کامپیوتر، لپ تاپ) و دستگاه شبکه برچسب گذاری نمی شوند. بنابراین، پورت یک دستگاه شبکه می تواند در 2 حالت باشد: دسترسی داشته باشیدیا تنه.

• پورت دسترسی یا پورت دسترسی- پورتی که در یک VLAN خاص قرار دارد و فریم های بدون برچسب را ارسال می کند. معمولاً این پورت رو به روی دستگاه کاربر است.
• پورت ترانک یا پورت ترانک- پورت ترافیک برچسب گذاری شده را انتقال می دهد. به طور معمول، این پورت بین دستگاه های شبکه افزایش می یابد.

حالا این را در عمل نشان خواهم داد. من همان آزمایشگاه را باز می کنم. من تصویر را تکرار نمی کنم، اما بلافاصله سوئیچ را باز کنید و ببینید با VLAN چه چیزی دارد.

من در حال تایپ یک تیم هستم نشان دادن vlan.

چند میز ردیف شده است. در واقع، فقط اولین مورد برای ما مهم است. حالا به شما نشان خواهم داد که چگونه آن را بخوانید.

1 ستونشماره VLAN است. شماره 1 در ابتدا در اینجا وجود دارد - این VLAN استاندارد است که در ابتدا در هر سوئیچ وجود دارد. این یک عملکرد دیگر را انجام می دهد که در زیر در مورد آن خواهم نوشت. رزرو شده از 1002-1005 نیز موجود است. این برای سایر رسانه های کانال است که در حال حاضر به ندرت مورد استفاده قرار می گیرند. شما هم نمی توانید آنها را حذف کنید.

سوئیچ (پیکربندی) #no vlan 1005 VLAN 1005 پیش‌فرض ممکن است حذف نشود.
هنگام حذف، سیسکو پیغامی را نشان می دهد که این VLAN قابل حذف نیست. بنابراین ما زندگی می کنیم و به این 4 VLAN دست نمی زنیم.

2 ستوننام VLAN است. هنگام ایجاد یک VLAN، می توانید بنا به صلاحدید خود، نام های معنی دار برای آنها بیابید تا بعداً آنها را شناسایی کنید. در حال حاضر پیش فرض وجود دارد، fddi-default، token-ring-default، fddinet-default، trnet-default.

3 ستون- وضعیت وضعیت VLAN در اینجا نشان داده شده است. در حال حاضر، VLAN 1 یا پیش‌فرض فعال است و 4 مورد بعدی act/unsup هستند (اگرچه فعال هستند، اما پشتیبانی نمی‌شوند).

4 ستون- پورت ها این نشان می دهد که پورت ها به کدام VLAN ها تعلق دارند. حالا، وقتی هنوز چیزی را لمس نکرده ایم، آنها در حالت پیش فرض هستند.

بیایید پیکربندی سوئیچ ها را شروع کنیم. این تمرین خوبی است که به سوئیچ های خود اسامی معنی دار بدهید. چه خواهیم کرد. من تیم را می آورم.

سوئیچ (پیکربندی) #نام میزبان CentrSW CentrSW (پیکربندی) #
بقیه به همین ترتیب پیکربندی شده اند، بنابراین من نمودار توپولوژی به روز شده را به شما نشان می دهم.

بیایید با SW1 شروع کنیم. ابتدا اجازه دهید یک VLAN روی سوئیچ ایجاد کنیم.

SW1 (پیکربندی) #vlan 2 - ایجاد VLAN 2 (VLAN 1 به طور پیش فرض رزرو شده است، بنابراین ما بعدی را انتخاب می کنیم). SW1 (config-vlan) #name Dir-ya - وارد تنظیمات VLAN می شویم و به آن نام می دهیم.
VLAN ایجاد شد. حال به سراغ پورت ها می رویم. FastEthernet0 / 1 به PC1 و FastEthernet0 / 2 به PC2 نگاه می کند. همانطور که قبلا ذکر شد، فریم های بین آنها باید بدون برچسب ارسال شوند، بنابراین آنها را در حالت Access قرار می دهیم.

SW1 (پیکربندی) #interface fastEthernet 0/1 - به تنظیمات پورت 1 بروید. SW1 (config-if) دسترسی به حالت #switchport - پورت را در حالت دسترسی قرار دهید. SW1 (config-if) #switchport دسترسی vlan 2 - پورت را به VLAN دوم اختصاص دهید. SW1 (پیکربندی) #interface fastEthernet 0/2 - به تنظیمات پورت دوم بروید. SW1 (config-if) دسترسی به حالت #switchport - پورت را در حالت دسترسی قرار دهید. SW1 (config-if) #switchport دسترسی vlan 2 - پورت را به VLAN دوم اختصاص دهید.
از آنجایی که هر دو پورت به یک VLAN اختصاص داده شده اند، همچنان می توانند به عنوان یک گروه پیکربندی شوند.

SW1 (config) #interface range fastEthernet 0 / 1-2 - یعنی Pool را انتخاب کنید و سپس تنظیمات مشابه است. SW1 (config-if-range) #switchport mode دسترسی به SW1 (config-if-range) #switchport access vlan 2
پورت های دسترسی پیکربندی شده حالا بیایید یک Trunk بین SW1 و CentrSW راه اندازی کنیم.

SW1 (config) #interface fastEthernet 0/24 - به تنظیمات پورت 24 بروید. SW1 (config-if) #switchport mode trunk - پورت را به حالت trunk منتقل کنید. % LINEPROTO-5-UPDOWN: پروتکل خط در رابط FastEthernet0 / 24، تغییر حالت به پایین% LINEPROTO-5-UPDOWN: پروتکل خط در رابط FastEthernet0 / 24، تغییر حالت به بالا
بلافاصله می بینیم که پورت دوباره پیکربندی شده است. در اصل، این برای کار کافی است. اما از نقطه نظر امنیتی، تنها VLANهایی که واقعاً مورد نیاز هستند باید مجاز به انتقال باشند. بیا شروع کنیم.

SW1 (config-if) #switchport trunk مجاز vlan 2 - ما مجاز به انتقال VLAN دوم هستیم.
بدون این دستور، تمام VLAN های موجود منتقل می شوند. بیایید ببینیم جدول با دستور چگونه تغییر کرده است نشان دادن vlan.

دومین VLAN با نام Dir-ya ظاهر شد و پورت های fa0 / 1 و fa0 / 2 متعلق به آن را مشاهده می کنیم.

برای نمایش فقط جدول بالا می توانید از دستور استفاده کنید نمایش مختصر vlan.

همچنین می توانید خروجی را با تعیین یک شناسه VLAN خاص کوتاه کنید.

یا اسمش

تمام اطلاعات VLAN در حافظه فلش در فایل vlan.dat ذخیره می شود.

همانطور که می بینید، هیچ یک از تیم ها اطلاعات ترانک ندارند. با دستور دیگری قابل مشاهده است نمایش تنه رابط ها.

اطلاعاتی در مورد پورت های ترانک و VLAN هایی که آنها ارسال می کنند وجود دارد. یک ستون نیز وجود دارد vlan بومی... این دقیقا همان ترافیکی است که نباید برچسب گذاری شود. اگر یک فریم بدون برچسب به سوئیچ برسد، به طور خودکار به Native Vlan اختصاص داده می شود (به طور پیش فرض، و در مورد ما، این VLAN 1 است). VLAN بومی امکان پذیر است و بسیاری می گویند که برای اهداف امنیتی باید تغییر کند. برای انجام این کار، در حالت پیکربندی پورت ترانک، باید از دستور استفاده کنید - سوئیچ پورت ترانک بومی vlan X، جایی که ایکس- شماره VLAN اختصاص داده شده در این توپولوژی ما تغییر نخواهیم کرد، اما دانستن نحوه انجام آن مفید است.

پیکربندی بقیه دستگاه ها باقی مانده است.

CentrSW:
سوئیچ مرکزی چسب است، به این معنی که باید از تمام VLAN ها آگاه باشد. بنابراین ابتدا آنها را ایجاد می کنیم و سپس تمام اینترفیس ها را به حالت ترانک منتقل می کنیم.

CentrSW (config) #vlan 2 CentrSW (config-vlan) # name Dir-ya CentrSW (config) #vlan 3 CentrSW (config-vlan) # name buhgalter CentrSW (config) #vlan 4 CentrSW (config-vlan) # name otdel -kadrov CentrSW (config) #interface range fastEthernet 0 / 1-3 CentrSW (config-if-range) #switchport mode trunk
فراموش نکنید که پیکربندی را ذخیره کنید. تیم کپی run-config startup-config.

SW2 (config) #vlan 3 SW2 (config-vlan) #name buhgalter SW2 (config) #interface range fastEthernet 0 / 1-2 SW2 (config-if-range) #switchport mode دسترسی به SW2 (config-if-range) # دسترسی سوئیچ پورت vlan 3 SW2 (پیکربندی) #رابط سریع اترنت 0/24 SW2 (config-if) #switchport mode trunk SW2 (config-if) #switchport trunk مجاز vlan 3
SW3:

SW3 (config) #vlan 4 SW3 (config-vlan) #name otdel kadrov SW3 (config) #interface range fastEthernet 0 / 1-2 SW3 (config-if-range) #switchport mode دسترسی به SW3 (config-if-range) #switchport دسترسی vlan 4 SW3 (config) #interface fastEthernet 0/24 SW3 (config-if) #switchport mode trunk SW3 (config-if) #switchport trunk مجاز vlan 4
توجه داشته باشید که ما VLAN را بالا برده و پیکربندی کردیم، اما آدرس هاست را همانگونه رها کردیم. یعنی تقریباً همه گره ها در یک زیر شبکه هستند، اما توسط VLAN از هم جدا شده اند. شما نمی توانید این کار را انجام دهید. به هر VLAN باید یک زیر شبکه جداگانه اختصاص داده شود. من این کار را صرفا برای اهداف آموزشی انجام دادم. اگر هر بخش روی زیرشبکه خودش باشد، پیش از این محدود می‌شود، زیرا سوئیچ نمی‌تواند ترافیک را از یک زیرشبکه به زیرشبکه دیگر هدایت کند (به علاوه این یک محدودیت در سطح شبکه است). و ما باید بخش ها را در سطح پیوند محدود کنیم.
من دوباره PC1 را به PC3 پینگ می کنم.

ARP در حال انجام است که ما اکنون به آن نیاز داریم. بیا بازش کنیم

تا اینجا هیچ چیز جدیدی نیست. ARP در اترنت کپسوله شده است.

فریم به سوئیچ می رسد و برچسب گذاری می شود. اکنون اترنت معمولی وجود ندارد، اما 802.1q وجود دارد. فیلدهایی که قبلاً در مورد آنها نوشتم اضافه شدند. این TPIDکه 8100 است و نشان می دهد که 802.1q است. و TCIکه 3 فیلد را ترکیب می کند PCP، CFI و VID... شماره در این قسمت شماره VLAN است. در حال حرکت

بعد از تگ، فریم را به PC2 (چون در همان VLAN است) و از طریق پورت Trunk به سوئیچ مرکزی می فرستد.

از آنجایی که به طور دقیق تعیین نشده بود که کدام نوع VLAN به کدام پورت منتقل شود، آن را به هر دو سوئیچ ارسال می کند. و در اینجا سوئیچ ها با دیدن شماره VLAN متوجه می شوند که دستگاه هایی با چنین VLAN ندارند و جسورانه آن را دور می اندازند.

PC1 منتظر پاسخی است که هرگز نمی آید. می توانید آن را به صورت انیمیشن زیر اسپویلر ببینید.

انیمیشن

حالا وضعیت بعدی. یک نفر دیگر به عنوان عضو ریاست استخدام می شود، اما جایی در دفتر ریاست وجود ندارد و برای مدتی از آنها می خواهند که یک نفر را در بخش حسابداری قرار دهند. ما این مشکل را حل می کنیم.

ما یک کامپیوتر را به پورت FastEthernet 0/3 سوئیچ وصل کردیم و آدرس IP 192.168.1.8/24 را اختصاص دادیم.
حالا سوئیچ را پیکربندی می کنم SW2... از آنجایی که کامپیوتر باید در VLAN دوم باشد که سوئیچ از آن اطلاعی ندارد، آن را روی سوئیچ ایجاد می کنیم.

SW2 (config) #vlan 2 SW2 (config-vlan) #name Dir-ya
در مرحله بعد، پورت FastEthernet 0/3 را که به PC7 نگاه می کند، پیکربندی می کنیم.

SW2 (config) #interface fastEthernet 0/3 SW2 (config-if) #switchport mode دسترسی به SW2 (config-if) #switchport access vlan 2
و آخرین مورد این است که پورت ترانک را پیکربندی کنید.

SW2 (config) #interface fastEthernet 0/24 SW2 (config-if) #switchport trunk allow vlan add 2 - به این دستور توجه کنید. یعنی کلمه کلیدی "افزودن". اگر این کلمه را اضافه نکنید، تمام VLAN های مجاز برای انتقال در این پورت را پاک خواهید کرد. بنابراین، اگر قبلاً یک ترانک روی پورت ایجاد کرده اید و سایر VLAN ها منتقل شده اند، باید به این روش اضافه کنید.
برای زیبا جلوه دادن قاب ها، سوئیچ مرکزی را اصلاح می کنم CentrSW.

CentrSW (پیکربندی) #interface fastEthernet 0/1 CentrSW (config-if) #switchport trunk مجاز vlan 2 CentrSW (پیکربندی) #interface fastEthernet 0/2 CentrSW (config-if) #switchport trunk مجاز vlan 2,3CentrS) #interface fastEthernet 0/3 CentrSW (config-if) #switchport trunk مجاز vlan 4
زمان را بررسی کنید. من PC1 را به PC7 پینگ می کنم.

تا اینجا کل مسیر مشابه مسیر قبلی است. اما از این لحظه (از تصویر زیر) کلید مرکزی تصمیم دیگری خواهد گرفت. او فریم را دریافت می کند و می بیند که با 2nd VLAN تگ شده است. این بدان معنی است که شما باید آن را فقط به جایی که مجاز است، یعنی به درگاه fa0 / 2 ارسال کنید.

و بنابراین او به SW2 می آید. آن را باز می کنیم و می بینیم که هنوز تگ شده است. اما گره بعدی کامپیوتر است و تگ باید حذف شود. روی "جزئیات PDU خروجی" کلیک کنید تا ببینید فریم چگونه از سوئیچ خارج می شود.

و در واقع. سوئیچ فریم را به شکل "تمیز"، یعنی بدون برچسب ارسال می کند.

ARP به PC7 می رسد. آن را باز می کنیم و مطمئن می شویم که قاب بدون برچسب PC7 ​​خودش را شناسایی کرده و پاسخی ارسال می کند.

فریم روی سوئیچ را باز می کنیم و می بینیم که برای ارسال تگ ارسال می شود. علاوه بر این، قاب همان مسیری را که آمده حرکت می‌کند.

همانطور که با علامت چک روی پاکت نشان داده شده است، ARP به PC1 می رسد. حالا او آدرس MAC را می داند و ICMP را راه اندازی می کند.

بسته را روی سوئیچ باز می کنیم و همان تصویر را می بینیم. در سطح پیوند، فریم توسط سوئیچ برچسب گذاری می شود. با هر پیامی اینطور خواهد بود.

می بینیم که بسته با موفقیت به PC7 می رسد. من راه برگشت را نشان نمی دهم، زیرا شبیه است. اگر کسی علاقه مند است، می توانید کل مسیر را در انیمیشن زیر اسپویلر زیر مشاهده کنید. و اگر می‌خواهید خودتان عمیق‌تر در این توپولوژی کاوش کنید، پیوندی به آزمایشگاه پیوست می‌کنم.

منطق VLAN

این اساساً محبوب ترین استفاده برای VLAN ها است. صرف نظر از موقعیت فیزیکی آنها، می توانید به طور منطقی گره ها را در گروه ها ترکیب کنید و در نتیجه آنها را از دیگران جدا کنید. زمانی که کارمندان از نظر فیزیکی در مکان های مختلف کار می کنند بسیار راحت است، اما باید متحد باشند. و البته از نظر امنیتی VLAN ها غیر قابل تعویض هستند. نکته اصلی این است که تعداد محدودی از افراد به دستگاه های شبکه دسترسی دارند، اما این یک موضوع جداگانه است.
محدودیت‌هایی در سطح پیوند داده به دست آمد. ترافیک دیگر در هیچ کجا راه نمی رود، بلکه دقیقاً طبق برنامه پیش می رود. اما اکنون این سوال پیش می آید که ادارات باید با یکدیگر ارتباط برقرار کنند. و از آنجایی که آنها در محیط های کانال مختلف هستند، مسیریابی وارد عمل می شود. اما قبل از شروع، بیایید توپولوژی را مرتب کنیم. اولین چیزی که می توانیم دست خود را روی آن بگذاریم آدرس دهی گره ها است. باز هم می گویم که هر بخش باید در زیر شبکه خودش باشد. مجموع بدست می آوریم:

• اداره - 192.168.1.0/24
• حسابداری - 192.168.2.0/24
• اداره منابع انسانی - 192.168.3.0/24

هنگامی که زیرشبکه ها تعریف شدند، بلافاصله به گره ها آدرس می دهیم.

1. PC1:
   IP: 192.168.1.2
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.1.1
2. PC2:
   IP: 192.168.1.3
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.1.1
3. PC3:
   IP: 192.168.2.2
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.2.1
4. PC4:
   IP: 192.168.2.3
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.2.1
5. PC5:
   IP: 192.168.3.2
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.3.1
6. PC6:
   IP: 192.168.3.3
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.3.1
7. PC7:
   IP: 192.168.1.4
   ماسک: 255.255.255.0 یا / 24
   دروازه: 192.168.1.1

حالا در مورد تغییرات توپولوژی. می بینیم که یک روتر اضافه شده است. این فقط ترافیک را از یک VLAN به دیگری (به عبارت دیگر، مسیر) منتقل می کند. در ابتدا، هیچ ارتباطی بین آن و سوئیچ وجود ندارد، زیرا اینترفیس ها غیرفعال هستند.
گره ها پارامتری مانند آدرس دروازه اضافه کرده اند. آنها زمانی از این آدرس استفاده می کنند که نیاز به ارسال پیام به میزبانی در یک زیرشبکه دیگر دارند. بر این اساس، هر زیر شبکه دروازه مخصوص به خود را دارد.

پیکربندی روتر باقی مانده است و من CLI آن را باز می کنم. طبق سنت، من یک نام معنی دار می گذارم.

روتر (پیکربندی) #hostname دروازه دروازه (پیکربندی) #
در مرحله بعد، اجازه دهید به پیکربندی اینترفیس ها بپردازیم.

Gateway (config) #interface fastEthernet 0/0 - به رابط مورد نیاز بروید. دروازه (config-if) #بدون خاموشی - آن را فعال کنید. % LINK-5-CHANGED: رابط FastEthernet0 / 0، تغییر حالت به بالا% LINEPROTO-5-UPDOWN: پروتکل خط در رابط FastEthernet0 / 0، تغییر حالت به بالا
حالا توجه! ما رابط را روشن کردیم، اما آدرس IP را روی آن آویزان نکردیم. واقعیت این است که فقط یک پیوند یا یک کانال از رابط فیزیکی (fastethernet 0/0) مورد نیاز است. نقش دروازه ها توسط رابط های مجازی یا زیرواسط ها انجام خواهد شد. در حال حاضر 3 نوع VLAN وجود دارد. این به این معنی است که 3 واسط فرعی وجود خواهد داشت. بیایید پیکربندی را شروع کنیم.

Gateway (config) #interface fastEthernet 0 / 0.2 Gateway (config-if) #encapsulation dot1Q 2 Gateway (config-if) #ip address 192.168.1.1 255.255.255.0 Gateway (config) #interface Gateway /config-3. ) #encapsulation dot1Q 3 Gateway (config-if) #آدرس IP 192.168.2.1 255.255.255.0 Gateway (config) #interface fastEthernet 0 / 0.4 Gateway (config-if) #encapsulation dot1Q 4 fig8-2.2 Gateway #1. 0.3.1 255.255.255.0
روتر پیکربندی شده است. بیایید به سوییچ مرکزی برویم و یک پورت Trunk را روی آن پیکربندی کنیم تا فریم های برچسب گذاری شده را به روتر ارسال کند.

CentrSW (config) #interface fastEthernet 0/24 CentrSW (config-if) #switchport mode trunk CentrSW (config-if) #switchport trunk مجاز vlan 2,3,4
پیکربندی کامل شد و بیایید به تمرین برویم. من PC1 را به PC6 پینگ می کنم (یعنی 192.168.3.3).

PC1 نمی داند که PC6 یا 192.168.3.3 کیست، اما می داند که آنها در زیرشبکه های مختلف هستند (همانطور که او متوجه شد در مقاله قبلی توضیح داده شده است). بنابراین از طریق دروازه پیش فرض که آدرس آن در تنظیمات وی مشخص شده است پیامی ارسال می کند. اگرچه PC1 آدرس IP دروازه پیش فرض را می داند، اما فاقد یک آدرس MAC برای خوشبختی کامل است. و از ARP استفاده می کند.

توجه داشته باشید. هنگامی که یک فریم به CentrSW می رسد، سوئیچ آن را برای کسی پخش نمی کند. فقط به آن پورت هایی پخش می شود که عبور از VLAN دوم مجاز است. یعنی به روتر و به SW2 (یک کاربر در VLAN دوم نشسته است).

روتر خود را می شناسد و پاسخی را ارسال می کند (با یک فلش نشان داده شده است). و به قاب پایینی دقت کنید. وقتی SW2 ARP را از سوییچ مرکزی دریافت کرد، به طور مشابه آن را به همه رایانه ها ارسال نکرد، بلکه فقط PC7 را ارسال کرد که در VLAN دوم است. اما PC7 آن را دور می اندازد زیرا برای آن مناسب نیست. ما بیشتر نگاه می کنیم.

ARP به PC1 رسید. حالا او همه چیز را می داند و می تواند ICMP را ارسال کند. یک بار دیگر توجه شما را به این نکته جلب می کنم که آدرس مک مقصد (لایه پیوند) آدرس روتر و آدرس IP مقصد (لایه شبکه) آدرس PC6 خواهد بود.

ICMP به روتر می رسد. او به میز خود نگاه می کند و متوجه می شود که کسی را تحت آدرس 192.168.3.3 نمی شناسد. ICMP ورودی را رها می کند و به ARP اجازه می دهد که جستجو کند.

PC6 خود را می شناسد و پاسخی ارسال می کند.

پاسخ به روتر می رسد و یک ورودی در جدول خود اضافه می کند. با دستور می توانید جدول ARP را مشاهده کنید نشان دادن آرپ.
در حال حرکت PC1 از اینکه کسی پاسخ نمی دهد خوشحال نیست و پیام ICMP بعدی را ارسال می کند.

این بار ICMP بدون مشکل وارد می شود. او همان مسیر بازگشت را دنبال خواهد کرد. من فقط نتیجه نهایی را به شما نشان می دهم.

بسته اول گم شد (در نتیجه ARP) و دومی بدون هیچ مشکلی رسید.
کسی که حوصله دیدن انیمیشن را دارد، زیر اسپویلر خوش آمدید.

مسیریابی InterVLAN

بنابراین. ما به این نتیجه رسیده‌ایم که اگر گره‌ها در یک زیرشبکه و در یک VLAN باشند، مستقیماً از طریق سوئیچ‌ها عبور می‌کنند. در مواردی که لازم باشد پیامی به زیر شبکه و VLAN دیگری ارسال شود، از طریق روتر Gateway که مسیریابی "inter-vlan" را انجام می دهد، منتقل می شود. این توپولوژی نامیده می شود "روتر روی چوب"یا "روتر روی چوب"... همانطور که متوجه شدید، بسیار راحت است. ما 3 رابط مجازی ایجاد کردیم و فریم های برچسب گذاری شده مختلف را روی یک سیم اجرا کردیم. بدون استفاده از زیراینترفیس ها و VLAN ها، استفاده از یک رابط فیزیکی جداگانه برای هر زیر شبکه ضروری است که اصلاً سودی ندارد.

به هر حال، این سوال در این ویدیو به خوبی مرتب شده است (ویدیو حدود 3 ساعت طول می کشد، بنابراین لینک دقیقاً به آن لحظه در زمان پیوند داده شده است). اگر پس از خواندن و تماشای ویدیو، می خواهید آن را با دستان خود به پایان برسانید، لینک دانلود را پیوست می کنم.

ما با VLAN ها سروکار داریم و به سراغ یکی از پروتکل هایی می رویم که با آن کار می کند.
DTP (پروتکل Dynamic Trunking)یا به زبان روسی پروتکل ترانک پویایک پروتکل اختصاصی سیسکو است که برای پیاده سازی حالت ترانک بین سوئیچ ها استفاده می شود. اگرچه بسته به ایالت، آنها می توانند در حالت دسترسی نیز مذاکره کنند.

DTP دارای 4 حالت Dynamic auto، Dynamic desirable، Trunk، Access. بیایید ببینیم آنها چگونه با هم هماهنگ می شوند.

حالت ها	خودکار پویا	پویا مطلوب	تنه	دسترسی داشته باشید
خودکار پویا	دسترسی داشته باشید	تنه	تنه	دسترسی داشته باشید
پویا مطلوب	تنه	تنه	تنه	دسترسی داشته باشید
تنه	تنه	تنه	تنه	بدون اتصال
دسترسی داشته باشید	دسترسی داشته باشید	دسترسی داشته باشید	بدون اتصال	دسترسی داشته باشید

یعنی ستون سمت چپ دستگاه 1 و ردیف بالا دستگاه 2 است. به طور پیش فرض، سوئیچ ها در حالت "دینامیک خودکار" هستند. اگر به جدول نقشه برداری نگاه کنید، دو سوئیچ در حالت "خودکار پویا" با حالت "دسترسی" تطبیق داده می شوند. بگذار چک کنیم. من یک آزمایشگاه جدید ایجاد می کنم و 2 سوئیچ اضافه می کنم.

من هنوز آنها را وصل نمی کنم. باید مطمئن شوم که هر دو سوئیچ در حالت "دینامیک خودکار" هستند. من با یک تیم بررسی خواهم کرد نمایش پورت سوئیچ رابط ها.

نتیجه این دستور بسیار بزرگ است، بنابراین من آن را برش دادم و نقاط مورد علاقه را برجسته کردم. بیا شروع کنیم با حالت اداری... این خط نشان می دهد که در کدام یک از 4 حالت یک پورت معین روی سوئیچ کار می کند. اطمینان حاصل کنید که پورت های هر دو سوئیچ در حالت "Dynamic auto" هستند. و خط حالت عملیاتینشان می دهد که آنها در کدام حالت کار موافقت کردند. ما هنوز آنها را وصل نکرده ایم، بنابراین آنها از کار افتاده اند.

من فوراً به شما توصیه خوبی می کنم. هنگام تست هر پروتکل، از فیلترها استفاده کنید. غیرفعال کردن نمایش کار همه پروتکل هایی که نیاز ندارید.

من CPT را در حالت شبیه سازی قرار دادم و تمام پروتکل ها را به جز DTP فیلتر کردم.

فکر می کنم اینجا همه چیز روشن است. من سوئیچ ها را با یک کابل وصل می کنم و وقتی لینک ها بالا می روند، یکی از سوئیچ ها یک پیام DTP تولید می کند.

من آن را باز می کنم و می بینم که DTP در یک فریم اترنت محصور شده است. او آن را به آدرس چندپخشی "0100.0ccc.cccc" می فرستد که به پروتکل های DTP، VTP، CDP اشاره دارد.
و من به 2 فیلد در هدر DTP توجه خواهم کرد.

1) نوع DTP- در اینجا فرستنده یک پیشنهاد درج می کند. یعنی در چه حالتی می خواهد موافقت کند. در مورد ما، او پیشنهاد می کند در مورد "دسترسی" توافق شود.
2) آدرس مک همسایه- در این قسمت آدرس MAC پورت خود را می نویسد.

می فرستد و منتظر واکنش همسایه است.

پیام به SW1 می رسد و یک پاسخ ایجاد می کند. جایی که همچنین حالت "دسترسی" را مذاکره می کند، آدرس MAC خود را وارد می کند و آن را در راه SW2 می فرستد.

DTP با موفقیت وارد شد. در تئوری، آنها باید در حالت "دسترسی" توافق می کردند. من آن را بررسی می کنم.

همانطور که انتظار می رفت، آنها در حالت «دسترسی» مذاکره کردند.
یکی می گوید این فناوری راحت است و از آن استفاده می کند. اما من به شدت از استفاده از این پروتکل در شبکه خود منصرف هستم. من تنها کسی نیستم که این را توصیه می کنم و اکنون دلیل آن را توضیح خواهم داد. نکته این است که این پروتکل یک حفره امنیتی بزرگ را باز می کند. من آزمایشگاهی را که به کار "روتر روی چوب" می پردازد را باز می کنم و سوئیچ دیگری را آنجا اضافه می کنم.

حالا وارد تنظیمات سوئیچ جدید می شوم و پورت را هارد کد می کنم تا در حالت ترانک کار کند.

New_SW (config) #interface fastEthernet 0/1 New_SW (config-if) #switchport mode trunk
آنها را کنار هم می گذارم و می بینم که چگونه مناسب هستند.

همه چیز درست است. حالت‌های "خودکار پویا" و "تنه" با حالت مطابقت دارند تنه... الان منتظریم یکی فعال باشه. فرض کنید PC1 تصمیم گرفت برای کسی پیام ارسال کند. ARP تولید می کند و به شبکه عرضه می کند.

از مسیر او بگذریم تا لحظه ای که به SW2 برسد.

و قسمت سرگرم کننده اینجاست.

او آن را به سوییچ تازه متصل می فرستد. من توضیح می دهم که چه اتفاقی افتاده است. به محض اینکه با او در مورد ترانک به توافق رسیدیم، شروع به ارسال تمام فریم های دریافتی برای او می کند. اگرچه نمودار نشان می‌دهد که سوئیچ فریم‌ها را پایین می‌آورد، اما این معنایی ندارد. شما می توانید هر sniffer را به سوئیچ یا به جای سوئیچ متصل کنید و با آرامش آنچه را که در شبکه اتفاق می افتد مشاهده کنید. به نظر می رسد که ARP بی ضرر را رهگیری کرده است. اما اگر عمیق تر نگاه کنید، می بینید که آدرس MAC "0000.0C1C.05DD" و آدرس IP "192.168.1.2" از قبل شناخته شده است. یعنی PC1 بدون فکر به خودش خیانت کرد. مهاجم اکنون در مورد چنین رایانه ای می داند. علاوه بر این، او می داند که در VLAN 2 نشسته است. سپس او می تواند کارهای زیادی انجام دهد. رایج ترین کار تغییر آدرس مک، آدرس IP، توافق سریع در Access و جعل هویت PC1 است. اما جالب ترین چیز. پس از همه، شما ممکن است بلافاصله این را درک نکنید. معمولاً وقتی حالت عملیات پورت را ثبت می کنیم، بلافاصله در تنظیمات نمایش داده می شود. وارد می شوم اجرای پیکربندی را نشان می دهد.

اما اینجا تنظیمات پورت خالی است. وارد می شوم نمایش پورت سوئیچ رابط هاو اسکرول کردن به fa0/4.

و در اینجا می بینیم که تنه مورد مذاکره قرار می گیرد. Show running-config همیشه اطلاعات جامعی را ارائه نمی دهد. بنابراین، دستورات دیگر را نیز حفظ کنید.

فکر می کنم واضح است که چرا نمی توانید به این پروتکل اعتماد کنید. به نظر می رسد که زندگی را آسان تر می کند، اما در عین حال می تواند مشکل بزرگی ایجاد کند. پس به روش دستی تکیه کنید. هنگام پیکربندی، فوراً برای خود مشخص کنید که کدام پورت ها در حالت ترانک و کدام در دسترسی کار می کنند. مهمتر از همه، همیشه مذاکره را خاموش کنید. به طوری که سوئیچ ها سعی نمی کنند با کسی توافق کنند. این کار با دستور "switchport nonegotiate" انجام می شود.

بیایید به پروتکل بعدی برویم.

VTP (پروتکل VLAN Trunking)یک پروتکل اختصاصی سیسکو است که برای تبادل اطلاعات در مورد VLAN ها استفاده می شود.

حالتی را تصور کنید که 40 سوئیچ و 70 VLAN دارید. به دلایل خوب، باید آنها را به صورت دستی روی هر سوئیچ ایجاد کنید و در کدام پورت های ترانک امکان انتقال را ثبت کنید. این یک تجارت دلخراش و طولانی است. بنابراین، این وظیفه می تواند توسط VTP انجام شود. شما VLAN ها را روی یک سوئیچ ایجاد می کنید و بقیه با پایه آن همگام می شوند. به توپولوژی زیر نگاهی بیندازید.

در اینجا 4 سوئیچ وجود دارد. یکی از آنها سرور VTP است و 3 تای دیگر کلاینت هستند. آن دسته از VLANهایی که بر روی سرور ایجاد می شوند، به طور خودکار روی کلاینت ها همگام می شوند. من توضیح خواهم داد که VTP چگونه کار می کند و چه کاری می تواند انجام دهد.

بنابراین. VTP می تواند VLAN ها را ایجاد، اصلاح و حذف کند. هر یک از این اقدامات منجر به این واقعیت می شود که تعداد بازبینی افزایش می یابد (هر عمل تعداد را 1+ افزایش می دهد). سپس او اعلامیه هایی را می فرستد که در آن شماره تجدید نظر درج شده است. مشتریانی که این اعلان را دریافت می کنند، شماره بازبینی خود را با نسخه ای که آمده مقایسه می کنند. و اگر عدد دریافتی بیشتر باشد، پایه خود را با آن همگام می کنند. در غیر این صورت آگهی نادیده گرفته می شود.

اما این همه ماجرا نیست. VTP نقش هایی دارد. به طور پیش فرض، همه سوئیچ ها به عنوان یک سرور کار می کنند. من در مورد آنها به شما خواهم گفت.

1. سرور VTP... او می داند که چگونه همه چیز را انجام دهد. یعنی VLAN ایجاد می کند، تغییر می دهد، حذف می کند. اگر تبلیغی دریافت کند که در آن نسخه قدیمی‌تر از آن باشد، همگام‌سازی می‌شود. به طور مداوم اطلاعیه ها و بازپخش ها را از همسایگان ارسال می کند.
2. مشتری VTP- این نقش در حال حاضر محدود است. شما نمی توانید VLAN ها را ایجاد، اصلاح یا حذف کنید. تمام VLAN ها از سرور دریافت و همگام سازی می شوند. به صورت دوره ای به همسایگان در مورد پایگاه VLAN خود اطلاع می دهد.
3. VTP شفاف- این یک نقش مستقل است. این می تواند VLAN ها را فقط در پایگاه خودش ایجاد، اصلاح و حذف کند. او چیزی را بر کسی تحمیل نمی کند و از کسی چیزی نمی پذیرد. اگر نوعی تبلیغ دریافت کند، آن را منتشر می کند، اما با پایه خود هماهنگ نمی شود. اگر در نقش های قبلی، با هر تغییر، تعداد بازبینی افزایش می یافت، در این حالت، شماره ویرایش همیشه 0 است.

این همه برای VTP نسخه 2 است. در VTP نسخه 3، یک نقش دیگر اضافه شده است - VTP خاموش... هیچ اطلاعیه ای پخش نمی کند. بقیه کارها شبیه حالت است شفاف.

تئوری را می خوانیم و به سمت عمل می رویم. بیایید بررسی کنیم که سوئیچ مرکزی در حالت سرور است. دستور را وارد کنید نمایش وضعیت vtp.

می بینیم که VTP Operating Mode: Server. همچنین می توانید متوجه شوید که نسخه VTP دوم است. متاسفانه نسخه 3 CPT پشتیبانی نمی شود. نسخه ویرایش صفر است.
حالا بیایید سوئیچ های پایینی را پیکربندی کنیم.

SW1 (پیکربندی) #vtp mode client تنظیم دستگاه به حالت VTP CLIENT.
پیامی مبنی بر اینکه دستگاه به حالت کلاینت تغییر کرده است می بینیم. بقیه به همین ترتیب پیکربندی شده اند.

برای اینکه دستگاه ها بتوانند تبلیغات را مبادله کنند، باید در یک دامنه باشند. و در اینجا یک ویژگی خاص وجود دارد. اگر دستگاه (در حالت سرور یا کلاینت) متعلق به هیچ دامنه ای نباشد، پس از اولین آگهی دریافتی، به دامنه تبلیغ شده می رود. اگر مشتری عضو یک دامنه باشد، تبلیغات دامنه های دیگر را نمی پذیرد. بیایید SW1 را باز کنیم و مطمئن شویم که به هیچ دامنه ای تعلق ندارد.

ما مطمئن می شویم که این خالی است.

حالا به سمت سوئیچ مرکزی می رویم و آن را به دامنه منتقل می کنیم.

CentrSW (config) #vtp دامنه cisadmin.ru تغییر نام دامنه VTP از NULL به cisadmin.ru
پیامی می بینیم که به دامنه cisadmin.ru منتقل شده است.
بیایید وضعیت را بررسی کنیم.

و در واقع. نام دامنه تغییر کرده است. لطفا توجه داشته باشید که شماره ویرایش در حال حاضر صفر است. به محض ایجاد یک VLAN روی آن تغییر می کند. اما قبل از ایجاد آن، باید شبیه ساز را در حالت شبیه سازی قرار دهید تا ببینید چگونه تبلیغات ایجاد می کند. ما بیستمین VLAN را ایجاد می کنیم و تصویر زیر را مشاهده می کنیم.

به محض ایجاد VLAN و افزایش تعداد ویرایش، سرور تبلیغات تولید می کند. او دو تا از آنها را دارد. ابتدا بیایید یکی از سمت چپ را باز کنیم. این اطلاعیه در زبان روسی "خلاصه آگهی" یا "اطلاعیه خلاصه" نامیده می شود. این اعلامیه هر 5 دقیقه توسط سوئیچ ایجاد می شود، جایی که در مورد نام دامنه و ویرایش فعلی صحبت می کند. بیایید ببینیم چگونه به نظر می رسد.

در فریم اترنت، به آدرس MAC مقصد توجه کنید. زمانی که DTP تولید شد، مانند بالا است. یعنی در مورد ما فقط کسانی که VTP دارند به آن پاسخ می دهند. حالا بیایید به قسمت بعدی نگاه کنیم.

اینجا فقط تمام اطلاعات است. بیایید از مهمترین زمینه ها عبور کنیم.

• نام دامنه مدیریت - نام خود دامنه (در این مورد، cisadmin.ru).
• شناسه Updater - شناسه به روز کننده. معمولاً در اینجا آدرس IP نوشته می شود. اما از آنجایی که آدرس به سوییچ اختصاص داده نشده است، فیلد خالی است
• به روز رسانی مهر زمانی - زمان به روز رسانی. زمان روی سوئیچ تغییر نکرد، بنابراین زمان کارخانه وجود دارد.
• MD5 Digest - هش MD5. برای تأیید اعتبار استفاده می شود. یعنی اگر VTP پسورد داشته باشد. ما رمز عبور را تغییر نداده‌ایم، بنابراین هش پیش‌فرض است.

حالا بیایید به پیام تولید شده بعدی (پیام سمت راست) نگاه کنیم. به آن «آگهی زیر مجموعه» یا «آگهی تفصیلی» می گویند. این اطلاعات دقیق در مورد هر VLAN ارسال شده است.
فکر می کنم اینجا واضح است. هدر جداگانه برای هر نوع VLAN. لیست به قدری طولانی است که روی صفحه نمایش جا نمی شود. اما آنها به جز نام ها دقیقاً همینطور هستند. من خودم را اذیت نمی کنم، یعنی از هر کدی استفاده نمی کنم. و در CPT آنها بیشتر یک کنوانسیون هستند.
ببینیم بعدش چی میشه

مشتریان تبلیغات دریافت می کنند. آنها می بینند که تعداد تجدید نظر از آنها بیشتر است و پایه را همگام می کنند. و به سرور پیغام میدن که پایه VLAN تغییر کرده.

VTP چگونه کار می کند

اساساً VTP اینگونه کار می کند. اما معایب بسیار بزرگی دارد. و این معایب از نظر امنیت است. با استفاده از مثال همین آزمایشگاه توضیح می دهم. ما یک سوئیچ مرکزی داریم که VLAN ها روی آن ایجاد می شوند و سپس از طریق چندپخشی آنها را با همه سوئیچ ها همگام می کند. در مورد ما، او در مورد VLAN 20 صحبت می کند. پیشنهاد می کنم یک نگاه دیگر به پیکربندی آن بیندازید.

توجه داشته باشید. یک پیام VTP به سرور می رسد، جایی که شماره ویرایش بالاتر از آن است. او درک می کند که شبکه تغییر کرده است و باید با آن سازگار شود. بیایید پیکربندی را بررسی کنیم.

پیکربندی سرور مرکزی تغییر کرده است و اکنون دقیقاً همان را پخش می کند.
حال تصور کنید که ما نه یک VLAN، بلکه صدها VLAN داریم. به همین روش ساده می توانید یک شبکه قرار دهید. البته، دامنه را می توان با رمز محافظت کرد و آسیب رساندن به آن برای مهاجم سخت تر خواهد بود. وضعیتی را تصور کنید که سوئیچ شما خراب است و باید فوراً آن را تعویض کنید. شما یا همکارتان برای خرید تابلوی قدیمی به انبار می دوید و فراموش کرده اید که شماره ویرایش را بررسی کنید. معلوم می شود از بقیه بالاتر است. شما قبلاً دیده اید که بعداً چه اتفاقی می افتد. بنابراین توصیه می کنم از این پروتکل استفاده نکنید. به خصوص در شبکه های شرکت های بزرگ. اگر از VTP نسخه 3 استفاده می کنید، با خیال راحت سوئیچ ها را در حالت "خاموش" قرار دهید. اگر از نسخه دوم استفاده می شود، به حالت "شفاف" بروید. افزودن برچسب

در صفحات سایت ما بارها از عبارت VLAN در دستورالعمل های پیکربندی روترهای مختلف و ایجاد یک شبکه شرکتی استفاده کرده ایم. با این حال، تکنولوژی مدرن vlan نیاز به مطالعه دقیق دارد، بنابراین سری بعدی مقالات به ویژگی ها و پیکربندی "vlan" در دستگاه های مختلف اختصاص دارد.

این مطالب نوعی "کلمات مقدماتی" است و در اینجا به این خواهیم پرداخت که VLAN چیست و چگونه فناوری VLAN در پیکربندی شبکه کمک می کند.

ولان: چیه؟

VLAN فناوری است که به شما امکان می دهد چندین دامنه پخش مجازی را در یک دامنه پخش فیزیکی پیکربندی کنید.

به عبارت دیگر، با داشتن چندین یا یک سوئیچ، می‌توان رایانه‌های شخصی کاربران را بر اساس تعلق به یک بخش خاص یا در مورد سرورها، بر اساس نقش‌های خاص و ویژگی‌های کارشان متمایز کرد.

در این حالت چندین مشکل به طور همزمان حل می شود:

• - تعداد درخواست های پخش کاهش می یابد،

• - بهبود می یابد، زیرا امکان استراق سمع ترافیک توسط کارمندان شخص ثالثی که در این VLAN خاص گنجانده نشده اند را حذف می کند.
• - پراکندگی جغرافیایی بخش ها و بخش های مختلف بر اساس تعلق امکان پذیر می شود. به عنوان مثال، کارمندان بخش منابع انسانی، که در یک ساختمان نیستند، می توانند یکدیگر را در زیرشبکه خود "ببینند".

معماری شبکه از VLANها برای ارائه بخش‌بندی شبکه از خدمات استفاده می‌کند که معمولاً توسط روترها انجام می‌شود، که ترافیک پخش بین VLAN‌های مختلف را فیلتر می‌کند، امنیت شبکه را بهبود می‌بخشد، تجمع زیر شبکه را انجام می‌دهد و تراکم شبکه را کاهش می‌دهد. سوئیچ ها نمی توانند ترافیک بین VLAN ها را به دلیل محدودیت اعمال شده توسط دامنه پخش ارسال کنند.

برخی از سوئیچ ها ممکن است عملکردهای لایه 3 OSI داشته باشند که ذخیره می کنند و برای انتقال ترافیک بین زیرشبکه ها استفاده می کنند. در این حالت یک رابط مجازی از یک VLAN خاص با یک و مشخص بر روی سوئیچ ایجاد می شود. این رابط به عنوان یک دستگاه برای دستگاه های موجود در این VLAN عمل می کند.

vlan برای چیست؟

در شبکه‌های مبتنی بر ترافیک پخشی که برای یافتن همتاها به همه دستگاه‌ها ارسال می‌شود، با افزایش تعداد همتاها، میزان ترافیک پخش نیز افزایش می‌یابد (که به طور بالقوه می‌تواند تقریباً به طور کامل بار محموله شبکه را جابجا کند).

از سوی دیگر، VLAN ها با تشکیل دامنه های پخش متعدد، به کاهش ترافیک شبکه کمک می کنند، و یک شبکه بزرگ را به چندین بخش مستقل کوچکتر تقسیم می کنند و تعداد کمی درخواست پخش برای هر دستگاه از کل شبکه به عنوان یک کل ارسال می شود.

فناوری VLAN همچنین به ایجاد چندین شبکه OSI لایه 3 در یک زیرساخت فیزیکی کمک می کند. به عنوان مثال، اگر توزیع کننده آدرس های IP در سوئیچ در یک VLAN خاص گنجانده شود، دستگاه ها آدرس ها را فقط در داخل این VLAN دریافت خواهند کرد. اگر سرور DHCP توسط یک ترانک با مجموعه ای از چندین VLAN فعال شود، دستگاه های همه این VLAN ها می توانند آدرس ها را به دست آورند.

VLAN در لایه 2، کانال، مدل شبکه OSI، شبیه به زیرشبکه های IP، که در لایه 3، شبکه، کار می کنند، عمل می کند. معمولاً هر VLAN زیرشبکه IP مخصوص به خود را دارد، اگرچه استثنائاتی وجود دارد که چندین زیرشبکه مختلف در یک VLAN وجود داشته باشند. این فناوری در سیسکو به عنوان «ip secondary» و در لینوکس با نام «ip alias» شناخته می شود.

در فناوری‌های شبکه قدیمی‌تر، به کاربران بر اساس موقعیت جغرافیایی خود، زیرشبکه‌هایی اختصاص داده می‌شد. به همین دلیل، آنها توسط توپولوژی فیزیکی و فاصله محدود شدند. از سوی دیگر، فناوری VLAN به شما این امکان را می‌دهد که بدون توجه به موقعیت فیزیکی، کاربرانی که از نظر جغرافیایی متفاوت هستند را در یک گروه از زیرشبکه‌ها گروه بندی کنید. با استفاده از VLAN ها، می توانید به راحتی الگوهای ترافیک را مدیریت کنید و به سرعت به حرکت های کاربر پاسخ دهید.

فن آوری VLAN سازگاری انعطاف پذیری را با تغییرات در شبکه فراهم می کند و مدیریت را ساده می کند.

نمونه هایی از استفاده از vlan

نمونه ای از تقسیم یک شبکه به چندین VLAN به بخش هایی بسته به نقش ها و فناوری های مورد استفاده:

1. 1) VLAN مولد
2. 2) VoIP
3. 3) مدیریت شبکه
4. 4) SAN - شبکه ذخیره سازی داده ها
5. 5) شبکه مهمان
6. 6) مناطق DMZ
7. 7) جداسازی مشتری (در مورد ارائه دهنده خدمات یا مرکز داده)

رایج ترین استاندارد مورد استفاده برای پیکربندی VLAN IEEE 802.1Q است، در حالی که Cisco دارای ISL خاص خود و 3Com دارای VLT است. هر دو IEEE 802.1Q و ISL مکانیسم عملکرد مشابهی به نام "برچسب گذاری صریح" دارند - چارچوب داده با اطلاعات عضویت VLAN برچسب گذاری شده است. تفاوت بین این دو این است که ISL از یک فرآیند برچسب گذاری خارجی بدون تغییر فریم اصلی اترنت استفاده می کند، در حالی که 802.1Q از یک فرآیند برچسب گذاری داخلی استفاده می کند.