احتمالاً همه ، LAN ها و نحوه پیاده سازی شون رو میشناسیم، و حتماً
هر کدوم تعاریف مختلفی از LAN داریم که احتمالاً از آن جایی که همه اون
تعریفها به یک مفهوم اشاره میکنند پس همه درست اند. اما برای اینکه مفهوم
VLAN ها رو بهتر درک کنیم لازمه که از بین تعریفهای مختلفی که برای LAN
وجود داره تعریف زیر را با دقت بیشتری بخونیم :
یک LAN شامل تمام دستگاههایی است که در یک Broadcast Domain باشند.
اما
Broadcast Domain چیه؟ یک پیام Broadcast که میدونین چیه ؟ (پیامهای
فراگیر)، به دامنهای که این پیامها تا آنجا میتوانند ارسال شوند و پیش
بروند Broadcast Domain (دامنه Broadcast ) گفته میشود.
به عنوان
یه تعریف دیگر تمام ایستگاهها و وسایلی که بهLAN متصلاند عضو یک
Broadcast Domain اند و در این صورت اگر یکی از ایستگاهها پیامی را به
صورت Broadcast ارسال کند،تمام ایستگاههای عضو آن Domain Broadcast یک کپی
از آن پیام را دریافت میکنند.
و اما VLAN ها !
VLAN کوتاه شده عبارت Virtual LAN ( Virtual Local Area Network ) است.
همه چیز برای تعریف VLAN ها از نامشان مشخص است، LAN های مجازی!یعنی LAN هایی که به صورت مجازی پیاده سازی میشوند. همین!
اما چرا نیازه که VLAN داشته باشیم ؟
در
ابتدا حالتی را در نظر بگیرید که VLAN نداریم؛ در حالت معمول در یک LAN
تمام پورتهای یک سوییچ عضو Broadcast Domain مشابه اند. به این ترتیب اگر
یک ایستگاه پیامی را به صورت Broadcast ارسال کند، تمام دستگاههایی که در
آن Broadcast Domain هستند. مثلا در شکل زیر کامپیوتر بنفش پیامی را به
صورت Broadcast ارسال میکند و همان طور که در شکل مشخص است این پیام به
تمام هاستهایی که در آن Broadcast Domain هستند میرسد.
خب! حالا این خوبه یا بد ؟
شکل1- LAN
در حالت کلی خوب نیست! چرا که ممکنه که کامپیوتر بنفش بخواهد که
این پیام رو تنها به کامپیوتر نارنجی برساند، اما از این طریق سایر
کامپیوترها نیز این پیام رو دریافت می کنند، شاید به نظرتون برسه که برای
این کار به جای ارسال Broadcast میتاند از ارسال مستقیم به کامپیوتر
نارنجی استفاده کند؛ این فکر درسته ، اما باید بگم که این شکل تنها یک مثال
ساده برای بیان چیزی است که می خواهیم در موردش بیشتر بدانیم؛ به عبارت
بهتر اگر فرض کنید که هر کدوم از این کامپیوترها نماد 1000 کامپیوتر هستند
چی ؟! اینجاست که ارسال Broadcast کاملاً مفید به نظر می رسه! اما همان طور
که گفتیم هنوز این مشکل وجود داره که علاوه بر کامپیوتر نارنجی ( یا بهتر
بگم ، کامپیوترهای نارنجی ) سایر کامپیوترها هم این پیام رو دریافت می
کنند. این کار پهنای باند زیادی را به هدر می دهد. بحث پهنای باند را هم که
کنار بگذاریم از نظر امنیتی به مشکل برمیخوریم.
خب ! حالا برای رفع
این مشکل، میشه که کامپیوترهای بنفش و نارنجی را عضو یک LAN قرار داد و
سایر کامپیوترها را را عضو یک LAN دیگه، تا اون طوری هر کدام از این LAN
ها Broadcast Domain خودشون را داشته باشند . نه؟ اما برای این راه حل
نیازه که یک سوییچ دیگه بخریم و این یعنی هزینه زیادی ! اما اگر از VLAN
استفاده کنیم می توانیم همین دو شبکه مجزا را روی یک سوییچ پیاده سازی کنیم
و دو VLAN مجزا داشته باشیم. به این ترتیب که برخی از پورتهای سوییچ را
مثلا به VLAN شماره 2 و برخی دیگر را به VLAN شماره 3 نسبت میدیم و هر
کدام از VLANها Broadcast Domain خاص خود را خواهند داشت که از دسترس سایر
ایستگاههای VLANدیگر دور خواهد ماند و به این ترتیب زندگی شیرین میشود.
شکل 2 این موضوع را بهتر نشان می دهد.
شکل2 - VLAN
برای درک بهتر کاربرد VLANها ، دانشگاهی را در نظر بگیرید که از
دانشکده های مختلفی تشکیل شده است. فرض کنید که دانشکده IT و فیزیک در یک
ساختمان دو طبقه قرار داشته باشند، و هر کدام شبکه LAN مخصوص به خود را
داشته باشند.
حالا اگر در دانشکده فیزیک با کمبود فضا برای استاد
جدیدی روبرو شویم ناچاریم که کاربر را در مکان دانشکده IT جای دهیم و با
اتصال کابل او به پورت سوییچ واقع در دانشکده IT از این پس آن کاربر عضوی
از Broadcast Domain دانشکده IT میشود و تمام اطلاعات مربوط به این
دانشکده را میتاند دریافت کند ( یه مشکل ) کما اینکه با Broadcast Domain
دانشکده فیزیک نیز در ارتباط نخواهد بود ( یک مشکل دیگر ! ). یا در نظر
بگیرید که پورتهای سوییچ شبکه دانشکده فیزیک پر شده، در حالی که پورتهای
سوییچ دانشکده IT هنوز خالی است.اگر استاد جدیدی به دانشکده فیزیک دعوت شود
می توانیم او را به عضو پورتی از پورتهای سوییچ شبکه IT دربیاوریم که در
این صورت باز همان دو مشکل بالا بروز خواهد کرد و یا اینکه می توانیم هزینه
اضافیای را متحمل شویم و سوییچ دیگری بخریم!
شکل 3 – دانشکده IT- فیزیک
اما اگر از VLAN استفاده کنیم،این مشکل ها دیگر وجود نخواهند داشت.
به
این ترتیب که تمام پورتهای سوییچ را به یک LAN اختصاص ندیم بلکه تعدادی
از آن را به یک VLAN و تعدای دیگر را به یک VLAN دیگر و ... اختصاص بدهیم.
شکل 4 را در نظر بگیرید.
در
این شکل دو سوییچ داریم که یکی متعلق به دانشکده IT و دیگری متعلق به
دانشکده فیزیک است، روی سوییچ دانشکده فیزیک دو VLAN ساخته ایم که یکی
متعلق به دانشکده IT و دیگری مربوط به دانشکده فیزیک است .
در نهایت
نتیجه این میشه که کامپیوترهای دانشکده IT در یک VLAN با یک Broadcast
Domain مخصوص به خود و کامپیوترهای دانشکده فیزیک در یک VLAN دیگر با
Broadcast Domain خاص خود قرار خواهند داشت صرف نظر از اینکه در چه مکان
فیزیکی ای ( طبقه اول یا دوم ) قرار دارند!
اگر تا الان مفهوم VLAN
را خوب متوجه شده باشید، میبینید که وجود دو سوییچ مجزا برای این دو
دانشکده هم بیهوده است و کار با یک سوییچ هم راه می افتد !! یک سوییچ و دو
یا چند VLAN مجزا ! فقط بایستی سوییچی که انتخاب میشود قابلیت VLANing را
داشته باشد و به تعداد کافی پورت !
شکل 4 – کاربرد VLAN ها
از مجموع این دو مثال متوجه میشیم که VLAN ها چیز خوبی هستند! و
حتماً متوجه شدید که در واقع در VLAN ما یک LAN بزرگ با یک Broadcast
Domain به همان اندازه بزرگ را به VLAN های کوچکتر با Broadcast Domain های
کوچکتر تقسیم میکنیم و در حقیقت این عمل باعث صرفه جویی در پهنای باند،
امنیت بیشتر، جلوگیری از صرف هزینه زیادی برای خریدن سوییچ و برخوداری از
یک طراحی منعطف برای شبکهمان میشود.
به علاوه VLAN ها مزایای
دیگری هم دارند من جمله نگهداری و حفاظت از کامپیوترهایی که با سایر
کامپیوترها عضو یک LAN میباشند اما حاوی اطلاعات مهمی اند و با استفاده
از مفهوم VLAN می توانیم آنها را در VLAN مجزایی نگهداری کنیم.
همین
طور در VOIP ( Voice Over IP ) به وسیله VLAN ها می توانیم ترافیکی که
توسط یک IP Phone فرستاده میشه را از ترافیکی که توسط کامپیوتر متصل به
تلفن فرستاده میشه مجزا کنیم.
یک بار دیگر دو مثال بالا را با هم
مرور میکنیم. در مثال اولی ما شبکهای شامل یک سوییچ داشتیم که آن را به
دو VLAN تبدیل کردیم. پیاده سازی این مثال کار سادهای خواهد بود .کافی است
که به تنظیمات پیکربندی سوییچ برویم و پورتهایی از سوییچ را به VLAN1 ، و
سایر پورتها را به VLAN2 اختصاص بدیم. و البته لازمه که بدونیم محدودیتی
بر تعداد VLAN ها روی یک سوییچ وجود ندارد و اساساً به تعداد پورتها و
ایستگاههای موجود در یک VLAN بستگی دارد.
اما شبکه ها همیشه به
همین سادگی نخواهند بود.برای درک این موضوع مجدداً مثال دانشکده فیزیک و IT
را در نظر بگیرد. در آنجا دو سوییچ با دو VLAN داشتیم. که برخی از
پورتهای سوییچ دانشکده IT به VLAN2 و برخی دیگر به VLAN3 اختصاص داده شده
بود. همچنین پورتهای سوییچ دانشکده فیزیک نیز به VLAN3 اختصاص داده شده
بود. پر واضح است که باید دو سوییچ به طریقی با هم در ارتباط باشند تا
بتوانند ترافیک VLANهای مشابه را از هم انتقال بدهند.نه ؟
اما این اتصال چطور صورت میگیرد ؟
VLAN Trunking
اگر VLAN در شبکه هایی که با چندین سوییچ به هم وصل شدهاند استفاده
شود، برای بخشهای بین سوییچ بایستی که از VLAN Trunking استفاده کنیم. به
عبارت ساده تر:
وقتی روی سوییچها VLAN تعریف می کنیم، سوییچها را
از طریق ترانک به هم وصل میکنیم. بنابراین در مورد مثال دانشکده IT و
فیزیک نیز بایستی که بین سوییچ ها از VLAN Trunking استفاده کنیم. تا سوییچ
دانشکده فیزیک بتواند با VLAN خود در سوییچ دانشکده IT در ارتباط باشد.
نکته : وقتی پورتی ترانک میشود دیگر عضو هیچ vlan ای نیست.
شکل 5 – VLAN Trunking
اما بسته ای که از سوییچ دانشکده فیزیک خارج میشود از کجا مشخص میشود که به سمت کدام VLAN باید برود ؟
VLAN Tagging
VLAN Trunking باعث میشود که سوییچها از فرآیندی استفاده کنند که
VLAN Tagging ( برچسب زدن VLAN ) نامیده میشود.همان طوری که از نام این
فرآیند مشخصه، VLANها برچسب میخورن!
چرا ؟ چون هویت بستههای ارسالی و دریافتی مشخص باشد که به کدام VLAN تعلق دارند.
در
حقیقت وقتی بسته ای میخواهد که از پورت ترانک سوییچی خارج شود، سوییچ به
آن بسته یک برچسب می زند، که در آن برچسب شماره VLAN ای ( VLAN ID ) که این
بسته به آن تعلق دارد را قرار میدهد تا از این طریق سوییچهای دیگر متوجه
شوند که بسته دریافتی به کدام یکی از VLANهایشان مربوط است.
اما
سوییچها چه جوری این VLAN ID را پیدا میکنند؟ برای این کار طبق یک
استاندارد، سوییچ قبل از اینکه فریم را به سوییچ دیگری ارسال کند، سرآیندی (
Header ) را به فریم اضاف میکند که VLAN ID توی اون سرآیند قرار میگیرد.
بنابراین سوییچ وقتی فریمی را دریافت میکند اول سرآیندش را برای پیدا
کردن VLAN ID چک میکند تا ببیند بسته به کدام یکی از VLAN هایش تعلق دارد.
از VLAN Tagging بگذریم.
اما Trunking VLAN چطوری در سوییچها
ایجاد میشود ؟ برای این کار کافی است از یکی از پورتهای سوییچ استفاده
کنیم و به تنظیمات پیکربندی سوییچ رفته و آن پورت را به ترانک اختصاص بدیم.
همین! حالا سوییچ می تواند از VLAN Trunking استفاده کند.
switchport mode trunk
فقط به
یاد داشته باشید که اگر سوییچ پورت ترانک داشته باشد،ترافیک دریافتی از
VLAN هایش را به تمام پورتهای ترانک اش هم ارسال میکند مگر در مورد حالتی
خاص که در موردش بعداً بحث میکنیم.
شکل 6 سعی داره که همین جمله را روشنتر بیان کنه!
در
این شکل اقدس در VLAN2 قصد دارد که پیامی را به صورت Broadcast ارسال
کند.سوییچ این پیام را به سایر کامپیوترهایی که با کامپیوتر ارسال کننده
در یک Broadcast Domain هستند میرساند، در ادامه کار، سوییچ بایستی که این
فریم را به پورت ترانکش نیز ارسال کند تا اگر در سایر سوییچها هم VLAN2
هست، این پیام به آنها نیز برسد. اما قبل از اینکه فریم از سوییچ خارج
شود و روی ترانک قرار بگیرد، بایستی که به فریم برچسب بزنیم! این کار را با
اضافه کردن سرآیندی به فریم و قرار دادن شماره VLAN ارسال کننده فریم توسط
سوییچ انجام میگیرد.
شکل 6 – ارسال ترافیک دریافتی از VLANها بر روی پورت ترانک
انواع پروتکلهای ترانکینگ
پیشتر گفتیم که سوییچ سرآیندی را به فریم اضاف میکند. اما این سرآیند چه شکل و قالبی خواهد داشت و چگونه تعریف خواهد شد؟
شکل
و قالب این سرآیند توسط پروتکلهای ترانکینگ تعریف میشود. به طور کلی دو
نوع پروتکل ترانکینگ داریم که یکی خاص منظوره (Inter Switch Link = ISL )
که توسط شرکت سیسکو و تنها برای سوییچهای سیسکو و دیگری عام منظوره (
802.1Q ) که توسط IEEE برای عموم سوییچها طراحی شده است.در حقیقت پروتکل
ISL خیلی قبلتر از پروتکل 802.1Q طراحی شده بود و همان طور که گفتیم تنها
به منظور استفاده در سوییچهای سیسکو است؛ اما این پروتکل دیگر حتی در بعضی
از سوییچهای جدید سیسکو نیز پشتیبانی نمیشود! همچنین پروتکل ISL تنها
بین دو سوییچ سیسکو که از پروتکل ISL پشتیبانی میکنند قابل استفاده است.
هر کدام از این پروتکلها قالب خاص خود را برای تعریف سرآیند دارند.
هر
دو این پروتکلها از شماره VLAN های یکسان استفاده میکنند یعنی هر دو از
شماره پروتکل 12 بیتی برای VLAN ID استفاده میکنند که منجر به 2-212 شماره
مختلف میشود. ( شمارههای 0 و 4065 در نظر گرفته نمیشوند).
توجه داشته باشید که ID های 1 تا 1005 به عنوان رنج نرمال،و ID های بالاتر از آن برای برای VLAN های گسترش یافته استفاده میشود.
یک تفاوت خیلی مهم بین پروتکل ISL و 802.1Q استفاده از ویژگیای به نام Native VLAN است که 802.1Q از آن پشتیبانی میکند و ISL نه!
و اما این ویژگی چی هست ؟
چه مزایایی دارد؟
چه معایبی دارد ؟
Native VLAN
روی هر سوییچ به صورت پیش فرض یک VLAN تعریف شده که تمام پورتهای
سوییچ به آن VLAN اختصاص داده شدهاند شماره این VLAN همیشه ثابت و برابر 1
است و به آن native VLAN گویند. مثلا اگر سوییچی 26 تا پورت داشته باشد در
ابتدا تمام این 26 پورت در انحصار VLAN1 است، وقتی شما VLAN2 را تعریف
میکنید میتانید تعدادی از این پورتها را به VLAN2 اختصاص بدید که در آن
صورت دیگر از انحصار VLAN1 خارج میشود. یادتان باشد که شما نمیتانید
شماره این VLAN را تغییر دهید و یا آن را حذف کنید و در ضمن همیشه شماره
VLAN های شما از 2 شروع میشود.
حالا 802.1Q میآد و از این native
VLAN استفاده مفید میکنه. چه جوری ؟ این جوری که 802.1Q به فریمهایی که
از VLAN1 یا همان native VLAN میآیند سرآیندی اضاف نمیکند.
حالا
که چی ؟ نتیجه این میشه که فریم بی سرآیندی به دست سوییچ دیگری میرسد.
سوییچ دیگر هم وقتی که متوجه شد که فریم سرآیند ندارد میفهمه که این فریم
از یک Native VLAN به دستش رسیده و او هم این فریم را به Native VLAN خود
ارسال میکند. خب! چرا این کار رو میکنیم؟ چرا سرآیند را حذف میکنیم ؟
مگه نمی توانیم سرآیند را داشته باشیم و VLAN ID را در سرآیند ، 1 بذاریم ،
اون طوری هم سوییچ متوجه میشه که این مال native VLAN هه ؟دلیلش به دو
دلیله ! اول اینکه این کار باعث میشه که اگر به سوییچی متصل شدیم که
پروتکلهای تراکینگ را نمیفهمید باز هم بتانیم عمل انتقال فریمها را
انجام بدیم، چرا که پروتکلهای تراکینگ سرآیندی به فریم اضاف میکنند که
باعث میشه فریم اصلی درون این سرآیند کپسوله شود و برای سوییچی که
ترانکینگ را نمیفهمد(مثلا هاب HUB) فریم نامفهوم میشود ولی این سرآیند در Native VLAN
وجود ندارد و به این ترتیب می توانیم با سوییچ نفهم رابطه برقرار کنیم. در
حقیقت Native VLAN به درد سوییچهایی میخوره که حداقل قابلیت برای عبور
ترافیک و آن هم تنها برای یک VLANرا دارند.دلیل دوم اینکه پروتکلهایی نظیر
CDP ، STP ، VTP، PagP و ... وجود دارند که تنها برای عبور از VLAN1 تنظیم
شدهاند.
برای بالا بردن امنیت در VLAN ها می توانیم این VLAN1 را
نادیده بگیریم و VLAN دیگری را به عنوان Native VLAN برای سوییچها تعریف
کنیم، فقط نکته قابل توجه اینه که این Native VLAN بایستی که برای همه
سوییچها تعریف شده باشه و همه قبول داشته باشند که مثلاً VLAN30 یک Native
VLAN است.
swichport trunk native vlan 30
دلیل این عوض کردن native VLAN را هم مفصلاً در بخش امنیت VLAN ها توضیح میدم.
بیایید
فرض کنیم که سه تا سوییچ داریم که هر کدام بایستی پورتهایی داشته باشند
که به VLAN ای با شماره 3 اختصاص دارد، برای تعریف این VLAN بایستی که برای
هر سوییچ به قسمت تنظیمات پیکربندیاش برویم و VLAN شماره 3 و ناماش را
تعریف کنیم.و اگر احتمالاً مجبور شدیم که نام یک VLAN را عوض کنیم بایستی
که این تغییر نام را بر روی تک تک سوییچها اعمال کنیم.خب! این برای سه تا
سوییچ کار چندان سختی نخواهد بود، اما اگر 200 تا سوییچ داشتید چطور؟ این
تنظیمات بسیار زیاد و طولانی خواهد بود. برای رفع این
مشکل از پروتکلی به نام VTP استفاده میکنیم.
VLAN Trunking Protocol یا VTP
همان طور که از نامش مشخصه، VTP پروتکل VLAN Trunking است. یعنی
مخصوص VLAN ها آن هم برای حالت Trunking است. و تنها از ترانک برای انتشار
میتواند استفاده کند. یعنی تنها مخصوص انتقال بین "سوییچها" است.
با
استفاده از پروتکل VTP می توانیم اطلاعات VLAN را روی یک سوییچ ست کنیم
بعد با استفاده از VTP سایر سوییچها را از وجود این VLAN و پیکربندیش
آگاه کنیم. نتیجه این میشه که باقی سوییچها نیز این VLAN را خواهند
شناخت.
اما آیا این پیکربندی اولیه را می توانیم روی هر سوییچی که خواستیم اعمال کنیم و بعد از VTP استفاده کنیم ؟
نه!
به طور کلی پروتکل VTP سوییچها را در سه حالت دسته بندی میکنه و هر
سوییچ تنها در یکی از این سه حالت قرار میگیره که باز تنظیم این حالت به
عهده ادمین شبکه است. حالتهای Server ، کلاینت و Transparent (شفاف) .
هر
ادمین یک یا چند تا از سوییچها را در حالت VTP Server و باقی را برای
حالت VTP Client ست میکند. به این ترتیب تنها روی سوییچهای VTP Server می
توانیم پیکربندیهای دلخواه را تنظیم یا تغییر بدیم و سپس از طریق پروتکل
VTP این تنظیمات را به دیگر سوییچهای VTP Server و VTP Client مخابره
کنیم.هر کدام از سوییچهای VTP Server و کلاینت هم که این پیام را دریافت
کردند آنها هم متقابلاً آن پیام را برای ترانکهای خارجیشان میفرستند.
پس تا اینجا متوجه شدیم که تنها تغییر در پیکربندی سوییچهای VTP Server است که منجر به مخابره پیامهای VTP به کل شبکه میشه.
به
عبارت دیگر تنها روی یک سوییچ VTP Server می توانیم یک VLAN جدید اضافه
کنیم و یا حذف کنیم و یا تنظیماتش را تغییر دهیم و این کاراز طریق
سوییچهای VTP Client امکان پذیر نیست.
چه هنگامی پیامهای VTP صادر میشه ؟
همان طور که پیشتر گفته شد، هنگامی که تنظیمات پیکربندی یک سوییچ تغییر کند،این پیامها فرستاده میشوند.
به علاوه این پیامها هر 5 دقیقه یکبار نیز توسط VTP سرورها در کل شبکه مخابره میشود.
و
به غیر از این موارد هنگامی که یک سوییچ جدید ایجاد شود که شامل VLAN هایی
است، سوییچها میتوانند با یک پیام VTP از سوییچ تازه تاسیس بخواهند که
اطلاعات VLAN هایش را برای آنها ارسال کند.
پس همان طور که احتمالاً دقت نکردید، سه نوع پیام مختلف برای VTP داریم!
پیامهایی
که به هنگام تغییر تنظیمات پیکربندی یک سوییچ VTP Server ارسال میشوند،
پیامهایی که به طور اتوماتیک هر 5 دقیقه یک بار مخابره میشوند، پیامهایی
که به هنگام ایجاد سوییچ جدیدی به جهت آشنایی ارسال میشوند.
پروتکل VTP چطور کار میکند؟
سوییچها چه زمانی میفهمند که باید پایگاه داده VTP خود را به روز کنند؟
از کجا میفهمند که پیام VTP تکراری است و حاوی تغییر جدیدی نیست ؟
شکل زیر را در نظر بگیرید.
شکل 7 - VTP
در این شکل یک سوییچ از نوع VTP Server و دو سوییچ از نوع VTP Client انتخاب شدهاند.
داستان
از اینجا شروع میشه که تصمیم میگیریم که یک VLAN جدید را روی سوییچ VTP
Server ایجاد کنیم. در هر VTP شماره ای وجود دارد که Revision Number نام
دارد و مقدار این شماره برابر آخرین باری است که VTP حاوی اطلاعات جدیدی
بوده مثل تغییر در پیکربندی یک VTP Server ، و البته این شماره برای کل
سوییچهای شبکه مقدار یکسانی دارد چرا که این پیامها به صورت سراسری برای
تمام سوییچها ارسال میشود. هنگامی که VTP مجدداً مجدداً حاوی پیام جدیدی
شود به این شماره یکی اضاف میشه و پیام VTP جدید به همراه این شماره جدید
به کل شبکه ارسال میشود .
بار دیگر به شکل 7 نگاه کنید. در این شکل
Revision Number فعلی 2 است. تصمیم میگیریم که VLAN جدیدی را به سوییچ
VTP Server اضاف کنیم، این کار باعث میشود که که پیکربندی سوییچ تغییر کند
که در نتیجه ی این تغییرات، شماره پیام VTP ، یک واحد اضاف میشود و از دو
به سه تغییر میکند و سپس اطلاعات این پیکربندی به همراه این شماره جدید
برای سایر سوییچها ارسال میشود. سایر سوییچها این شماره را با شماره VTP
خود چک میکنند اگر از Revision Number فعلی خود بیشتر بود این پیام را
دریافت میکنند، به شماره VTP خود یکی اضاف میکنند و این پیام را برای
پورتهای ترانک خود ارسال میکنند و در غیر این صورت پیام VTP رسیده را رد
میکنند.
در حقیقت باید بگیم که پروتکل VTP تا حد زیادی شبیه پروتکلهای مسیریابی عمل میکند.
همان
طور که گفتیم پیامهای VTP برای کل سوییچهای شبکه ارسال میشود. حالا
شرکتی را فرض کنید که بخش امور مالی در یک VLAN و بخش حسابداری در VLAN
دیگری و بر روی سوییچهای مختلفی قرار دارند و تنها هم نیاز است که اطلاعات
تغییر در پیکربندی این سوییچها برای هم ارسال شود و به طور مثال بخش
انبار نیازی به دریافت این پیامهای VTP ندارد !!
چطور میشه از سرازیر شدن پیامهای VTP به کل شبکه جلوگیری کرد ؟ راه حل این مشکل هم همین جاست! این پایین !
VTP Domain
VTP Domain این امکان رو به ادمین میده که برای مجموعهای از
سوییچها نام دامنه یکسان انتخاب کند که باعث میشود سوییچها در دامنههای
مختلف پیامهای VTP یکدیگر را نادیده بگیرند. همین!
مثلا در مورد
مثال بالا میتوانیم برای سوییچهای مربوط به VLAN های بخش مالی و حسابداری
، VTP Domain یکسانی انتخاب کنیم و در نتیجه پیامهای VTP در این سوییچها
تا جایی پیش میرود که دامنه اجازه میدهد!
آیا امکانش هست که یک
سوییچ نام دامنهای نگیرد ولی باز هم پیامهای VTP را دریافت نکند؟ یا به
عبارت دیگر راهی هست که یک سوییچ پیامهای VTP را دریافت کند ولی عکس
العملی به این پیامها نشان ندهد ؟ یعنی اطلاعات پیکربندی خود را تغییر
ندهد طوری که گویی این پیام اصلا به گوش او نرسیده ؟
برای این کار
بایستی که VTP را غیرفعال کنیم. اما دو تا مشکل وجود دارد، یکی اینکه بعضی
از سوییچهای سیسکو نمیتانند VTP را غیر فعال کنند و مشکل دوم اینکه حتی
اگر بتانیم VTP را برای سوییچی غیر فعال کنیم،این راه حل مناسبی نخواهد
بود. چرا که ممکن است این سوییچ واسطهای برای سایر سوییچها باشد که نیاز
به دریافت این پیامهای VTP دارند. با غیر فعال کردن این سوییچ ، عملاً
سایر سوییچهای وابسته نیز این پیام را دریافت نخواهند کرد.
راه حل بهتر استفاده از VTP Transparent است.
VTP Transparent
بهترین تشبیهی که از Transparent VTP میتونم بکنم مثال شیشه است.
شیشه میتواند نور را از خود عبور بده و نیز آن را منعکس کنه بدون اینکه
خودش تغییری کند. Transparent VTP نیز همین کار را با سوییچ میکنه، یعنی
باعث میشه که سوییچ پیامهای VTP را دریافت کند آن را از خود عبور داده و
برای سایر سوییچهای همسایه دوباره ارسال ( Forward ) کند اما با دریافت
این پیامهای VTP خودش تغییری نمیکنه.
این در واقع حالت سوم
پروتکل VTP است. قبلا گفتیم که VTP برای سوییچها سه حالت دارد که دو مورد
آنها VTP Server و VTP Client بود و VTP Transparent .
سوییچهایی
که روی حالت VTP Transparent تنظیم میشوند نیز به مانند VTP Server ها
میتوانند VLAN ها را پیکربندی کنند و صاحب VLAN های جدید شوند اما بر خلاف
VTP Server ها هرگز این اطلاعات پیکربندی را برای دیگران ارسال نمیکنند.
در حقیقت سوییچهای VTP Transparent به نوعی نسبت به سایر سوییچها ایزوله
اند.
در سری جدید سوییچهای سیسکو حالت چهارمی به نام noon وجود
دارد، که باعث غیر فعال کردن VTP روی یک سوییچ میشود که بهتر است از آن
برای سوییچهای ترمینال شبکه استفاده کنیم.
VTP Pruning
یادتونه قبلاً گفتیم که اگر پیام Broadcast ای از یکی از VLANهای
سویچ ارسال شود سوییچ بایستی که این پیام رو بر روی پورتهای ترانک خود (
به جز حالتی خاص ) نیز ارسال کند ؟ حالا میخواهیم همون رو توضیح بدیم.
غیر
از پیامهای VTP که که بهتر است کنترل شود تا بیخودی در کل شبکه پخش
نشود، پیامهای Broadcast که از ترانکهای سوییچها خارج میشوند نیز باید
کنترل شوند. چرا ؟ شکل زیر را در نظر بگیرید.
شکل 8 – کنترل ترانکها
در این شکل هر کدام از کامپیوترها نماد یک VLAN هستند. هاستای
که با رنگ سبز مشخص شده است، قصد دارد که پیامی را به صورت Broadcast
ارسال کند. سوییچ1 این پیام رو برای سایر کامپیوترهای VLAN23 بر روی خود
میفرستد، همچنین بایستی که این پیام را بر روی تمام پورتهای ترانک خود
نیز ارسال کند تا این پیام به سایر اعضای VLAN23 در سوییچهای دیگر نیز
برسد. پیام به سوییچهای دو و سه میرسد.
سوییچ دو : VLAN ID بسته
را کنترل میکند و متوجه میشود که این پیام به VLANای از مجموعه VLAN های
خودش مربوط نیست بنابراین تنها آن را بر روی ترانکهای خود ( به غیر از
اونی که پیام ازش اومده ) فوروارد میکند، پیام فوروارد شده از سوییچ دو به
دست سوییچ چهار میرسد، سوییچ چهار سرآیند بسته را کنترل میکند و متوجه
میشود که این بسته به VLAN23 او مربوط است ، بنابراین سرآیند بسته را حذف
میکند و پیام اصلی را برای VLAN23 خود فوروارد میکند.
سوییچ سه :
سرآیند پیام رسیده را چک میکند و متوجه میشود که VLAN ID این پیام ربطی
به VLAN ID های خودش ندارد، بنابراین پیام را برای بر روی ترانکهای خود (
به غیر از اونی که پیام ازش رسیده ) ارسال میکند که در این شکل سوییچ سه
دیگر ترانکی ندارد تا پیام رو برای آن فوروارد کند!
سوال اینجاست که آیا واقعاً لازم است که این پیامها برای همه سوییچها و بر روی همه ترانکهای خارجی ارسال شود ؟
مثلا در شکل بالا چه نیازی هست که این پیام به سوییچ سه برسد ؟!
همان
طور که مشخصه نه تنها نیازی به ارسال بیهوده این پیامها نیست بلکه نباید
هم این طور باشه، چرا که این عمل پهنای باند شبکه رو به هدر میدهد و
همچنین سبب پردازش و یک سری اعمال بیخودی روی سوییچها میشود.
برای
اجتناب از این عمل سوییچها از دو روش پشتیبانی میکنند که به وسیله آن
ادمین میتاند جریان ترافیک روی هر ترانک را کنترل و محدود کند. یکی
پیکربندی دستی است که به موجب آن ادمین باید روی هر ترانک لیست VLAN های
مجاز را تعریف کند و روش دیگر VTP Pruning یا هرس کردن VTP نام دارد.
VTP
میتواند به صورت پویا تشخیص دهد که کدام سوییچها به فریمهایی از VLAN
مشخصی نیاز ندارد و سپس VTP آن فریمهای ارسالی از آن VLAN ها را از طریق
ترانکهای مناسبی هرس میکند.
شکل زیر این مفهوم را بهتر نشان میدهد.
شکل 9 – VTP Pruning
اما VTP چطور به صورت پویا تشخیص میدهد که فلان سوییچ نیازی به دریافت فریمهای فلان VLAN را ندارد ؟
به
طور خیلی ساده این طور میشه توضیح داد که VTP مسئول پیام رسانی بین
سوییچها است و نیز اطلاعاتی از VLAN ها شامل نام و ID شان و اینکه چه VLAN
هایی به چه سوییچی وصل است را همراه خود دارد که این اطلاعات دائماً به
صورت داینامیکی در فایلی به نام VLAN.dat که dat مخفف database است در
حافظه ذخیره و نگهداری میشود. به این ترتیب هرس کردن VLAN ها برای VTP کار
سختی نخواهد بود!
DTP
در حالت کلی یک پورت سوییچ یا به VLAN خاصی نسبت داده شده یا یک
پورت ترانک است. ( البته اگر کلاً بلااستفاده نباشد!! ) اگر این پورت ترانک
باشد به راحتی میتواند اطلاعات سایر سوییچها و VLAN ها را از خود عبور
بده.
پروتکل DTP ( که فقط مخصوص سوییچهای سیسکو است ) کمک میکند
که در موارد لزوم یک پورت به صورت داینامیکی به پورت ترانک تبدیل شود و
بتواند با سوییچ همسایه خود ارتباط برقرار کند و نتیجتاً اطلاعات ترانک را
از خود عبور دهد. اکثر سوییچها به صورت پیش فرض در حالت DTP قرار دارند.
به این عمل ترانکینگ پویا گفته میشود.
بعد از همه این موارد این سوال پیش می آد که چطوری هر پورت رو به VLAN اختصاص میدیم ؟
Static VLAN و Dynamic VLAN
این کار به دو صورت استاتیک ( دستی ) و داینامیک ( غیر دستی ! )
پیاده سازی میشود. در روش دستی ، ادمین شبکه خودش مشخص میکند که فلان
پورت از فلان سوییچ به کدام VLAN متعلق است که البته این برای شبکههای
بزرگ کار بسیار مشکل و تقریبا ناممکنی است! و البته یک ایراد اساسی هم
دارد! و آن این است که در این روش مثلاً ادمین مشخص میکنه که شماره
پورتهای 13 ، 14 و 18 از سوییچ 3 متعلق به VLAN بخش مالی و یک شرکت است.
حالا اگر شخصی لپ تاپ خود را بیاورد و به یکی از این پورتها وصل شود عضو
VLAN مالی محسوب میشود و این یعنی بد!!
در روش پویا تمام سوییچها
را به یک سرور وصل میکنیم، ادمین یک فایل متنی که لیست دسترسی ( Access
List ) نام دارد را تعریف میکند به طور کلی مشخص میکند که مجموعه از
پورتهای سوییچ به چه "نوع" کاربری یا "گروه کاربری" ای متعلق است، مثلا
میتواند این سیاست را با Mac Address اعمال کند یا به روشهای مختلف دیگر؛
در این صورت تکلیف هر سوییچ روشن میشود . در این صورت اگر کاربر نامربوطی
بخواهد از پورتی که به او مربوط نیست استفاده کند، سوییچ به طور خود به
خود او را از دسترسی به VLAN ای که به او مربوط است منع میکند!
VLAN ها و Subnetting
در حالت عادی، تمام کامپیوترهایی که در یک LAN عضو هستند، Subnet
مشترکی دارند، درسته؟ VLAN ها هم درست عین LAN هستند، به این معنی که اینجا
هم کامپیوترهایی که عضور یک VLAN هستند بایستی که Subnet های یکسانی داشته
باشند. بدیهی بود نه ؟!
پیشتر گفتیم که مقصد پیامها در بین
سوییچهای مختلف از طریق VLAN ID ای که به هنگام خروج از پورت ترانک به
فریم اضافه میشود به راحتی قابل تشخیصاند، اما در مورد پیامهایی که از
یک VLAN در یک سوییچ به یک VLAN دیگر در همان سوییچ فرستاده میشود چی ؟
چطور میشه مقصد پیام را تشخیص داد که مربوط به چه VLAN ای است؟ که البته
چطوری ش تحقیقاً 6 خط بالاتر گفته شد و اون لزوم متفاوت بودن subnet برای
VLAN های مختلف است !
شکل زیر را در نظر بگیرید.
شکل 10 – VLANها و subnetting
در این شکل یک سوییچ لایه دو را میبینیم که شامل سه VLAN است. در مورد این سوییچ بعد از تشریح شکل، توضیحاتی نوشته شده است.
قدم
1: کامپیوتر موجود در VLAN2 با ساب.نت 10.1.1.0 و آدرس 10.1.1.2 تصمیم
دارد که پیامی را به کامپیوتر 10.2.2.3 با ساب.نت 10.2.2.0 بفرستد. پیام
صادر شده از کامپیوتر 10.1.1.2 به سوییچ میرسد، سوییچ پیام رو گرفته،
subnet پیام رو چک میکند و چون subnet مقصد پیام با subnet مبدا فرق
میکند متوجه میشود که پیام برای VLAN دیگری ارسال شده است اما نمیداند
که آدرس Subnet مقصد به کدام یکی از VLAN هایش متعلق است ( در حقیقت چیزی
از مسیریابی نمیداند ).
قدم 2: سوییچ بسته را برای مسیریابی به روتر میفرستد.
قدم3:
روتر عملیات مسیریابی را انجام داده و با توجه به subnet متوجه میشود که
بسته به VLAN3 متعلق است، سپس VLAN ID مقصد را به همراه فریم برای سوییچ
ارسال میکند.
قدم4: سوییچ بسته را دریافت کرده و آن به سوی کامپیوتر 10.2.2.3 روانه میکند.
این
مثال غیر از بیان مفهوم subnetting در سوییچها به ما این مطلب را نشان
داد که می توانیم از همین سوییچهای معمولی لایه دو خودمون ( که البته
قابلیت VLANing داشته باشند !) به همراه روتر برای VLANing استفاده کنیم.
همین
طور این مطلب را به ما نشان داد که البته این کار درست مثل این میمونه که
شما قاشق غذا را برای رساندنش به دهانتون دور سرتون بچرخونین ! چرا ؟! چون
به خاطر نفهمی سوییچ باید که یه بار پیام رو به روتر بفرستیم و بعد روتر
دوباره پیام رو به سوییچ بفرسته! به جای این کار می توانیم از سوییچهای
فهمیده استفاده کنیم. یعنی چی ؟
سوییچهای معمولی که قابلیت VLAN
داشته باشند ، سوییچهای لایه دو هستند، سوییچهایی اند که با پورتها سر و
کار دارند. ولی سوییچهای لایه سه که جدیدتر هم هستند سوییچهایی هستند که
هم میتوانند کار سوییچهای لایه دو را انجام بدهند و هم مسیریابی که کار
روترهاست! به عبارتی هم زبان پورتها رو میفهمند و هم زبان IP ها را. و
البته خب مسلمه که استفاده از این سوییچها اگرچه گرانتر از سوییچهای لایه
دو و روترها هستند ولی در کل باعث ساده شدن شبکه و بالاتربردن قابلیت اش
می شوند .
به هر حال برای استفاده از VLANing نیازی به متحمل شدن
هزینه اضافی برای خرید سوییچهای لایه سه نیست، کار با همون سوییچهای لایه
دو هم حل میشود اما اگر قصد خرید سوییچ جدیدی برای شبکه خود را دارید
استفاده از سوییچهای لایه سه مناسبتر است.
امنیت VLAN ها و ترانکها
VLANها درسته که از یه جنبه هایی امنیت را فراهم میکنند مثلاً با
جدا کردن ترافیک بخشهای مختلف از هم، به طوری که یک بخش قادر به مشاهده
ترافیک بخش دیگر نباشد؛ اما از یه سری لحاظ دیگر میتوانند امنیت شبکه را
دچار مشکل کنند! در ادامه به بررسی این موارد میپردازیم.
N یکی از
مهمترینهاش وجود VLAN1 است! که به صورت پیش فرض در همه سوییچها به عنوان
native VLAN تعبیه شده است. و پیامهایی که از این VLAN صادر میشود برچسب
نخواهند خورد! و همین امر باعث میشود که کلیه پیامهای VLANهای 1 به راحتی
قابل شنود باشند. دلیل بعدی ش همان طور که گفتیم ترافیک بین سوییچها از
طریق ترانکها و توسط پروتکلهای ترانکینگ ISL و 802.1Q کنترل میشوند. این
پروتکلها تنها از طریق هدر بسته های رسیده از VLAN ها به وظایف خود عمل
میکنند، حالا یک مهاجم از ترکیب این دو ویژگی میتواند به هر VLAN ای که
خواست دسترسی داشته باشد! چه جوری ؟ مهاجم بسته خارج شده از VLAN1 را که به
راحتی قابل شنود است و بسته بندی هم نشده است، بسته بندی میکند و هدر خود
را به آن اضافه میکند! پروتکلهای ترانکینگ زبان بسته ی از همه جا بی خبر
هم حالا با بستهای سر و کار دارند که هدر دارد و ماموره و معذور که پیام
رو به سوییچ مربوطه برساند!! و اما چه جوری میشه جلوی این کار رو گرفت ؟
بهترین کار اینه که تمامی پورتها و ترانکها را از VLAN1 خارج کنیم، و تا
آنجا که میتوانیم از این VLAN استفاده نکنیم، و به جاش VLAN دیگری را به
عنوان native VLAN تعریف کنیم. اگر پروتکلهایی داریم که تنها باید از
VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم.
N
مورد بعدی اینکه تمام پورتهایی که در یک سوییچ بلا استفاده هستند را
خاموش ( shut down ) کنیم، باید توجه داشت که حتی disable کردن هم امن نیست
چرا که امکان Enable کردنش وجود خواهد داشت و سپس این پورتهای بلااستفاده
را در یک VLAN جداگانه قرار دهید و آن VLAN را به هیچ VLAN دیگری ارتباط
ندید. به این VLAN ها اصطلاحاً Parking lot VLAN میگن!
1. اگر یک سری از پورتها خیلی مهم حیاتی هستند،آنها را از سایر پورتها جدا کرده و در یک VLAN جداگانهی امن، نگهداری کنید .
2. اگر نسبت به یک سری از کاربران مشکوک هستید ، آنها را در VLAN های جداگانهای قرار بدهید ( نگاهی کنید به شکل 6 )
3.
پروتکل DTP را که امکان ترانک کردن یک پورت در صورت نیاز را مهیا میکرد،
غیر فعال کنیم، چرا که این کار میتواند توسط یک هکر صورت گیرد!
4. برای سوییچها پسورد بگذارید. از سیاستهای port security استفاده کنید.
تمام......
در زیر دستورات مهم برای این پست را می توانید مشاهده کنید:
| Switch(config)#vlan 10 | Creates VLAN 10 and enters VLAN configuration mode for further definitions. |
| Switch(config-vlan)#name Sales | Assigns a name to the VLAN. The length of the name can be from 1 to 32 characters. |
| Switch(config-vlan)#exit | Applies changes, increases the revision number by 1, and returns to global configuration mode. |
| Switch(config)#interface fastethernet 0/1 | Moves to interface configuration mode |
| Switch(config-if)#switchport mode access | Sets the port to access mode |
| Switch(config-if)#switchport access vlan 10 | Assigns this port to VLAN 10 |
| Switch#show vlan | Displays VLAN information |
| Switch#show vlan brief | Displays VLAN information in brief |
| Switch#show vlan id 10 | Displays information about VLAN 10 only |
| Switch#show vlan name sales | Displays information about VLAN named sales only |
| Switch#show interfaces vlan x | Displays interface characteristics for the specified VLAN |
| Switch#delete flash:vlan.dat Delete filename [vlan.dat]? Delete flash:vlan.dat? [confirm] Switch# |
Removes the entire VLAN database from flash. |
| Switch(config)#interface fastethernet 0/5 | Moves to interface configuration mode. |
| Switch(config-if)#no switchport access vlan 5 | Removes port from VLAN 5 and reassigns it to VLAN 1—the default VLAN. |
| Switch(config-if)#exit | Moves to global configuration mode. |
| Switch(config)#no vlan 5 | Removes VLAN 5 from the VLAN database. |
| Switch#copy running-config startupconfig | Saves the configuration in NVRAM |
| Switch(config-if) #switchport mode trunk | Puts the interface into permanent trunking mode and negotiates to convert the link into a trunk link. |
| Switch(config)#vtp mode server | Changes the switch to VTP server mode. |
| Switch(config)#vtp mode client | Changes the switch to VTP client mode. |
| Switch(config)#vtp mode transparent | Changes the switch to VTP transparent mode. |
| Switch(config)#no vtp mode | Returns the switch to the default VTP server mode. |
| Switch(config)#vtp domain domain-name | Configures the VTP domain name. The name can be from 1 to 32 characters long. |
| Switch(config)#vtp password password |
Configures a VTP password . |
| Switch(config)#vtp pruning | Enables VTP pruning |
| Switch#show vtp status | Displays general information about VTP configuration |
| Switch#show vtp counters | Displays the VTP counters for the switch |
...............................................................
منابع:
cyberlone.com
http://computernetworkingnotes.com
baroonava.com
edited by : mohammad ba
