Vlan مخفف Virtual Lan یا Virtual Local Area Network میباشد. شبکه محلی یا Vlan درواقع شبکهای مجازی است که برای کمتر کردن Broadcast Domain در شبکه مورداستفاده قرار میگیرد، زیرا زمانی که دستگاههای سوئیچ سیسکو خود را خریداری میکنید کل شبکه سوئیچ شما در یک Broadcast Domain میباشد. و اگر یک بستهی Broadcast همانند ARP در شبکه ایجاد شود آن بسته بهتمامی پورتهای سوئیچ ارسال میشود.
پس برای کنترل این Broadcast ها در شبکه و تقسیمبندی آن به چند Broadcast می بایست یک دستگاه سوئیچ را به چند Broacasr تقسیم کنیم که به هر هسمت یه VLAN می گوییم .
همانطور که در تصویر زیر مشاهده می کنید در صورتیکه سوئیچ VLAN بندی شده باشد علیرغم اینکه کلیه کامپیوتر های متصل به سوئیچ شده اند ولی فقط کامپیوتر های مستقر در همان VLAN می توانند پیام های همان VLAN را دریافت کنند .
در شکل زیر پیام های بسته ARP از کامپیوتر PC0 واقع در VLAN 10 فقط به کامپیوتر PC2 واقع در همان VLAN ارسال می گردد و برای بقیه کامپیوتر ها هیچ بسته ای به بعنوان ترافیک ارسال نمی گردد.ولی اگر سوییچ را VLAN بندی نمی کردیم همه کامپیوتر های متصل به سوئیچ ، بسته های BroadCast ی مانند ARP را دریافت می نمودند!
دلایل استفاده از Vlan در شبکه چیست؟
استفاده از Vlan در شبکه بهصورت کلی دو دلیل مهم، امنیت (Security) و بهینهسازی ترافیک شبکه (high Performance) را بر عهده دارد که:
امنیت (Security)
زمانی که تمام سرورها و کلاینتهای ما در یک Broadcast Domain باشند بهسادگی میتوان باکمی اطلاعات نفوذ به اطلاعات آنها دسترسی پیدا کرد و حتی مانع در انجام فعالیتهای آنها در شبکه شد و سرویسدهی آنها را مختل کرد. پس بهتر است شبکههای خود را به بخشهای کوچکتر تقسیم نمود و یا حداقل سرورها را در یک Broadcast Domain با کلاینتها قرار نداد.
بهینهسازی ترافیک شبکه (high Performance)
کاهش Broadcast Domain در شبکه باعث بهینهسازی ترافیک شبکه میشود زیرا تودههای Broadcast که توسط کلاینت و سیستمها در شبکه تولیدشده در بین Vlan ها تقسیم میشود و مانع از اشغال ترافیک شبکه میشود به همین دلیل کلاینتها و سرورها در آرامش به فعالیتهای خود میپردازند.
همانند شکل بالا بر روی سوئیچ مورد نظر 4 عدد VLAN به نام های زیر ایجاد کرده ایم :
Management
Computers
Voip
Camerss
که هر کدام از اینترفیس های سوئیچ را عضوی از این VLAN ها کرده ایم.
اینترفیسG0/1 عضو VLAN 1
اینترفیس G0/2 عضو VLAN 2
اینترفیس G0/3 عضو VLAN 3
اینترفیس G0/4 عضو VLAN 4
نکته : به صورت پیش فرض تمام اینترفیس های سوئیچ در VLAN 1 قرار دارند و امکان حذف و تغییر نام این Vlan در سوئیچ امکانپذیر نمیباشد.
انواع Vlan ها در سوئیچ سیسکو
دستگاه سوئیچ سیسکو دارای ۴۰۹۶ عددVlan میباشد که در دودسته زیر تقسیم میشود:
Standard vlan
دستگاههای سوئیچ در ابتدای فعالیتهای خود تنها Standard vlan ها را پشتیبانی میکردند. تعداد Standard vlan از۱ تا ۱۰۰۵ میباشد.
Extended vlan
پسازآنکه شبکهها بسیار بزرگ شد و سوئیچ های قویتر آمدند، تعداد Vlan ها کم شد، به همین دلیل Extended
Vlan را معرفی کردند. تعداد Extended vlan از ۱۰۰۶ تا ۴۰۹۴ میباشند.
Vlan ID چیست و Vlan های رزرو سیسکو کدام است؟
منظور از Vlan ID در سیسکو همان شماره Vlan هایی است که ما در سیسکو قرار میدهیم. شرکت سیسکو بهصورت پیشفرض یک سری از Vlan ها را بهصورت رزرو برای خود قرار داده است که عبارت است از:
- شرکت سیسکو Vlanهای ۱۰۰۲ تا ۱۰۰۵ را بهصورت اختصاصی برای FDDI و Token Ring رزرو کرده است.
- شرکت سیسکو Vlan های ۰ و ۴۰۹۵ را نیز برای کارهای سیستمی خود لحاظ کرده و حتی در داخل سوئیچ نیز قابلمشاهده نمیباشد.
آموزش vlan بندی در سیسکو
دستورات ساخت Vlan بسیار ساده است و تنها باید مراحل زیر را به ترتیب در سوئیچ سیسکو خود وارد کنید:
Switch>enable
Switch#conf t
Switch(config)#vlan VLAN-ID
Switch(config-vlan)#name VlAN-NAME
دستور نحوه حذف Vlan
اگر بخواهید یک را در سوئیچ سیسکو خود حذف کنید تنها کافی است یک no را در پشت Vlan طبق زیر قرار دهید و آن Vlan حذف شود.
Switch(config)#no vlan VLAN-ID
توجه: بهصورت کلی در سوئیچ سیسکو با استفاده از دستور no در ابتدای آن دستور میتوان تمام دستوراتی را که میخواهید غیرفعال، پاک یا حذف کنید.
قرار دادن هر اینترفیس در VLAN دلخواه
زمانی که Vlan موردنظر خود را ساختید در مرحلهی بعد باید اینترفیس هر VLAN را به آن اختصاص دهید تا بتواند در Vlan خود فعالیت کند. دستورات زیر به شما کمک میکند تا بتوانید این کار را بهراحتی در سوئیچ سیسکو خود انجام دهید:
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport access vlan VLAN-ID
با دستور interface وارد اینترفیس موردنظر خودتان میشوید و با استفاده از دستور switchport access vlan میتوانید Vlan انتخابی خود را برای آن اینترفیس انتخاب کنید.
توجه: با استفاده از دستور interface rang شما میتوانید چند اینترفیس خود را انتخاب کرده و یک دستور را درون آنها وارد کنید مثل:
Switch(config)#interface range fastethernet 0/1-3
Switch(config-if)#switchport access vlan VLAN-ID
نمایش Vlan ها یا تنظیمات انجامشده بر روی Vlan ها
حال شما میتوانید با دستور Show Vlan که در قسمت Privilege Mode سوئیچ سیسکو وارد میکنیم تا اطلاعات کاملی در مورد Vlan پیدا کنید.
اگر از دستور Show vlan brief استفاده میکنیم که اطلاعاتی در مورد vlan که ما به آن نیاز داریم را مشاهده کنیم.
Switch#show vlan brief
نمایش Mac Address در سوئیچ سیسکو
همهی سوئیچ های سیسکو برای ردیابی اینترفیس های کلاینت و سیستمهای درون شبکه، به دلیل نشناختن IP Address در سوئیچ های لایه دو از Mac Address استفاده میکند. این Mac Address ها را در جدول Mac Address Table ذخیره میکند. زمانی که شما چند Vlan تعریف میکنید، دستگاه سوئیچ سیسکو برای هر Vlan یک جدول در نظر میگیرد و با دستور زیر میتوان جداول را مشاهده کرد:
Switch(config)# show mac address-table vlan VLAN-ID
ویدیوی آموزشی ایجاد VLAN توسط مهندس مهدی مصدق
مثال : می خواهیم بر روی سوئیچ سیسکو 2060 ، دو عدد VLAN 10 و VLAN 20 ایجاد نمائیم و سپس اینترفیس های f0/1 و f0/2 را در داخل VLAN های 10 و 20 قرار دهیم.
Switch>enable
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
پورت ترانک TRUNKچیست؟
پورت ترانك در واقع پورت یا پورت هایی از سوئیچ است كه امكان ارتباط سوئیچ های مختلف را با یكدیگر فراهم می آورد. این پورت كلیه ترافیك هایی را كه از VLAN های مختلف ایجاد می شود به خارج منتقل می كند. یك پورت سوئیچ می تواند به عنوان ترانك در یك سوئیچ تعریف گردد.
برای عبور ترافیک در VLAN1 نیازی به برقراری ارتباط Trunk بین دو سوئیچ نمیباشد. سوئیچ frameهایی که VLAN tag آنها مشخص نشده (که اصطلاحا untagged frame نامیده میشوند) را دریافت میکند.
مذاکره و توافق بر سروی وضعیت ترانک در دستگاه بر عهده DTP یا Dynamic Trunking Protocol می باشد. این پروتکل در مذاکره خود ترانک شدن یا نشدن خط ارتباطی بین دو دستگاه را بررسی میکند و پس از توافق بر سر تغییر وضعیت به حالت ترانک خط، بر سر روش encapsulation که به صورت پیش فرض dot1q است مذاکره را پیش میبرد. در نظر داشته باشید که DTP یک پروتکل سیسکویی است که در دستگاه غیر سیسکویی پشتیبانی نمی شود.
یادآوری: در سوئیچ های لایه2 تنها یک روش برای encapsulation وجود دارد که آن dot1q است، اما سوئیچ های لایه3 ایی هر دو روش dot1q و ISL را پشتیبانی میکنند و پیش از تغییر حالت پورت به ترانک بایستی روش encapsulation مشخص شود.
پروتکل 802.1Q
پروتکل معمولی برای شبکه های مجازی VLANs IEEE 802.1Q است. این یک پروتکل کپسوله سازی استاندارد است که نحوه قرار دادن شناسه چهار بایت VLAN را در هدر اترنت تعریف می کند.
پس از انجام تنظیمات VLAN، برای انتقال ترافیک VLAN های مختلف، پورت های ارتباط بین سوئیچ ها بایستی به حالت ترانک (چه به صورت خودکار و یا تنظیم دستی) بروند. در صورتیکه تنظیمات در یکی از دو دستگاه متصل به یکدیگر انجام شود، دستگاه دیگر به خاطر وجود DTP و خصلت مذاکره وضعیت پورت خود را به صورت خودکار تغییر میدهد.
کنترل ترافیک VLAN
برای کنترل ترافیک VLAN در محیط اینترفیس (پورت) از دستور switchport trunk allowed vlan استفاده میکنیم.
Switch(config-if)#switchport trunk allowed vlan 10
All: به تمامی VLANها اجازه عبور ترافیکشان از ترانک را میدهد.
Add: میتوانیم برای اجازه دادن به VLANی جهت عبور ترافیکش از ترانک، آن را اضافه کنیم. حال اگر تمامی VLANها اجازه ی عبور ترافیک را داشته باشند دستور ADD کار خاصی را انجام نمی دهد.
Switch(config-if)#switchport trunk allowed vlan 10-30
دستور بالا VLAN های 10,20,30 را به لیست VLAN هایی که اجازه عبور ترافیکشان صادر شده اضافه میکند. در صورتیکه پیش از این، دستور allow vlan all وارد شده باشد، دستور بالا کار خاصی انجام نمیدهد.
Except: تمامی VLANها به غیر از VLANهای مشخص شده
None: کلا ارتباط ترانک را قطع میکند
Remove: زمانیکه VLANها را به صورت دستی به VLANهای مجاز عبور ترافیک اضافه کردیم میتوانیم با این دستور VLAN مربوطه را از لیستی که اضافه کردیم حذف کنیم.
برای مشاهده اطلاعات کلی ترانک بروی تمام پورت ها و VLANها از دستور show interface trunk استفاده میکنیم.
همانطور که در صورت بالا نیز مشخص است، دستور فوق روش Encapsulation، وضعیت پورت، Native VLAN یا همان Default VLAN و Mode پورت را مشخص میکند. ضمنا مشخص میکند چه VLANهایی اجازه عبور از پورت ترانک را دارند و چه VLANهایی ندارند.
مثال : همانطور که در تصویر زیر می بینید می خواهیم دو VLAN 10 و VLAN 20 را بر روی هر سوئیچ ایجاد کنیم و ارتباط بین ایندو را با استفاده از TRUNK برقرار نماییم.
مجموعه دستوراتی که بر روی سوئیچ سمت چت می نویسیم:
مرحله اول: VLAN ها را بر روی سوئیچ می سازیم و اینترفیس ها را عضو VLAN های مورد نظر می نماییم.
Switch(config)#vlan 10
Switch(config-vlan)#name yellow
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name green
Switch(config)#interface fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
مرحله دوم : در این مرحله اینترفیس G0/1 را ترانک می کنیم.
Switch(config-if)#switchport mode trunk
مرحله سوم : دقیقا همان مراحلی که در مرحله اول انجام دادیم را برای سوئیچ سمت راست انجام می دهیم.
Switch(config)#vlan 10
Switch(config-vlan)#name yellow
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name green
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
نمایش VLAN های ساخته شده بر روی سوئیچ سمت چپ :
نمایش VLAN های ساخته شده بر روی سوئیچ سمت راست :
نمایش وضعیت ترانک Trunk :
نویسنده : مهندس مهدی مصدق