ما هي شبكة VLAN؟
VLAN هي شبكة محلية ظاهرية ، وليست "VPN" (شبكة افتراضية خاصة). VLAN هي تقنية تبادل بيانات ناشئة تقسم أجهزة LAN منطقيًا (وليس ماديًا) إلى قطاعات لتحقيق مجموعات عمل افتراضية. تُستخدم هذه التقنية الناشئة بشكل أساسي في المحولات وأجهزة التوجيه ، لكن التطبيق السائد لا يزال في المحولات. ومع ذلك ، لا تحتوي جميع المحولات على هذه الوظيفة ، فقط المحولات التي تحتوي على بروتوكول VLAN أعلى الطبقة 3 لها هذه الوظيفة ، والتي يمكن معرفتها عن طريق التحقق من دليل المحول المقابل.
أصدر IEEE مسودة معيار بروتوكول 802.1Q في عام 1999 لتوحيد مخطط تنفيذ VLAN. يسمح ظهور تقنية VLAN للمسؤولين بتقسيم المستخدمين المختلفين بشكل منطقي داخل نفس الشبكة المحلية الفعلية إلى مجالات بث مختلفة وفقًا لمتطلبات التطبيق الفعلية. تحتوي كل شبكة محلية ظاهرية (VLAN) على مجموعة من محطات عمل الكمبيوتر لها نفس المتطلبات ولها نفس سمات شبكة LAN المكونة فعليًا. لأنها مقسمة منطقيا وليس ماديا. لذلك لا تقتصر محطات العمل الفردية داخل نفس VLAN على نفس النطاق المادي ، على سبيل المثال ، يمكن أن تكون محطات العمل هذه في مقاطع LAN مادية مختلفة. من خصائص شبكات VLAN ، من الواضح أن حركة البث والبث الأحادي داخل VLAN لا يتم إعادة توجيهها إلى شبكات VLAN أخرى ، مما يساعد على التحكم في حركة المرور وتقليل الاستثمار في المعدات وتبسيط إدارة الشبكة وتحسين أمان الشبكة.
كما أدى تطوير تقنية التحويل إلى تسريع تبني تقنيات التحويل الجديدة (شبكات محلية ظاهرية). من خلال تقسيم شبكة المؤسسة إلى شرائح VLAN للشبكة الافتراضية ، يمكن تحسين إدارة الشبكة وأمن الشبكة والتحكم في بث البيانات غير الضرورية.
في شبكة مشتركة ، يعتبر جزء الشبكة المادية مجال بث. في شبكة مبدلة ، يمكن أن يكون مجال البث مقطعًا افتراضيًا بمجموعة عشوائية من عناوين شبكة الطبقة الثانية المحددة (عناوين MAC). بهذه الطريقة ، يمكن لتقسيم مجموعات العمل في الشبكة اختراق القيود الجغرافية في شبكة مشتركة ، وبدلاً من ذلك يعتمد كليًا على وظائف الإدارة. يعمل نموذج التجميع المستند إلى سير العمل على تحسين وظيفة الإدارة لتخطيط الشبكة وإعادة التنظيم بشكل كبير.
محطات العمل في نفس شبكة VLAN ، بغض النظر عن المحول الذي تتصل به بالفعل ، تتواصل مع بعضها البعض كما لو كانت على محولات منفصلة. لا يمكن سماع عمليات البث في نفس شبكة VLAN إلا من قِبل أعضاء شبكة VLAN ، ولا يتم نقلها إلى شبكات VLAN أخرى ، والتي يمكنها التحكم بشكل جيد في توليد عواصف البث غير الضرورية. في الوقت نفسه ، بدون التوجيه ، لا يمكن لشبكات VLAN المختلفة الاتصال ببعضها البعض ، مما يزيد من الأمان بين الإدارات المختلفة في شبكة المؤسسة.
يمكن لمسؤولي الشبكة تكوين المسارات بين شبكات VLAN لإدارة الوصول إلى المعلومات بشكل كامل بين وحدات الإدارة المختلفة داخل المؤسسة. ينقسم المحول إلى شبكات محلية ظاهرية (VLAN) استنادًا إلى عنوان MAC لمحطة عمل المستخدم. لذلك ، فإن المستخدم حر في نقل ملف offإلى شبكة المؤسسة ، وبغض النظر عن المكان الذي يصل فيه إلى شبكة التبديل ، يمكنه التواصل مع مستخدمين آخرين في شبكة VLAN بحرية.
يمكن أن تتكون شبكات VLAN من أجهزة ذات أنواع شبكات مختلطة ، مثل 10M Ethernet ، و 100 M Ethernet ، وشبكة الرموز ، و FDDI ، و CDDI ، وما إلى ذلك ، ويمكن أن تكون محطات عمل ، وخوادم ، ومحاور ، وشبكات أساسية للوصلة الصاعدة ، وما إلى ذلك.
بالإضافة إلى مزايا تقسيم الشبكة إلى مجالات بث متعددة ، وبالتالي التحكم بشكل فعال في حدوث عواصف البث وجعل طوبولوجيا الشبكة مرنة للغاية ، يمكن أيضًا استخدام شبكات VLAN للتحكم في الوصول بين الإدارات والمواقع المختلفة في الشبكة.
VLAN هو بروتوكول مقترح لحل مشكلة البث وأمان Ethernet. إنه يضيف رأس VLAN إلى إطارات Ethernet ، ويقسم المستخدمين إلى مجموعات عمل أصغر مع معرفات VLAN ، ويقيد المستخدمين لزيارة بعضهم البعض بين مجموعات عمل مختلفة ، وكل مجموعة عمل عبارة عن شبكة LAN افتراضية. تتمثل ميزة الشبكة المحلية الافتراضية في أنها يمكن أن تحد من نطاق البث ويمكن أن تشكل مجموعات عمل افتراضية لإدارة الشبكة ديناميكيًا.
طرق تقسيم VLAN
يمكن تقسيم طرق تنفيذ VLAN على المحول إلى ست فئات:
1. يقسم شبكة محلية ظاهرية تعتمد على المنافذ
هذه هي طريقة تقسيم VLAN الأكثر استخدامًا ، وهي الأكثر استخدامًا وفعالية ، وتوفر معظم محولات بروتوكول VLAN طريقة تكوين VLAN هذه.
تعتمد طريقة تقسيم VLAN هذه على منافذ التحويل الخاصة بمفاتيح Ethernet. يقسم المنافذ المادية على محول VLAN ومنافذ PVC (الدائرة الافتراضية الدائمة) داخل محول VLAN إلى عدة مجموعات ، وتشكل كل مجموعة شبكة افتراضية ، والتي تعادل محول VLAN مستقل.
عندما تحتاج الإدارات المختلفة إلى الوصول إلى بعضها البعض ، يمكن إعادة توجيهها من خلال جهاز توجيه باستخدام تصفية المنفذ المستندة إلى عنوان MAC. يتم تعيين مجموعة عناوين MAC المسموح بها على المنفذ المقابل للمحول أو مفتاح التوجيه أو جهاز التوجيه الأقرب للموقع على مسار الوصول للموقع. هذا يمنع احتمال قيام متسللين غير قانونيين بسرقة عناوين IP من الداخل لاقتحام نقاط الوصول الأخرى.
كما نرى من طريقة التقسيم نفسها ، فإن ميزة هذه الطريقة هي أنه من السهل جدًا تحديد عضوية VLAN ، طالما تم تعريف جميع المنافذ على أنها مجموعات VLAN المقابلة. إنه مناسب للشبكات من أي حجم. عيبه هو أنه إذا ترك المستخدم المنفذ الأصلي وانتقل إلى منفذ على محول جديد ، فيجب إعادة تعريفه.
2. قسّم شبكات VLAN على أساس عنوان MAC
تعتمد طريقة تقسيم شبكات VLAN هذه على عنوان MAC لكل مضيف ، أي أن كل مضيف بعنوان MAC يتم تكوينه مع المجموعة التي ينتمي إليها. وتتمثل الآلية التي تنفذها في أن كل بطاقة واجهة شبكة (NIC) تتوافق مع عنوان MAC فريد وأن مفتاح VLAN يتتبع العناوين التي تنتمي إلى VLAN MAC. يسمح هذا النهج لشبكات VLAN لمستخدمي الشبكة بالاحتفاظ تلقائيًا بالعضوية في شبكة VLAN التي ينتمون إليها عندما ينتقلون من موقع مادي إلى آخر.
كما يتضح من آلية هذا التقسيم ، فإن أكبر ميزة لهذه الطريقة لتقسيم VLAN هي أنه لا يلزم إعادة تكوين شبكات VLAN عندما يقوم المستخدمون بنقل موقعهم الفعلي ، أي عندما ينتقلون من محول إلى آخر. هذا لأنه يعتمد على المستخدم ، وليس على منفذ المحول. عيب هذه الطريقة هو أنه يجب تكوين جميع المستخدمين أثناء التهيئة. يمكن أن تستغرق عملية التكوين وقتًا طويلاً إذا كان هناك المئات أو حتى الآلاف من المستخدمين ، لذا فإن طريقة التقسيم هذه مناسبة عادةً لشبكات LAN الصغيرة.
بالإضافة إلى ذلك ، تقلل طريقة التقسيم هذه أيضًا من كفاءة تنفيذ المحول ، لأنه قد يكون هناك العديد من أعضاء مجموعات VLAN على كل منفذ محول ، وتخزين عناوين MAC للعديد من المستخدمين ، وهو أمر ليس من السهل الاستعلام عنه.
بالإضافة إلى ذلك ، بالنسبة لمستخدمي الكمبيوتر المحمول ، قد يتم تغيير بطاقات الشبكة الخاصة بهم بشكل متكرر ، لذلك يجب تكوين شبكة VLAN بشكل متكرر.
3. قسمةeتعتمد شبكات VLAN على بروتوكولات طبقة الشبكة
يتم تقسيم شبكات VLAN بواسطة بروتوكول طبقة الشبكة ويمكن تصنيفها إلى شبكات VLAN مثل IP و IPX و DECnet و AppleTalk و Banyan وما إلى ذلك. تتيح شبكات VLAN ، المكونة من بروتوكول طبقة الشبكة ، لنطاقات البث أن تمتد عبر محولات VLAN متعددة. هذا أمر جذاب للغاية لمسؤولي الشبكات الذين يرغبون في تنظيم المستخدمين لتطبيقات وخدمات محددة. علاوة على ذلك ، يمكن للمستخدمين التنقل بحرية داخل الشبكة ، لكن عضوية VLAN الخاصة بهم تظل كما هي.
تتمثل مزايا هذه الطريقة في أن الموقع الفعلي للمستخدم يتغير دون إعادة تكوين شبكة VLAN التي تنتمي إليها وأنه يمكن تصنيف شبكات VLAN وفقًا لنوع البروتوكول ، وهو أمر مهم لمسؤولي الشبكة. أيضًا ، لا تتطلب هذه الطريقة علامات إطار إضافية لتحديد شبكات VLAN ، والتي يمكن أن تقلل من مقدار حركة المرور على الشبكة. عيب هذا النهج هو أنه غير فعال لأن التحقق من عنوان طبقة الشبكة لكل حزمة يستغرق وقتًا طويلاً في العملية (مقارنة بالطريقتين السابقتين). بشكل عام ، يمكن لشرائح التبديل التحقق تلقائيًا من رؤوس إطار Ethernet للحزم على الشبكة ، ولكنها تتطلب مستوى أعلى من المهارة وتستغرق أيضًا وقتًا أطول لتمكين الشريحة من التحقق من رؤوس إطارات IP. بالطبع ، هذا مرتبط بطريقة التنفيذ لكل بائع.
4. قسّم شبكات VLAN على أساس البث المتعدد IP
البث المتعدد IP هو في الواقع تعريف لشبكة محلية ظاهرية (VLAN) ، أي أن مجموعة البث المتعدد IP هي شبكة محلية ظاهرية (VLAN). تعمل طريقة التقسيم هذه على توسيع شبكة VLAN إلى شبكة WAN ، لذلك تتمتع هذه الطريقة بمرونة أكبر ، ومن السهل تمديدها عبر جهاز التوجيه. إنها مناسبة بشكل أساسي لمستخدمي LAN الذين ليسوا في نفس النطاق الجغرافي لتكوين شبكة محلية ظاهرية (VLAN). إنه غير مناسب للشبكات المحلية لأنه غير فعال.
5. قسّم شبكات VLAN حسب السياسة
يمكن تعيين شبكات VLAN المستندة إلى السياسة بعدة طرق ، بما في ذلك منافذ تبديل VLAN وعناوين MAC وعناوين IP وبروتوكولات طبقة الشبكة. يمكن لمسؤولي الشبكة تحديد نوع VLAN بناءً على وضع الإدارة ومتطلبات الوحدة الخاصة بهم.
6. قسمةeشبكات محلية ظاهرية (VLAN) بواسطة تفويض محدد من قبل المستخدم وغير مستخدم
يعني تخصيص VLAN استنادًا إلى تعريف المستخدم والترخيص من غير المستخدم أن شبكات VLAN محددة ومصممة وفقًا للمتطلبات الخاصة لمستخدمي الشبكة لتلبية شبكات VLAN الخاصة. بالإضافة إلى ذلك ، لا يمكن للمستخدمين الذين لا يستخدمون VLAN الوصول إلى شبكات VLAN إلا بعد مصادقتهم بواسطة إدارة VLAN من خلال توفير كلمات مرور المستخدم.
Tمزايا شبكة VLAN
لكي يتم دعم أي تقنية جديدة وتطبيقها على نطاق واسع ، يجب أن تكون هناك بعض المزايا الرئيسية ، وكذلك تقنية VLAN ، التي تنعكس مزاياها بشكل أساسي في الجوانب التالية:
- زيادة مرونة الاتصال بالشبكة
تجمع تقنية VLAN بين مواقع وشبكات ومستخدمين مختلفين لتشكيل بيئة شبكة افتراضية مريحة ومرنة وفعالة مثل استخدام شبكة LAN محلية. يمكن أن تقلل VLAN من النفقات العامة لنقل أو تغيير موقع محطات العمل ، خاصة بالنسبة للشركات ذات ظروف العمل المتغيرة بشكل متكرر.
- السيطرة على البث على الشبكة
توفر VLAN آلية جدار حماية لمنع البث المفرط على شبكة التبديل. باستخدام شبكات VLAN ، يمكن تعيين منفذ تبديل أو مستخدم لمجموعة VLAN محددة ، والتي يمكن أن تكون داخل شبكة تبديل أو عبر محولات متعددة ، ولن يتم إرسال عمليات البث داخل شبكة محلية ظاهرية خارج شبكة محلية ظاهرية (VLAN). وبالمثل ، لا تستقبل المنافذ المجاورة عمليات البث التي تم إنشاؤها بواسطة شبكات محلية ظاهرية أخرى. هذا يقلل من حركة البث ، ويطلق النطاق الترددي لتطبيقات المستخدم ، ويقلل من توليد البث.
- تحسين أمن الشبكة
لأن VLAN هو مجال بث منفصل. يتم عزل شبكات VLAN عن بعضها البعض ، مما يحسن استخدام الشبكة ويضمن أمان الشبكة وسريتها. غالبًا ما ينقل الأشخاص بيانات سرية وحاسمة على الشبكة المحلية. يجب تزويد البيانات السرية بوسائل أمنية مثل التحكم في الوصول. طريقة فعالة وسهلة التنفيذ هي تقسيم الشبكة إلى عدة مجموعات بث مختلفة ، حيث يحد مسؤول الشبكة من عدد المستخدمين في VLAN ويحظر الوصول إلى التطبيقات في VLAN دون إذن. يمكن تجميع منافذ التبديل بناءً على نوع التطبيق وامتيازات الوصول ، وعادةً ما يتم وضع التطبيقات والموارد المقيدة في شبكات VLAN للأمان.
دراسة حالة لتكوين شبكة محلية ظاهرية (VLAN)
تمتلك الشركة حوالي 100 جهاز كمبيوتر ، وهناك أربعة أقسام رئيسية تستخدم الشبكة بشكل أساسي: قسم الإنتاج (20) ، القسم المالي (15) ، قسم الموارد البشرية (8) ، مركز المعلومات (12).
تستخدم الشبكة بأكملها ثلاثة محولات مُدارة من Catalyst 1900 (تسمى: Switch1 و Switch2 و Switch3 على التوالي ، ويتم توصيل كل محول بعدة محاور حسب الحاجة ، بشكل أساسي لمستخدمي غير VLAN ، مثل الأعمال الورقية الإدارية والمستخدمين المؤقتين وما إلى ذلك) وواحد موجه Cisco 2514 في الجزء الأوسط والخلفي من الشبكة ، والشبكة بأكملها متصلة بالإنترنت من خلال جهاز التوجيه Cisco 2514 متصل بالإنترنت الخارجي.
يتم توزيع المستخدمين المتصلين بشكل أساسي في أربعة أجزاء ، وهي: قسم الإنتاج ، والقسم المالي ، ومركز المعلومات ، وقسم الموارد البشرية. تنقسم هذه الأجزاء الأربعة بشكل أساسي إلى شبكات محلية ظاهرية منفصلة لضمان عدم سرقة موارد شبكة الإدارات المقابلة أو تلفها.
من أجل ضمان أمن موارد الشبكة ، خاصة بالنسبة للإدارات الحساسة مثل الشؤون المالية والموارد البشرية ، لا يسمح لعدد كبير جدًا من الأشخاص بالوصول إلى المعلومات الموجودة على الشبكة. لذلك ، تتبنى الشركة طريقة VLAN لحل المشكلات المذكورة أعلاه.
يمكن تقسيم Vlans إلى قسم الإنتاج ، والإدارة المالية ، وإدارة الموارد البشرية ، ومركز المعلومات. مجموعات VLAN المقابلة هي Prod و Fina و Huma و Info. يوضح الجدول 1 مقاطع الشبكة لكل مجموعة VLAN.
ملاحظة: سبب بدء معرف VLAN الخاص بالمحول من "2" هو أن المحول يحتوي على VLAN افتراضي ، وهو VLAN "1" ، والذي يتضمن جميع المستخدمين المتصلين بالمحول.
عملية تكوين VLAN
عملية تكوين VLAN بسيطة للغاية في الواقع ، ولا تتطلب سوى خطوتين.
(1) تسمية كل مجموعة VLAN.
(2) مطابقة VLAN المقابلة مع منفذ التبديل المقابل.
التالي هو عملية التكوين المحددة.
الخطوة1: قم بإعداد HyperTerminal ، واتصل بالمحول 1900 ، وقم بتكوين شبكات VLAN الخاصة بالمحول من خلال HyperTerminal. تظهر واجهة التكوين الرئيسية بعد اتصال ناجح كما هو موضح أدناه (تم تكوين المعلومات الأساسية على المحول من قبل):
ملاحظة: يتم تنفيذ HyperTerminal باستخدام برنامج Hypertrm الذي يأتي مع Windows. لمزيد من التفاصيل ، انظر الوثائق ذات الصلة.
الخطوة2: انقر على "K" وحدد "[K] Command Line" من القائمة الرئيسية للدخول إلى واجهة تكوين سطر الأوامر التالية:
في هذه المرحلة ، ندخل إلى وضع المستخدم العادي للمحول ، تمامًا مثل جهاز التوجيه ، يمكن لهذا الوضع عرض التكوين الحالي فقط ، ولا يمكنه تغيير التكوين ، ويمكنه استخدام أمر محدود للغاية. لذلك يجب علينا الدخول في "الوضع المميز".
الخطوة3: أدخل الأمر "تمكين" في موجه ">" في الخطوة السابقة للدخول إلى الوضع المميز. تنسيق الأمر هو "> تمكين" ، ثم يتم عرض المفتاح:
الخطوة4: من أجل الأمان والراحة ، نمنح كل مفتاح من 3 محولات Catalyst 1900 اسمًا ونقوم بتعيين كلمة مرور لتسجيل الدخول إلى الوضع المميز. فيما يلي مثال على Switch1. رمز التكوين كما يلي:
ملاحظة: يجب أن تتكون كلمة مرور الوضع المميز من 4 إلى 8 أحرف. يتم عرض كلمة المرور التي تم إدخالها في نص عادي ، لذا حافظ على سريتها. يستخدم المحول المستوى لتحديد أذونات كلمة المرور. المستوى 1 هو كلمة المرور للوصول إلى واجهة سطر الأوامر. بعد تعيين كلمة المرور للمستوى 1 ، في المرة التالية التي تتصل فيها بالمحول واكتب K ، سيُطلب منك إدخال كلمة المرور ، وهي كلمة المرور التي تم تعيينها للمستوى 1. المستوى 15 هو كلمة مرور الوضع المميز التي ستكون عليها طلب الدخول بعد كتابة الأمر "تمكين".
الخطوة5: اضبط اسم VLAN. نظرًا لأن شبكات VLAN الأربعة تنتمي إلى محولات مختلفة ، فإن أمر تسمية VLAN هو "VLAN ، رقم VLAN ، الاسم ، اسم VLAN. في Switch1 و Switch2 و Switch3 ، قم بتكوين رمز VLAN 2 و 3 و 4 و 5 على النحو التالي:
ملاحظة: يتم تنفيذ التكوين أعلاه وفقًا للقواعد الواردة في الجدول 1.
الخطوة6: في الخطوة السابقة ، قمنا بتكوين مجموعات VLAN لكل محول. نحتاج الآن إلى مطابقة شبكات VLAN هذه مع أرقام منفذ التبديل المحددة في الجدول 1. الأمر المقابل لرقم المنفذ هو رقم VLAN الثابت / الديناميكي لعضوية شبكة محلية ظاهرية. في هذا الأمر ، يجب تحديد إما "ثابت" أو "ديناميكي" ، ولكن عادةً ما يتم اختيار "ثابت".
تم تكوين تطبيق رقم منفذ VLAN على النحو التالي.
(1) تم تكوين رقم منفذ VLAN للمحول المسمى "Switch1" على النحو التالي.
ملاحظة: "int" هو اختصار لأمر "الواجهة". e0 / 3 هو اختصار لـ "ethernet 0/2" ، والذي يمثل المنفذ 2 من الوحدة 0 من المحول.
(2) تم تكوين رقم منفذ VLAN للمحول المسمى "Switch2" على النحو التالي.
(3) تم تكوين رقم منفذ VLAN للمحول المسمى "Switch3" على النحو التالي (يتضمن تكوين مجموعتين من مجموعات VLAN) ، راجع رمز التكوين الخاص بـ VLAN 4 (Huma) أولاً.
فيما يلي رمز التكوين لشبكة VLAN 5 (معلومات).
لقد حددنا الآن شبكات VLAN على المنافذ المقابلة للمحول كما هو مطلوب في الجدول 1. للتحقق من التكوين الخاص بنا ، يمكنك استخدام الأمر "show vlan" في الوضع المميز لعرض التكوين الذي تم إجراؤه للتو للتحقق مما إذا كان صحيحًا .
ما سبق هو مقدمة لتكوين VLAN لمحول Cisco Catalyst 1900 ، تكوين VLAN للمحولات الأخرى مشابه بشكل أساسي ، راجع دليل المحول ذي الصلة.