VLAN چيست ؟
VLAN چيست ؟
Virtual Local Area Networks) VLAN) ، يکی از جديدترين و جالبترين تکنولوژی های شبکه است که اخيرا” مورد توجه بيشتری قرار گرفته است . رشد بدون وقفه شبکه های LAN و ضرورت کاهش هزينه ها برای تجهيزات گرانقيمت بدون از دست دادن کارآئی و امنيت ، اهميت و ضرورت توجه بيشتر به VLAN را مضاعف نموده است .وضعيت شبکه های فعلی
تقريبا” در اکثر شبکه ها امروزی از يک (و يا چندين) سوئيچ که تمامی گره های شبکه به آن متصل می گردند ، استفاه می شود . سوئيچ ها روشی مطمئن و سريع به منظور مبادله اطلاعات بين گره ها در يک شبکه را فراهم می نمايند.با اين که سوئيچ ها برای انواع شبکه ها ، گزينه ای مناسب می باشند ، ولی همزمان با رشد شبکه و افزايش تعداد ايستگاهها و سرويس دهندگان ، شاهد بروز مسائل خاصی خواهيم بود . سوئيچ ها ، دستگاه های لايه دوم (مدل مرجع OSI ) می باشند که يک شبکه Flat را ايجاد می نمايند .
همانگونه که در شکل فوق مشاهده می نمائيد ، به يک سوئيچ ، سه ايستگاه متصل شده است . ايستگاههای فوق قادر به ارتباط با يکديگر بوده و هر يک به عنوان عضوی از يک Broadcast domain مشابه می باشند. بدين ترتيب ، در صورتی که ايستگاهی يک پيام broadcast را ارسال نمايد ، ساير ايستگاههای متصل شده به سوئيچ نيز آن را دريافت خواهند داشت.
در يک شبکه کوچک ، وجود پيام های Broadcast نمی تواند مشکل و يا مسئله قابل توجهی را ايجاد نمايد، ولی در صورت رشد شبکه ، وجود پيام های braodcast می تواند به يک مشکل اساسی و مهم تبديل گردد . در چنين مواردی و در اغلب مواقع ، سيلابی از اطلاعات بی ارزش بر روی شبکه در حال جابجائی بوده و عملا” از پهنای باند شبکه،استفاده مطلوب نخواهد شد. تمامی ايستگاههای متصل شده به يک سوئيچ ، پيام های Braodcast را دريافت می نمايند . چراکه تمامی آنان بخشی از يک Broadcast doamin مشابه می باشند .
در صورت افزايش تعداد سوئيچ ها و ايستگاهها در يک شبکه ، مشکل اشاره شده ملموس تر خواهد بود .همواره احتمال وجود پيام های Braodcast در يک شبکه وجود خواهد داشت .
يکی ديگر از مسائل مهم ، موضوع امنيت است . در شبکه هائی که با استفاده از سوئيچ ايجاد می گردند ، هر يک از کاربران شبکه قادر به مشاهده تمامی دستگاههای موجود در شبکه خواهند بود . در شبکه ای بزرگ که دارای سرويس دهندگان فايل ، بانک های اطلاعاتی و ساير اطلاعات حساس و حياتی است ، اين موضوع می تواند امکان مشاهده تمامی دستگاههای موجود در شبکه را برای هر شخص فراهم نمايد . بدين ترتيب منابع فوق در معرض تهديد و حملات بيشتری قرار خواهند گرفت . به منظور حفاظت اينچنين سيستم هائی می بايست محدوديت دستيابی را در سطح شبکه و با ايجاد سگمنت های متعدد و يا استقرار يک فايروال در جلوی هر يک از سيستم های حياتی ، انجام داد .معرفی VLAN
تمامی مسائل اشاره شده در بخش قبل را و تعداد بيشتری را که به آنان اشاره نشده است را می توان با ايجاد يک VLAN به فراموشی سپرد . به منظور ايجاد VLAN ، به يک سوئيچ لايه دوم که اين تکنولوژی را حمايت نمايد ، نياز می باشد . تعدادی زيادی از افراديکه جديدا” با دنيای شبکه آشنا شده اند ، اغلب دارای برداشت مناسبی در اين خصوص نمی باشند و اينگونه استنباط نموده اند که صرفا” می بايست به منظور فعال نمودن VLAN ، يک نرم افزار اضافه را بر روی سرويس گيرندگان و يا سوئيچ نصب نمايند . ( برداشتی کاملا” اشتباه ! ) . با توجه به اين که در شبکه های VLAN ، ميليون ها محاسبات رياضی انجام می شود ، می بايست از سخت افزار خاصی که درون سوئيچ تعبيه شده است ، استفاده گردد (دقت در زمان تهيه يک سوئيچ)،در غير اينصورت امکان ايجاد يک VLAN با استفاده از سوئيچ تهيه شده ، وجود نخواهد داشت .
هر VLAN که بر روی سوئيچ ايجاد می گردد ، به منزله يک شبکه مجزا می باشد . بدين ترتيب برای هر VLAN موجود يکbroadcast domain جداگانه ايجاد می گردد . پيام های broadcast ، به صورت پيش فرض ، از روی تمامی پورت هائی از شبکه که عضوی از يک VLAN مشابه نمی باشند، فيلتر می گردند . ويژگی فوق ، يکی از مهمترين دلايل متداول شدن VALNدر شبکه های بزرگ امروزی است ( تمايز بين سگمنت های شبکه ) . شکل زير يک نمونه شبکه با دو VLAN را نشان می دهد :
در شکل فوق ، يک شبکه کوچک با شش ايستگاه را که به يک سوئيچ ( با قابليت حمايت از VLAN ) متصل شده اند ، مشاهده می نمائيم . با استفاده از پتانسيل VLAN سوئيچ ، دو VLAN ايجاد شده است که به هر يک سه ايستگاه متصل شده است (VLAN1 و VLAN2) . زمانی که ايستگاه شماره يک متعلق به VLAN1 ، يک پيام Braodcast را ارسال می نمايد ( نظير : FF:FF:FF:FF:FF:FF ) ، سوئيچ موجود آن را صرفا” برای ايستگاههای شماره دو وسه فوروارد می نمايد . در چنين مواردی ساير ايستگاههای متعلق به VLAN2 ، آگاهی لازم در خصوص پيام های broadcast ارسالی بر روی VLAN1 را پيدا نکرده و درگير اين موضوع نخواهند شد .
در حقيقت ، سوئيچی که قادر به حمايت از VLAN می باشد ، امکان پياده سازی چندين شبکه مجزا را فراهم می نمايد ( مشابه داشتن دو سوئيچ جداگانه و اتصال سه ايستگاه به هر يک از آنان در مقابل استفاده از VLAN ) . بدين ترتيب شاهد کاهش چشمگير هزينه های برپاسازی يک شبکه خواهيم بود .
فرض کنيد قصد داشته باشيم زير ساخت شبکه موجود در يک سازمان بزرگ را به دوازده شبکه جداگانه تقسيم نمائيم . بدين منظور می توان با تهيه دوازده سوئيچ و اتصال ايستگاههای مورد نظر به هر يک از آنان ، دوازده شبکه مجزا که امکان ارتباط بين آنان وجود ندارد را ايجاد نمائيم . يکی ديگر از روش های تامين خواسته فوق ، استفاده از VLAN است . بدين منظور می توان از يک و يا چندين سوئيچ که VLAN را حمايت می نمايند ، استفاده و دوازده VLAN را ايجاد نمود . بديهی است ، هزينه برپاسازی چنين شبکه هایی به مراتب کمتر از حالتی است که از دوازده سوئيچ جداگانه ، استفاده شده باشد .
در زمان ايجاد VALN ، می بايست تمامی ايستگاهها را به سوئيچ متصل و در ادامه ، ايستگاههای مرتبط با هر VLAN را مشخص نمود. هر سوئيچ در صورت حمايت از VLAN ، قادر به پشتيبانی از تعداد مشخصی VLAN است . مثلا” يک سوئيچ ممکن است 64 و يا 266 VLAN را حمايت نمايد.طراحی VLAN : مفاهيم اوليه
Virtual Local Area Networks) VLAN) ، يکی از فن آوری های پيشرفته در شبکه های کامپيوتری است که اخيرا” با توجه به ويژگی های منحصربفرد خود توانسته است در کانون توجه طراحان و پياده کنندگان شبکه های کامپيوتری قرار بگيرد ( منبع :VLAN چيست ؟ ) .
طراحی و پياده سازی يک شبکه کامپيوتری کار ساده ای نمی باشد و شبکه های VLAN نيز از اين قاعده مستثنی نخواهند بود ، چراکه در اين نوع شبکه ها مجموعه ای متنوع از پروتکل ها به منظور نگهداری و مديريت شبکه بکار گرفته می شود .
در اين مطلب قصد نداريم به نحوه پيکربندی يک شبکه VLAN اشاره نمائيم ( در مطالب جداگانه ای به اين موضوع خواهيم پرداخت ) . در ابتدا لازم است به طرح های فيزيکی متفاوت VLAN و مفاهيم اوليه آن اشاره ای داشته باشيم تا از اين رهگذر با مزايا و دستاوردهای اين نوع شبکه ها بيشتر آشنا شويم .
بخاطر داشته باشيد که برای طراحی و پياده سازی شبکه های کامپيوتری که هر يک دارای منابع و ملزومات مختص به خود می باشند ، فنآوری های متفاوتی در دسترس می باشد و مهم اين است که بتوان با بررسی کارشناسی بهترين گزينه در اين رابطه را استفاده نمود .طراحی اولين VLAN
در اکثر پيکربندی های VLAN ، محوريت بر اساس گروه بندی دپارتمان ها صرفنظر از محل استقرار فيزيکی آنان در يک شبکه می باشد. بدين ترتيب مديريت دپارتمان ها متمرکز و امکان دستيابی به منابع مهم و حياتی شبکه محدود و صرفا” در اختيار کاربران مجاز قرار خواهد گرفت .
در ادامه به بررسی يک سازمان فرضی خواهيم پرداخت که قصد طراحی و پياده سازی يک شبکه کامپيوتری را دارد . مدل پيشنهادی را بدون در نظر گرفتن VLAN و با لحاظ نمودن VLAN بررسی می نمائيم .
وضعيت موجود سازمان فرضی :
سازمان فرضی دارای چهل دستگاه ايستگاه کاری و پنج سرويس دهنده است .
در سازمان فرضی دپارتمان های متفاوتی با وظايف تعريف شده ، وجود دارد : دپارتمان مديريت ، دپارتمان حسابداری ، دپارتمان فنآوری اطلاعات
دپارتمان های اشاره شده در سه طبقه فيزيکی توزيع و پرسنل آنان ممکن است در طبقات مختلف مشغول به کار باشند .
سناريوی اول : عدم استفاده از VLAN
دپارتمان فنآوری اطلاعات به عنوان مجری طراحی و پياده سازی شبکه به اين نتيجه رسيده است که بدليل رعايت مسائل امنيتی مناسب تر است که شبکه را پارتيشن نموده و آن را به چندين بخش تقسيم نمايد . هر دپارتمان در يک Broadcast domain قرار گرفته و با استفاده از ليست های دستيابی که بين محدوده های هر يک از شبکه ها قرار می گيرد، اين اطمينان حاصل می گردد که دستيابی به هر يک از شبکه ها با توجه به سياست های دستيابی تعريف شده، ميسر می گردد .
با توجه به وجود سه دپارتمان متفاوت ، سه شبکه جديد ايجاد می گردد . مدل پيشنهادی در اين سناريو به صورت زير است :
ويژگی های سناريوی اول :
به هر دپارتمان يک شبکه خاص نسبت داده شده است .
در هر طبقه از يک سوئيچ اختصاصی برای هر يک از شبکه های موجود ، استفاده شده است .
مهمترين دستاورد مدل فوق ، افزايش امنيت شبکه است چراکه شبکه های فيزيکی عملا” از يکديگر جدا شده اند .
سوئيچ های موجود در هر طبقه از طريق ستون فقرات شبکه با يکديگر گروه بندی و به روتر اصلی شبکه متصل شده اند .
روتر مسئوليت پيچيده کنترل دستيابی و روتينگ بين شبکه ها و سرويس دهنده ها را با استفاده از ليست های دستيابی بر عهده خواهد داشت.
مديريت شبکه بدليل عدم وجود يک نقطه متمرکز دارای چالش های مختص به خود می باشد .
سناريوی دوم : استفاده از VLAN
در اين مدل ، طراحی شبکه با در نظر گرفتن فنآوری VLAN به صورت زير ارائه شده است :
ويژگی های سناريوی دوم :
در هر طبقه از يک سوئيچ استفاده شده است که مستقيما” به ستون فقرات شبکه متصل می گردد.
سوئيچ های استفاده شده در اين سناريو دارای ويژگی VLAN بوده و بگونه ای پيکربندی می گردند که سه شبکه فيزيکی و منطقی جداگانه را حمايت نمايند .
در مقابل روتر در سناريوی قبل از يک سوئيچ لايه سوم ، استفاده شده است . سوئيچ های فوق بسيار هوشنمند بوده و نسبت به ترافيک لايه سوم ( لايه IP ) آگاهی لازم را دارند .
با استفاده از يک سوئيچ ، می توان ليست های دستيابی را به منظور محدوديت دستيابی بين شبکه ها تعريف نمود . دقيقا” مشابه عملياتی که با استفاده از روتر در سناريوی قبلی انجام می گردد ( روتينگ بسته های اطلاعاتی از يک شبکه منطقی به شبکه منطقی ديگر ) . سوئيچ های لايه سوم ، ترکيبی از يک سوئيچ قدرتمند و يک روتر از قبل تعبيه شده می باشند .
مقرون به صرفه بودن ، تسهيل در امر توسعه شبکه ، انعطاف پذيری و مديريت متمرکز از جمله مهمترين ويژگی های سناريوی فوق می باشد.