شبکه محلی مجازی VLAN چیست و چگونه پیاده‌سازی می‌شود؟

 شبکه محلی مجازی (VLAN) سرنام Virtual LAN یک زیرشبکه منطقی است که می‌تواند مجموعه‌ای از دستگاه‌‌های موجود در شبکه‌های محلی فیزیکی مختلف را گروه‌بندی و کنار یکدیگر قرار دهد. به بیان دیگر، شبکه‌های محلی مجازی گروه‌بندی منطقی دستگاه‌هایی هستند که در حوزه فراگیر (broadcast domain) یکسانی قرار دارند. مدیران شبکه می‌توانند در شبکه‌های بزرگ‌تر از رویکرد مجازی‌سازی شبکه محلی برای تقسیم‌بندی مجدد شبکه با هدف بهبود ترافیک استفاده کنند، بدون آن‌که به کابل‌کشی جدید یا اعمال تغییرات بزرگ در زیرشبکه فعلی نیازی باشد. شبکه‌های محلی مجازی کاربرد مهم دیگری نیز دارند که اجازه می‌دهند با گروه‌بندی دستگاه‌هایی که دائما با یکدیگر در ارتباط هستند عملکرد کلی شبکه را بهبود بخشید.

شبکه‌های محلی مجازی به جای اتصالات فیزیکی از اتصالات منطقی استفاده می‌کنند و به همین دلیل انعطاف‌پذیری زیادی دارند و به مدیران شبکه اجازه می‌دهند سطح بالاتری از نظارت و کنترل روی دسترسی دستگاه‌ها به یکدیگر اعمال کنند، در نتیجه امنیت شبکه‌های بزرگ‌تر به میزان قابل توجهی بهبود پیدا می‌کند. به‌طور معمول، یک یا چند سوییچ شبکه می‌توانند از شبکه‌های محلی مجازی مستقل پشتیبانی کنند و لایه 2 زیرشبکه‌ها (لایه داده‌ها) را پیاده‌سازی کنند. 
شبکه‌های محلی مجازی می‌توانند به شکل توزیع شده روی چند سوییچ قرار بگیرند و در قالب زیر شبکه یا دامنه پخشی (پخش (Broadcast) رویکردی در شبکه سازی کامپیوتری است تا اطمینان حاصل شود که دستگاه‌های موجود در شبکه یک بسته (پخش شده) را دریافت خواهند کرد.) مخصوص خود کار کنند. در این حالت فریم‌های پخش شده روی شبکه، تنها بین پورت‌های همان شبکه محلی مجازی سوییچ می‌شوند. یک شبکه محلی مجازی عملکردی شبیه به یک شبکه محلی فیزیکی دارد، با این حال، اجازه می‌دهد میزبان‌ها در حوزه پخشی یکسانی با هم گروه‌بندی شوند، حتا اگر میزبان‌ها به سوییچ یکسانی متصل نشده باشند. سازمان‌های بزرگ به دلایل زیر تصمیم می‌گیرند از شبکه محلی مجازی در ساختار اصلی شبکه خود استفاده کنند:

•  شبکه محلی مجازی تعداد دامنه‌های پخشی را افزایش می‌دهد. 
•  شبکه محلی مجازی مخاطرات امنیتی را با کاهش تعداد میزبان‌هایی که یک کپی از فریم‌های سوییچ را دریافت می‌کنند کم می‌کند. رویکرد فوق به میزان قابل توجهی خطر حملات سیلابی را کاهش می‌دهد. 
•  این امکان وجود دارد تا میزبان‌هایی که اطلاعات حساسی را نگه‌داری می‌کنند روی یک شبکه محلی مجازی متمایز قرار داد تا امنیت بهبود پیدا کند.
•  این امکان وجود دارد تا به جای گروه‌بندی کاربران بر مبنای موقعیت فیزیکی از یک طراحی انعطاف‌پذیر استفاده کرد و کاربران را بر مبنای دپارتمانی که در آن کار می‌کنند گروه‌بندی کنید. 
•  با پیکربندی یک پورت در شبکه محلی مناسب، امکان پیاده‌سازی تغییرات در شبکه با سهولت هرچه بیشتر فراهم می‌شود. 

شکل 1 توپولوژی شبکه‌ای را نشان می‌دهد که تمامی میزبان‌ها درون شبکه محلی یکسانی قرار دارند. ‌بدون وجود شبکه‌های محلی مجازی، پیام فراگیر (Broadcast) ارسالی از میزبان A به تمامی دستگاه‌های شبکه می‌رود، اما زمانی که رابط‌های Fa0/0 و Fa0/1 هر دو سوییچ در شبکه‌های محلی مجازی جداگانه‌ای قرار بگیرند، پیام فراگیر ارسالی از میزبان A تنها به میزبان B ارسال می‌شود، زیرا هر شبکه محلی مجازی دامنه فراگیر جداگانه خاص خود را دارد.

در این حالت تنها میزبان B در شبکه محلی مجازی یکسان با میزبان A قرار گرفته و میزبان‌های مستقر در شبکه ‌محلی مجازی 3 و 5 حتا از وجود چنین ارتباطی مطلع نمی‌شوند. شکل 2 توپولوژی چنین شبکه‌ای را نشان می‌دهد. برای آن‌که میزبان‌ها بتوانند به شبکه‌های محلی دیگری دست پیدا کنند، وجود روتر ضروری است. 

درگاه‌های دسترسی و ترانک (Access & trunk ports)

هر درگاه/پورت سوییچ را می‌توان به صورت درگاه دسترسی یا درگاه ترانک پیکربندی کرد. درگاه دسترسی به نوع خاصی از درگاه‌ها اشاره دارد که امکان برقراری ارتباط با یک شبکه محلی مجازی واحد را فراهم می‌کند. این نوع رابط‌ها روی درگاه‌های متصل به تجهیزات شبکه از طریق کارت شبکه (به‌طور مثال یک هاست روی یک شبکه) پیکربندی می‌شوند. رابط ترانک به درگاه یک سوییچ اجازه می‌دهد به سوییچ دیگری متصل شود. این نوع رابط‌ها قادر به هدایت ترافیک به سمت چند شبکه محلی مجازی هستند. در شبکه نشان داده شده در شکل 2، لینک میان SW1 و SW2 به صورت رابط ترانک پیکربندی شده و سایر درگاه‌های سوئیچ که به دستگاه‌های نقطه پایانی مورد استفاده کاربر متصل شده‌اند به شکل درگاه‌های دسترسی پیکربندی می‌شوند. 

انواع شبکه‌های محلی مجازی

شبکه‌های محلی مجازی به سه گروه مبتنی بر پروتکل، ایستا و پویا طبقه‌بندی می‌شوند. 

•  شبکه محلی مجازی مبتنی بر پروتکل ترافیک را بر مبنای پروتکلش مدیریت می‌کند. در شبکه‌های فوق سوئیچ، ترافیک را بر مبنای پروتکلی که بر مبنای آن کار می‌کند ارسال می‌کند. 
•  شبکه‌های محلی مجازی ایستا که شبکه‌های محلی مجازی مبتنی بر پورت نیز نامیده می‌شوند به مدیران شبکه اجازه می‌دهند تا درگاه‌های سوییچ را به شبکه مجازی اختصاص دهند. در یک شبکه محلی مجازی ایستا، مدیر باید یک به یک درگاه‌های موردنظر را به شبکه مجازی تخصیص دهد. 
•  شبکه‌های محلی مجازی پویا به مدیران شبکه اجازه می‌دهند بر مبنای ویژگی‌های دستگاه‌ها، عضویت در شبکه را تعریف کنند و به همین دلیل امکان تعیین شماره درگاه سوئیچ فراهم نیست. به‌طور مثال یک شبکه مجازی پویا می‌تواند شامل فهرستی از مک‌آدرس‌ها یا حساب‌های کاربری باشد. 

آشنایی با نحوه عملکرد شبکه‌های محلی مجازی 

سرپرستان شبکه می‌توانند با تخصیص درگاه‌های سوییچ به یک یا چند شبکه محلی مجازی، سامانه‌های تحت شبکه را به گروه‌های منطقی تقسیم کنند و با تعیین خط‌مشی‌هایی، مشخص کنند چگونه سامانه‌های موجود در گروه‌های مختلف قادر به برقراری ارتباط با یکدیگر باشند. این گروه‌ها کامپیوترهای درون یک شبکه محلی مجازی هستند که قادر به مشاهده تجهیزاتی همچون چاپگر روی شبکه محلی مجازی هستند یا گروهی پیچیده و متشکل از کامپیوترهای مستقر در دپارتمان‌های مختلف هستند. هر شبکه محلی مجازی می‌تواند یک لینک دسترسی به داده‌ها در اختیار تمام میزبان‌هایی قرار دهد که به درگاه‌های سوییچ (سوییچی که درگاه‌های آن برای به‌کارگیری VLAN پیکربندی شده‌‌اند) متصل شده‌اند و شناسه شبکه محلی مجازی یکسانی دارند. برچسب‌گذاری شبکه‌ محلی مجازی بر اساس استاندارد IEEE 802.1Q که به‌نام Dot1Q معروف است، انجام می‌شود. در استاندارد فوق برچسب شبکه محلی مجازی فیلدی 12 بیتی در سرآیند اترنت است که از VLAN 4095 در هر دامنه سوئیچینگ پشتیبانی می‌کند (به عبارت دقیق‌تر VLAN ID می‌تواند عددی در بازه 0 تا 4095 باشد.). هر زمان فریمی فاقد برچسب توسط یک میزبان متصل به سوییچ دریافت ‌شود، برچسب VLAN ID پیکربندی شده در آن رابط با استفاده از فرمت 802.1Q به سرآیند فریم دیتا لینک افزوده می‌شود و فریم 802.1Q به مقصد ارسال می‌شود. هر سوئیچ از تگی برای متمایز ساختن ترافیک شبکه محلی مجازی از سایر شبکه‌های محلی مجازی استفاده می‌کند و ترافیک را به مکانی که شبکه محلی مجازی برای آن پیکربندی شده ارسال می‌کند. لینک‌های ترانک میان سوییچ‌ها برای متمایز ساختن چند شبکه محلی مجازی از یکدیگر و همچنین مدیریت بهتر آن‌ها از برچسب‌ها استفاده می‌کنند. زمانی‌که فریم به درگاه سوئیچ مقصد رسید، قبل از آن‌که فریم به دستگاه مقصد دیگری انتقال پیدا کند، باید برچسب شبکه محلی مجازی از آن حذف شود. این امکان وجود دارد که چند شبکه محلی مجازی را با استفاده از پیکربندی ترانک روی یک درگاه واحد پیکربندی کرد. در این حالت هر فریم ارسال شده توسط این درگاه با شناسه شبکه محلی مجازی برچسب‌گذاری می‌شود. رابط دستگاه‌ مجاور که ممکن است روی سوئیچ یا میزبان دیگری قرار داشته باشد باید از برچسب‌گذاری 802.1Q پشتیبانی می‌کند و همچنین بتواند از رویکرد انتقال و دریافت برچسب‌های تک شده‌‌ مبتنی بر حالت ترانک پشتیبانی کند. ممکن است فریم‌های اترنتی بدون برچسب در شبکه ارسال شوند، در این حالت فریم‌ها به یک شبکه محلی مجازی پیش‌فرض که در پیکربندی سوئیچ مشخص شده تخصیص داده می‌‌شوند. هر زمان سوییچی که شبکه محلی مجازی روی آن تنظیم شده، فریم اترنت بدون برچسبی از یک میزبان متصل به سوئیچ دریافت کند، برچسب شبکه محلی مجازی تخصیص یافته را به رابط داخلی اضافه می‌کند و در ادامه فریم فوق به درگاه میزبان با مک‌آدرس مشخص ارسال می‌شود. شکل 3 قالب فریم در در استاندارد IEEE 802.1Q را نشان می‌دهد. دقت کنید برودکست، یونیکست ناشناخته و مولتی‌کتس‌ها (ترافیک BUM) به تمامی درگاه‌های شبکه محلی مجازی ارسال می‌شوند. 

چرا باید از شبکه‌های محلی مجازی استفاده کنیم؟

شبکه‌های محلی مجازی می‌توانند عملکرد کلی شبکه‌های شلوغ و با ترافیک زیاد را بهبود بخشند، به شرطی که درست تنظیم شوند. شبکه‌های محلی مجازی می‌توانند دستگاه‌‌هایی که بیشترین میزان ارتباط با یکدیگر را دارند در یک گروه و در کنار یکدیگر قرار دهند. اگر تجهیزات و کامپیوترها در شبکه‌های فیزیکی مختلفی قرار داشته باشند، ترافیک بین تجهیزات باید از چند روتر اصلی عبور کند، اما اگر از یک شبکه محلی خصوصی استفاده شود ترافیک به شکل کارآمدی توسط سوئیچ‌ها مدیریت می‌شود. یکی دیگر از مزایای مهم شبکه‌های خصوصی مجازی بهبود امنیت شبکه است که اجازه می‌دهد روی سامانه‌هایی که قصد دسترسی به یکدیگر را دارند نظارت دقیقی اعمال شود. دقت کنید شبکه‌های بی‌سیم ویژه کاربران مهمان که توسط اکسس‌پوینت‌ها ایجاد می‌شوند قابلیت پشتیبانی از شبکه‌های خصوصی مجازی را دارند. 

چگونه یک شبکه محلی مجازی را باید پیکربندی کرد؟

به‌طور کلی مراحل راه‌اندازی یک شبکه محلی مجازی به شرح زیر است:

1. ‌ ابتدا باید یک شماره شناسایی قابل قبول برای شبکه محلی مجازی انتخاب شود.
2.  یک محدوده آدرس آی‌پی خصوصی برای تخصیص به دستگاه‌های موجود در شبکه محلی مجازی انتخاب شود.
3.  روی سوییچ تنظیمات مرتبط به شبکه محلی مجازی به شکل ایستا، پویا یا مبتنی بر پروتکل انجام شود. در پیکربندی ایستا باید تمامی پورت‌های موردنظر را در شبکه محلی مجازی قرار دهید، اما در پیکربندی پویا فهرست مک‌آدرس‌ها یا نام‌های کاربری مشخص می‌شود.
4.  تنظیمات مربوطه روی روتر انجام شود. اگر از دو یا چند شبکه محلی مجازی استفاده می‌شود باید از روترهایی با ویژگی پشتیبانی از شبکه محلی مجازی یا سوییچ‌های لایه 3 در شبکه استفاده کرد. 

برای درک بهتر یک شبکه‌ محلی مجازی اجازه دهید به‌طور اجمالی نگاهی به نحوه پیکربندی یک شبکه محلی مجازی مبتنی بر محصولات سیسکو داشته باشیم. به‌طور پیش‌فرض، تمامی درگاه‌های سوییچ در VLAN1 قرار دارند. برای اطمینان از این موضوع می‌توان فرمان Show vlan را در سیستم‌عامل سیسکو (IOS) و در وضعیت فعال سوییچ (enable mode) اجرا کرد. خروجی فرمان فوق در شکل 4 نشان داده شده است. 
‌در شکل 4 مشاهده می‌کنید که تمامی 24 درگاه سوییچ در شبکه محلی یکسان با نام VLAN1 قرار دارند. برای ساخت شبکه محلی مجازی و اختصاص درگاه‌های سوییچ به شبکه محلی مجازی باید دو کار زیر انجام شود:

1.  ساخت شبکه محلی مجازی با اجرای فرمان vlan NUMBER که شبکه محلی مجازی در وضعیت سراسری ایجاد می‌شود.
2.  تخصیص درگاه سوییچ به شبکه محلی مجازی که با استفاده از دو زیر فرمان رابط انجام می‌شود. 

فرمان اول switchport mode access است که نشان می‌دهد در حال ساخت یک رابط دسترسی هستیم. 
فرمان دوم switchport access vlan NUMBER است که رابط را به یک شبکه محلی مجازی اختصاص می‌دهد. در شکل 5 نحوه تخصیص VLAN 2 به رابط مورد نظر را مشاهده می‌کنید. 

اولین فرمان (vlan 2) باعث می‌شود تا VLAN 2 ساخته شود. با انجام این‌کار به‌طور خودکار به حالت زیررابط Fa0/1 وارد می‌شویم. رابطی که به عنوان یک رابط دسترسی متعلق به VLAN 2 پیکربندی شده است. برای بررسی این موضوع کافی است دو مرتبه از فرمان show vlan استفاده کنیم (شکل 6). 

پیکربندی درگاه‌های دسترسی و ترانک

برای این‌که رابطی به صورت رابط دسترسی پیکربندی شود، سیسکو فرمان switchport mode access را ارائه می‌کند. دقت کنید تخصیص این رابط تنها به یک شبکه محلی مجازی منفرد امکان‌پذیر است. برای آن‌که رابطی را به شکل رابط ترانک پیکربندی کنیم باید از فرمان switchport mode trunk
استفاده کنیم. این نوع رابط می‌تواند ترافیک چند شبکه محلی مجازی را انتقال دهد. شکل 7 عملکرد این رابط را نشان می‌دهد.

میزبان A و B در شبکه‌های محلی مجازی مختلف یعنی VLAN1 و VLAN2 قرار دارند. به همین دلیل درگاه‌ها باید به شکل پورت دسترسی پیکربندی شوند و در ادامه به شبکه محلی مجازی مربوطه تخصیص پیدا کنند. شکل 8 مجموعه فرامینی که برای این منظور باید اجرا شوند را نشان می‌دهد.

با توجه به این‌که لینک میان SW1 و SW2 باید ترافیک چند شبکه محلی مجازی را انتقال دهند به همین دلیل باید به صورت رابط ترانک پیکربندی شوند. برای این منظور باید فرمان‌های زیر روی هر دو لینک SW1 و SW2 اجرا شود. 

SW1 (config) # int fa0/3
SW1(config-if) @switchport mode trunk

در SW2 نیز فرمان‌های مشابه به شرح زیر اجرا می‌شوند:

SW2 (config) #int fa0/1
SW2(config-if) @switchport mode trunk

‌اکنون لینک میان SW1 و SW2 می‌تواند ترافیک را از هر دو VLAN1 و VLAN2 انتقال دهد. برای بررسی این موضوع که آیا رابط SW1 از نوع  ترانک است یا خیر باید از فرمان show interface Fa0/3 switchport در SW1 استفاده کنید (شکل 9). 

دقت کنید ضرورتی به ایجاد VLAN1 وجود ندارد، زیرا این شبکه محلی مجازی به‌طور پیش‌فرض وجود دارد. همچنین در حالت پیش‌فرض تمامی پورت‌ها در VLAN1 قرار دارند، بنابراین Fa0/1 نیازی به فرمان
switchport access vlan 1 ندارد. 

برچسب‌گذاری فریم

برای شناسایی شبکه محلی مجازی که یک بسته به آن تعلق دارد، سوییچ‌ها از تکنیک برچسب‌زنی برای اختصاص یک مقدار عددی به هر فریم در شبکه‌ای مبتنی بر چند شبکه محلی مجازی استفاده می‌کنند. رویکرد فوق این اطمینان خاطر را می‌دهد که سوییچ‌ها می‌دانند کدامیک از درگاه‌ها فریم‌ها را ارسال می‌کنند. برای روشن شدن بهتر موضوع به توپولوژی نشان داده شده در شکل 10 دقت کنید.

در شکل 10  دو شبکه محلی مجازی به‌نام‌های VLAN 3 و VLAN 4 وجود دارند. میزبان A یک بسته داده‌ای برای سوییچ SW1 ارسال می‌کند. سوئیچ SW1 بسته را دریافت می‌کند، بسته را با VLAN ID 3 برچسب‌گذاری می‌کند و آن‌را به SW2 می‌فرستد. SW2 بسته را دریافت کرده و به شناسه شبکه محلی مجازی نگاه می‌کند و سپس بسته را برای درگاه Fa0 / 1 ارسال می‌کند، زیرا فقط آن درگاه در VLAN 3 قرار دارد. به عبارت دقیق‌تر، میزبان B و میزبان C بسته را دریافت نمی‌کنند، زیرا در شبکه‌ محلی مجازی متفاوت از میزبان A قرار دارند.