مقدمه
VLAN یکی از مهمترین فناوریهای مورد استفاده در شبکههای امروزی است، اما همه VLANها کاربرد یکسانی ندارند. در شبکههای سازمانی، دیتاسنترها و زیرساختهای VoIP از انواع مختلف VLAN برای مدیریت بهتر کاربران، تجهیزات و سرویسها استفاده میشود.
هر نوع VLAN برای هدف مشخصی طراحی شده است؛ برخی برای انتقال ترافیک کاربران، برخی برای مدیریت تجهیزات شبکه و برخی دیگر برای افزایش امنیت مورد استفاده قرار میگیرند. در این مقاله با انواع VLAN و کاربرد هر یک آشنا خواهیم شد.
انواع VLAN در شبکه
VLANها تنها برای جداسازی کاربران استفاده نمیشوند. در شبکههای حرفهای، انواع مختلفی از VLAN وجود دارد که هرکدام برای هدف خاصی طراحی شدهاند.
آشنایی با این دستهبندیها به شما کمک میکند ساختار شبکهای استانداردتر، امنتر و قابل مدیریتتر طراحی کنید.
Default VLAN
تمام سوئیچهای مدیریتی بهصورت پیشفرض دارای VLAN 1 هستند که با عنوان Default VLAN شناخته میشود.
زمانی که یک سوئیچ برای نخستین بار راهاندازی میشود، تمامی پورتها به VLAN 1 تعلق دارند. بسیاری از پروتکلهای مدیریتی نیز بهصورت پیشفرض از این VLAN استفاده میکنند.
ویژگیهای Default VLAN:
- تمامی پورتها در ابتدا عضو VLAN 1 هستند.
- حذف VLAN 1 امکانپذیر نیست.
- بسیاری از سرویسهای مدیریتی بهصورت پیشفرض از آن استفاده میکنند.
- در تجهیزات Cisco برخی پروتکلها مانند CDP و STP به VLAN 1 وابسته هستند.
نکته امنیتی : یکی از توصیههای رایج در طراحی شبکه این است که کاربران نهایی در VLAN 1 قرار نگیرند. بسیاری از مدیران شبکه برای افزایش امنیت، VLAN 1 را تنها برای سرویسهای داخلی نگه میدارند و کاربران را به VLANهای اختصاصی منتقل میکنند.
Data VLAN
Data VLAN رایجترین نوع VLAN در شبکههای سازمانی است و برای انتقال ترافیک روزمره کاربران مورد استفاده قرار میگیرد.
تمام فعالیتهایی مانند دسترسی به فایلسرورها، استفاده از نرمافزارهای سازمانی، ارسال ایمیل یا دسترسی به اینترنت معمولاً در Data VLAN انجام میشود.
برای مثال:
- VLAN 10 برای واحد مالی
- VLAN 20 برای منابع انسانی
- VLAN 30 برای واحد فروش
این ساختار علاوه بر افزایش امنیت، مدیریت کاربران را نیز سادهتر میکند. در صورت بروز مشکل یا نیاز به اعمال سیاستهای خاص، مدیر شبکه میتواند هر واحد را بهصورت مستقل مدیریت کند.
Voice VLAN
با گسترش استفاده از تلفنهای IP، مدیریت صحیح ترافیک صوتی اهمیت زیادی پیدا کرده است.
برخلاف ترافیک عادی داده، تماسهای صوتی نسبت به تأخیر، Jitter و Packet Loss بسیار حساس هستند. حتی مقدار کمی تأخیر میتواند کیفیت مکالمه را تحت تأثیر قرار دهد.
Voice VLAN برای جداسازی ترافیک صوتی از سایر ترافیکهای شبکه طراحی شده است. این کار به تجهیزات شبکه اجازه میدهد اولویت بیشتری برای بستههای صوتی در نظر بگیرند.
برای مثال، در یک مرکز تماس که دهها اپراتور بهصورت همزمان در حال پاسخگویی هستند، استفاده از Voice VLAN در کنار QoS میتواند کیفیت تماسها را به شکل محسوسی بهبود دهد.
مزایای اصلی Voice VLAN عبارتاند از:
- کاهش تأخیر در تماسها
- کاهش Packet Loss
- بهبود کیفیت مکالمات
- افزایش پایداری سرویسهای VoIP
Management VLAN
مدیریت تجهیزات شبکه یکی از بخشهای حساس هر زیرساخت است. به همین دلیل در بسیاری از شبکههای حرفهای، دسترسی مدیریتی تجهیزات از کاربران عادی جدا میشود.
Management VLAN برای همین منظور ایجاد شده است.
از این VLAN معمولاً برای دسترسی به تجهیزات از طریق سرویسهایی مانند SSH، SNMP، Syslog، Web Management و سایر ابزارهای مدیریتی استفاده میشود.
یکی از اشتباهات رایج در شبکههای کوچک این است که IP مدیریتی سوئیچها روی VLAN پیشفرض باقی میماند. در حالی که در شبکههای حرفهای معمولاً یک VLAN اختصاصی برای مدیریت تجهیزات در نظر گرفته میشود.
این کار باعث افزایش امنیت و کنترل بهتر دسترسیها خواهد شد.
Native VLAN
در شبکههایی که از لینکهای Trunk استفاده میکنند، مفهومی به نام Native VLAN وجود دارد. برای درک بهتر این موضوع ابتدا باید بدانیم که در لینکهای Trunk معمولاً فریمهای Ethernet با استفاده از استاندارد IEEE 802.1Q برچسبگذاری (Tagging) میشوند تا سوئیچ مقصد بتواند VLAN مربوطه را تشخیص دهد.
با این حال، برخی فریمها ممکن است بدون Tag ارسال شوند. در چنین شرایطی، سوئیچ این فریمها را متعلق به Native VLAN در نظر میگیرد.
در بسیاری از تجهیزات شبکه، VLAN 1 بهصورت پیشفرض به عنوان Native VLAN تنظیم شده است. با این حال، در شبکههای سازمانی حرفهای توصیه میشود از یک VLAN بلااستفاده بهعنوان Native VLAN استفاده شود و VLAN 1 از این نقش خارج شود.
این کار یکی از Best Practiceهای رایج برای کاهش ریسک برخی حملات مرتبط با VLAN محسوب میشود.
Private VLAN (PVLAN)
در برخی محیطها، تنها جداسازی کاربران در VLANهای مختلف کافی نیست. گاهی لازم است حتی دستگاههایی که در یک VLAN قرار دارند نیز نتوانند مستقیماً با یکدیگر ارتباط برقرار کنند.
برای حل این مسئله از Private VLAN یا PVLAN استفاده میشود.
Private VLAN امکان تقسیمبندی بیشتر در داخل یک VLAN را فراهم میکند. در این ساختار، کلاینتها میتوانند به Gateway یا سرورهای مشخص دسترسی داشته باشند اما امکان ارتباط مستقیم با سایر کلاینتهای همان VLAN را نخواهند داشت.
این قابلیت بهویژه در محیطهایی که تعداد زیادی کاربر ناشناس یا مستقل از یکدیگر وجود دارد بسیار کاربردی است.
موارد استفاده رایج Private VLAN عبارتاند از:
- دیتاسنترها
- شرکتهای ارائهدهنده خدمات میزبانی
- شبکههای مهمان (Guest Network)
- خوابگاهها و مراکز آموزشی
- محیطهای چندمستاجری (Multi-Tenant)
به عنوان مثال، در یک دیتاسنتر ممکن است دهها سرور متعلق به مشتریان مختلف در یک VLAN قرار داشته باشند. Private VLAN از برقراری ارتباط مستقیم بین این سرورها جلوگیری کرده و سطح امنیت را افزایش میدهد.
Trunk VLAN
در شبکههای سازمانی معمولاً بیش از یک VLAN وجود دارد و لازم است این VLANها بین چندین سوئیچ منتقل شوند.
در چنین شرایطی از لینک Trunk استفاده میشود.
Trunk در واقع یک ارتباط ویژه بین تجهیزات شبکه است که میتواند ترافیک چندین VLAN مختلف را بهصورت همزمان منتقل کند.
زمانی که یک فریم از طریق لینک Trunk ارسال میشود، شناسه VLAN به آن اضافه میشود تا تجهیزات مقصد بتوانند تشخیص دهند فریم به کدام VLAN تعلق دارد.
از Trunk معمولاً در سناریوهای زیر استفاده میشود:
- ارتباط بین دو سوئیچ
- ارتباط بین سوئیچ و روتر
- ارتباط بین سوئیچ و فایروال
- اتصال به Hypervisorها و سرورهای مجازیسازی
امروزه تقریباً تمام شبکههای مبتنی بر VLAN به نوعی از Trunk برای انتقال ترافیک بین تجهیزات استفاده میکنند.
جمعبندی
انواع VLAN به مدیران شبکه کمک میکنند تا کاربران، تجهیزات و سرویسهای مختلف را به شکل منطقی از یکدیگر جدا کنند. استفاده صحیح از Data VLAN، Voice VLAN، Management VLAN و سایر انواع VLAN میتواند امنیت شبکه را افزایش داده، مدیریت زیرساخت را سادهتر کند و عملکرد کلی شبکه را بهبود ببخشد.
انتخاب نوع مناسب VLAN به ساختار شبکه، نیازهای سازمان و سطح امنیت مورد انتظار بستگی دارد. به همین دلیل آشنایی با انواع VLAN یکی از مهارتهای پایه و ضروری برای هر کارشناس شبکه محسوب میشود.
