VLAN و Native VLAN چیست؟ بررسی مفهوم Trunking به زبان ساده
یک راه برای اینکه یک شبکه لوکال را معرفی کنیم این است که تمام دستگاه در یک LAN دارای یک شبکه ای IP یکسان هستند و همه آنها در لایه دو و در یک broadcast domain قرار دارند. یک (virtual LAN (VLAN یک نام دیگر برای broadcast domain لایه دو است. VLAN ها توسط سوئیچ کنترل می شوند. سوئیچ کنترل می کند که هر پورت به کدام VLAN مرتبط است. در تصویر زیر ، اگر سوئیچ ها با تنظیمات پیش فرض باشند تمامی پورت ها به VLAN 1 اختصاص داده می شوند که به این معناست کلیه دستگاه ها که شامل دو کاربر و روتر می شوند در یک broadcast domain یا VLAN قرار دارند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
زمانی که شما صدها کاربر داشته باشید شاید بخواهید این کاربران را در گروه های مجزا قرار داده و آنها را به Subnet و VLAN خاص اختصاص دهید. برای اینکار ، شما پورت های سوئیچ را به VLAN مورد نظر اختصاص می دهید و از این به بعد هر دستگاهی که به این پورت متصل شود عضو آن VLAN خواهد شد. در نتیجه این دستگاه می تواند با سایر دستگاه هایی که در این VLAN قرار دارند ارتباط برقرار کند.در تصویر بالا اگر بخواهیم دو کاربر را در VLAN جدید قرار دهیم باید روی سوئیچ ها VLAN جدید را ایجاد کنیم و سپس پورت را در حالت Access قرار داده سپس پورت را به VLAN مورد نظر اختصاص می دهیم. این کار در مثال زیر نمایش داده شده است.
- نکته : مشابه این تنظیمات را باید در سوئیچ SW2 با درنظر گرفتن شماره پورت متصل به کاربر انجام شود.
در هنگام داشتن دو کاربر در یک VLAN یکسان ، اما در سوئیچ های فیزیکی متفاوت باید ارتباط از نوع Trunk بین دو سوئیچ باشد. با تنظیم کردن دو پورت متصل به یکدیگر در دو سوئیچ در حالت ترانک امکان حمل اطلاعات اضافی محیا می شود این اطلاعات اضافه به عنوان tag شناخته می شود و شامل یک شماره شناسایی است که نشان می دهد فریم به کدام VLAN تعلق دارد. پروتکل 802.1Q یک پروتکل استاندارد برای این tag کردن است.
در تصویر بالا و با تنظیمات قبلی دو کاربر با اینکه در یک VLAN یکسان هستند نمی توانند با یکدیگر ارتباط برقرار کنند چون لینک ارتباطی بین دو سوئیچ به عنوان Trunk تنظیم نشده است. برای اینکار در ابتدا باید نوع کپسوله کردن را در حالت dot1q قرار دهیم سپس پورت را به عنوان Trunk فعال می کنیم.
نحوی جریان فریم ها به صورت مرحله به مرحله
یک فریم Broadcast که از PC1 ارسال شده است و به دست سوئیچ SW1 می رسد باید با tag VLAN 10 روی پورت Trunk ارسال شود سوئیچ SW2 با دریافت فریم و دیدن tag VLAN 10 متوجه می شود که باید آنرا روی پورت های اختصاص یافته به VLAN 10 ارسال کند در نتیجه با حذف tag آنرا روی پورت ها مورد نظر ارسال می کند در نتیجه فریم به دست PC2 می رسد. این دو قسمت یعنی access و trunk ، دو قسمت اصلی برای ساخت بلاک های مجزا در سوئچینگ لایه دو است.
Native VLAN در Trunk
براساس خروجی در آخرین مثال ، ما اینترفیس trunk بین دو سوئیچ را بررسی کردیم. یک گزینه که در این خروجی نمایش داده شده است native VLAN است. به صورت پیش فرض VLAN 1 به عنوان native VLAN است. این به چه معناست و چی اهمیتی دارد؟ اگر یک یوزر به یک پورت access که عضو VLAN 1 در سوئیچ SW1 متصل باشد و یوزر یک فریم broadcast ارسال کند زمانی که فریم توسط سوئیچ SW1 بخواهد به سمت سوئیچ SW2 ارسال شود چون این فریم مربوط به VLAN 1 است و VLAN 1 به عنوان native vlan است فریم بدون tag ارسال خواهد شد. در سمت مقابل سوئیچ SW2 در صورت دریافت یک فریم بودن tag متوجه می شود که این فریم متعلق به native VLAN یعنی VLAN 1 است.این ویژگی می تواند به عنوان یک معظل امنیتی باشد که به آن VLAN Hopping گفته می شود مهاجم می تواند از این ویژگی سواستفاده کند.
تعیین وضعیت پورت
یک پورت برای trunk شدن می تواند با سوئیچ مقابل یا دستگاهی که trunk را پشتبانی می کند به صورت خودکار مذاکره کند. این مذاکره تعیین می کند پورت در حالت access یا trunk باشد. این مذاکره به صورت خودکار می تواند یک ریسک باشد چون یک مهاجم می تواند با مذاکره پورت را در حالت trunk قرار دهد سپس می تواند به تمامی VLAN های موجود دسترسی پیدا کند.