راد و کامپیوترهای درون یک مجموعه کاربران مجاز برای استفاده از شبکه شما به حساب می آیند. تصور کنید، در سطح لایه2 شبکه ، در یک شبکه داخلی هر یک از کاربران شبکه با یک نرم افزار Sniffer براحتی می توانند تمامی ترافیک مبادله شده بین دستگاه های شبکه را رهگیری و به ثبت جریان اطلاعات بپردازند. این کار می تواند اطلاعات حساس سازمانی شما را در اختیار کاربرانی قرار دهد که نباید به تمامی اطلاعات دسترسی داشته باشند.
یکی از بهترین راه کارها برای جلوگیری از این مسئله بخش بندی کردن شبکه به بخش های مجزا است، بطوری که هر بخش فقط به ترافیک دامنه فعالیت خود دسترسی داشته باشد. به این کار در اصطلاح VLANing شبکه گویند.
Virtual Local Area Network یا شبکه های مجازی محلی قابلیتی است که بوسیله آن شما می توانید یک شبکه LAN بزرگ را بدون تغییر در قسمت فیزیکی به بخش های کوچکتر و کاملا محدود تقسیم کنید. این کار علاوه بر کنترل دسترسی کاربران به بخش های مختلف ، ترافیک ناخواسته شبکه شما را نیز به مقدار زیادی کاهش دهد. VLAN در واقع دامنه انتشار ترافیک شبکه (Broadcast Domain) را کوچک می کند.
بخش دوم – VLANing & VTP
برای اینکه تصویر ذهنی بهتری از نحوه پیاده سازی VLANing در یک شبکه داشته باشید ، کلیه آموزش های این بخش را بر روی سناریوی یک شرکت فرضی که دیاگرام آن را در زیر می بینید اجرا می کنیم.
VLAN-Example
همانطور که مشاهده می کنید در این سناریو 9 کلاینت در مجموعه های قرار دارند که بوسیله 3 سوئیچ سیسکو با یکدیگر در ارتباطند.
در ابتدا باید بررسی کنید شبکه شما از چند مجموعه تشکیل شده و دامنه فعالیت هر کلاینت آن کجاست. اولین گام برای پیاده سازی VLAN تعیین و نام گذاری هر مجموعه است. در این مثال 3 مجموعه شامل بخش مدیریت، مهندسی و حسابداری وجود دارد که به شکل زیر برای هر بخش یک VLAN در نظر می گیریم.
VLAN-Example2
همانطور که مشاهده می کنید ممکن است کلاینت های یک مجموعه همیشه در کنار هم نباشند. مثلا در تصویر بالا می بینید که سیستم مدیر حسابداری در اتاق مدیران قرار دارد، ولی بر اساس نیاز ما باید در VLAN حسابداران قرار بگیرد تا به داده های آن بخش دسترسی داشته باشد.
برای شروع به سراغ سوئیچ Main می رویم که تقریبا مرکز این شبکه می باشد و سوئیچ های دیگر شبکه به آن متصل می باشند.
مجموعه دستورات زیر برای ایحاد VLAN ها و تعاریف مورد نیاز بر روی سوئیچ Main می باشد:
1. Switch> enable
2. Switch# configure terminal
3. Switch(config)# hostname MainSwitch
4. MainSwitch (config)# vlan 10
5. MainSwitch (config -vlan)# name Manager
6. MainSwitch (config -vlan)# exit
7. MainSwitch (config)# vlan 20
8. MainSwitch (config -vlan)# name Accounting
9. MainSwitch (config -vlan)# exit
10. MainSwitch (config)# vlan 30
11. MainSwitch (config -vlan)# name Enginners
12. MainSwitch (config -vlan)# exit
13. MainSwitch (config)# interface range fastEthernet 0/1 – 3
14. MainSwitch (config -if-range)# switchport mode access
15. MainSwitch (config -if-range)# switchport access vlan 30
16. MainSwitch (config -if-range)# exit
17. MainSwitch (config)# interface range gigabitEthernet 1/1 – 2
18. MainSwitch (config -if-range)# switchport mode trunk
19. MainSwitch (config -if-range)# exit
20. MainSwitch (config)# exit
21. MainSwitch# write
سوئیچ Main از یک طرف به صورت مستقیم با سیستم های مجموعه مهندسین و از طرف دیگر به دو سوئیچ متصل است، به همین جهت درگاه های گیگابیت 1 و 2 سوئیچ را در حالت trunk قرار می دهیم.
دقت کنید در VLaning اگر شبکه شما بیش از یک سوئیچ داشته باشد باید VLan ها در همه سوئیچ ها تعریف شوند. از طرفی اگر شما یک شبکه بزرگ با تعداد زیادی کلاینت و سوئیچ های شبکه باشد، فرایند تعریف VLan ها در همه سوئیچ ها می تواند بسیار زمان بر و خسته کننده شود.
برای حل این معضل سیسکو پروتکلی به نام VTP را ابداع کرد. با فعال سازی و تعریف این پروتکل VLan ها بصورت خودکار در شبکه به تمام سوئیچ هایی که تنظیمات VTP مورد نیاز جهت دریافت VLan در آنها انجام شده باشد ارسال خواهد شد. سوئیچ های یک شبکه در تعاریف VTP می توانند در سه وضعیت client ، server و یا transparent قرار گیرند.
سوئیچی که حالت VTP آن در وضعیت server باشد هم قابلیت تغییر در VLan ها را دارا می باشد و هم ارسال کننده و دریافت کننده تنضیمات VLan می باشد. در حالت client سوئیچ قابلیت ارسال و دریافت به سوئیچ های دیگر را دارا می باشد اما خود قابلیت دخل و تصرف در VLan ها را ندارد.
سوئیچ transparent به نوعی یک واحد خود مختار است، به این معنی که VLan های سوئیچ های دیگر را از خود عبور داده و در شبکه منتشر می کند ولی تنظیمات خود را تغییر نمی دهد. این سوئیچ همچنین قابلیت ویرایش VLan های خود را به صورت مجزا از شبکه دارا می باشد.
در سناریو شبکه این مقاله ، سوئیچ Main را در حالت server و دو سوئیچ دیگر را در حالت client قرار می دهیم.
نکته 1 : سوئیچ های سیسکو بصورت پیش فرض در وضعیت server می باشند.
مجموعه دستورات زیر تعاریف مورد نیاز VTP بر روی سوئیچ Main می باشد:
22. MainSwitch > enable
23. MainSwitch # configure terminal
24. MainSwitch(config)# vtp mode server
25. MainSwitch(config)# vtp version 2
26. MainSwitch(config)# vtp domain mynetwork.com
27. MainSwitch(config)# vtp password mypass
28. MainSwitch(config)# exit
29. MainSwitch# write
در دستورات بالا ، خط 24 برای این سوئیچ اختیاری می باشد ، به دلیل اینکه سوئیچ بصورت پیش فرض در وضعیت server قرار گرفته است، ولی برای اطمینان بیشتر وارد کردن آن ضرری ندارد.
VTP دارای دو نسخه (1و 2) می باشد، انتخاب آن بسته به نیاز و نوع سوئیچ های شما در شبکه می باشد. بهتر است همیشه از بالاترین نسخه استفاده کنید، اما در بعضی سوئیچ های قدیمی ممکن است پشتیبانی نشود.
نکته 2 : mynetwork.com و mypass برای این سناریو می باشند و شما می توانید هر نام و رمز عبوری که خود می خواهید به دلخواه و نیاز شبکه خود انتخاب نمایید، فقط دقت کنید این تعاریف در تمام بخش های شبکه باید یکسان باشد.
بعد از تعریف VLan ها و تنظیم VTP در سوئیچ Main حال فقط کافیست در سوئیچ های مجموعه حسابداری و مدیریت سرویس VTP را تنظیم کنیم تا تعاریف مربوط به VLan ها بصورت خودکار به این سوئیچ ها نیز منتقل شود.
مجموعه دستورات زیر تعاریف مورد نیاز VTP بر روی سوئیچ های Accounting و Manager می باشد:
30. Manager> enable
31. Manager# configure terminal
32. Manager(config)# vtp version 2
33. Manager(config)# vtp mode client
34. Manager(config)# vtp domain mynetwork.com
35. Manager(config)# vtp password mypass
36. Manager(config)# exit
37. Manager# write
38. AccSwitch>enable
39. AccSwitch# configure terminal
40. AccSwitch(config)#vtp version 2
41. AccSwitch(config)#vtp mode client
42. AccSwitch(config)#vtp domain mynetwork.com
43. AccSwitch(config)#vtp password mypass
44. AccSwitch(config)#exit
45. AccSwitch# write
بعد از تنظیم VTP بر روی سوئیچ ها با وارد کردن دستور show vlan می توانید مشاهده کنید که تعاریف VLan به صورت خودکار به این سوئیچ ها منتقل شده است:
46. AccSwitch# show vlan
VLAN Name Status Ports
---- ---------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig1/2
10 Manager active
20 Accounting active
30 Enginners active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
--More--
همانطور که می بینید VLan های 10 و 20 و 30 به صورت خودکار به این سوئیچ منتقل شده اند.
بعد از تعریف VLan ها تنها کار باقی مانده عضو کردن هر درگاه به VLan مربوط به خود است.
مجموعه دستورات زیر تعاریف مورد نیاز بر روی سوئیچ های Accounting و Manager می باشد:
47. AccSwitch>enable
48. AccSwitch# configure terminal
49. AccSwitch(config)# interface range fastEthernet 0/1 - 3
50. AccSwitch(config-if-range)# switchport mode access
51. AccSwitch(config-if-range)# switchport access vlan 20
52. AccSwitch(config-if-range)# exit
53. AccSwitch(config)# interface gigabitEthernet 1/1
54. AccSwitch(config-if)# switchport mode trunk
55. AccSwitch(config-if)# end
56. AccSwitch# write
Manager> enable
58. Manager# configure terminal
59. Manager(config)# interface range fastEthernet 0/1 - 2
60. Manager(config-if-range)# switchport mode access
61. Manager(config-if-range)# switchport access vlan 10
62. Manager(config-if-range)# exit
63. Manager(config)# interface range fastEthernet 0/3
64. Manager(config-if)# switchport mode access
65. Manager(config-if)# switchport access vlan 20
66. Manager(config-if)# exit
67. Manager(config)# interface gigabitEthernet 1/1
68. Manager(config-if)# switchport mode trunk
69. Manager(config-if)# end
70. Manager# write
71. Manager# show vlan
VLAN Name Status Ports
---- --------------------------- --------- -------------------------------
1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7
Fa0/8, Fa0/9, Fa0/10, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig1/2
10 Manager active Fa0/1, Fa0/2
20 Accounting active Fa0/3
30 Enginners active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
--More--
72. Manager# show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 255
Number of existing VLANs : 8
VTP Operating Mode : Client
VTP Domain Name : mynetwork.com
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xA6 0x9C 0xEF 0x9A 0xF1 0x29 0xBC 0x5A
Configuration last modified by 0.0.0.0 at 3-1-93 00:45:51