09906161736
Icon-facebook Twitter Icon-vimeo Icon-linkedin
شرکت پشتیبانی شبکه
مشاوره رایگان

آموزش پیکربندی VLAN در سوئیچ سیسکو

جدول محتوا

شرکت امنیت شبکه

پیکربندی VLAN در سوئیچ سیسکو

 

تصور کنید یک شرکت بزرگ دارید که بخش‌های مختلف آن (مالی، مهندسی، مهمان) همگی در یک فضای باز کار می‌کنند. هر صحبت (ترافیک داده) توسط همه شنیده می‌شود. در یک شبکه، این (شنیدن) همان Broadcast Traffic است. هرچه این حوزه Broadcast بزرگ‌تر باشد، شبکه کندتر، ناامن‌تر و مدیریت آن دشوارتر است.

تفاوت سوئیچ های Nexus و Catalyst

VLAN در سوئیچ‌های سیسکو (شبکه محلی مجازی) 

تکنیکی است که این فضای باز را به اتاق‌های مجازی جداگانه تبدیل می‌کند و مرزهای منطقی برای ترافیک ایجاد می‌کند. Trunking (تنه) نیز شاهراهی است که این اتاق‌های جداگانه را قادر می‌سازد تا از طریق یک مسیر فیزیکی واحد، با هم در ارتباط باشند.

در سوئیچ‌های سیسکو، تسلط بر پیکربندی VLAN و Trunking نه یک مزیت، بلکه یک ضرورت برای هر متخصص شبکه است. این راهنما به صورت جامع، از تعریف ساده تا نکات پیشرفته امنیتی، شما را در این مسیر همراهی می‌کند.

در این مقاله، ما به طور کامل به VLAN سوئیچ Cisco می‌پردازیم و نحوه ایجاد یک شبکه منطقی امن و کارآمد را آموزش می‌دهیم. همچنین، بخش حیاتی اتصال سوئیچ‌ها به یکدیگر، یعنی کانفیگ Trunk، به صورت گام به گام مورد بررسی قرار خواهد گرفت. تسلط بر این دو مفهوم، برای هر متخصص شبکه که با تجهیزات سیسکو کار می‌کند، ضروری است.

بخش اول:

 

 VLAN سوئیچ Cisco: مبانی و نحوه ایجاد

VLAN یک راهکار لایه ۲ است که یک یا چند پورت سوئیچ را به یک گروه منطقی اختصاص می‌دهد. دستگاه‌هایی که به یک VLAN متصل هستند، حتی اگر به سوئیچ‌های مختلفی وصل باشند، مانند این است که به یک هاب یا سوئیچ فیزیکی واحد متصل هستند.

تفکیک Broadcast Domain:

مهم‌ترین کار VLAN، کوچک کردن حوزه Broadcast است. هر VLAN یک حوزه Broadcast مجزا ایجاد می‌کند. به این ترتیب، ترافیک Broadcast بخش مالی هرگز به بخش مهندسی نمی‌رسد، که این خود به طور چشمگیری کارایی و امنیت شبکه را بهبود می‌بخشد.

انواع VLAN در شبکه‌های سیسکو

Data VLAN:

این VLANها برای حمل ترافیک داده کاربران نهایی (مانند کامپیوترها، لپ‌تاپ‌ها) استفاده می‌شوند.
Voice VLAN: این VLANهای اختصاصی برای حمل ترافیک تلفن‌های IP (VoIP). این VLANها معمولاً دارای اولویت‌بندی QoS (Quality of Service) بالاتری هستند تا کیفیت مکالمات تضمین شود.

Management VLAN:

یک VLAN مجزا که آدرس‌های IP مدیریتی سوئیچ‌ها، فایروال‌ها و روترها در آن قرار می‌گیرند (مثلاً VLAN 99). استفاده از VLAN مدیریتی، دسترسی به تجهیزات زیرساخت را امن‌تر می‌کند.

Native VLAN:

یک VLAN پیش‌فرضی که ترافیک آن از طریق لینک‌های Trunk به‌صورت بدون برچسب (Untagged) عبور می‌کند.

پیکربندی VLAN در سوئیچ سیسکو (Access Port)

 

یک پورت در حالت Access (دسترسی) فقط می‌تواند ترافیک مربوط به یک VLAN را حمل کند و به دستگاه کاربر نهایی متصل می‌شود.

دستورات ایجاد VLAN

 

1.برای راه‌اندازی VLAN سوئیچ Cisco، از محیط Command Line Interface (CLI) استفاده می‌کنیم

 

2.اختصاص پورت:

پس از تعریف VLAN سوئیچ Cisco، باید پورت‌های مورد نظر را به آن اختصاص دهیم. هر دستگاه End-User (مثل کامپیوتر) به پورتی وصل می‌شود که در حالت Access قرار دارد.

بخش دوم:

 

کانفیگ Trunk در سوئیچ‌های Cisco

برای اینکه ترافیک چندین VLAN بتواند از یک لینک مشترک عبور کند

(مثلاً کابلی که دو سوئیچ را به هم وصل می‌کند) عبور کند، باید آن پورت در حالت Trunk تنظیم شود. کانفیگ Trunk از پروتکل IEEE 802.1Q برای Tagging (برچسب‌گذاری) فریم‌های هر VLAN استفاده می‌کند.

نقش پروتکل IEEE 802.1Q (Tagging)

 

هنگامی که چندین VLAN از یک کابل عبور می‌کنند،

سوئیچ مقصد چگونه متوجه می‌شود که هر بسته متعلق به کدام VLAN است؟

این کار توسط پروتکل استاندارد IEEE 802.1Q انجام می‌شود. هر فریمی که از طریق Trunk عبور می‌کند، یک برچسب (Tag) چهار بایتی به آن اضافه می‌شود که شامل یک فیلد VLAN ID است. این برچسب، هویت VLAN فریم را مشخص می‌کند. سوئیچ مقصد پس از خواندن VLAN ID، برچسب را حذف کرده و فریم را به مقصد نهایی می‌فرستد.

Native VLAN و امنیت آن

 

Native VLAN تنها VLANی است که ترافیک آن از طریق Trunk به‌صورت بدون برچسب (Untagged) عبور می‌کند.

اهمیت امنیتی: همیشه توصیه می‌شود Native VLAN را از مقدار پیش‌فرض آن یعنی VLAN 1 تغییر دهید (مثلاً به VLAN 999). اگر Native VLAN روی هر دو سر Trunk یکسان نباشد، ممکن است مشکلات اتصال پیش بیاید یا پورت Block شود. این تنظیمات نقش حیاتی در جلوگیری از حملات VLAN Hopping دارد.
پیکربندی Trunking در سوئیچ سیسکو
برای ایجاد یک لینک Trunk، پورت مورد نظر (معمولاً GigabitEthernet) باید صریحاً به حالت Trunk تبدیل شود.

دستورات گام به گام برای پیکربندی Trunk (مثال: پورت G0/1):

 

بخش سوم:

 

امنیت و نکات پیشرفته در VLAN/Trunking

۱. مدیریت VLANهای مجاز (VLAN Pruning)

در شبکه‌های بزرگ، اگر یک Trunk ترافیک VLANی را حمل کند که در سوئیچ مقصد وجود ندارد، این کار پهنای باند را هدر می‌دهد. این عمل VLAN Pruning نامیده می‌شود و با دستور switchport trunk allowed vlan انجام می‌گیرد.

مزیت: با محدود کردن VLANهای مجاز، هم ترافیک غیرضروری کاهش می‌یابد و هم سطح امنیتی افزایش پیدا می‌کند، زیرا ترافیک VLANهای غیرمجاز نمی‌تواند به آن سوئیچ برسد.

۲. کنترل پروتکل DTP (Dynamic Trunking Protocol)

DTP یک پروتکل اختصاصی سیسکو است که سوئیچ‌ها از آن برای مذاکره و تصمیم‌گیری درباره حالت Access یا Trunk شدن پورت استفاده می‌کنند.

حالت‌های DTP: dynamic desirable (فعالانه درخواست Trunk شدن می‌دهد)، dynamic auto (در صورت درخواست Trunk می‌شود)، trunk (همیشه Trunk است) و access (همیشه Access است).
توصیه امنیتی: در پورت‌هایی که نباید Trunk شوند (پورت‌های Access کاربران)، همیشه حالت را به صراحت روی switchport mode access تنظیم کنید. در پورت‌های Trunk، همیشه از حالت صریح switchport mode trunk استفاده کنید تا از Trunk شدن ناخواسته توسط مهاجمان جلوگیری شود.

۳. امنیت Native VLAN و VLAN Hopping

حملات VLAN Hopping یکی از خطرناک‌ترین حملات لایه ۲ است. مهاجم با سوءاستفاده از Native VLAN یا DTP، خود را به Trunk متصل کرده و از آن برای دسترسی به VLANهای دیگر استفاده می‌کند.

اقدامات پیشگیرانه ضروری:

 

غیرفعال‌سازی DTP:

 

همیشه از حالت‌های صریح (trunk یا access) به جای حالت‌های dynamic استفاده کنید.تغییر Native VLAN: Native VLAN را از VLAN 1 به یک VLAN غیرقابل استفاده تغییر دهید.
غیرفعال‌سازی Native VLAN (در صورت امکان): Native VLAN را از لیست allowed vlan در Trunk حذف کنید (این کار فقط در سوئیچ‌های جدید سیسکو امکان‌پذیر است).

۴. VLANهای Voice و Auto-QoS

در شبکه‌های با تلفن IP، کیفیت صدا حیاتی است. Voice VLAN این امکان را فراهم می‌کند که تلفن IP و کامپیوتر متصل به آن، به دو VLAN مجزا متصل شوند:

پورت سوئیچ ترافیک تلفن را به Voice VLAN اختصاص داده و آن را با اولویت بالا (QoS) پردازش می‌کند.
ترافیک داده کامپیوتر به Data VLAN عادی می‌رود.

مثال پیکربندی Voice VLAN (پورت F0/2):

 

بخش چهارم:

 

دستورات تأیید و عیب‌یابی (Verification)

برای اطمینان از صحت پیکربندی، از دستورات show زیر استفاده کنید. عیب‌یابی در سیسکو ۹۰% وابسته به توانایی استفاده از این دستورات است:

 

دستور کاربرد
show vlan brief

 

نمایش لیست کامل VLANها و وضعیت Active بودن آن‌ها و همچنین پورت‌های اختصاص‌یافته. (مهم‌ترین دستور)show interfaces <interface_id> switchportنمایش جزئیات کامل یک پورت: حالت (Access/Trunk)، Native VLAN و VLAN اختصاص‌یافته.show interfaces trun
نمایش تمام لینک‌های فعال Trunk، پروتکل Tagging، Native VLAN فعلی و لیست VLANهایی که اجازه عبور دارند.

show cdp neighbors

در سوئیچ‌های متصل، سوئیچ همسایه را شناسایی می‌کند که در عیب‌یابی Trunk ضروری است.
جمع‌بندی نهایی: افزایش کارایی با تفکیک منطقی
پیاده‌سازی صحیح VLAN سوئیچ Cisco و تسلط بر کانفیگ Trunk، ستون فقرات طراحی شبکه‌های مدرن است. با استفاده از VLANها، می‌توانید شبکه خود را به طور مؤثری تقسیم‌بندی کرده و با استفاده از لینک‌های Trunk، امکان ارتباط امن و مدیریت‌شده بین این VLANها را در سراسر سازمان فراهم آورید. این دانش، شما را قادر می‌سازد تا شبکه‌هایی انعطاف‌پذیر، امن و با عملکرد بالا ایجاد و نگهداری کنید.

74 / 100
قدرت گرفته توسط Rank Math SEO
امتیاز سئو

لطفا به ما امتیاز دهید
0 / 5 0

امتیاز صفحه شما :

طراحی و توسعه سایت کیوان سیستم

مقالات آموزشی
خدمات پشتیبانی سرور
بهترین شرکت پشتیبانی شبکه در کرج