شبكات VLAN موجودة في كل مكان. يمكنك العثور عليها في معظم المؤسسات بشبكة مهيأة بشكل صحيح. في حال لم يكن الأمر واضحًا ، فإن VLAN تعني "شبكة المنطقة المحلية الافتراضية" ، وهي موجودة في كل مكان في أي شبكة حديثة تتجاوز حجم شبكة منزلية صغيرة أو شبكة مكتب صغيرة جدًا.
هناك عدد قليل من البروتوكولات المختلفة ، كثير منها خاص بالمورد ، ولكن في جوهرها ، تقوم كل شبكة محلية ظاهرية (VLAN) بنفس الشيء إلى حد كبير وفوائد مقياس VLAN مع نمو شبكتك في الحجم والتعقيد التنظيمي.
تُعد هذه المزايا جزءًا كبيرًا من سبب الاعتماد الشديد على شبكات VLAN من قبل الشبكات المهنية من جميع الأحجام. في الواقع ، سيكون من الصعب إدارة أو توسيع نطاق الشبكات بدونها.
توضح فوائد وقابلية التوسع لشبكات VLAN سبب انتشارها في كل مكان في بيئات الشبكات الحديثة. سيكون من الصعب إدارة أو توسيع حتى الشبكات المعقدة إلى حد ما مع مستخدم شبكات VLAN.
ما هي شبكة VLAN؟
حسنًا ، أنت تعرف الاختصار ، ولكن ما هي شبكة VLAN بالضبط؟ يجب أن يكون المفهوم الأساسي مألوفًا لأي شخص عمل مع الخوادم الافتراضية أو استخدمها.
فكر للحظة في كيفية عمل الأجهزة الافتراضية. توجد عدة خوادم افتراضية داخل قطعة مادية واحدة من الأجهزة التي تقوم بتشغيل نظام تشغيل وبرنامج Hypervisor لإنشاء وتشغيل الخوادم الافتراضية على الخادم الفعلي الفردي. من خلال المحاكاة الافتراضية ، يمكنك تحويل جهاز كمبيوتر مادي واحد بشكل فعال إلى أجهزة كمبيوتر افتراضية متعددة ، يتوفر كل منها لمهام ومستخدمين منفصلين.
تعمل الشبكات المحلية الافتراضية بنفس الطريقة التي تعمل بها الخوادم الافتراضية. يقوم مفتاح واحد أو أكثر من المفاتيح المدارة بتشغيل البرنامج (على غرار برنامج hypervisor) الذي يسمح للمفاتيح بإنشاء محولات افتراضية متعددة داخل شبكة فعلية واحدة.
كل محول افتراضي هو شبكته المستقلة. يتمثل الاختلاف الرئيسي بين الخوادم الافتراضية والشبكات المحلية الافتراضية في أنه يمكن توزيع الشبكات المحلية الافتراضية عبر أجزاء مادية متعددة من الأجهزة باستخدام كبل معين يسمى الجذع.
كيف تعمل
تخيل أنك تدير شبكة لشركة صغيرة متنامية ، وتضيف موظفين ، وتنقسم إلى أقسام منفصلة ، وتصبح أكثر تعقيدًا وتنظيمًا.
للاستجابة لهذه التغييرات ، قمت بالترقية إلى مفتاح 24 منفذًا لاستيعاب الأجهزة الجديدة على الشبكة.
قد تفكر فقط في تشغيل كبل إيثرنت لكل جهاز جديد واستدعاء المهمة ، ولكن المشكلة هي أن تخزين الملفات والخدمات التي يستخدمها كل قسم يجب أن تظل منفصلة. شبكات VLAN هي أفضل طريقة للقيام بذلك.
ضمن واجهة الويب الخاصة بالمحول ، يمكنك تكوين ثلاث شبكات محلية ظاهرية منفصلة ، واحدة لكل قسم. إن أبسط طريقة لتقسيمها هي أرقام المنافذ. يمكنك تعيين المنافذ 1-8 للقسم الأول ، وتعيين المنافذ 9-16 للقسم الثاني ، وأخيراً تعيين المنافذ 17-24 جرامًا للقسم الأخير. لقد قمت الآن بتنظيم شبكتك المادية في ثلاث شبكات افتراضية.
يمكن للبرنامج الموجود على المحول إدارة حركة المرور بين العملاء في كل شبكة محلية ظاهرية (VLAN). تعمل كل شبكة محلية ظاهرية (VLAN) كشبكة خاصة بها ولا يمكنها التفاعل مباشرة مع شبكات VLAN الأخرى. الآن ، كل قسم لديه شبكته الأصغر والأقل ازدحامًا والأكثر كفاءة ، ويمكنك إدارتها جميعًا من خلال نفس قطعة الأجهزة. هذه طريقة فعالة للغاية وفعالة من حيث التكلفة لإدارة الشبكة.
عندما تحتاج إلى أن تكون الأقسام قادرة على التفاعل ، يمكنك جعلها تفعل ذلك من خلال جهاز التوجيه على الشبكة. يمكن لجهاز التوجيه تنظيم حركة المرور والتحكم فيها بين شبكات VLAN وفرض قواعد أمان أقوى.
في كثير من الحالات ، ستحتاج الأقسام إلى العمل معًا والتفاعل. يمكنك تنفيذ الاتصال بين الشبكات الافتراضية من خلال جهاز التوجيه ، ووضع قواعد أمان لضمان الأمان والخصوصية المناسبين للشبكات الافتراضية الفردية.
VLAN مقابل الشبكة الفرعية
تعتبر شبكات VLAN والشبكات الفرعية متشابهة تمامًا وتؤدي وظائف مماثلة. تقسم كل من الشبكات الفرعية وشبكات VLAN الشبكات ومجالات البث. في كلتا الحالتين ، يمكن أن تحدث التفاعلات بين التقسيمات الفرعية فقط من خلال جهاز توجيه.
تأتي الاختلافات بينهما في شكل تنفيذها وكيفية تغيير بنية الشبكة.
الشبكة الفرعية لعنوان IP
توجد الشبكات الفرعية في الطبقة الثالثة من نموذج OSI ، طبقة الشبكة. الشبكات الفرعية هي بناء على مستوى الشبكة ويتم التعامل معها بواسطة أجهزة التوجيه ، وتنظيمها حول عناوين IP.
تقوم أجهزة التوجيه باقتطاع نطاقات من عناوين IP والتفاوض على الاتصالات فيما بينها. هذا يضع كل ضغوط إدارة الشبكة على جهاز التوجيه. يمكن أن تصبح الشبكات الفرعية أيضًا معقدة نظرًا لتزايد حجم الشبكة وتعقيدها.
VLAN
تجد شبكات VLAN موطنها في الطبقة 2 من نموذج OSI. مستوى ارتباط البيانات أقرب إلى الأجهزة وأقل تجريدًا. تحاكي الشبكات المحلية الظاهرية الأجهزة التي تعمل كمفاتيح فردية.
ومع ذلك ، فإن الشبكات المحلية الافتراضية قادرة على تفكيك مجالات البث دون الحاجة إلى إعادة الاتصال بجهاز التوجيه ، مما يزيل بعض أعباء الإدارة عن جهاز التوجيه.
نظرًا لأن شبكات VLAN هي شبكات افتراضية خاصة بها ، يجب أن تتصرف إلى حد ما كما لو كان لديها جهاز توجيه مدمج. نتيجة لذلك ، تحتوي شبكات VLAN على شبكة فرعية واحدة على الأقل ، ويمكن أن تدعم شبكات فرعية متعددة.
توزع شبكات VLAN حمل الشبكة ، و. يمكن للمفاتيح المتعددة التعامل مع حركة المرور داخل شبكات VLAN دون إشراك جهاز التوجيه ، مما يجعل النظام أكثر كفاءة.
مزايا شبكات VLAN
حتى الآن ، لقد رأيت بالفعل بعض المزايا التي توفرها شبكات VLAN على الطاولة. فقط بحكم ما تفعله ، تمتلك شبكات VLAN عددًا من السمات القيمة.
تساعد شبكات VLAN في الأمان. يحد تجزئة حركة المرور من أي فرصة للوصول غير المصرح به إلى أجزاء من الشبكة. كما أنه يساعد في وقف انتشار البرامج الضارة ، إذا وجد أي منها طريقه إلى الشبكة. لا يمكن للمتطفلين المحتملين استخدام أدوات مثل Wireshark لاكتشاف الحزم في أي مكان خارج الشبكة المحلية الافتراضية التي يستخدمونها ، مما يحد من هذا التهديد أيضًا.
كفاءة الشبكة مشكلة كبيرة. يمكن أن يوفر أو يكلف شركة آلاف الدولارات لتنفيذ شبكات VLAN. يؤدي تفكيك مجالات البث إلى زيادة كفاءة الشبكة بشكل كبير عن طريق الحد من عدد الأجهزة المشاركة في الاتصال في وقت واحد. تقلل VLAN من الحاجة إلى نشر أجهزة التوجيه لإدارة الشبكات.
غالبًا ما يختار مهندسو الشبكات إنشاء شبكات LAN افتراضية على أساس كل خدمة ، ويفصلون عن حركة المرور المهمة أو كثيفة الشبكة مثل شبكة منطقة التخزين (SAN) أو نقل الصوت عبر IP (VOIP). تسمح بعض المحولات أيضًا للمسؤول بإعطاء الأولوية لشبكات VLAN ، مما يمنح المزيد من الموارد لحركة المرور الأكثر تطلبًا والمفقودة.
سيكون من الرهيب أن تحتاج إلى بناء شبكة مادية مستقلة لفصل حركة المرور. تخيل التشابك المعقد للكابلات التي يتعين عليك محاربتها لإجراء التغييرات. هذا لا يعني شيئًا عن زيادة تكلفة الأجهزة وسحب الطاقة. سيكون أيضًا غير مرن إلى حد بعيد. تعمل شبكات VLAN على حل كل هذه المشكلات عن طريق جعل المحولات المتعددة افتراضية على قطعة واحدة من الأجهزة.
توفر شبكات VLAN درجة عالية من المرونة لمسؤولي الشبكة من خلال واجهة برنامج ملائمة. لنفترض أن قسمين يتبادلان المكاتب. هل يتعين على موظفي تكنولوجيا المعلومات التنقل بين الأجهزة لاستيعاب التغيير؟ لا. يمكنهم فقط إعادة تعيين المنافذ الموجودة على المحولات لشبكات VLAN الصحيحة. قد لا تتطلب بعض تكوينات VLAN ذلك. سوف يتكيفون ديناميكيًا. لا تتطلب شبكات VLAN هذه منافذ معينة. بدلاً من ذلك ، فهي تستند إلى عناوين MAC أو IP. وفي كلتا الحالتين ، لا يلزم تبديل المفاتيح أو الكابلات. يعد تنفيذ حل برمجي لتغيير موقع الشبكة أكثر كفاءة وفعالية من حيث التكلفة بدلاً من نقل الأجهزة المادية.
ثابت مقابل شبكات VLAN الديناميكية
هناك نوعان أساسيان من شبكات VLAN ، مصنفة حسب طريقة اتصال الأجهزة بها. لكل نوع نقاط قوة ونقاط ضعف يجب أخذها في الاعتبار بناءً على حالة الشبكة المعينة.
ثابت VLAN
غالبًا ما يُشار إلى شبكات VLAN الثابتة على أنها شبكات VLAN قائمة على المنافذ لأن الأجهزة تنضم عن طريق الاتصال بمنفذ معين. استخدم هذا الدليل فقط شبكات VLAN الثابتة كأمثلة حتى الآن.
عند إنشاء شبكة ذات شبكات محلية ظاهرية ثابتة ، يقوم المهندس بتقسيم المحول حسب منافذها وتعيين كل منفذ لشبكة محلية ظاهرية (VLAN). أي جهاز يتصل بهذا المنفذ الفعلي سينضم إلى شبكة VLAN هذه.
توفر شبكات VLAN الثابتة شبكات بسيطة جدًا وسهلة التكوين دون الاعتماد كثيرًا على البرامج. ومع ذلك ، من الصعب تقييد الوصول داخل موقع مادي لأن الفرد يمكنه ببساطة التوصيل. تتطلب شبكات VLAN الثابتة أيضًا مسؤول الشبكة لتغيير تعيينات المنفذ في حالة قيام شخص ما على الشبكة بتغيير المواقع الفعلية.
شبكة VLAN الديناميكية
تعتمد شبكات VLAN الديناميكية بشكل كبير على البرامج وتسمح بدرجة عالية من المرونة. يمكن للمسؤول تعيين عناوين MAC و IP لشبكات VLAN محددة ، مما يسمح بالحركة غير المرهقة في المساحة المادية. يمكن للآلات الموجودة في شبكة LAN افتراضية ديناميكية التحرك في أي مكان داخل الشبكة والبقاء على نفس شبكة VLAN.
على الرغم من أن شبكات VLAN الديناميكية لا تقبل المنافسة من حيث القدرة على التكيف ، إلا أن لها بعض العيوب الخطيرة. يجب أن يتولى المحول المتطور دور الخادم المعروف باسم خادم نهج إدارة VLAN (VMPS (لتخزين معلومات العنوان وتسليمها إلى المحولات الأخرى على الشبكة. يتطلب VMPS ، مثل أي خادم ، إدارة وصيانة منتظمة ويخضع لأوقات توقف محتملة.
يمكن للمهاجمين انتحال عناوين MAC والوصول إلى شبكات VLAN الديناميكية ، مما يضيف تحديًا أمنيًا محتملاً آخر.
إعداد شبكة محلية ظاهرية (VLAN)
ماذا تحتاج
هناك نوعان من العناصر الأساسية التي تحتاجها لإعداد شبكة محلية ظاهرية (VLAN) أو عدة شبكات محلية ظاهرية (VLAN). كما ذكرنا من قبل ، هناك عدد من المعايير المختلفة ، ولكن المعيار الأكثر عالمية هو IEEE 802.1Q. هذا هو الذي سيتبعه هذا المثال.
جهاز التوجيه
من الناحية الفنية ، لا تحتاج إلى جهاز توجيه لإعداد شبكة محلية ظاهرية ، ولكن إذا كنت تريد أن تتفاعل شبكات محلية ظاهرية متعددة ، فستحتاج إلى جهاز توجيه.
تدعم العديد من أجهزة التوجيه الحديثة وظائف VLAN بشكل أو بآخر. قد لا تدعم أجهزة التوجيه المنزلية VLAN أو تدعمها فقط بقدرة محدودة. البرامج الثابتة المخصصة مثل DD-WRT تدعمها بشكل أكثر شمولاً.
بالحديث عن العرف ، فأنت لست بحاجة إلى جهاز توجيه جاهز للعمل مع شبكات LAN الافتراضية الخاصة بك. عادةً ما تعتمد البرامج الثابتة لجهاز التوجيه المخصص على نظام تشغيل مشابه لـ Unix مثل Linux أو FreeBSD ، لذلك يمكنك إنشاء جهاز التوجيه الخاص بك باستخدام أحد أنظمة التشغيل مفتوحة المصدر.
تتوفر جميع وظائف التوجيه التي تحتاجها لنظام التشغيل Linux ، ويمكنك تكوين تثبيت Linux بشكل مخصص لتخصيص جهاز التوجيه الخاص بك لتلبية احتياجاتك الخاصة. للحصول على شيء أكثر اكتمالاً من حيث الميزات ، ابحث في pfSense. pfSense هو توزيع ممتاز لـ FreeBSD تم تصميمه ليكون حل توجيه قوي مفتوح المصدر. وهو يدعم شبكات VLAN ويتضمن جدار حماية لتأمين حركة المرور بشكل أفضل بين الشبكات الافتراضية الخاصة بك.
أيًا كان المسار الذي تختاره ، تأكد من أنه يدعم ميزات VLAN التي تحتاجها.
التبديل المُدار
تقع المحولات في قلب شبكات VLAN. هم حيث يحدث السحر. ومع ذلك ، فأنت بحاجة إلى مفتاح مُدار للاستفادة من وظائف VLAN.
لأخذ الأشياء إلى مستوى أعلى ، حرفيًا ، هناك محولات مُدارة من الطبقة الثالثة متاحة. هذه المحولات قادرة على التعامل مع بعض حركة مرور شبكة الطبقة الثالثة ويمكن أن تحل محل جهاز التوجيه في بعض المواقف.
من المهم أن تضع في اعتبارك أن هذه المفاتيح ليست أجهزة توجيه وأن وظائفها محدودة. تعمل محولات الطبقة الثالثة على تقليل احتمالية زمن انتقال الشبكة والذي قد يكون أمرًا بالغ الأهمية في بعض البيئات حيث يكون من الضروري وجود شبكة بزمن انتقال منخفض للغاية.
بطاقات واجهة شبكة العميل (NIC)
يجب أن تدعم بطاقات NIC التي تستخدمها على الأجهزة العميلة 802.1Q. هناك احتمالات ، كما يفعلون ، لكن هذا شيء يجب النظر فيه قبل المضي قدمًا.
التكوين الأساسي
هذا هو الجزء الصعب. هناك الآلاف من الاحتمالات المختلفة لكيفية تكوين شبكتك. لا يوجد دليل واحد يمكنه تغطية كل منهم. في جوهرها ، الأفكار الكامنة وراء أي تكوين تقريبًا هي نفسها ، وكذلك العملية العامة.
إعداد جهاز التوجيه
يمكنك البدء بطريقتين مختلفتين. يمكنك إما توصيل جهاز التوجيه بكل محول أو بكل شبكة محلية ظاهرية. إذا اخترت كل محول فقط ، فستحتاج إلى تكوين جهاز التوجيه للتمييز بين حركة المرور.
يمكنك بعد ذلك تكوين جهاز التوجيه الخاص بك للتعامل مع حركة المرور بين شبكات VLAN.
تكوين المفاتيح
بافتراض أن هذه شبكات VLAN ثابتة ، يمكنك إدخال أداة إدارة VLAN الخاصة بالمحول من خلال واجهة الويب الخاصة بها والبدء في تعيين المنافذ لشبكات VLAN مختلفة. تستخدم العديد من المفاتيح مخطط جدول يسمح لك بفحص خيارات المنافذ.
إذا كنت تستخدم محولات متعددة ، فقم بتعيين أحد المنافذ لجميع شبكات VLAN الخاصة بك وتعيينه كمنفذ قناة اتصال. افعل هذا على كل مفتاح. بعد ذلك ، استخدم هذه المنافذ للاتصال بين المحولات ونشر شبكات VLAN الخاصة بك عبر أجهزة متعددة.
ربط العملاء
أخيرًا ، يعد الحصول على عملاء على الشبكة أمرًا بديهيًا جدًا. قم بتوصيل أجهزة العميل الخاصة بك بالمنافذ المقابلة لشبكات VLAN التي تريدها.
VLAN في المنزل
على الرغم من أنه قد لا يُنظر إليه على أنه مزيج منطقي ، إلا أن شبكات VLAN لديها بالفعل تطبيق رائع في مساحة الشبكات المنزلية ، شبكات الضيف. إذا كنت لا ترغب في إعداد شبكة WPA2 Enterprise في منزلك وإنشاء بيانات اعتماد تسجيل الدخول لأصدقائك وعائلتك بشكل فردي ، فيمكنك استخدام شبكات VLAN لتقييد وصول ضيوفك إلى الملفات والخدمات الموجودة على شبكتك المنزلية.
تدعم العديد من أجهزة التوجيه المنزلية المتطورة والبرامج الثابتة المخصصة لجهاز التوجيه إنشاء شبكات محلية ظاهرية أساسية. يمكنك إعداد VLAN ضيف بمعلومات تسجيل الدخول الخاصة به للسماح لأصدقائك بتوصيل أجهزتهم المحمولة. إذا كان جهاز التوجيه الخاص بك يدعمها ، فإن VLAN الضيف هو طبقة أمان إضافية رائعة لمنع الكمبيوتر المحمول الخاص بصديقك المليء بالفيروسات من إفساد شبكتك النظيفة.
