Private VLAN Settings

مدیریت VLAN در سوئیچ های سیسکو Small Business مبحث بسیار پرکاربرد و با اهمیتی است که با توجه به حجیم شدن مطالب، در ۸ مقاله بدان ها پرداخته ایم. در این مقاله Private VLAN Settings  را شرح می دهیم. در فهرست زیر می توانید به سایر بخش ها دسترسی پیدا کنید:

در این مقاله سعی داریم مبحث Private-VLAN را برای شما شرح دهیم. موضوعی که در بعضی از مواقع از اهمیت فوق العاده ای برخوردار است.

چه زمان هایی نیاز به Private-VLAN یا PVLAN داریم؟

قصد داریم با یک مثال درک نیاز به PVLAN را شرح دهیم.

فرض کنید در لایه Access شبکه خود دارای سوئیچی هستید که تمام سرور ها به آن متصل می باشد. سرورهای مانند Domain Controller, WEB Server, FTP Server, SQL Server, Proxy Server و …

یک سوال: آیا تمام این سرور ها نیاز دارند با یکدیگر ارتباط داشته باشند؟!

جواب خیر است. زیرا بعضی از این سرور ها مستقل کار می کنند و وابستگی به دیگر سرور ها ندارند. ولی ممکن است بعضی از سرور ها نیاز به ارتباط به یکدیگر داشته باشند مثلا WEB Server با سرور SQL .

پس بهتر است سرورهایی که نیاز به ارتباط با یکدیگر را دارند در یک VLAN مشترک قرار دهیم و Broadcast Domain های سرورها را از هم جدا کنیم.

حال فرض کنید سوئیچی که متصل به سرورها است برای سرویس دادن به کلاینت‌های سازمان یا کلاینت‌های داخل ابر اینترنت با یک پورت متصل به روتر می‌باشد. این روتر قرار است Gateway سرورها برای Route کردن ترافیک آنها به کلاینت‌های داخل اینترنت و داخل سازمان شود.

نکته: معمولا پیشنهاد می‌شود که شبکه سرورها از شبکه کلاینت‌ها جدا باشد. این جدا بودن هم از نظر لایه دو-ای (با انجام VLANing)، از نظر لایه سه-ای (جدا کردن آدرس شبکه سرورها و کلاینت‌ها مثلا رنج کلاینت‌ها ۱۹۲.۱۶۸.۱.۰/۲۴ باشد و شبکه سرورها به صورت ۱۷۲.۱۶.۱.۰/۲۴) و حتی جداکردن سرورها و کلاینت‌ها از نگاه لایه یکی هم جالب می‌باشد. یعنی سوئیچ سرورها از سوئیچ کلاینت‌ها مجزا باشد.

پس فهمیدیم که باید روی پورت های سوئیچ متناسب با سرورهای متصل به آن VLANing انجام دهیم. ولی یک مشکل بزرگ:

ما یک آدرس Gateway داریم، ولی مجبوریم به ازای هر VLAN در سوئیچ یک Gateway داشته باشیم. یعنی چندین روتر استفاده کنیم یا استفاده از مکانیزم‌های Sub interface و یا Interface VLAN در سوئیچ‌های لایه سه-‌ای که این کار در سوئیچ‌های سروری پیشنهاد نمی‌شود.

پس باید VLANingرا فراموش کنیم و به سرورها از یک شبکه آدرس دهی کنیم که بتوانیم به همه سرورها یک آدرس Gateway دهیم.

راه حل بالا اصلا جالب نمی‌باشد. به این دلیل اگر تمام سرورها در یک Broadcast Domain باشند Attacker در هنگام Attack، به راحتی با نفوذ بر روی یک سرور می تواند به بقیه سرورها نیز نفوذ کند.

پس ما نیاز به VLANing داریم در حالی که آدرس شبکه سرورها همه یکی باشد و همگی یک Gateway داشته باشند. این دقیقا تعریف Private-VLAN است.

به اصطلاح با انجام Private-VLAN انگار داریم روی یک VLAN عملیات VLANing انجام می دهیم و دسترسی پورت‌هایی که در یک VLAN مشترک هستند را محدود می‌کنیم.

پس با انجام Private VLAN شما بر روی دسترسی سرورهایی کنترل دارید که در یک VLAN مشترک قرار دارند و نیازی به جدا کردن رنج شبکه آنها و یا Access Control List ندارید.

نکته: سرورهایی که در یک VLAN هستند دارای رنج IP مشترک می‌باشند. مثلا همگی از رنج ۱۹۲.۱۶۸.۱.۰/۲۴ و به کمک Private-VLAN دسترسی‌های داخلی یک VLAN را بر اساس سیاست‌های ارتباطی سروری محدود می‌کنید.

 

Private-VLAN

ما در PVLAN یک VLAN مرجع داریم که همه در آن قرار می گیرند که به آن Primary VLAN گویند. داخل Primary VLAN چندین Secondary VLAN می‌توان تعریف کرد که این Secondary VLAN ها می‌توانند از دو نوع Isolated و Community باشند.

ابتدا Primary VLAN را مشخص می کنید. سپس Secondary VLAN را تعریف کرده و مشخص می کنید که از چه نوعی می باشد. بعد از آن نقش پورت‌ها را در PVLAN مشخص می‌کنیم. در آخر پورت Promiscuous را که متصل به روتر (Gateway) است را تعیین می کنید.

نکته: شما فقط می توانید یک Isolated VLAN در سوئیچ تعریف کنید ولی محدودیتی برای Community VLAN ندارید.

 

Isolated VLAN چیست؟

پورت‌هایی که در این VLAN قرار می‌گیرند فقط می‌توانند با پورت Promiscuous ارتباط داشته باشند و حتی پورت‌های داخل یک Isolated نیز نمی‌توانند با یکدیگر ارتباط داشته باشند. (معمولا سرورهایی که به هیچ سرور دیگری در ارتباط نیست را در این VLAN قرار می‌دهند)

 

Community VLAN چیست؟

شما می توانید چندین Community در سوئیچ تعریف کنید. پورت‌های داخل یک Community می‌توانند با یکدیگر و Promiscuous ارتباط داشته باشند. ولی نمی توانند با پورت های دیگر Community ها ارتباط داشته باشند. (مثلا اگر WEB Server و SQL Server نیاز دارند یکدیگر را ببینند باید این دو سرور را در یک Community مشترک قرار دهیم)

 

Promiscuous چیست؟

پورتی می باشد که به روتر متصل است و اعضای Primary VLAN ها را به بیرون شبکه متصل می کند. سوئیچ‌های Small Business از Private-VLAN پشتیبانی می کنند.

شما برای تنظیمات Private-VLAN باید از قسمت Private VLAN Settings استفاده کنید تا Primary VLAN ها و Secondary VLAN ها (Isolated و Community) را تعریف کنید.

از قسمت Interface Settings استفاده می کنید تا پورت های سوئیچ را در Secondary VLAN ها عضو کنید و پورت Promiscuous را معرفی نمایید.

برای مثال، ما در سوئیچ خود VLAN 2 را تعریف می کنیم و آن را Primary VLAN معرفی می‌نماییم. قصد داریم VLAN 3 را به عنوان Secondary VLAN از جنس Isolated و VLAN 4 را از جنس Community و VLAN 5 را نیز Community تعیین کنیم. برای این کار بعد از ساختن VLAN ها در قسمت Private VLAN Settings وارد شوید.

روی گزینه Add کلیک کنید.

در قسمت بالا Primary VLAN را مشخص می‌کنید که در مثال ما VLAN 2 به صورت Primary می باشد.

در قسمت Isolated شماره VLAN ای که Isolated است را به سوئیچ معرفی می‌کنید.

در قسمت Community نیز VLANهای Community را تنظیم می‌کنیم.

بعد از Apply کردن داریم:

بخش اول کار انجام شد. حال باید پورت‌های سوئیچ در Private-VLAN نقش داشته باشند. این نقش یا به صورت Host است یا Promiscuous. اگر Host است باید تعیین کنیم که در کدام VLAN های Secondary قرار دارند و پورت Promiscuous را نیز معین کنید که این پورت معمولا به روتر متصل است.

برای انجام این کار ها وارد قسمت Interface Settings می‌شوید.

ما در این مثال قصد داریم پورت GE2 را به عنوان Promiscuous معرفی کنیم و پورت های GE3 و GE4 را در Isolated VLAN قرار دهیم.

همچنین پورت های GE5 و GE6 در یک Community مشترک. چون دستگاه‌های متصل به این دو پورت نیاز به ارتباط با یکدیگر دارند و پورت های GE7 و GE8 را درCommunity دیگر قرار می دهیم (در گام قبلی دو VLAN را به عنوان Community معرفی کردیم)

برای این کار روی پورت GE2 کلیک کنید و Edit را بزنید.

در قسمت Interface VLAN Mode گزینه Private-VLAN Promiscuous را انتخاب کنید و در بخش Primary VLAN تعیین می‌کنید که این پورت برای چه Primary VLAN ای در حالت Promiscuous باشد. در قسمت آخر یعنی Available Secondary VLANs نیز VLANهای Secondary را به این پورت Add می‌کنید. مطابق شکل و در آخر Apply کنید.

نکته: شما می‌توانید در سوئیچ چندین Primary VLAN تعریف کنید.

حال باید GE3 و GE4 را Isolated کنیم. پس بر روی GE3 کلیک کنید و Edit را بزنید.

حالت این پورت را Private VLAN-Host قرار دهید و در بخش Primary VLAN تعیین می‌کنید این پورت Host برای چه Primary باشد. در آخر نقش این پورت را در Secondary معین کنید. طبق گفته باید در حالت Isolated باشد و چون VLAN 3 را Isolated تنظیم کردیم، VLAN 3 را انتخاب کرده و Apply می کنیم.

برای GE4 نیز دقیقا همین تنظیمات را انجام دهید. برای سهولت کار می‌توانید روی GE3 کلیک کنید و گزینه Copy Settings را مطابق شکل بزنید.

در قسمت پایین شماره پورت ۴ را انتخاب کنید و Apply کنید. با این کار تمام تنظیمات GE3 بر روی GE4 کپی می‌شود.

حال باید GE5 و GE6 را در یک Community قرار دهیم. پس بر روی GE5 کلیک کنید و Edit را بزنید.

حالت را بر روی Private VLAN-Host قرار دهید و Primary VLAN را مشخص کنید. در بخش Secondary VLAN-Host تعیین کنید که این پورت عضو کدام Secondary است. چون ما دو Community داریم قرار شد GE5 و GE6 در Community مشترک باشند. پس برای هر دو VLAN 4 را انتخاب می‌کنیم.

برای تنظیمات پورت GE6 باز از ابزار Copy Settings استفاده کرده و تنظیمات GE5 را بر روی GE6 کپی می‌کنیم. در آخر باید GE7 و GE8 را در دیگر Community قرار دهیم.

نکته: دو Community مختلف نمی‌توانند با یکدیگر ارتباط برقرار کنند.

روی GE7 کلیک کرده و Edit را بزنید.

حالت را روی Private VLAN-Host تنظیم کنید و Primary VLAN را برای آن مشخص کرده و در قسمت Secondary VLAN-Host، می‌بایست VLAN 5 را که به صورت Community است انتخاب کرده و Apply کنید.

تنظیمات GE7 را به کمک Copy Settings بر روی GE8 کپی کنید.

بعد از انجام تمام این تنظیمات شما به طور کامل Private-VLAN را بر روی سوئیچ خود تنظیم کردید و داریم:

بعد از این تنظیمات تمامی پورت‌های GE3 تا GE8 می‌توانند با پورت Promiscuous یعنی GE2 ارتباط داشته باشند.

پورت GE3 فقط می‌توانند با پورت GE2 ارتباط داشته و GE4 نیز همانند GE3 فقط می‌تواند با GE2 ارتباط داشته باشد.

پورت‌های GE5 و GE6 می‌توانند علاوه بر ارتباط با GE2، با یکدیگر نیز ارتباط داشته باشد.

پورت‌های GE7 و GE8 می‌توانند علاوه بر ارتباط با GE2، با یکدیگر نیز ارتباط داشته باشد.

جواب سوال خود را نیافتید؟ یا آنچه که در بالا گفته شد کافی نبود؟

آدرس ایمیل خود را برای ما بگذارید تا اطلاعات بیشتری را برای شما ارسال کنیم. تلاش خواهیم کرد پاسخ بهتری برای مسائل فنی شما ارائه کنیم. 

بیشتر بخوانید

چرا به VLAN احتیاج داریم
دانیال حسین آبادی

چرا به VLAN احتیاج داریم ؟

VLANing یعنی خرد کردن یک برادکست دامین (Broadcast Domain) بزرگ به چندین Broadcast Domain کوچک برای اهداف کم کردن Flooding فریم‌ها در سوئیچ و اعمال Policy در لایه‌های بالاتر

ادامه مطلب »
اسکرول به بالا