سوییچ به صورت پیشفرض تمامی اینترفیس های خود را در یک Broadcast Domain  قرار داده است (عضو Vlan  یک) واگر Frame  ای وارد یک اینترفیس شود که از نوع Broadcast   باشد مانند ARP Request  یا DHCP Discover  و یا حتی پیغام های RIPV1 آن را روی تمامی اینترفیس ها Flood  می کند یا اگر بسته های Multicast  مانند پیغام های OSPF  یا Eigrp  ویا اگر فریمی وارد اینترفیس سوییچ شود که از نوع Unknown Unicast  باشد یعنی در Mac-Table  سوییچ آن Mac  را روی هیچ اینترفیسی Learn  نکرده باشد باز آن فریم را روی تمامی اینترفیس های Broadcast Domain ارسال کننده Flood  میکند.

چرا ما نیاز به انجام Vlaning  داریم؟!!

با انجام Vlaning  در سوییچ، ما LAN های مختلفی را تشکیل میدهیم که بهتره بگیم Virtual LAN  های مختلفی ایجاد میکنیم یعنی تصور کنید اگر در سوییچ سه Vlan  بسازیم و اینترفیس ها را عضو Vlan  ها کنیم،یک سوییچ فیزیکی داریم با سه سوییچ مجازی داخل خود.

بعضی از افراد اعتقاد بر این دارند که در شبکه خود فقط یک LAN  داریم بنابرین نیازی به انجام Vlaning  نداریم!!!

این جمله کاملا اشتباه است فرض کنید یک سوییچ ۲۴ پورت داریم که تمامی اینترفیس ها داخل یک Vlan  قرار دارند و یک Attacker  وارد شبکه می شود و با ایجاد پیغام های Broadcast  زیاد شبکه را Busy  کند و باعث Broadcast Storm  در شبکه شود.

نکته:

یکی از ویژگی های بد بسته های Broadcast  این است که تمامی دستگاه مجبور به باز کردن آن هستند و باید بسته را در لایه های بالاتر تحلیل کنند. حالا اگر یک طوفانی از بسته های Broadcast  ایجاد شود خود سوییچ باید بسته ها را تحلیل کند و تمامی این بسته ها را روی ۲۴ پورت خود Flood  کند که اینکار از نظر امنیتی مناسب نیست و حتی ترافیک بیهود را داخل شبکه Flood  کردیم که پهنای باند زیادی را مصرف میکند.

البته در سوییچ های سیسکو راهکاری مختلفی برای جلوگیری از Attack های مانند  Broadcast Storm وجود دارد.

باز فرض کنید Vlaning  نداریم واطمینان داریم که Broadcast Storm  به وجود نمیاید در این حالت فرض کنید که شبکه ما از بخش های مختلفی مانند مالی،بازرگانی،مدیریت و …. تشکیل شده است اگر شما بخواهید یک پالیس خاصی روی بخش مالی اعمال کنید مثلا دسترسی خاص به بچه های مالی  یا عدم دسترسی به سرور بازرگانی ، باید این پالسی ها را به کمک ACL  نوشت که باید روی آدرس لایه ۳ ای و Subnet  ها این پالسی ها را نوشت که نوشتن ACL  یا همان Access Control List  کمی به مشکل می خورید.

اگه بخوام دلیل نیاز به Vlaning  را خیلی خلاصه بگم داریم:

بازدهی بالاتر یعنی عدم ارسال ترافیک های بیهوده روی اینترفیس ها.

ساده شدن مدیریت.

جلوگیری از استفاده بیهوده پهنای باند.

امنیت،یعنی اینکه با ارسال یا Flood  نشدن بسته به مقصد های نا شناخته و ساده شدن در اعمال پالیسی های مد نظر.

ما تو این مقاله قصد تدریس Vlan  و نحوه ایجاد آن و حتی چگونگی عضو کردن اینترفیس ها در Vlan  را نداریم.

 

Private-Vlan

خب فهمیدیم چرا Vlaning  نیاز داریم ولی بعضی جاها ما مجبوریم به استفاده از یک Vlan  هستیم.

کجا؟؟!!

سوییچی را تصور کنید که داخل اتاق سرور قرار داره و سرورها مختلفی به اینترفیس های سوییچ متصل است حالا این سوییچ می تواند سخت افزاری باشد مثل سوییچ های شرکت سیسکو یا اینکه یک Virtual Switch  داخل یک Hypervisor  مانند  سوییچ های  Esxi  که ماشین ها یا VM  های مختلفی به صورت مجاری به آن وصل است.

ما نیاز به Vlaning  داریم  و هر سرور را داخل یک Vlan  قرار دهیم چون در زمانی که یک Attacker  توانست وارد یک سرور شود نتواند دیگر سرور های ما را آلوده نکند.

فرض کنید شما یک سرور از یک شرکتی کرایه کردید و آن شرکت برای شما یک Virtual Machine  روی Esxi  ایجاد میکند و با VM  های دیگر مشتری ها داخل یک Vlan  قرار دهد که  VM  آن مشتری سرویس WEB  ارائه میدهد و هر لحظه در خطر Attack  است و ممکن است شما هم از این خطرات ایمن نباشید.

پس ما نیاز به Vlaning  داریم!!

از طرفی ما اگر هر سرور را  داخل یک Vlan  قرار دهیم و لایه دویی از هم جدا کنیم برای ارتباط سرور ها با بیرون از شبکه خود نیار به Gateway  دارند و باید به ازای هر Vlan  از Subnet  های مختلفی استفاده کنیم  و به ازای هر Vlan  یک Gateway  قرار دهیم حالا این Gateway  می تواند روتر یا سوییچ سخت افزاری باشد یا SVI  در سوییچ های لایه سه و در روتر ها به کمک Sub-Interface .

مثلا در سناریو بالا ما باید از ۵ Subnet  استفاده کنیم و نیاز به پنج Gateway  داریم.

حالا اگر تعداد این هاست ها ۱۰۰۰  تا شود چه کنیم!!!!

پس نتیجه میگیریم که نه میتوان به ازای هر هاست یک Vlan  در نظر گرفت و هم اینکه نمی توان تمامی هاست ها را داخل یک Vlan  قرار داد.

پس چه کنیم؟!!!

اینجاست که ما نیاز به Private-Vlan  داریم که مشکلات بالا را حل میکند.

با انجام Private-Vlan  ما یک Primary Vlan  و Secondary Vlan  داریم.

اگر Private-Vlan  استفاده کنیم یک Vlan  را تکه تکه می کنیم به قسمت های مختلف و چون همه عضو یک Primary Vlan  هستند مشکل Gateway  حل میشود و به کمک Secondary Vlan  مشکل ارتباط لایه دویی داخل یک Vlan  حل می شود .

پس یک اینترفیس را در مد Promiscuous  قرار می دهیم که متصل به روتر و Gateway  می شود و تمامی VLan  ها Primary   و Secondary  را Map  میکنیم روی اینترفیس که مجوز به عبور ترافیک تمامی Vlan ها را دارد.

دیگر اینترفیس ها را در مد Host  قرار می دهیم که علاوه بر اینکه عضو Primary Vlan  هستند باید عضو یک Secondary Vlan  نیز باشند.

انواع Secondary Vlan

۱-Isolated

۲-Community

اینترفیس های که عضو Isolated  هستند فقط قادر به ارتباط با Promiscuous هستند.

حتی اینترفیس های که داخل یک Isolated  هستند قادر به ارتباط با هم نیستند.

اینترفیس های که عضو یک Community  هستند علاوه بر ارتباط با Promiscuous  میتوانند با یکدیگر ارتباط داشته باشند ولی با دیگرCommunity  ها نمی تواند ارتباط داشته باشد.

نکته :

Secondary VLan  ها  نمی توانند با یکدیگر ارتباط داشته باشند.

 

سناریو زیر را درنظر بگیرید.

سرور های که نیاز به ارتباط با یکدیگر دارند مانند DNS  یا DC  یا حتی SQL سرور ها مجبور هستیم داخل یک Community  قرار دهیم.

نکته : پیش نیاز پیاده سازی Private Vlan  این است که باید مد VTP سوییچ را Transparent  قرار داد.

 

کانفیگ:

ابتدا Vlan  ها را می سازیم و نقش هر Vlan  را مشخص می کنیم:

حال Secondary  Vlan  ها را در Primary VLan عضو میکنیم.

بعد باید اینترفیس ها را عضو Vlan  کرد

اینترفیس ها در Private Vlan  یا Host  هستند یا Promiscuous

برای اینترفیس های Isolated  داریم:

برای اینترفیس های Community-1  داریم:

برای اینترفیس های Community-2  داریم:

برای اینترفیس Promiscuous:

برای  Verify  کردن داریم:

با توجه به سناریو

Host-1  و Host-2  فقط قادر به ارتباط با روتر هستند.

Host-3  نیز فقط میتواند با روتر ارتباط داشته باشد.

Host-4  و Host-5  علاوه بر ارتباط با روتر می توانند با هم نیز ارتباط داشته باشند.

نکته :

با توجه به این که تمامی اینترفیس ها عضو ۱۰۰ Primary Vlan هستند همگی آدرس لایه سه ای داخل یک Subnet  را دارند و فقط با یک Gateway  می توانند با بیرون ارتباط داشته باشند.

 

با ITNovin همراه باشید.

Leave a Comment