سخاروش – Virtual Local Area Networks) VLAN) ، يکى از جديدترين و جالبترين تکنولوژى هاى شبکه است که اخيرا” مورد توجه بيشترى قرار گرفته است . رشد بدون وقفه شبکه هاى LAN و ضرورت کاهش هزينه ها براى تجهيزات گرانقيمت بدون از دست دادن کارآئى و امنيت ، اهميت و ضرورت توجه بيشتر به VLAN را مضاعف نموده است .
وضعيت شبکه هاى فعلى
تقريبا” در اکثر شبکه ها امروزى از يک (و يا چندين) سوئيچ که تمامى گره هاى شبکه به آن متصل مى گردند ، استفاه مى شود . سوئيچ ها روشى مطمئن و سريع به منظور مبادله اطلاعات بين گره ها در يک شبکه را فراهم مى نمايند.با ان که سوئيچ ها براى انواع شبکه ها ، گزينه اى مناسب مى باشند ، ولى همزمان با رشد شبکه و افزايش تعداد ايستگاهها و سرويس دهندگان ، شاهد بروز مسائل خاصى خواهيم بود . سوئيچ ها ، دستگاههاى لايه دوم (مدل مرجع OSI ) مى باشند که يک شبکه Flat را ايجاد مى نمايند .
همانگونه که در شکل فوق مشاهده مى نمائيد ، به يک سوئيچ ، سه ايستگاه متصل شده است . ايستگاههاى فوق قادر به ارتباط با يکديگر بوده و هر يک به عنوان عضوى از يک Broadcast domain مشابه مى باشند. بدين ترتيب ، در صورتى که ايستگاهى يک پيام broadcast را ارسال نمايد ، ساير ايستگاههاى متصل شده به سوئيچ نيز آن را دريافت خواهند داشت.
در يک شبکه کوچک ، وجود پيام هاى Broadcast نمى تواند مشکل و يا مسئله قابل توجهى را ايجاد نمايد، ولى در صورت رشد شبکه ، وجود پيام هاى braodcast مى تواند به يک مشکل اساسى و مهم تبديل گردد . در چنين مواردى و در اغلب مواقع ، سيلابى از اطلاعات بى ارزش بر روى شبکه در حال جابجائى بوده و عملا” از پهناى باند شبکه،استفاده مطلوب نخواهد شد. تمامى ايستگاههاى متصل شده به يک سوئيچ ، پيام هاى Braodcast را دريافت مى نمايند . چراکه تمامى آنان بخشى از يک Broadcast doamin مشابه مى باشند .
در صورت افزايش تعداد سوئيچ ها و ايستگاهها در يک شبکه ، مشکل اشاره شده ملموس تر خواهد بود .همواره احتمال وجود پيام هاى Braodcast در يک شبکه وجود خواهد داشت .
يکى ديگر از مسائل مهم ، موضوع امنيت است . در شبکه هائى که با استفاده از سوئيچ ايجاد مى گردند ، هر يک از کاربران شبکه قادر به مشاهده تمامى دستگاههاى موجود در شبکه خواهند بود . در شبکه اى بزرگ که داراى سرويس دهندگان فايل ، بانک هاى اطلاعاتى و ساير اطلاعات حساس و حياتى است ، اين موضوع مى تواند امکان مشاهده تمامى دستگاههاى موجود در شبکه را براى هر شخص فراهم نمايد . بدين ترتيب منابع فوق در معرض تهديد و حملات بيشترى قرار خواهند گرفت . به منظور حفاظت اينچنين سيستم هائى مى بايست محدوديت دستيابى را در سطح شبکه و با ايجاد سگمنت هاى متعدد و يا استقرار يک فايروال در جلوى هر يک از سيستم هاى حياتى ، انجام داد .
معرفى VLAN
تمامى مسائل اشاره شده در بخش قبل را و تعداد بيشترى را که به آنان اشاره نشده است را مى توان با ايجاد يک VLAN به فراموشى سپرد . به منظور ايجاد VLAN ، به يک سوئيچ لايه دوم که اين تکنولوژى را حمايت نمايد ، نياز مى باشد . تعدادى زيادى از افراديکه جديدا” با ديناى شبکه آشنا شده اند ، اغلب داراى برداشت مناسبى در اين خصوص نمى باشند و اينگونه استنباط نموده اند که صرفا” مى بايست به منظور فعال نمودن VLAN ، يک نرم افزار اضافه را بر روى سرويس گيرندگان و يا سوئيچ نصب نمايند . ( برداشتى کاملا” اشتباه ! ) . با توجه به اين که در شبکه هاى VLAN ، ميليون ها محاسبات رياضى انجام مى شود ، مى بايست از سخت افزار خاصى که درون سوئيچ تعبيه شده است ، استفاده گردد (دقت در زمان تهيه يک سوئيچ)،در غير اينصورت امکان ايجاد يک VLAN با استفاده از سوئيچ تهيه شده ، وجود نخواهد داشت .
هر VLAN که بر روى سوئيچ ايجاد مى گردد ، به منزله يک شبکه مجزا مى باشد . بدين ترتيب براى هر VLAN موجود يک broadcast domain جداگانه ايجاد مى گردد . پيام هاى broadcast ، به صورت پيش فرض ، از روى تمامى پورت هائى از شبکه که عضوى از يک VLAN مشابه نمى باشند، فيلتر مى گردند . ويژگى فوق ، يکى از مهمترين دلايل متداول شدن VALN در شبکه هاى بزرگ امروزى است ( تمايز بين سگمنت هاى شبکه ) . شکل زير يک نمونه شبکه با دو VLAN را نشان مى دهد :
در شکل فوق ، يک شبکه کوچک با شش ايستگاه را که به يک سوئيچ ( با قابليت حمايت از VLAN ) متصل شده اند ، مشاهده مى نمائيم . با استفاده از پتانسيل VLAN سوئيچ ، دو VLAN ايجاد شده است که به هر يک سه ايستگاه متصل شده است (VLAN1 و VLAN2) . زمانى که ايستگاه شماره يک متعلق به VLAN1 ، يک پيام Braodcast را ارسال مى نمايد ( نظير : FF:FF:FF:FF:FF:FF ) ، سوئيچ موجود آن را صرفا” براى ايستگاههاى شماره دو وسه فوروارد مى نمايد . در چنين مواردى ساير ايستگاههاى متعلق به VLAN2 ، آگاهى لازم در خصوص پيام هاى broadcast ارسالى بر روى VLAN1 را پيدا نکرده و درگير اين موضوع نخواهند شد .
در حقيقت ، سوئيچى که قادر به حمايت از VLAN مى باشد ، امکان پياده سازى چندين شبکه مجزا را فراهم مى نمايد ( مشابه داشتن دو سوئيچ جداگانه و اتصال سه ايستگاه به هر يک از آنان در مقابل استفاده از VLAN ) . بدين ترتيب شاهد کاهش چشمگير هزينه هاى برپاسازى يک شبکه خواهيم بود .
فرض کنيد قصد داشته باشيم زير ساخت شبکه موجود در يک سازمان بزرگ را به دوازده شبکه جداگانه تقسيم نمائيم . بدين منظور مى توان با تهيه دوازده سوئيچ و اتصال ايستگاههاى مورد نظر به هر يک از آنان ، دوازده شبکه جزا که امکان ارتباط بين آنان وجود ندارد را ايجاد نمائيم . يکى ديگر از روش هاى تامين خواسته فوق ، استفاده از VLAN است . بدين منظور مى توان از يک و يا چندين سوئيچ که VLAN را حمايت مى نمايند ، استفاده و دوازده VLAN را ايجاد نمود . بديهى است ، هزينه برپاسازى چنين شبکه هايى به مراتب کمتر از حالتى است که از دوازده سوئيچ جداگانه ، استفاده شده باشد .
در زمان ايجاد VALN ، مى بايست تمامى ايستگاهها را به سوئيچ متصل و در ادامه ، ايستگاههاى مرتبط با هر VLAN را مشخص نمود. هر سوئيچ در صورت حمايت از VLAN ، قادر به پشتيبانى از تعداد مشخصى VLAN است . مثلا” يک سوئيچ ممکن است 64 و يا 266 VLAN را حمايت نمايد.
undefined
