ما هو Vlan بكلمات بسيطة؟ كيف تعمل شبكة محلية ظاهرية

26.06.2019

والمفاتيح، مما يسمح لك بإنشاء عدة شبكات محلية افتراضية على واجهة شبكة فعلية واحدة (إيثرنت، واجهة Wi-Fi). تُستخدم شبكات VLAN لإنشاء بنية شبكة منطقية مستقلة عن الهيكل الفعلي.

أمثلة على استخدام شبكة VLAN

    ربط أجهزة الكمبيوتر المتصلة بمحولات مختلفة في شبكة واحدة.
    لنفترض أن لديك أجهزة كمبيوتر متصلة بمحولات مختلفة، ولكن يجب دمجها في شبكة واحدة. سنقوم بتوصيل بعض أجهزة الكمبيوتر بشبكة محلية افتراضية VLAN 1، وبعضها الآخر بشبكة VLAN 2. بفضل وظيفة VLAN، ستعمل أجهزة الكمبيوتر في كل شبكة افتراضية كما لو كانت متصلة بنفس المحول. ستكون أجهزة الكمبيوتر من الشبكات الافتراضية المختلفة VLAN 1 وVLAN 2 غير مرئية لبعضها البعض.

    تقسيم أجهزة الكمبيوتر المتصلة بنفس المحول إلى شبكات فرعية مختلفة.
    في الشكل، أجهزة الكمبيوتر متصلة فعليًا بنفس المحول، ولكنها منفصلة إلى شبكات افتراضية مختلفة VLAN 1 وVLAN 2. وستكون أجهزة الكمبيوتر من شبكات فرعية افتراضية مختلفة غير مرئية لبعضها البعض.

    فصل شبكة Wi-Fi للضيوف وشبكة Wi-Fi للمؤسسات.
    في الشكل، نقطة وصول Wi-Fi واحدة متصلة فعليًا بجهاز التوجيه. تم إنشاء نقطتي Wi-Fi افتراضيتين بأسماء HotSpot وOffice عند هذه النقطة. سيتم توصيل أجهزة الكمبيوتر المحمولة للضيوف بـ HotSpot عبر شبكة Wi-Fi للوصول إلى الإنترنت، وسيتم توصيل أجهزة الكمبيوتر المحمولة الخاصة بالمؤسسات بـ Office. لأغراض أمنية، من المهم ألا تتمكن أجهزة الكمبيوتر المحمولة الضيف من الوصول إلى شبكة المؤسسة. للقيام بذلك، يتم دمج أجهزة كمبيوتر المؤسسة ونقطة Wi-Fi الافتراضية الخاصة بـ Office في شبكة محلية ظاهرية VLAN 1، وسيتم وضع أجهزة الكمبيوتر المحمولة الضيف في شبكة VLAN 2 الافتراضية. لن تتمكن أجهزة الكمبيوتر المحمولة الضيف من شبكة VLAN 2 من الوصول إلى شبكة المؤسسة VLAN 1.

مزايا استخدام شبكة VLAN

    تقسيم مرن للأجهزة إلى مجموعات
    كقاعدة عامة، تتوافق شبكة VLAN واحدة مع شبكة فرعية واحدة. سيتم عزل أجهزة الكمبيوتر الموجودة في شبكات VLAN مختلفة عن بعضها البعض. يمكنك أيضًا دمج أجهزة الكمبيوتر المتصلة بمحولات مختلفة في شبكة افتراضية واحدة.

    تقليل حركة البث على الشبكة
    يمثل كل VLAN مجال بث منفصل. لن يتم بث حركة البث بين شبكات VLAN المختلفة. إذا قمت بتكوين نفس شبكة VLAN على محولات مختلفة، فستشكل منافذ المحولات المختلفة مجال بث واحدًا.

    زيادة أمن الشبكة وسهولة الإدارة
    في الشبكة المقسمة إلى شبكات فرعية افتراضية، يكون من المناسب تطبيق سياسات وقواعد الأمان لكل شبكة محلية ظاهرية (VLAN). سيتم تطبيق السياسة على الشبكة الفرعية بأكملها، وليس على جهاز فردي.

    تقليل عدد المعدات وكابلات الشبكة
    لإنشاء شبكة محلية افتراضية جديدة، لا تحتاج إلى شراء محول أو تثبيت كابل شبكة. ومع ذلك، يجب عليك استخدام محولات مُدارة أكثر تكلفة مع دعم شبكة VLAN.

في الوقت الحالي، لا تستخدم العديد من المؤسسات والمؤسسات الحديثة عمليًا هذه الميزة المفيدة جدًا، والضرورية في كثير من الأحيان، مثل تنظيم شبكة افتراضية (VLAN) في إطار البنية التحتية المتكاملة، والتي توفرها معظم المحولات الحديثة. ويرجع ذلك إلى عوامل عديدة، لذا يجدر النظر في هذه التكنولوجيا من منظور إمكانية استخدامها لمثل هذه الأغراض.

وصف عام

أولاً، من المفيد تحديد ماهية شبكات VLAN. ويعني ذلك مجموعة من أجهزة الكمبيوتر المتصلة بشبكة، والتي تتحد منطقيًا في مجال لإرسال رسائل البث وفقًا لمعيار معين. على سبيل المثال، يمكن تمييز المجموعات حسب هيكل المؤسسة أو حسب نوع العمل في مشروع أو مهمة معًا. توفر شبكات VLAN العديد من الفوائد. بادئ ذي بدء، نحن نتحدث عن استخدام أكثر كفاءة لعرض النطاق الترددي (مقارنة بالشبكات المحلية التقليدية)، وزيادة درجة حماية المعلومات التي يتم إرسالها، فضلا عن مخطط الإدارة المبسط.

نظرًا لأنه عند استخدام شبكة محلية ظاهرية (VLAN)، يتم تقسيم الشبكة بأكملها إلى مجالات بث، ويتم نقل المعلومات داخل مثل هذا الهيكل فقط بين أعضائها، وليس إلى جميع أجهزة الكمبيوتر الموجودة على الشبكة الفعلية. اتضح أن حركة البث التي تولدها الخوادم تقتصر على مجال محدد مسبقًا، أي أنها لا تبث إلى جميع المحطات الموجودة على هذه الشبكة. وهذا يجعل من الممكن تحقيق التوزيع الأمثل لعرض النطاق الترددي للشبكة بين مجموعات مختارة من أجهزة الكمبيوتر: الخوادم ومحطات العمل من شبكات VLAN المختلفة لا ترى بعضها البعض.

كيف تتم جميع العمليات؟

في مثل هذه الشبكة، تكون المعلومات محمية بشكل جيد من حقيقة أن تبادل البيانات يتم داخل مجموعة محددة من أجهزة الكمبيوتر، أي أنها لا تستطيع تلقي حركة المرور التي يتم إنشاؤها في بعض الهياكل الأخرى المماثلة.

إذا تحدثنا عن شبكات VLAN، فمن المناسب ملاحظة هذه الميزة لطريقة التنظيم هذه والتي تؤثر على الشبكات المبسطة على مهام مثل إضافة عناصر جديدة إلى الشبكة ونقلها وحذفها. على سبيل المثال، إذا انتقل مستخدم VLAN إلى موقع آخر، فلن يحتاج مسؤول الشبكة إلى إعادة توصيل الكابلات. يجب عليه ببساطة تكوين معدات الشبكة من مكان عمله. في بعض تطبيقات مثل هذه الشبكات، يمكن التحكم في حركة أعضاء المجموعة تلقائيًا، دون الحاجة إلى تدخل المسؤول. إنه يحتاج فقط إلى معرفة كيفية تكوين شبكة VLAN حتى يتمكن من تنفيذ جميع العمليات الضرورية. يمكنه إنشاء مجموعات مستخدمين منطقية جديدة دون مغادرة مقعده. كل هذا يوفر وقت العمل بشكل كبير، والذي يمكن أن يكون مفيدًا في حل المشكلات التي لا تقل أهمية.

أساليب تنظيم VLAN

هناك ثلاثة خيارات مختلفة: بناءً على المنافذ أو بروتوكولات الطبقة الثالثة أو عناوين MAC. تتوافق كل طريقة مع إحدى الطبقات الثلاث السفلية لنموذج OSI: الارتباط المادي والشبكة ورابط البيانات، على التوالي. إذا تحدثنا عن ما هي شبكات VLAN، فمن الجدير بالذكر وجود الطريقة الرابعة للتنظيم - بناء على القواعد. ونادرا ما يستخدم اليوم، على الرغم من أنه يوفر قدرا أكبر من المرونة. يمكنك النظر في كل من الطرق المذكورة بمزيد من التفصيل لفهم الميزات التي تتمتع بها.

شبكة محلية ظاهرية (VLAN) قائمة على المنفذ

يتضمن ذلك مجموعة منطقية من منافذ التبديل الفعلية المحددة للاتصال. على سبيل المثال، يمكنه تحديد أن منافذ معينة، على سبيل المثال، 1 و2 و5 تشكل VLAN1، ويتم استخدام الأرقام 3 و4 و6 لـ VLAN2، وما إلى ذلك. يمكن استخدام منفذ تبديل واحد لتوصيل العديد من أجهزة الكمبيوتر، والتي تستخدم، على سبيل المثال، لوحة وصل. سيتم تعريفهم جميعًا كأعضاء في نفس الشبكة الافتراضية، والتي تم تسجيل منفذ خدمة المحول عليها. مثل هذا الارتباط الصارم لعضوية الشبكة الافتراضية هو العيب الرئيسي لمثل هذا المخطط التنظيمي.

شبكة محلية ظاهرية (VLAN) تعتمد على عناوين MAC

تعتمد هذه الطريقة على استخدام عناوين مستوى الارتباط السداسية العشرية الفريدة المتوفرة على كل خادم أو محطة عمل على الشبكة. إذا تحدثنا عن ماهية شبكات VLAN، تجدر الإشارة إلى أن هذه الطريقة تعتبر أكثر مرونة مقارنة بالطريقة السابقة، حيث أنه من الممكن تمامًا توصيل أجهزة الكمبيوتر التي تنتمي إلى شبكات افتراضية مختلفة بمنفذ تبديل واحد. بالإضافة إلى ذلك، فهو يتتبع تلقائيًا حركة أجهزة الكمبيوتر من منفذ إلى آخر، مما يسمح لك بالحفاظ على عضوية العميل في شبكة معينة دون تدخل المسؤول.

مبدأ التشغيل هنا بسيط للغاية: يحتفظ المحول بجدول المراسلات بين عناوين MAC لمحطات العمل والشبكات الافتراضية. بمجرد أن يتحول الكمبيوتر إلى منفذ آخر، تتم مقارنة حقل عنوان MAC بالبيانات الموجودة في الجدول، وبعد ذلك يتم التوصل إلى الاستنتاج الصحيح حول ما إذا كان الكمبيوتر ينتمي إلى شبكة معينة. عيب هذه الطريقة هو تعقيد تكوين VLAN، والذي يمكن أن يسبب أخطاء في البداية. نظرًا لأن المحول يبني جداول العناوين بشكل مستقل، يجب على مسؤول الشبكة مراجعة كل ذلك لتحديد العناوين التي تتوافق مع المجموعات الافتراضية، وبعد ذلك يقوم بتعيينها لشبكات VLAN المناسبة. وهنا توجد مساحة للأخطاء، والتي تحدث أحيانًا في شبكات Cisco VLAN، والتي يكون تكوينها بسيطًا للغاية، ولكن إعادة التوزيع اللاحقة ستكون أكثر صعوبة مما كانت عليه في حالة استخدام المنافذ.

شبكة محلية ظاهرية (VLAN) تعتمد على بروتوكولات الطبقة 3

نادرًا ما يتم استخدام هذه الطريقة في التبديل على مستوى مجموعة العمل أو القسم. وهذا أمر نموذجي بالنسبة للشبكات الأساسية المجهزة بأدوات توجيه مدمجة لبروتوكولات الشبكة المحلية الرئيسية - IP وIPX وAppleTalk. تفترض هذه الطريقة أن مجموعة من منافذ التبديل التي تنتمي إلى شبكة محلية ظاهرية محددة سيتم ربطها ببعض شبكات IP أو IPX الفرعية. في هذه الحالة، يتم توفير المرونة من خلال حقيقة أن حركة المستخدم إلى منفذ آخر ينتمي إلى نفس الشبكة الافتراضية تتم مراقبتها بواسطة المحول ولا تتطلب إعادة التكوين. يعد توجيه شبكة VLAN في هذه الحالة أمرًا بسيطًا للغاية، لأن المحول في هذه الحالة يقوم بتحليل عناوين الشبكة الخاصة بأجهزة الكمبيوتر التي تم تحديدها لكل شبكة من الشبكات. تدعم هذه الطريقة أيضًا التفاعل بين شبكات VLAN المختلفة دون استخدام أدوات إضافية. هناك عيب واحد لهذه الطريقة - التكلفة العالية للمفاتيح التي يتم تنفيذها فيها. تدعم شبكات Rostelecom VLAN العملية على هذا المستوى.

الاستنتاجات

كما تفهم بالفعل، تعد الشبكات الافتراضية أداة قوية إلى حد ما يمكنها حل المشكلات المتعلقة بأمان نقل البيانات والإدارة والتحكم في الوصول وزيادة كفاءة الاستخدام.

دعونا نتخيل هذا الوضع. لدينا مكتب لشركة صغيرة به 100 جهاز كمبيوتر و5 خوادم. في الوقت نفسه، توظف هذه الشركة فئات مختلفة من الموظفين: المديرين والمحاسبين وموظفي شؤون الموظفين والمتخصصين الفنيين والإداريين. من الضروري أن يعمل كل قسم في شبكته الفرعية الخاصة. كيفية تحديد حركة المرور على هذه الشبكة؟ بشكل عام، هناك طريقتان من هذا القبيل: الطريقة الأولى هي تقسيم مجموعة عناوين IP إلى أقسام فرعية وتخصيص الشبكة الفرعية الخاصة بها لكل قسم، والطريقة الثانية هي استخدام شبكة محلية ظاهرية (VLAN).

VLAN (شبكة المنطقة المحلية الافتراضية) هي مجموعة من عقد الشبكة التي يتم عزل حركة مرورها، بما في ذلك البث، تمامًا على مستوى ارتباط البيانات عن حركة مرور عقد الشبكة الأخرى. في الشبكات الحديثة، تعد شبكة VLAN هي الآلية الرئيسية لإنشاء بنية شبكة منطقية مستقلة عن بنيتها المادية.

يتم تعريف تقنية VLAN في IEEE 802.1q، وهو معيار مفتوح يصف إجراء وضع العلامات لنقل معلومات عضوية VLAN. يضع 802.1q علامة داخل إطار إيثرنت ينقل معلومات حول عضوية حركة المرور في شبكة محلية ظاهرية (VLAN).

دعونا نلقي نظرة على حقول VLAN TAG:

  • TPID (معرف بروتوكول العلامة) - معرف بروتوكول وضع العلامات. يشير إلى البروتوكول المستخدم لوضع العلامات. بالنسبة لـ 802.1Q، تكون القيمة 0x8100.
  • الأولوية - الأولوية. يستخدم لتعيين أولوية حركة المرور المرسلة (QoS).
  • CFI (مؤشر التنسيق Canoncial) - يشير إلى تنسيق عنوان MAC (Ethernet أو Token Ring).
  • VID (معرف Vlan) ​​- معرف VLAN. يشير إلى شبكة VLAN التي ينتمي إليها الإطار. يمكنك ضبط رقم من 0 إلى 4094.

عند إرسال الإطارات، لا يعرف الكمبيوتر شبكة VLAN الموجودة بها - ويقوم المحول بذلك. يعرف المحول المنفذ الذي يتصل به الكمبيوتر، وبناءً على ذلك، سيحدد شبكة VLAN التي يوجد بها هذا الكمبيوتر.

يحتوي المحول على نوعين من المنافذ:

  • المنفذ الموسوم (الموسوم، الجذع) - منفذ يمكن من خلاله إرسال أو استقبال حركة مرور العديد من مجموعات VLAN. عند الإرسال عبر منفذ موسوم، تتم إضافة علامة VLAN إلى الإطار. يُستخدم للاتصال بالمحولات وأجهزة التوجيه (أي تلك الأجهزة التي تتعرف على علامات VLAN).
  • المنفذ غير المميز (غير المميز، الوصول) - المنفذ الذي يتم من خلاله نقل الإطارات غير المميزة. يستخدم للاتصال بالعقد النهائية (أجهزة الكمبيوتر والخوادم). كل منفذ غير مميز موجود في شبكة محلية ظاهرية (VLAN) محددة. عند إرسال حركة المرور من هذا المنفذ، تتم إزالة علامة VLAN وتنتقل حركة المرور غير المميزة إلى الكمبيوتر (الذي لا يتعرف على شبكة VLAN). وبخلاف ذلك، عند تلقي حركة المرور على منفذ غير مميز، تتم إضافة علامة VLAN إليه.

تكوين VLAN على المحول المُدار Dlink DES-3528

تشتمل سلسلة المحولات DES-3528/3552 xStack على محولات وصول L2+ قابلة للتكديس والتي تربط المستخدمين النهائيين بشكل آمن بشبكات المؤسسات الكبيرة وشبكات الأعمال الصغيرة والمتوسطة (SMB). توفر المحولات إمكانية التكديس الفعلي والتوجيه الثابت ودعم مجموعة البث المتعدد وميزات الأمان المتقدمة. كل هذا يجعل هذا الجهاز حلاً مثاليًا لمستوى الوصول. يتكامل المحول بسهولة مع محولات L3 الأساسية لتكوين بنية شبكة متعددة المستويات مع عمود فقري عالي السرعة وخوادم مركزية. تم تجهيز محولات سلسلة DES-3528/3552 بـ 24 أو 48 منفذ إيثرنت بسرعة 10/100 ميجا بت في الثانية وتدعم ما يصل إلى 4 منافذ للوصلة الصاعدة لشبكة جيجابت إيثرنت.

دعونا نلقي نظرة على مبادئ تكوين شبكات VLAN على محولات Dlink المُدارة. سندرس خلال العمل طرق إنشاء وحذف وتغيير شبكات VLAN وإضافة أنواع مختلفة من المنافذ (الموسومة وغير الموسومة).

يتم الاتصال بالمحول من خلال منفذ وحدة التحكم باستخدام برنامج HyperTerminal.

باستخدام الأمر show vlan، سنرى معلومات حول شبكات VLAN الموجودة.

في الشكل أعلاه، يمكنك أن ترى أنه في البداية يتم إنشاء شبكة VLAN افتراضية واحدة فقط على المحول، تسمى default. يعرض الأمر show vlan الحقول التالية:

  • VID - معرف VLAN
  • نوع VLAN – نوع VLAN
  • المنافذ الأعضاء – المنافذ المشاركة
  • المنافذ الثابتة – المنافذ الثابتة
  • المنافذ ذات العلامات الحالية – المنافذ ذات العلامات الحالية
  • المنافذ الحالية غير المميزة – المنافذ الحالية غير المميزة
  • المنافذ ذات العلامات الثابتة – المنافذ ذات العلامات الثابتة
  • المنافذ الثابتة غير المميزة – المنافذ الثابتة غير المميزة
  • إجمالي الإدخالات - إجمالي الإدخالات
  • اسم VLAN – اسم VLAN
  • إعلان - الحالة

لنقم بإنشاء شبكة محلية ظاهرية (VLAN) جديدة، حيث يتم استخدام الأحرف الأولى من اسم AA كاسم، ويتم استخدام الرقم 22 كمعرف. للقيام بذلك، سوف نستخدم أمر create vlan.

لا تشتمل شبكة VLAN الجديدة على منفذ واحد حتى الآن. باستخدام config vlan، سنقوم بتغيير VLAN AA بحيث تظهر فيه المنافذ ذات العلامات 10 و14-17 والمنافذ غير المميزة 2-5.

باستخدام الأمر show vlan، سنعرض معلومات حول شبكات VLAN التي تم إنشاؤها.

من المعروف أنه يمكن تضمين المنافذ ذات العلامات في عدة شبكات VLAN، ولا يمكن تضمين المنافذ غير المميزة إلا في شبكة VLAN واحدة. حاليًا، يتم تضمين كل من المنافذ ذات العلامات وغير المميزة في شبكة VLAN وVLAN AA الافتراضية. باستخدام أمر config vlan، سنقوم بإزالة كافة المنافذ المستخدمة في VLAN AA من شبكة VLAN الافتراضية.

من الشكل أعلاه يمكنك أن ترى أن المنافذ 2-5، 10، 14-17 موجودة الآن فقط في VLAN AA.

دعونا نفكر في تقسيم الشبكة إلى شبكات VLAN مختلفة. تم تجميع الدائرة في خزانة الأسلاك وتم تكوين الشبكة الفرعية 10.0.0.0 /8.

في اللحظة الأولى من الوقت، تكون جميع أجهزة الكمبيوتر على نفس الشبكة الفرعية وتقوم بإجراء اختبار الاتصال ببعضها البعض. من الضروري فصلها بحيث تكون أجهزة PC22 وPC20 وPC18 في شبكة محلية ظاهرية (VLAN) واحدة، وجهاز PC 19 وPC21 في شبكة محلية ظاهرية (VLAN) أخرى. للقيام بذلك، نقوم بإنشاء شبكتين VLAN:

  • VLAN=10 تسمى net1 (PC18، PC20، PC22)
  • شبكة محلية ظاهرية = 20 تسمى net2 (PC19، PC21)

واستنادا إلى الرسم التخطيطي، تم تطوير خطة تكوين المنفذ للمحولات. وقد تم الأخذ في الاعتبار أنه من الضروري استخدام المنافذ غير الموسومة لأجهزة الكمبيوتر، والمنافذ الموسومة للاتصالات بين المحولات. عند تكوين المحولات، تم وضع المنافذ ذات العلامات في VLAN=10 وVLAN=20، وتم وضع المنافذ غير المميزة فقط في شبكة VLAN التي ينتمي إليها الكمبيوتر.

في كل محول، تحتاج إلى تكوين المنافذ وفقًا للرسم التخطيطي. يوضح الشكل أدناه مثالاً لإعداد SW5. أولاً، يتم إنشاء شبكة محلية ظاهرية بالمعرف net1 والتسمية 10. بعد ذلك، نقوم بإنشاء شبكة محلية ظاهرية net2 بالتسمية 20. وبعد ذلك، نضيف منافذ التبديل إلى الشبكات المحلية الافتراضية المقابلة. المنفذ 1 متصل بـ PC22، الموجود في VLAN 10. وهذا يعني أنه لن يتم وضع علامة على منفذ واحد. المنفذ الثاني وفقًا للمخطط متصل بـ SW4 ويجب أن يمر عبر 10 و 20 شبكة محلية ظاهرية.

يتم تكوين المفاتيح المتبقية بطريقة مماثلة.

باستخدام الأمر show vlan، سنعرض كل شبكة من شبكات VLAN التي أنشأناها.


9) التوجيه: ثابت وديناميكي باستخدام مثال RIP وOSPF وEIGRP.
10) ترجمة عنوان الشبكة: NAT وPAT.
11) بروتوكولات حجز القفزة الأولى: FHRP.
12) أمن شبكات الكمبيوتر والشبكات الخاصة الافتراضية: VPN.
13) الشبكات والبروتوكولات العالمية المستخدمة: PPP، HDLC، Frame Relay.
14) مقدمة إلى IPv6 والتكوين والتوجيه.
15) إدارة الشبكات ومراقبة الشبكة.

ملاحظة. ربما مع مرور الوقت سيتم توسيع القائمة.


في المقالات السابقة، لقد عملنا بالفعل مع العديد من أجهزة الشبكة، وفهمنا كيف تختلف عن بعضها البعض ونظرنا إلى الإطارات والحزم ووحدات PDU الأخرى. من حيث المبدأ، مع هذه المعرفة، يمكنك تنظيم شبكة محلية بسيطة والعمل فيها. لكن العالم لا يقف ساكنا. تظهر المزيد والمزيد من الأجهزة التي تقوم بتحميل الشبكة، أو الأسوأ من ذلك، أنها تشكل تهديدًا أمنيًا. وكقاعدة عامة، يظهر "الخطر" قبل "السلامة". الآن سأعرض هذا باستخدام مثال بسيط للغاية.

لن نتطرق إلى أجهزة التوجيه والشبكات الفرعية المختلفة في الوقت الحالي. لنفترض أن جميع العقد موجودة على نفس الشبكة الفرعية.

دعني أقدم لك قائمة بعناوين IP:

  1. PC1 – 192.168.1.2/24
  2. PC2 – 192.168.1.3/24
  3. PC3 – 192.168.1.4/24
  4. PC4 – 192.168.1.5/24
  5. PC5 – 192.168.1.6/24
  6. PC6 – 192.168.1.7/24
لدينا 3 أقسام: المديرية، المحاسبة، قسم الموارد البشرية. كل قسم لديه مفتاح خاص به ويتم توصيله من خلال المفتاح العلوي المركزي. وهكذا يرسل PC1 اختبار ping إلى PC2.






من يريد رؤية هذا في الرسوم المتحركة، افتح المفسد (يظهر اختبار الاتصال من PC1 إلى PC5).

تشغيل الشبكة في مجال بث واحد


جميل أليس كذلك؟ سبق أن تحدثنا في المقالات السابقة أكثر من مرة عن عمل بروتوكول ARP، لكن ذلك كان العام الماضي، لذلك سأشرح ذلك بإيجاز. نظرًا لأن PC1 لا يعرف عنوان MAC (أو عنوان طبقة الارتباط) للكمبيوتر PC2، فإنه يرسل ARP إلى الاستطلاع حتى يتمكن من إخباره. يتعلق الأمر بالمحول، حيث يتم ترحيله إلى جميع المنافذ النشطة، أي إلى PC2 وإلى المحول المركزي. ومن المفتاح المركزي سوف يطير إلى المفاتيح المجاورة وهكذا حتى يصل إلى الجميع. وهذا ليس مقدارًا صغيرًا من حركة المرور الناتجة عن رسالة ARP واحدة. حصل عليها جميع المشاركين في الشبكة. حركة المرور الكبيرة وغير الضرورية هي المشكلة الأولى. المشكلة الثانية هي الأمن. أعتقد أنهم لاحظوا أن الرسالة وصلت حتى إلى قسم المحاسبة الذي لم تكن أجهزة الكمبيوتر الخاصة به متورطة في هذا الأمر على الإطلاق. سيتمكن أي مهاجم يتصل بأي من المحولات من الوصول إلى الشبكة بأكملها. من حيث المبدأ، كانت هذه هي الطريقة التي كانت تعمل بها الشبكات. كانت أجهزة الكمبيوتر موجودة في نفس بيئة القناة وتم فصلها فقط بواسطة أجهزة التوجيه. لكن مر الوقت وكان من الضروري حل هذه المشكلة على مستوى الارتباط. لقد توصلت شركة Cisco، باعتبارها شركة رائدة، إلى بروتوكولها الخاص الذي يضع علامات على الإطارات ويحدد الانتماء إلى بيئة قناة معينة. كان يدعى ISL (رابط Inter-Switch). أعجب الجميع بهذه الفكرة وقرر IEEE تطوير معيار مفتوح مماثل. تم تسمية المعيار 802.1ق. لقد اكتسب شعبية هائلة وقررت شركة Cisco التحول إليه أيضًا.
وهي تقنية VLAN بالتحديد التي تعتمد على تشغيل بروتوكول 802.1q. دعونا نبدأ الحديث عنها بالفعل.

في الجزء 3 عرضت كيف يبدو إطار إيثرنت. أنظر إليها و أنعش ذاكرتك. هذا ما يبدو عليه الإطار غير المميز.

الآن دعونا نلقي نظرة على العلامة الموسومة.

كما ترون، والفرق هو أن معينة بطاقة شعار. هذا هو ما نحن مهتمون به. دعونا نحفر أعمق. يتكون من 4 أجزاء.

1) TPID (معرف بروتوكول العلامة) أو معرف البروتوكول الموسوم- يتكون من 2 بايت وبالنسبة لشبكة VLAN تساوي دائمًا 0x8100.
2) PCP (نقطة رمز الأولوية) أو قيمة الأولوية- يتكون من 3 بت. تستخدم لتحديد أولويات حركة المرور. يعرف مسؤولو النظام الرائعون والملتحون كيفية إدارتها بشكل صحيح وتشغيلها عندما تكون هناك حركة مرور مختلفة على الشبكة (الصوت والفيديو والبيانات وما إلى ذلك)
3) CFI (مؤشر التنسيق الكنسي) أو مؤشر التنسيق الكنسي- حقل بسيط يتكون من بت واحد. إذا كانت 0، فهذا هو تنسيق عنوان MAC القياسي.
4) VID (معرف VLAN باللغة الإنجليزية) أو معرف VLAN- يتكون من 12 بت ويظهر في شبكة VLAN التي يوجد بها الإطار.

أود أن ألفت الانتباه إلى حقيقة أن وضع علامات على الإطارات يتم تنفيذه بين أجهزة الشبكة (المحولات، وأجهزة التوجيه، وما إلى ذلك)، ولكن لا يتم وضع علامات على الإطارات بين العقدة النهائية (الكمبيوتر، الكمبيوتر المحمول) وجهاز الشبكة. لذلك، يمكن أن يكون منفذ جهاز الشبكة في حالتين: وصولأو صُندُوق.

  • منفذ الوصول أو منفذ الوصول- منفذ موجود في شبكة محلية ظاهرية (VLAN) معينة ويرسل الإطارات غير المميزة. عادةً ما يكون هذا هو المنفذ الذي يواجه جهاز المستخدم.
  • منفذ الجذع أو منفذ الجذع- منفذ ينقل حركة المرور الموسومة. عادةً ما يرتفع هذا المنفذ بين أجهزة الشبكة.
الآن سأظهر هذا في الممارسة العملية. أنا أفتح نفس المعمل لن أكرر الصورة، ولكنني سأفتح المفتاح على الفور وأرى ما يحتويه مع شبكة VLAN.

أنا أقوم بتجنيد فريق عرض شبكة محلية ظاهرية.


تصطف عدة جداول. في الواقع، فقط الأول هو المهم بالنسبة لنا. والآن سأوضح لك كيفية قراءتها.

1 عمودهو رقم VLAN. الرقم 1 موجود في البداية هنا - وهو عبارة عن شبكة VLAN قياسية، والتي تكون موجودة في البداية على كل محول. يؤدي وظيفة أخرى سأكتب عنها أدناه. هناك أيضًا تلك المحجوزة من 1002-1005. هذا مخصص لوسائط القنوات الأخرى التي من غير المرجح أن يتم استخدامها اليوم. ولا يمكنك حذفها أيضًا.

Switch(config)#no vlan 1005 قد لا يتم حذف VLAN 1005 الافتراضي.
عند الحذف، تعرض Cisco رسالة تفيد بأنه لا يمكن حذف شبكة VLAN هذه. لذلك، نحن نعيش ولا نلمس هذه الشبكات الافتراضية الأربعة.

العمود الثانيهو اسم VLAN. عند إنشاء شبكات VLAN، يمكنك استخدام تقديرك للتوصل إلى أسماء ذات معنى لها من أجل التعرف عليها لاحقًا. يوجد بالفعل الافتراضي، fddi-default، token-ring-default، fddinet-default، trnet-default.

3 عمود- حالة. يوضح هذا الحالة التي وصلت إليها شبكة VLAN. في الوقت الحالي، شبكة VLAN 1 أو الافتراضية في الحالة النشطة، والأربعة التالية هي قيد التشغيل/إلغاء الإيقاف (على الرغم من أنها نشطة، إلا أنها غير مدعومة).

4 عمود- الموانئ. يوضح هذا شبكات VLAN التي تنتمي إليها المنافذ. والآن بعد أن لم نتطرق إلى أي شيء بعد، فقد أصبحوا في وضع افتراضي.

لنبدأ في إعداد المفاتيح. من الممارسات الجيدة تسمية مفاتيحك بأسماء ذات معنى. هذا ما سنفعله. سأحضر الفريق.

التبديل (التكوين) # اسم المضيف CentrSW CentrSW (التكوين) #
يتم تكوين الباقي بنفس الطريقة، لذلك سأعرض لك مخطط الهيكل المحدث.


لنبدأ الإعداد باستخدام المفتاح SW1. أولاً، لنقم بإنشاء شبكة VLAN على المحول.

SW1(config)#vlan 2 - أنشئ شبكة VLAN 2 (يتم حجز شبكة VLAN 1 افتراضيًا، لذا استخدم الشبكة التالية). SW1(config-vlan)#name Dir-ya - ندخل إلى إعدادات VLAN ونعطيها اسمًا.
تم إنشاء شبكة محلية ظاهرية (VLAN). الآن دعنا ننتقل إلى المنافذ. تنظر واجهة FastEthernet0/1 إلى PC1، بينما تنظر FastEthernet0/2 إلى PC2. كما ذكرنا سابقًا، يجب أن يتم نقل الإطارات بينهما بدون علامات، لذلك دعونا ننقلها إلى حالة الوصول.

SW1(config)#interface fastEthernet 0/1 - تابع إعداد المنفذ الأول. SW1(config-if)# الوصول إلى وضع التبديل - قم بتبديل المنفذ إلى وضع الوصول. SW1(config-if)#switchport Access vlan 2 - قم بتعيين شبكة VLAN الثانية للمنفذ. SW1(config)#interface fastEthernet 0/2 - تابع إعداد المنفذ الثاني. SW1(config-if)# الوصول إلى وضع التبديل - قم بتبديل المنفذ إلى وضع الوصول. SW1(config-if)#switchport Access vlan 2 - قم بتعيين شبكة VLAN الثانية للمنفذ.
نظرًا لأنه تم تعيين كلا المنفذين لنفس شبكة VLAN، فلا يزال من الممكن تكوينهما كمجموعة.

SW1(config)#interface range fastEthernet 0/1-2 - أي حدد تجمعًا ثم قم بإعداده. SW1(config-if-range)#الوصول إلى وضع منفذ التبديل SW1(config-if-range)#الوصول إلى منفذ التبديل vlan 2
منافذ الوصول التي تم تكوينها. الآن دعونا نقوم بتكوين قناة بين SW1 وCentrSW.

SW1(config)#interface fastEthernet 0/24 - تابع إعداد المنفذ الرابع والعشرين. SW1(config-if)#switchport mode Trunk - قم بتبديل المنفذ إلى وضع Trunk. %LINEPROTO-5-UPDOWN: بروتوكول الخط على الواجهة FastEthernet0/24، تم تغيير الحالة إلى الأسفل %LINEPROTO-5-UPDOWN: بروتوكول الخط على الواجهة FastEthernet0/24، تم تغيير الحالة إلى الأعلى
نرى على الفور أنه تمت إعادة تكوين المنفذ. من حيث المبدأ، هذا يكفي للعمل. ولكن من وجهة نظر أمنية، يجب السماح فقط للشبكات المحلية الافتراضية (VLAN) المطلوبة بالفعل بالإرسال. هيا بنا نبدأ.

SW1(config-if)#switchport Trunk يسمح بشبكة VLAN 2 - يسمح بنقل شبكة VLAN الثانية فقط.
بدون هذا الأمر، سيتم إرسال جميع شبكات VLAN المتاحة. دعونا نرى كيف تغير الجدول مع الأمر عرض شبكة محلية ظاهرية.


ظهرت شبكة VLAN ثانية باسم Dir-ya ونرى المنافذ fa0/1 وfa0/2 تابعة لها.

لعرض الجدول العلوي فقط، يمكنك استخدام الأمر عرض موجز لشبكة محلية ظاهرية.


يمكنك أيضًا تقصير الإخراج إذا قمت بتحديد معرف VLAN محدد.


أو اسمه.


يتم تخزين جميع معلومات VLAN في ذاكرة فلاش في ملف vlan.dat.


كما لاحظت، لا يحتوي أي من الأوامر على معلومات حول الجذع. يمكن أن ينظر إليه من قبل فريق آخر إظهار واجهات الجذع.


توجد هنا معلومات حول منافذ قناة الاتصال وشبكات VLAN التي ترسلها. يوجد أيضًا عمود هنا شبكة محلية ظاهرية أصلية. هذا هو بالضبط نوع حركة المرور التي لا ينبغي وضع علامة عليها. إذا وصل إطار غير مميز إلى المحول، فسيتم تعيينه تلقائيًا إلى شبكة Vlan الأصلية (افتراضيًا، وفي حالتنا، هذه هي شبكة VLAN 1). شبكة VLAN الأصلية ممكنة، لكن الكثيرين يقولون إنها بحاجة إلى التغيير لأسباب أمنية. للقيام بذلك، في وضع تكوين منفذ قناة الاتصال، تحتاج إلى استخدام الأمر - شبكة محلية ظاهرية أصلية لشبكة Switchport X، أين X- رقم شبكة VLAN المخصصة. لن نقوم بتغيير هذه الطوبولوجيا، ولكن من المفيد معرفة كيفية القيام بذلك.

كل ما تبقى هو تكوين الأجهزة المتبقية.

سنترسو:
المحول المركزي هو رابط الاتصال، مما يعني أنه يجب أن يعرف جميع شبكات VLAN. لذلك، نقوم أولاً بإنشائها، ثم نقوم بنقل كافة الواجهات إلى وضع قناة الاتصال.

CentrSW(config)#vlan 2 CentrSW(config-vlan)# name Dir-ya CentrSW(config)#vlan 3 CentrSW(config-vlan)# name buhgalter CentrSW(config)#vlan 4 CentrSW(config-vlan)# name otdel -kadrov CentrSW(config)#نطاق الواجهة fastEthernet 0/1-3 CentrSW(config-if-range)#صندوق وضع منفذ التبديل
لا تنسى حفظ ملف config. فريق نسخ تشغيل التكوين بدء التشغيل config.

SW2(config)#vlan 3 SW2(config-vlan)#اسم buhgalter SW2(config)#نطاق الواجهة fastEthernet 0/1-2 SW2(config-if-range)#الوصول إلى وضع التبديل SW2(config-if-range)# الوصول إلى منفذ التبديل vlan 3 SW2(config)#واجهة fastEthernet 0/24 SW2(config-if)#صندوق تبديل وضع المنفذ SW2(config-if)#مفتاح منفذ التبديل المسموح به لشبكة محلية ظاهرية 3
SW3:

SW3(config)#vlan 4 SW3(config-vlan)#اسم otdel kadrov SW3(config)#نطاق الواجهة fastEthernet 0/1-2 SW3(config-if-range)#الوصول إلى وضع التبديل SW3(config-if-range) #switchport Access vlan 4 SW3(config)#interface fastEthernet 0/24 SW3(config-if)#switchport mode Trunk SW3(config-if)#switchport Trunk مسموح بشبكة محلية ظاهرية 4
يرجى ملاحظة أننا رفعنا شبكة VLAN وقمنا بتكوينها، لكننا تركنا عنوان العقد كما هو. وهذا يعني أن جميع العقد تقريبًا موجودة على نفس الشبكة الفرعية، ولكنها مفصولة بشبكات VLAN. لا يمكنك أن تفعل ذلك. يجب تعيين شبكة فرعية منفصلة لكل شبكة محلية ظاهرية (VLAN). فعلت هذا فقط للأغراض التعليمية. إذا جلس كل قسم في شبكته الفرعية الخاصة، فسيكون ذلك محدودًا مسبقًا، نظرًا لأن المحول لا يعرف كيفية توجيه حركة المرور من شبكة فرعية إلى أخرى (بالإضافة إلى أن هذا يمثل بالفعل قيودًا على مستوى الشبكة). ونحن بحاجة إلى الحد من الأقسام على مستوى الارتباط.
أقوم بتنفيذ الأمر ping من PC1 إلى PC3 مرة أخرى.

يتم استخدام ARP، وهو ما نحتاجه الآن. لنفتحه.

لا جديد بعد. يتم تغليف ARP في إيثرنت.

يصل الإطار إلى المفتاح ويتم وضع علامة عليه. الآن لا يوجد إيثرنت عادي، ولكن 802.1q. تمت إضافة الحقول التي كتبت عنها سابقًا. هذا تبيدوهو يساوي 8100 ويشير إلى أنه 802.1q. و جزر تركس وكايكوس، الذي يجمع بين 3 حقول PCP، CFI وVID. الرقم الموجود في هذا الحقل هو رقم VLAN. هيا لنذهب.


بعد العلامة، يرسل الإطار إلى PC2 (نظرًا لأنه موجود في نفس شبكة VLAN) وإلى المحول المركزي عبر منفذ قناة الاتصال.


نظرًا لأنه لم يتم تحديد أنواع VLAN التي سيتم المرور عبرها وأي منافذ بشكل صارم، فسيتم إرسالها إلى كلا المحولين. وهنا، تدرك المفاتيح، بعد رؤية رقم VLAN، أنه ليس لديهم أجهزة بها شبكة VLAN هذه وتتخلص منها بجرأة.


PC1 ينتظر الرد، لكنه لا يأتي أبدًا. يمكنك رؤيته تحت المفسد على شكل رسوم متحركة.

الرسوم المتحركة


الآن الوضع التالي. يتم تعيين شخص آخر للانضمام إلى المديرية، ولكن لا يوجد مكان في مكتب المديرية ويطلب منهم مؤقتا وضع شخص في قسم المحاسبة. دعونا نحل هذه المشكلة.


قمنا بتوصيل الكمبيوتر بمنفذ FastEthernet 0/3 من المحول وقمنا بتعيين عنوان IP 192.168.1.8/24.
الآن سوف أقوم بتكوين التبديل SW2. نظرًا لأن الكمبيوتر يجب أن يكون في شبكة VLAN الثانية، وهو ما لا يعرفه المحول، فسوف أقوم بإنشائه على المحول.

SW2(config)#vlan 2 SW2(config-vlan)#name Dir-ya
بعد ذلك نقوم بتكوين منفذ FastEthernet 0/3، الذي ينظر إلى PC7.

SW2(config)#واجهة fastEthernet 0/3 SW2(config-if)#الوصول إلى وضع منفذ التبديل SW2(config-if)#Switchport Access vlan 2
وآخر شيء هو تكوين منفذ صندوق الأمتعة.

SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport Trunk يسمح لشبكة محلية ظاهرية بإضافة 2 - انتبه إلى هذا الأمر. وهي الكلمة الأساسية "إضافة". إذا لم تقم بإضافة هذه الكلمة، فسوف تقوم بمسح جميع شبكات VLAN الأخرى المسموح لها بالإرسال على هذا المنفذ. لذلك، إذا كان لديك بالفعل صندوق مرفوع على المنفذ وتم نقل شبكات VLAN أخرى، فأنت بحاجة إلى إضافته بهذه الطريقة.
لجعل الإطارات تتدفق بشكل جميل، سأقوم بضبط المفتاح المركزي سنترسو.

CentrSW(config)#interface fastEthernet 0/1 CentrSW(config-if)#switchport Trunk مسموح بشبكة محلية ظاهرية 2 CentrSW(config)#interface fastEthernet 0/2 CentrSW(config-if)#switchport Trunk مسموح بشبكة محلية ظاهرية 2,3 CentrSW(config) #واجهة fastEthernet 0/3 CentrSW(config-if)#منفذ التبديل المسموح به لشبكة محلية ظاهرية 4
تحقق من الوقت. أقوم بإرسال أمر ping من PC1 إلى PC7.



حتى الآن، المسار بأكمله يشبه المسار السابق. ولكن من هذه اللحظة (من الصورة أدناه) سيتخذ المفتاح المركزي قرارًا مختلفًا. يتلقى الإطار ويرى أنه تم وضع علامة عليه بشبكة VLAN الثانية. وهذا يعني أنه يجب إرساله فقط إلى المكان المسموح به، أي إلى المنفذ fa0/2.


والآن يأتي إلى SW2. نفتحه ونرى أنه لا يزال يحمل علامة. لكن العقدة التالية هي جهاز كمبيوتر ويجب إزالة العلامة. انقر فوق "تفاصيل PDU الصادرة" لترى كيف سيترك الإطار المفتاح.


وحقيقة. سيرسل المحول الإطار في شكل "نظيف"، أي بدون علامات.


يصل ARP إلى PC7. نفتحه ونتأكد من أن الإطار PC7 غير المميز يتعرف على نفسه ويرسل استجابة.


نفتح الإطار الموجود على المفتاح ونرى أنه سيتم إرسال علامة عليه. بعد ذلك سوف يتحرك الإطار بنفس الطريقة التي جاء بها.



يصل ARP إلى PC1، كما يتضح من علامة الاختيار الموجودة على المغلف. الآن يعرف عنوان MAC ويستخدم ICMP.


نفتح الحزمة على المفتاح ونرى نفس الصورة. في طبقة الارتباط، يتم وضع علامة على الإطار بواسطة المفتاح. سيحدث هذا مع كل رسالة.




نرى أن الحزمة وصلت بنجاح إلى PC7. لن أظهر طريق العودة، لأنه مشابه. إذا كان أي شخص مهتمًا، يمكنك رؤية المسار بأكمله في الرسوم المتحركة أسفل المفسد أدناه. وإذا كنت تريد التعمق في هذه الهيكلية بنفسك، فأنا أرفق رابطًا للمختبر.

منطق تشغيل VLAN



وهذا، من حيث المبدأ، هو الاستخدام الأكثر شيوعًا لشبكات VLAN. بغض النظر عن الموقع الفعلي، يمكنك دمج العقد بشكل منطقي في مجموعات، وبالتالي عزلها عن الآخرين. إنه أمر مريح للغاية عندما يعمل الموظفون جسديًا في أماكن مختلفة، ولكن يجب أن يكونوا متحدين. وبالطبع، من وجهة نظر أمنية، فإن شبكات VLAN غير قابلة للتبديل. الشيء الرئيسي هو أن دائرة محدودة من الأشخاص لديهم إمكانية الوصول إلى أجهزة الشبكة، ولكن هذا موضوع منفصل.
لقد حققنا قيودًا على مستوى الارتباط. لم تعد حركة المرور تذهب إلى أي مكان، ولكنها تسير بشكل صارم كما هو مقصود. ولكن السؤال الذي يطرح نفسه الآن هو أن الإدارات بحاجة إلى التواصل مع بعضها البعض. وبما أنهم في بيئات قنوات مختلفة، فإن التوجيه يلعب دورًا. ولكن قبل أن نبدأ، دعونا نرتب الطوبولوجيا. أول شيء سنضع أيدينا عليه هو معالجة العقد. وأكرر أن كل قسم يجب أن يكون في شبكته الفرعية الخاصة. في المجموع نحصل على:
  • المديرية - 192.168.1.0/24
  • المحاسبة - 192.168.2.0/24
  • قسم الموارد البشرية - 192.168.3.0/24


بمجرد تحديد الشبكات الفرعية، نقوم بمعالجة العقد على الفور.
  1. PC1:
    إب: 192.168.1.2
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.1.1
  2. PC2:
    إب: 192.168.1.3
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.1.1
  3. PC3:
    إب: 192.168.2.2
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.2.1
  4. PC4:
    إب: 192.168.2.3
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.2.1
  5. PC5:
    إب: 192.168.3.2
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.3.1
  6. PC6:
    إب: 192.168.3.3
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.3.1
  7. PC7:
    إب: 192.168.1.4
    القناع: 255.255.255.0 أو /24
    البوابة: 192.168.1.1
الآن عن التغييرات في الطوبولوجيا. نرى أنه تمت إضافة جهاز توجيه. سوف يقوم فقط بنقل حركة المرور من شبكة محلية ظاهرية (VLAN) إلى أخرى (وبعبارة أخرى، المسار). في البداية، لا يوجد أي اتصال بينه وبين المحول، حيث أن الواجهات معطلة.
أضافت العقد الآن معلمة مثل عنوان البوابة. يستخدمون هذا العنوان عندما يحتاجون إلى إرسال رسالة إلى عقدة موجودة على شبكة فرعية مختلفة. وبناء على ذلك، فإن كل شبكة فرعية لها بوابة خاصة بها.

كل ما تبقى هو تكوين جهاز التوجيه، وفتح سطر الأوامر الخاص به. وفقا للتقاليد، سأعطي اسما ذا معنى.

جهاز التوجيه (التكوين) # اسم المضيف بوابة البوابة (التكوين) #
بعد ذلك ننتقل إلى إعداد الواجهات.

البوابة (التكوين) #interface fastEthernet 0/0 - انتقل إلى الواجهة المطلوبة. البوابة (config-if)# لا يوجد إيقاف تشغيل - قم بتمكينها. %LINK-5-CHANGED: Interface FastEthernet0/0، تم تغيير الحالة إلى أعلى %LINEPROTO-5-UPDOWN: بروتوكول الخط على Interface FastEthernet0/0، تم تغيير الحالة إلى أعلى
الآن الاهتمام! لقد قمنا بتمكين الواجهة، ولكن لم نقم بتعيين عنوان IP لها. الحقيقة هي أن هناك حاجة فقط إلى رابط أو قناة من الواجهة المادية (fastethernet 0/0). سيتم تنفيذ دور البوابات بواسطة واجهات افتراضية أو واجهات فرعية. يوجد حاليًا 3 أنواع من شبكات VLAN. هذا يعني أنه سيكون هناك 3 واجهات فرعية فلنبدأ في الإعداد.

بوابة(config)#واجهة fastEthernet 0/0.2 بوابة(config-if)#تغليف dot1Q 2 بوابة(config-if)#عنوان IP 192.168.1.1 255.255.255.0 بوابة(config)#واجهة fastEthernet 0/0.3 بوابة(config-if) )#تغليف dot1Q 3 بوابة(config-if)#عنوان IP 192.168.2.1 255.255.255.0 بوابة(config)#واجهة fastEthernet 0/0.4 بوابة(config-if)#تغليف dot1Q 4 بوابة(config-if)#عنوان IP 192.168 .3.1 255.255.255.0
تم تكوين جهاز التوجيه. دعنا ننتقل إلى المفتاح المركزي ونقوم بتكوين منفذ قناة الاتصال عليه بحيث يقوم بتمرير الإطارات ذات العلامات إلى جهاز التوجيه.

CentrSW(config)#interface fastEthernet 0/24 CentrSW(config-if)#صندوق وضع منفذ التبديل CentrSW(config-if)#صندوق منفذ التبديل المسموح به لشبكة محلية ظاهرية 2,3,4
اكتمل التكوين ودعنا ننتقل إلى التدريب. أقوم بإرسال اختبار ping من PC1 إلى PC6 (أي إلى 192.168.3.3).


ليس لدى PC1 أي فكرة عن هوية PC6 أو 192.168.3.3، لكنه يعرف أنهما موجودان على شبكات فرعية مختلفة (كما يفهم، تم وصف ذلك في المقالة السابقة). ولذلك، فإنه سيتم إرسال الرسالة من خلال البوابة الافتراضية، والتي يتم تحديد عنوانها في إعداداتها. وعلى الرغم من أن PC1 يعرف عنوان IP الخاص بالبوابة الرئيسية، إلا أنه يفتقر إلى عنوان MAC ليكون سعيدًا تمامًا. ويطلق ARP.




ملحوظة. بمجرد وصول الإطار إلى CentrSW، لا يقوم المحول ببثه إلى أي شخص فقط. فهو يرسل فقط إلى تلك المنافذ التي يُسمح لشبكة VLAN الثانية بالمرور من خلالها. أي على جهاز التوجيه وعلى SW2 (يوجد مستخدم يجلس في شبكة VLAN الثانية).


يتعرف جهاز التوجيه على نفسه ويرسل استجابة (موضحة بسهم). وانتبه إلى الإطار السفلي. عندما استقبل SW2 ARP من المحول المركزي، فإنه لم يرسله بالمثل إلى جميع أجهزة الكمبيوتر، ولكنه أرسل فقط PC7، الموجود في شبكة VLAN الثانية. لكن PC7 يرفض ذلك لأنه ليس له. دعونا ننظر أبعد من ذلك.



وصل ARP إلى PC1. الآن هو يعرف كل شيء ويمكنه إرسال ICMP. اسمحوا لي أن ألفت انتباهكم مرة أخرى إلى حقيقة أن عنوان MAC الوجهة (طبقة الارتباط) سيكون عنوان جهاز التوجيه، وعنوان IP الوجهة (طبقة الشبكة) سيكون عنوان PC6.




يصل ICMP إلى جهاز التوجيه. نظر إلى جدول البيانات الخاص به وأدرك أنه لا يعرف أي شخص على 192.168.3.3. يتجاهل ICMP القادم ويتيح لـ ARP استكشافه.





يتعرف PC6 على نفسه ويرسل ردًا.




تصل الاستجابة إلى جهاز التوجيه وتقوم بإضافة إدخال في الجدول الخاص به. يمكنك عرض جدول ARP باستخدام الأمر عرض آر بي.
هيا لنذهب. PC1 غير سعيد لأنه لا أحد يجيب عليه ويرسل رسالة ICMP التالية.








هذه المرة يصل ICMP دون مشاكل. وسوف يتبع نفس الطريق للعودة. سأريكم النتيجة النهائية فقط.


تم فقدان الحزمة الأولى (نتيجة ARP)، لكن الثانية وصلت دون مشاكل.
من يرغب في رؤيته في الرسوم المتحركة، مرحباً بكم في المفسد.

توجيه InterVLAN



لذا. لقد حققنا أنه إذا كانت العقد في نفس الشبكة الفرعية وفي نفس شبكة VLAN، فسوف تمر مباشرة عبر المحولات. في حالة الحاجة إلى إرسال رسالة إلى شبكة فرعية وشبكة محلية ظاهرية (VLAN) أخرى، فسيتم إرسالها عبر جهاز توجيه البوابة، الذي يقوم بإجراء التوجيه "inter-vlan". تسمى هذه الطوبولوجيا "جهاز التوجيه على عصا"أو "جهاز التوجيه على عصا". كما تفهم، أنها مريحة للغاية. لقد أنشأنا 3 واجهات افتراضية وأرسلنا إطارات مختلفة ذات علامات على طول سلك واحد. بدون استخدام الواجهات الفرعية وشبكات VLAN، سيتعين عليك استخدام واجهة فعلية منفصلة لكل شبكة فرعية، وهو أمر غير مربح على الإطلاق.

بالمناسبة، تمت مناقشة هذا السؤال بشكل جيد للغاية في هذا الفيديو (يبلغ طول الفيديو حوالي 3 ساعات، وبالتالي فإن الرابط مرتبط بتلك اللحظة الزمنية المحددة). إذا كنت تريد، بعد قراءة الفيديو ومشاهدته، إنهاء كل شيء بيديك، فأنا أرفق رابط التنزيل.

لقد تعاملنا مع شبكات VLAN وننتقل إلى أحد البروتوكولات التي تعمل معها.
DTP (بروتوكول التوصيل الديناميكي)أو باللغة الروسية بروتوكول الجذع الديناميكي- بروتوكول خاص بشركة Cisco يُستخدم لتنفيذ وضع قناة الاتصال بين المحولات. على الرغم من أنه، اعتمادًا على الحالة، يمكن أيضًا أن تكون متسقة في وضع الوصول.

يحتوي DTP على 4 أوضاع: تلقائي ديناميكي، وديناميكي مرغوب، وصندوق السيارة، والوصول. دعونا نرى كيف تتناسب معا.

أساليب تلقائي ديناميكي ديناميكية مرغوبة صُندُوق وصول
تلقائي ديناميكي وصول صُندُوق صُندُوق وصول
ديناميكية مرغوبة صُندُوق صُندُوق صُندُوق وصول
صُندُوق صُندُوق صُندُوق صُندُوق لا يوجد اتصال
وصول وصول وصول لا يوجد اتصال وصول

أي أن العمود الأيسر هو الجهاز الأول، والخط العلوي هو الجهاز الثاني. بشكل افتراضي، تكون المفاتيح في الوضع "التلقائي الديناميكي". إذا نظرت إلى جدول التعيين، فإن مفتاحين في الوضع "الديناميكي التلقائي" متطابقان مع وضع "الوصول". دعونا التحقق من ذلك. أقوم بإنشاء معمل جديد وأضيف مفتاحين.


لن أقوم بتوصيلهم بعد. أحتاج إلى التأكد من أن كلا المفتاحين في الوضع "التلقائي الديناميكي". سوف أتحقق مع الفريق عرض واجهات التبديل.


نتيجة هذا الأمر كبيرة جدًا، لذا قمت بقصها وتسليط الضوء على النقاط المثيرة للاهتمام. دعنا نبدء ب الوضع الإداري. يوضح هذا الخط أي من الأوضاع الأربعة التي يعمل بها منفذ معين على المحول. تأكد من أن المنافذ الموجودة على كلا المفتاحين في الوضع "التلقائي الديناميكي". والخط وضع التشغيليوضح طريقة التشغيل التي وافقوا على العمل فيها. لم نقم بتوصيلهم بعد، لذا فهم في حالة "الأسفل".

سأعطيك نصيحة جيدة على الفور. عند اختبار أي بروتوكول، استخدم المرشحات. قم بتعطيل عرض كافة البروتوكولات التي لا تحتاج إليها.

أقوم بتحويل CPT إلى وضع المحاكاة وتصفية جميع البروتوكولات باستثناء DTP.



أعتقد أن كل شيء واضح هنا. أقوم بتوصيل المفاتيح بكابل، وعندما يتم رفع الوصلات، يقوم أحد المفاتيح بإنشاء رسالة DTP.


أفتحه وأرى أنه DTP مغلف في إطار Ethernet. ويرسله إلى عنوان البث المتعدد "0100.0ccc.cccc"، والذي يشير إلى بروتوكولات DTP، VTP، CDP.
واسمحوا لي أن ألفت انتباهكم إلى حقلين في رأس DTP.

1) نوع دي تي بي- هنا يقوم المرسل بإدخال الاقتراح. بمعنى ما هو الوضع الذي يريد أن يتوافق معه؟ وفي حالتنا يقترح الاتفاق على "الوصول".
2) عنوان MAC المجاور- في هذا المجال يكتب عنوان MAC الخاص بالمنفذ الخاص به.

يرسلها وينتظر الرد من جاره.


تصل الرسالة إلى SW1 وتقوم بإنشاء استجابة. حيث يقوم أيضًا بالتفاوض على وضع "الوصول"، وإدراج عنوان MAC الخاص به وإرساله في طريقه إلى SW2.


يصل DTP بنجاح. ومن الناحية النظرية، كان ينبغي الاتفاق عليهما في وضع "الوصول". سوف أتحقق.


وكما هو متوقع، وافقوا على وضع "الوصول".
يقول بعض الناس أن التكنولوجيا مريحة ويستخدمونها. لكنني أوصي بشدة بعدم استخدام هذا البروتوكول على شبكتك. أنا لست الوحيد الذي يوصي بهذا، والآن سأشرح السبب. النقطة المهمة هي أن هذا البروتوكول يفتح ثغرة أمنية كبيرة. سأفتح المختبر الذي تم فيه تحليل عمل "جهاز التوجيه على العصا" وأضيف مفتاحًا آخر هناك.


سأنتقل الآن إلى إعدادات المحول الجديد وأقوم بترميز المنفذ للعمل في وضع قناة الاتصال.

New_SW(config)#interface fastEthernet 0/1 New_SW(config-if)#صندوق وضع منفذ التبديل
أقوم بتوصيلهم وأرى كيف يتطابقون.


صحيح. يتم تنسيق الوضعين "التلقائي الديناميكي" و"الجذع" في صُندُوق. نحن الآن ننتظر أن يبدأ شخص ما في النشاط. لنفترض أن PC1 قرر إرسال رسالة إلى شخص ما. ينشئ ARP ويطلقه على الشبكة.


دعونا نتخطى طريقه حتى يصل إلى SW2.


وهنا الجزء المثير للاهتمام.


يرسله إلى المفتاح المتصل حديثًا. أشرح ما حدث. بمجرد أن نتفق معه على صندوق، يبدأ في إرسال جميع الإطارات الواردة إليه. على الرغم من أن الرسم البياني يوضح أن المفتاح يتخلص من الإطارات، إلا أن هذا لا يعني شيئًا. يمكنك توصيل أي جهاز اعتراض (أداة شم) بالمحول أو بدلاً من المحول وعرض ما يحدث على الشبكة بهدوء. يبدو أنه اعترض ARP غير ضار. ولكن إذا نظرت بشكل أعمق، يمكنك أن ترى أن عنوان MAC "0000.0C1C.05DD" وعنوان IP "192.168.1.2" معروفان بالفعل. وهذا هو، PC1 أعطى نفسه دون تفكير. الآن يعرف المهاجم عن مثل هذا الكمبيوتر. بالإضافة إلى ذلك، فهو يعلم أنه يجلس في شبكة VLAN الثانية. وبعد ذلك يمكنه فعل الكثير من الأشياء. الشيء الأكثر شيوعًا هو استبدال عنوان MAC الخاص بك وعنوان IP والموافقة بسرعة في Access وانتحال شخصية PC1. ولكن الشيء الأكثر إثارة للاهتمام. بعد كل شيء، قد لا تفهم هذا على الفور. عادة، عندما نحدد وضع تشغيل المنفذ، يتم عرضه على الفور في التكوين. أنا أدخل عرض التكوين قيد التشغيل.


ولكن هنا إعدادات المنفذ فارغة. أنا أدخل عرض واجهات التبديلوانتقل إلى fa0/4.


وهنا نرى أن الجذع قد تم الاتفاق عليه. لا يوفر show Running-config دائمًا معلومات شاملة. لذلك، تذكر الأوامر الأخرى أيضًا.

أعتقد أنه من الواضح سبب عدم الثقة في هذا البروتوكول. يبدو أنه يجعل الحياة أسهل، ولكن في نفس الوقت يمكن أن يخلق مشكلة كبيرة. لذا اعتمد على الطريقة اليدوية. عند الإعداد، قرر على الفور أي المنافذ ستعمل في وضع قناة الاتصال وأيها يمكن الوصول إليها. والأهم من ذلك، قم دائمًا بإيقاف المصالحة. بحيث لا تحاول المفاتيح الاتفاق مع أي شخص. ويتم ذلك باستخدام الأمر "switchport nonegotiate".

دعنا ننتقل إلى البروتوكول التالي.

VTP (بروتوكول توصيل VLAN)- بروتوكول خاص من Cisco يُستخدم لتبادل المعلومات حول شبكات VLAN.

تخيل موقفًا حيث يكون لديك 40 محولًا و70 شبكة محلية ظاهرية. كفكرة جيدة، تحتاج إلى إنشائها يدويًا على كل محول وتحديد منافذ قناة الاتصال التي تسمح بالإرسال. هذه عملية شاقة وطويلة. ولذلك، يمكن لـ VTP أن يتولى هذه المهمة. يمكنك إنشاء شبكة محلية ظاهرية (VLAN) على محول واحد، وتتم مزامنة جميع الشبكات الأخرى مع قاعدتها. ألق نظرة على الطوبولوجيا التالية.


هناك 4 مفاتيح هنا. واحد منهم هو خادم VTP، والثلاثة الآخرون هم عملاء. تتم مزامنة شبكات VLAN التي سيتم إنشاؤها على الخادم تلقائيًا على العملاء. سأشرح كيفية عمل VTP وما يمكن أن يفعله.

لذا. يمكن لـ VTP إنشاء شبكات VLAN وتعديلها وحذفها. يؤدي كل إجراء من هذا القبيل إلى زيادة رقم المراجعة (كل إجراء يزيد الرقم بمقدار +1). وبعد ذلك يرسل إعلانات تحتوي على رقم المراجعة. يقوم العملاء الذين يتلقون هذا الإعلان بمقارنة رقم المراجعة الخاص بهم بالرقم الذي تلقوه. وإذا كان الرقم الذي يأتي أعلى، فإنهم يقومون بمزامنة قاعدة البيانات الخاصة بهم معه. وإلا سيتم تجاهل الإعلان.

ولكن هذا ليس كل شيء. VTPs لها أدوار. بشكل افتراضي، تعمل كافة المحولات كخادم. سأخبرك عنهم.

  1. خادم فتب. يمكن أن تفعل كل شيء. وهذا يعني إنشاء شبكة محلية ظاهرية (VLAN) وتغييرها وحذفها. إذا تلقى إعلانًا فيه مراجعة أقدم منه، فستتم مزامنته. يرسل باستمرار الإعلانات والمرحلات من الجيران.
  2. عميل VTP- هذا الدور محدود بالفعل. لا يمكنك إنشاء شبكات VLAN أو تغييرها أو حذفها. تتلقى جميع شبكات VLAN وتتزامن من الخادم. إبلاغ الجيران بشكل دوري بقاعدة VLAN الخاصة بهم.
  3. VTP شفاف- هذا دور مستقل. يمكنه إنشاء وتغيير وحذف شبكات VLAN فقط في قاعدة البيانات الخاصة به. لا يفرض شيئا على أحد ولا يقبل شيئا من أحد. إذا تلقى نوعًا ما من الإعلانات، فإنه يمرره، لكنه لا يقوم بمزامنته مع قاعدة البيانات الخاصة به. إذا زاد رقم المراجعة في الأدوار السابقة مع كل تغيير، ففي هذا الوضع يكون رقم المراجعة دائمًا 0.
هذا كل شيء بالنسبة للإصدار 2 من VTP. أضاف الإصدار 3 من VTP دورًا آخر - إيقاف بروتوكول VTP. ولا ينقل أي إعلانات. وإلا فإن العملية مشابهة للوضع شفاف.

لقد قرأنا ما يكفي من النظرية ودعونا ننتقل إلى الممارسة. دعونا نتحقق من أن المفتاح المركزي في وضع الخادم. أدخل الأمر إظهار حالة vtp.


نرى أن وضع تشغيل VTP: Server. يمكنك أيضًا ملاحظة أن إصدار VTP هو الثاني. لسوء الحظ، الإصدار 3 من CPT غير مدعوم. نسخة المراجعة هي صفر.
الآن دعونا نقوم بتكوين المفاتيح السفلية.

SW1(config)#vtp mode client ضبط الجهاز على وضع VTP CLIENT.
تظهر لنا رسالة تفيد بأن الجهاز قد دخل في وضع العميل. يتم تكوين الباقي بنفس الطريقة تمامًا.

لكي تتمكن الأجهزة من تبادل الإعلانات، يجب أن تكون في نفس النطاق. وهناك خصوصية هنا. إذا كان الجهاز (في وضع الخادم أو العميل) ليس عضوًا في أي مجال، فعند استلام الإعلان الأول، سينتقل إلى المجال المُعلن عنه. إذا كان العميل عضوًا في نطاق معين، فلن يقبل الإعلانات من النطاقات الأخرى. لنفتح SW1 ونتأكد من أنه ليس عضوًا في أي مجال.


دعونا نتأكد من أنها فارغة.

الآن نذهب إلى المفتاح المركزي وننقله إلى المجال.

CentrSW(config)#vtp domain cisadmin.ru تغيير اسم مجال VTP من NULL إلى cisadmin.ru
نرى رسالة تفيد بأنه تم نقله إلى مجال cisadmin.ru.
دعونا نتحقق من الحالة.


وحقيقة. لقد تغير اسم المجال. يرجى ملاحظة أن رقم المراجعة حاليا هو صفر. سوف يتغير بمجرد إنشاء شبكة VLAN عليه. ولكن قبل إنشائه، تحتاج إلى تحويل جهاز المحاكاة إلى وضع المحاكاة لمعرفة كيفية إنشاء الإعلانات. نقوم بإنشاء شبكة VLAN العشرين ونرى الصورة التالية.


بمجرد إنشاء شبكة VLAN وزيادة رقم المراجعة، يقوم الخادم بإنشاء إعلانات. لديه اثنان منهم. أولاً، دعونا نفتح الواحد الموجود على اليسار. يسمى هذا الإعلان "إعلان ملخص" أو باللغة الروسية "إعلان ملخص". يتم إنشاء هذا الإعلان بواسطة المحول مرة كل 5 دقائق، حيث يتحدث عن اسم النطاق والمراجعة الحالية. دعونا نرى كيف يبدو.


في إطار Ethernet، انتبه إلى عنوان Destination MAC. إنه نفس ما ورد أعلاه عندما تم إنشاء DTP. وهذا هو، في حالتنا، فقط أولئك الذين لديهم VTP قيد التشغيل سوف يستجيبون له. الآن دعونا نلقي نظرة على الحقل التالي.


هنا كل المعلومات. سأمر عبر أهم المجالات.
  • اسم مجال الإدارة - اسم المجال نفسه (في هذه الحالة cisadmin.ru).
  • هوية المحدث - معرف الشخص الذي يقوم بالتحديث. عادة ما يتم كتابة عنوان IP هنا. ولكن بما أنه لم يتم تعيين العنوان للمفتاح، فإن الحقل فارغ
  • تحديث الطابع الزمني - وقت التحديث. لم يتم تغيير الوقت الموجود على المفتاح، لذا تم ضبطه على وقت المصنع.
  • ملخص MD5 - تجزئة MD5. يتم استخدامه للتحقق من بيانات الاعتماد. أي إذا كان لدى VTP كلمة مرور. لم نغير كلمة المرور، لذا فإن التجزئة هي كلمة المرور الافتراضية.
الآن دعونا نلقي نظرة على الرسالة التالية التي تم إنشاؤها (الرسالة الموجودة على اليمين). يطلق عليه "إعلان فرعي" أو "إعلان تفصيلي". هذه معلومات مفصلة حول كل شبكة محلية ظاهرية مرسلة.
أعتقد أن هذا واضح. رأس منفصل لكل نوع VLAN. القائمة طويلة جدًا لدرجة أنها لا تناسب الشاشة. لكنها هي نفسها تماما، باستثناء الأسماء. لن أهتم بما يعنيه كل رمز. وفي CPT هم أكثر من مجرد اتفاقية.
دعونا نرى ما سيحدث بعد ذلك.


يتلقى العملاء الإعلانات. لقد رأوا أن رقم المراجعة أعلى من رقمهم وقاموا بمزامنة قاعدة البيانات. ويرسلون رسالة إلى الخادم مفادها أن قاعدة VLAN قد تغيرت.


كيف يعمل بروتوكول VTP



هذه هي الطريقة التي يعمل بها بروتوكول VTP بشكل أساسي. ولكن لها عيوب كبيرة جدا. وهذه عيوب من حيث الأمن. سأشرح باستخدام مثال نفس المختبر. لدينا محول مركزي يتم إنشاء شبكات VLAN عليه، ثم يقوم بمزامنتها عبر البث المتعدد مع جميع المحولات. في حالتنا، يتحدث عن VLAN 20. أقترح إلقاء نظرة أخرى على تكوينها.

ملحوظة. تصل رسالة VTP إلى الخادم، حيث يكون رقم المراجعة أعلى من رقمه. إنه يدرك أن الشبكة قد تغيرت ويحتاج إلى التكيف معها. دعونا نتحقق من التكوين.


لقد تغير تكوين الخادم المركزي وسيقوم الآن ببث هذا بالضبط.
تخيل الآن أنه ليس لدينا شبكة محلية ظاهرية (VLAN) واحدة، بل المئات. هذه طريقة بسيطة لتثبيت الشبكة. بالطبع، قد يكون المجال محميًا بكلمة مرور وسيكون من الصعب على المهاجم أن يتسبب في ضرر. تخيل موقفًا يكون فيه المفتاح الخاص بك معطلاً وتحتاج إلى استبداله بشكل عاجل. تذهب أنت أو زميلك إلى المستودع لشراء مفتاح قديم وتنسى التحقق من رقم المراجعة. وتبين أنها أعلى من غيرها. لقد رأيت بالفعل ما سيحدث بعد ذلك. ولذلك أنصح بعدم استخدام هذا البروتوكول. خاصة في شبكات الشركات الكبيرة. إذا كنت تستخدم الإصدار 3 من VTP، فلا تتردد في تبديل المفاتيح إلى وضع "إيقاف التشغيل". إذا كنت تستخدم الإصدار 2، فقم بالتبديل إلى الوضع "الشفاف". اضف اشارة

تلخص شبكات VLAN فكرة الشبكة الفعلية (LAN)، مما يوفر القدرة على توصيل شبكة افتراضية خاصة بخط البيانات على أساس كل شبكة فرعية على حدة. يمكن لواحد أو أكثر من محولات الشبكة المحلية الافتراضية (VLAN) دعم العديد من الشبكات الافتراضية المستقلة. وبالتالي، يجعل من الممكن إنشاء تطبيقات مختلفة للشبكات الفرعية لطبقة نقل البيانات. غالبًا ما يرتبط تجزئة الشبكة بالحاجة إلى تقييد مجال البث. عادةً ما يتم تقديم المجال بواسطة محول Ethernet واحد أو أكثر للشبكات المتوسطة إلى الكبيرة.

تسهل شبكات VLAN على مسؤولي الشبكات تقسيم شبكة محولة واحدة إلى مقاطع منطقية وفقًا للوظائف ومتطلبات الأمان لأنظمة الشركة. وفي هذه الحالة، ليست هناك حاجة إلى مد وإعادة توصيل كابلات جديدة أو إجراء تغييرات كبيرة على البنية التحتية الحالية للشبكة. تتم العملية الكاملة لتنظيم مخطط عمل جديد على المستوى المنطقي - على مستوى إعداد معدات الشبكة. يمكن تعيين المنافذ (الواجهات) الموجودة على المحولات لشبكة افتراضية واحدة أو أكثر. هذا يسمح لك بتقسيم النظام إلى مجموعات منطقية. بناءً على الأقسام التي تمتلك خدمة أو موردًا معينًا، يتم وضع القواعد التي يُسمح بموجبها للأنظمة في المجموعات الفردية بالتواصل مع بعضها البعض. يمكن أن تتراوح تكوينات المجموعة من فكرة بسيطة — حيث يمكن لأجهزة الكمبيوتر الموجودة على نفس الشبكة الافتراضية رؤية الطابعة الموجودة على هذا الجزء، ولكن أجهزة الكمبيوتر الموجودة خارج هذا الجزء لا يمكنها ذلك — إلى نماذج معقدة نسبيًا. على سبيل المثال، لا تستطيع أجهزة الكمبيوتر في أقسام الخدمات المصرفية للأفراد الاتصال بأجهزة الكمبيوتر في أقسام المبيعات.

يوفر كل مقطع شبكة افتراضية منطقية إمكانية الوصول إلى ارتباط البيانات لجميع الأجهزة المضيفة المتصلة بمنافذ التبديل التي تم تكوينها بنفس معرف الشبكة. علامة VLAN عبارة عن حقل 12 بت في رأس إطار Ethernet الذي يوفر الدعم لما يصل إلى 4096 شبكة VLAN لكل مجال تحويل. تم توحيد علامات VLAN في IEEE (معهد مهندسي الكهرباء والإلكترونيات) 802.1Q وغالبًا ما يُطلق عليها اسم Dot1Q.

يتم استخدام جهاز التوجيه للجمع بين الشبكات المحلية الفعلية

قبل ظهور الشبكات الافتراضية الخاصة (VPN)، كان علينا تقسيم الشبكة المحلية (LAN) بناءً على المحولات المادية.

كلما زاد عدد الشرائح التي تحتاج إلى تنظيمها، زاد عدد المفاتيح التي تحتاج إلى شرائها. يتم استخدام جهاز التوجيه لإعادة توجيه حركة المرور بين الشبكات المحلية.

يصبح الوضع أكثر تعقيدًا إذا كان لديك مكتبين منفصلين. وإذا تم تكوين الشبكة وفقًا للمخطط أعلاه، فلن تحتاج إلى كابل واحد، بل إلى كبلين منفصلين بين المكاتب. اعتمادًا على بعد المواقع، قد يؤدي إنشاء هذه المسارات إلى تكاليف باهظة. تخيل الآن أن لديك 3 مكاتب أو أكثر في الشركة، وعلى سبيل المثال، 5 أقسام، اتضح أنك بحاجة إلى وضع 15 طريقًا للكابلات - لن توافق الشركة على ذلك.

نحتاج إلى حل لإصلاح المشكلة أعلاه. لم يعد بإمكاننا الاعتماد على التجزئة المادية لأنها غير مرنة وأكثر تكلفة وتجعل حياتك أكثر صعوبة. الحل يسمى Virtual LAN - VLAN.

باستخدام شبكات VLAN، لدينا المزيد من الخيارات لتقسيم الشبكة بناءً على المنافذ أو حتى بناءً على عنوان MAC أو البروتوكولات.

ما هي شبكات VLAN الافتراضية الخاصة وكيف تعمل؟

يعود مفهوم شبكات VLAN إلى بداية عصر الاتصالات. عندما يحتوي المحول على قطاعات تم تكوينها (VLAN10 وVLAN20)، فإننا نقوم بإدخال علامة VLAN قبل إرسال الإطار إلى قناة VLAN مباشرة. تشير هذه العلامة إلى جزء الشبكة الافتراضية الذي ينتمي إليه كل إطار. لذلك، عندما يصل الإطار إلى محول Ethernet المستهدف، فإنه يعرف الشبكة المحلية الافتراضية التي يجب عليه إعادة توجيه الرسالة إليها.

كيف يعمل اتصال الجذع؟

  • في الإطارات الصادرة في الطبقة 2 من نموذج شبكة OSI، يتم تعديل الرأس عند إرسالها عبر منفذ قناة الاتصال
  • يضيف المحول علامة 802.1Q VLAN بين حقلي Source MAC وEtherType

يرجى ملاحظة أن كل هذه العمليات تحدث في الطبقة الثانية من نموذج OSI (طبقة ارتباط البيانات). طبقة الشبكة ليست متورطة في هذه الحالة.

كيف يتم تبادل حركة المرور بين شبكات VLAN المختلفة؟

السؤال مشابه: كيف يتم نقل حركة المرور داخل شبكة Ethernet المحلية؟ لا تستطيع شرائح الشبكة المحلية (LAN) المنفصلة من الطبقة الثانية نقل البيانات إلى بعضها البعض ما لم تكن متصلة بجهاز توجيه. جهاز التوجيه مسؤول عن إعادة توجيه الإطارات إلى القطاعات الأخرى. نظرًا لأن جهاز التوجيه عبارة عن جهاز من الطبقة الثالثة، ونتيجة لذلك، يجب على جميع الأجهزة استخدام رأس الطبقة الثالثة، مثل عنوان IP.

كل هذا يتوقف على قدرات جهاز التوجيه. إذا كان جهاز التوجيه لا يدعم شبكة VLAN، فسنحتاج إلى منافذ وصول تتصل بواجهاته.

لا يدعم جهاز التوجيه وضع قناة الاتصال ووضع علامات VLAN

  • 1 VLAN = مقطع شبكة واحد = مجال بث واحد
  • نحتاج إلى جهاز توجيه لإعادة توجيه الحزم بين قطاعات VLAN
  • يصبح عنوان IP الخاص بجهاز التوجيه هو البوابة الافتراضية

إذا كان جهاز التوجيه يدعم VLAN، فيمكننا توصيله بالشبكة باستخدام منفذ واحد. يقوم جهاز التوجيه بمعالجة علامات VLAN الواردة ويضيف علامات VLAN إلى دفق البيانات الصادرة.

يدعم جهاز التوجيه علامات قنوات الاتصال وVLAN

  • يتم توجيه حركة مرور VLAN باستخدام منفذ واحد
  • تحتاج إلى تعيين عنوان IP على واجهة VLAN الخاصة بالموجه



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة