دستورات مربوط به بحث Vlan
cfcl(config)#Vlan 10
این دستور Vlan با شماره ۱۰ را ایجاد می کند و وارد محیط Config آن می گردد.
cfcl(config-vlan)#Name vlansupport
با این دستور نامی را برای Vlan انتخاب می کنیم که در این دستور vlansupport می باشد.
Switchport
پرکاربرد ترین دستور در Vlan که باید برای استفاده از آن در محیط Config مربوط به Interface مورد نظر شوید.
امنیت VLAN ها و ترانکها
درست است کهVLANها از یک جنبه هایی امنیت را فراهم میکنند مثلاً با جدا کردن ترافیک بخشهای مختلف از هم، به طوری که یک بخش قادر به مشاهده ترافیک بخش دیگر نباشد؛ اما از لحاظ دیگر میتوانند امنیت شبکه را دچار مشکل کنند.
یکی از مهمترین مشکلات وجود VLAN1 است که به صورت پیش فرض در هـمه سوئیچها به عنوان native VLAN تعبیه شده است و پیامهایی که از این VLAN صادر میشود برچسب نخواهند خورد. و همین امر باعث میشود که کلیه پیامهایVLANهای ۱ به راحتی قابل شنود باشند. دلیل بعدی آن همان طور که گفتیم ترافیک بین سوئیچها از طریق ترانکها و توسط پروتکلهای ترانکینگ ISL و Q 802.1 کنترل میشوند. این پروتکلها تنها از طریق Header بستههای رسیده از VLAN ها به وظایف خود عمل میکنند، حالا یک مهاجم از ترکیب این دو ویژگی میتواند به هر کدام از VLAN ها که خواست دسترسی داشته باشد. چگونه؟ مهاجم بسته خارج شده از VLAN1 را که به راحتی قابل شنود است و بسته بندی هم نشده است، بسته بندی میکند و Header خود را به آن اضافه میکند! پروتکلهای ترانکینگ با بستهای سر و کار دارند که هدر دارد و مامور است و معذور که پیام را به سوئیچ مربوطه برساند! اما چگونه می توان جلوی این موضوع را گرفت؟ بهترین کار این است که تمامی پورتها و ترانکها را از VLAN1 خارج کنیم و تا آنجا که میتوانیم از این VLAN استفاده نکنیم، در عوضVLAN دیگری را به عنوان native VLAN تعریف کنیم. اگر پروتکلهایی داریم که تنها باید از VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم.
VLAN Trunking Protocol یا VTP
همان طور که از نام آن مشخص است، VTP پروتکل VLAN Trunking است. یعنی مخصوص VLAN ها و فقط برای حالت Trunking میباشد. و تنها از ترانک برای انتشار میتواند استفاده کند. یعنی تنها مخصوص انتقال فریم ها بین “سوئیچها” می باشد.
با استفاده از پروتکل VTP می توانیم اطلاعات VLAN را روی یک سوئیچ Set کنیم بعد با استفاده از VTP سایر سوئیچها را از وجود این VLAN و پیکربندی آن آگاه سازیم. نتیجه به این شکل خواهد بود که بقیه سوئیچها نیز این VLAN را خواهند شناخت.
آیا پیکربندی اولیه را می توانیم روی هر سوئیچی که خواستیم اعمال کنیم و بعد از VTP استفاده کنیم؟
اگر VLAN در شبکه هایی که با چندین سوئیچ به هم وصل شده اند استفاده شود، برای بخشهای بین سوئیچ بایستی که از VLAN Trunking استفاده کنیم. به عبارت ساده تر وقتی روی سوئیچها VLAN تعریف می کنیم، سوئیچها را از طریق ترانک به هم وصل میکنیم. بنابراین در مورد مثال دانشکده IT و فیزیک نیز بایستی که بین سوئیچ ها از VLAN Trunking استفاده کنیم. تا سوئیچ دانشکده فیزیک بتواند با VLAN خود در سوئیچ دانشکده IT در ارتباط باشد.
برای درک بهتر مفهوم VLAN باید به این جمله از تعاریف موجود برای شبکه LAN اتکا کرد “ یک شبکه LAN شامل تمام دستگاههایی است که در یک Broadcast Domain باشند”
Broadcast Domain : یک پیام Broadcast (پیامهای فراگیر)، به دامنه ای که این پیام ها تا آنجا می توانند ارسال شوند و پیش بروند (Broadcast Domain) دامنه (Broadcast) گفته میشود.
به عنوان یه تعریف دیگر تمام ایستگاه ها و وسایلی که بهLAN متصل هستند عضو یک Broadcast Domainاند و در این صورت اگر یکی از ایستگاه ها پیامی را به صورت Broadcast ارسال کند، تمام ایستگاه های عضو آن Domain Broadcast یک کپی از آن پیام را دریــــافت می کنند.
VLAN (Virtual Local Area Network)
VLAN یعنی LAN هایی که به صورت مجازی پیاده سازی می شوند.
