vlan و جلوگیری از ترافیک سربار شبکه :
یك شبكه كاملا لايه دو، به Flat Network Topology معروف است. در اين شبكه از يك رنج آدرس استفاده ميشود لذا بين قسمت هاي مختلف Routing صورت نميگيرد و پيام Broadcast يك دستگاه به همگي در كل شبكه ميرسد. اين مدل براي شبكه هاي متوسط و بزرگ پيشنهاد نميشود. در شبكه هاي متوسط و بزرگ كه بيشتر از 100 كامپيوتر دارند توسط ايجاد VLAN شبكه را به شبكه هاي كوچكتري ناحيه بندي ميكنند.

VLAN تفكيك كننده Broadcast Domain در شبكه و متشكل از گروهي از دستگاه هاست كه در لايه دو به هم متصلند و ميتوانند در لايه دو MAC و فريم هاي همديگر را ببينند. هر VLAN كاملا مجزا و توسط روتر يا سوييچ لايه سه VLAN ها را در نقاطي نظير Core به يكديگر Route ميكنند.

لايه دو چه اهميتي دارد و چرا آدرس هاي لايه سه و دو با هم متفاوتند. چرا بايد از هر دو لايه در ارتباط استفاده كنيم و مجبوريم هر دو را در طراحي نظر بگيريم؟

لايه دو ارتباط نزديكي با لايه فيزيكي (لايه يك) دارد يعني بر اساس مشخصات فيزيكي و قرارگيري صفر و يك و سيگنال روي رسانه پروتكل لايه دو طراحي و استفاده شده و اطلاعات را در فريم قرار ميدهد. در X25 بخاطر ميزان اشتباهات رسانه هاي زمان خود پروتكل لايه دو مخصوص آن استفاده ميشد LAPB و در ATM با توجه به سرعت بالاتر رسانه از Cell هايي با سايز ثابت استفاده گرديد. همانطور كه روي خطوط Dial up از PPP بخاطر مزايايش استفاده ميگردد و قابليت Multilink برايمان همراه دارد. همه اين ها پروتكل هاي لايه دو هستند كه روي لينك ها كار ميكنند.

TheNetwork

لايه سه بدون در نظر گرفتن انواع و اقسام رسانه ها و تكنولوژي هاي مختلف و شبكه هاي بين راهي PPP، Frame Relay، Ethernet و ATM بصورت منطقي آدرس هر دستگاه را در دو بخش مشخص كننده شبكه و Host در نظر ميگيرد. در اينترنت وقتي يك بسته به Google ارسال ميكنيد مهم نيست از ******* عبور كرده يا از فيبر زير اقيانوسي بلكه مهم شبكه فرستنده و آنكه شما زير مجموعه كدام شبكه در لايه سه هستيد تا گوگل بتواند پيام پاسخ را برايتان ارسال كند.

آدرس دهي منطقي و لايه سه قبول اما چرا در لايه دو نيز آدرس داريم؟

فرض كنيد كه بخواهيد يك ديتا يا عكس از كامپيوتر شما به كامپيوتر كناري انتقال دهيد براي اين كار از FTP همراه با IP كامپيوتر مقصد استفاده ميكنيد پس ارتباط لايه Application تا لايه سه مشخص است اما براي اينكه ديتا روي رسانه مسي قرار گيرد و منتقل شود Ethernet بايد فريم را ساخته و MAC Address كامپيوتر مقصد را قراردهد تا سوييچ بتواند ارتباط بين دو پورت را فراهم سازد اگر از آدرس لايه دو در Ethernet استفاده نميشد آن وقت كل شبكه متصل به سوييچ شما مجبور بود اين ديتا را دريافت كند در حاليكه با استفاده از سوييچ و برخلاف Hub ديتا براساس MAC Address گيرنده تنها به پورت خاص ارسال شده و پهناي باند پورت هاي ديگر حفظ ميشود.

سوييچ هايي كه بتوانند بالاتر از لايه دو يعني آدرس IP را نيز بررسي كنند و بر آن اساس Routing و Switching كنند سوييچ لايه 3 يا Multi-layer – چند لايه اي خوانده ميشوند.

چرا Ethernet بجاي استفاده از MAC از IP استفاده نكرد؟

اولا Ethernet و IP در سال 1981 بصورت جداگانه و در فرايندي مستقل بوجود آمدند و در ثاني Ethernet قابليت حمل پروتكل هاي متفاوتي نظير IPX و AppleTalk را دارد در عين حال IP روي پروتكل هايي غير از Ethernet نيز حمل ميشود. در لايه دو آدرس ها بايد در همان ناحيه Unique يا بي همتا باشد در حاليكه در لايه سه آدرس ها بايد در كل شبكه بي همتا باشد. بهمين دليل IEEE آدرس هاي لايه دو را كنترل ميكند تا اگر كارت شبكه از توليدكنندگان مختلفي در يك شبكه استفاده شود احتمال وقوع آدرس يكسان به صفر برسد.

همانطور كه اشاره كرديم IP در لايه 3 است و شبكه را به دو بخش Network ID و Host ID تقسيم ميكند بر اساس اين عدد بدست آمده ميتوان يك سيستم سلسله مراتبي و Logical مثل اينترنت داشت در حاليكه بقيه پروتكل ها نظير IPX امكان Subnetting، انعطاف پذيري و آدرس دهي منطقي نظير IP را ندارند. اما يك خصوصيت خوب در IPX بود و آن استفاده از MAC Address براي قسمت Host ID كاري كهIPv6 – نسخه جديد IP از آن استفاده ميكند با اين كار مثل امروز نيازي به DHCP نيست و با توجه به بي همتا بودن MAC از آن بمنزله Host ID استفاده شده و آدرس شبكه به آن افزوده ميشود.

پروتكل IP براي كاركرد نياز به ARP دارد تا براساس IP مقصد بتواند MAC Address مقصد را گرفته و پيام را داخل فريم قرار دهد و به MAC Address خاص بفرستد. ARP زماني استفاده ميشود كه گيرنده در خود شبكه IP ما باشد يعني ما و او از لحاظ Network ID يكي باشيم پس در يك Network بوده و نياز به دانستن MAC Address مقصد مشخص ميگردد. در غير اين صورت مقصد در شبكه اي ديگر است لذا اهميتي ندارد كه كجاست بلكه بايد بسته را به Default Gateway يا روتر شبكه خود ارسال كنيم. در اين صورت بسته IP را درون فريمي با آدرس MAC مربوط به روتر ارسال ميكنيم. در اين مرحله براي دريافت MAC روتر از ARP استفاده ميشود.

ARP براي بدست آوردن MAC Address از Broadcast استفاده ميكند. سوييچ Broadcast را به همه پورت ها ارسال ميكند و كامپيوتري كه IP خود را در بدنه ARP ببيند به آن درخواست پاسخ ميدهد. بدين ترتيب براساس IP، MAC Address را بدست مي آورد اما عملكرد آن وابسته به Broadcast است.

Broadcast Domain، ناحيه عملكرد Broadcast است و مرز رسيدن اين پيام ها كه به همه در آن ناحيه ارسال ميگردند. روتر ها اجازه عبور Broadcast را از لينكي به لينك ديگر نميدهند پس در اطراف روتر Broadcast Domain هاي مجزا كه شبكه هاي لايه دو مستقلند ايجاد ميگردد.

VLAN-broadcastdomain

بوسيله ايجاد VLAN، ميتوان شبكه اي كاملا مستقل ايجاد كرد كه Broadcast Domain خود را داشته و فريم هاي VLAN تنها داخل خود VLAN رد و بدل شوند. ترافيك بگونه اي تفكيك خواهد شد كه گويي شبكه اي مجزا يا كابل و سوئيچ مستقل، يك LAN جداگانه را تشكيل داده است. كافيست در سوئيچ پورت ها را به شماره VLAN مد نظر ربط دهيم. مثلا شبكه ي 300 كامپيوتري خود را به سه VLAN هر يك حاوي يكصد دستگاه با آدرس شبكه مجزا /25 تقيسم ميكنيم:

Subnet-mask: 255.255.255.128 = /25 = 128 Address

بر اين اساس VLAN ها هريك مشخص كننده يك شبكه IP هستند و بايد آدرس دهي مجزا برايشان در نظر گرفت.
+ نوشته شده در دوشنبه هشتم خرداد ۱۳۹۱ ساعت 18:11 توسط بهاره سلیمی  | 

طراحی VLAN : مفاهيم اوليه

 Virtual Local Area Networks)  VLAN) ، يکی از فن آوری های پيشرفته در شبکه های کامپيوتری است که اخيرا" با توجه به ويژگی های منحصربفرد خود توانسته است در کانون توجه طراحان و پياده کنندگان شبکه های کامپيوتری قرار بگيرد.
طراحی و پياده سازی  يک شبکه کامپيوتری کار ساده ای نمی باشد و  شبکه های VLAN نيز از اين قاعده مستثنی نخواهند بود ، چراکه در اين نوع شبکه ها مجموعه ای متنوع از پروتکل ها به منظور نگهداری و مديريت شبکه بکار گرفته می شود .
در اين مطلب قصد نداريم به نحوه پيکربندی يک شبکه VLAN  اشاره نمائيم ( در مطالب جداگانه ای به اين موضوع خواهيم پرداخت ) . در ابتدا لازم است به طرح های فيزيکی متفاوت VLAN و مفاهيم اوليه آن اشاره ای داشته باشيم تا از اين رهگذر با مزايا و دستاوردهای اين نوع شبکه ها بيشتر آشنا شويم .
بخاطر داشته باشيد که برای طراحی و پياده سازی شبکه های کامپيوتری که هر يک دارای منابع و ملزومات مختص به خود می باشند ، فنآوری های متفاوتی در دسترس می باشد  و مهم اين است که بتوان با بررسی کارشناسی بهترين گزينه در اين رابطه را  استفاده نمود .

طراحی اولين VLAN
در اکثر پيکربندی های VLAN ، محوريت بر اساس گروه بندی دپارتمان ها صرفنظر از محل استقرار فيزيکی آنان در يک شبکه می باشد. بدين ترتيب مديريت دپارتمان ها متمرکز و امکان دستيابی به منابع مهم و حياتی شبکه  محدود و صرفا" در اختيار کاربران مجاز قرار خواهد گرفت .
در ادامه به بررسی يک سازمان فرضی خواهيم پرداخت که قصد طراحی و پياده سازی يک شبکه کامپيوتری را دارد . مدل پيشنهادی را بدون در نظر گرفتن VLAN و با لحاظ نمودن VLAN بررسی می نمائيم .
وضعيت موجود سازمان فرضی :

  • سازمان فرضی دارای چهل دستگاه ايستگاه کاری و پنج سرويس دهنده است .

  • در سازمان فرضی دپارتمان های متفاوتی با وظايف تعريف شده ، وجود دارد : دپارتمان مديريت ، دپارتمان حسابداری ، دپارتمان فنآوری اطلاعات 

  • دپارتمان های اشاره شده در سه طبقه فيزيکی توزيع و پرسنل آنان ممکن است در طبقات مختلف مشغول به کار باشند .

سناريوی اول : عدم استفاده از VLAN
دپارتمان فنآوری اطلاعات به عنوان مجری طراحی و پياده سازی شبکه به اين نتيجه رسيده است که بدليل رعايت مسائل امنيتی مناسب تر است که شبکه را پارتيشن نموده و آن را به چندين بخش تقسيم نمايد . هر دپارتمان در يک Broadcast domain قرار گرفته  و با استفاده از ليست های دستيابی که بين محدوده های هر يک از شبکه ها قرار می گيرد، اين اطمينان حاصل می گردد که دستيابی به هر يک از شبکه ها با توجه به سياست های دستيابی تعريف شده، ميسر می گردد .
با توجه به وجود سه دپارتمان متفاوت ، سه شبکه جديد ايجاد می گردد . مدل پيشنهادی در اين سناريو به صورت زير است :

ويژگی های سناريوی اول :

  • به هر دپارتمان يک شبکه خاص نسبت داده شده است .

  • در هر طبقه از يک سوئيچ اختصاصی برای هر يک از شبکه های موجود ، استفاده شده است .

  • مهمترين دستاورد مدل فوق ، افزايش امنيت شبکه است چراکه شبکه های فيزيکی عملا" از يکديگر جدا شده اند .

  • سوئيچ های موجود در هر طبقه از طريق ستون فقرات شبکه با يکديگر گروه بندی و به روتر اصلی شبکه متصل شده اند .

  • روتر مسئوليت پيچيده کنترل دستيابی و روتينگ بين شبکه ها و سرويس دهنده ها را با استفاده از ليست های دستيابی بر عهده خواهد داشت.

  • مديريت شبکه بدليل عدم وجود يک نقطه متمرکز دارای چالش های مختص به خود می باشد .

سناريوی دوم : استفاده از VLAN
در اين مدل ، طراحی شبکه با در نظر گرفتن فنآوری VLAN به صورت زير ارائه شده است : 

ويژگی های سناريوی دوم :

  • در هر طبقه  از يک سوئيچ استفاده شده است که مستقيما" به ستون فقرات شبکه متصل می گردد.

  • سوئيچ های استفاده شده در اين سناريو دارای ويژگی VLAN بوده و بگونه ای پيکربندی می گردند که سه شبکه فيزيکی و منطقی جداگانه را حمايت نمايند .

  • در مقابل روتر در سناريوی قبل از يک سوئيچ لايه سوم ، استفاده شده است . سوئيچ های فوق بسيار هوشنمند بوده و  نسبت به ترافيک لايه سوم ( لايه IP ) آگاهی لازم را دارند .

  • با استفاده از يک سوئيچ ، می توان ليست های دستيابی را به منظور محدوديت دستيابی بين شبکه ها تعريف نمود . دقيقا" مشابه عملياتی که با استفاده از روتر در سناريوی قبلی انجام می گردد ( روتينگ بسته های اطلاعاتی از يک شبکه منطقی به شبکه منطقی ديگر ) . سوئيچ های لايه سوم ، ترکيبی از يک سوئيچ قدرتمند و يک روتر از قبل تعبيه شده می باشند .

  • مقرون به صرفه بودن  ، تسهيل در امر توسعه شبکه ، انعطاف پذيری و مديريت متمرکز از جمله مهمترين ويژگی های سناريوی فوق می باشد.

+ نوشته شده در دوشنبه هشتم خرداد ۱۳۹۱ ساعت 18:5 توسط بهاره سلیمی  |