الشبكات الافتراضية (VLANs)

تعريف بالشبكات المحلية الافتراضية (VLAN)

ال (VLAN) هو تقسيم افتراضي (وهمي) للشبكة المحلية (LAN) بحيث تصبح الشبكة المحلية الواحدة عبارة عن عدة شبكات محلية افتراضية.

ما هو ال broadcast
من مزايا الشبكات المحلية (LAN) من نوع (Ethernet) امكانية ارسال بيانات من قبل المصدر (source) لجميع الأطراف دفعة واحدة وتسمى (broadcast)، ويكون عنوان المرسل إليه (destination address) داخل ال (frame) هو عنوان الجميع وقيمته (all-ones). عند وصول ال (Ethernet frame) للسويتش فإنه يقوم باعادة ارساله من جميع منافذ السويتش (switch ports). وهنا يعتبر السويتش او السويتشات المرتبطة مع بعض مجالا واحدا لل (broadcast). أي أن (broadcast frame) المُرسل من طرف سيصل لجميع الأطراف المرتبطة بالسويتشات.

ما سبب وجود ال VLANs
يعود الدافع لتقسيم الشبكات المحلية لعدة أجزاء افتراضية بسبب أن الشبكة المحلية تعتبر مجالا واحدا ل (broadcast)، ففي حال كان هناك عدد كبير من اطراف يشكلون عناصر الشبكة المحلية فإن حجم ال (broadcast frames) كبير جدا وبالتالي فإن عناصر الشبكة المحلية ستنشغل لفترات طويلة بمعالجة (broadcast frames) مما يقلل اداء هذه الأطراف، ويكون التأثير واضح تحديدا على أجهزة الخوادم (servers) مما ينعكس على أداء الشبكة المحلية بشكل عام.

فوائد نجنيها من ال VALNs
تقسيم الشبكة ل VLANs مهم جدا عند بناء الشبكات المحلية، فمن الضروري عزل الخوادم ب VLAN(s)، وذلك لكي لا تتأثر هذه الخوادم بوضعية أجهزة المستخدمين من ناحية وجود ملفات ضارة او تخريبية (warms, Trojans, etc) تتنشر عبر الشبكة ذاتيا، وهذا يعني رفع درجة الحماية على الخوادم، بالاضافة إلى المحافظة على أداء الخوادم. على سبيل المثال يفضل استخدام VLAN للخوادم التي لا تعمل من خلال الانترنت، واستخدام VLAN أخرى للخوادم التي تقتضي طبيعة عملها الاتصال بشبكات الانترنت.
وكذلك يتم تقسيم الأجهزة الطرفية (workstations) في عدة شبكات افتراضية (VLANs) حسب طبيعة عملها ، فمثلا توضح أجهزة المستخدمين (PCs) في أكثر من VLAN، وال (IP Cameras) في VLAN، و (Network Printers) في VLAN، وايضا (IP phones) في VLAN، وهكذا. مما يسهل التحكم في الشبكة والصلاحيات الممنوحة للمستخدمين، وتطبيق الاولويات وجودة الخدمة (QoS) على انواع معينة من الخدمات  والبروتوكولات.

قضايا ناتجة من استخدام ال VLANs

عند توصيل السويتشات معاً والتي تحتوي على نفس ال VLANs، فإنه يلزم استخدام ربط الشبكات الافتراضية معا وليس السويتشات، أي أنه لربط ثلاث VLANs منتشرة على أكثر من سويتش فإننا نحتاج ثلاث توصيلات (كيبلات) بين سويتش وسويتش آخر بحيث يربط كل كيبل عناصر نفس ال VLAN، وهذا الطريقة غير مجدية كونها تحتاج لعدد كبير من الوصلات والمنافذ لكل سويتش. يكمن الحل لهذه المشكلة في ربط السويتشات التي تحتوي على نفس ال VLANs من خلال منافذ تكون بوضعية (Trunk)، بحيث تقوم هذه المنافذ باضافة رقم ال VLAN على كل (frame) يخرج من هذه المنافذ، وبالتالي يستطيع السويتش على الطرف الآخر معرفة ال VLAN التي يعود لها ال (Frame).

قضية آخرى تظهر نتيجة تقسيم الشبكة المحلية لشبكات (VLANs) هو عدم القدرة على ارسال البيانات بين عناصر ال VLANs المختلفة اي لا يستطيع جهاز من VLAN ارسال بيانات لجهاز آخر في VLAN أخرى. ولحل المشكلة يجب استخدام راوتر او سويتش لكن يكون سويتش Layer3 لربط بين ال VLANs وهذه العملية تسمى (InterVLAN Routing/Switching).

امكانية نسخ البيانات داخل السويتش (SPAN)

SPAN هي Switch Port Analysis

تمتلك سويتشات Cisco من فئة Catalyst امكانية نسخ البيانات المرسلة من منفذ port  معين أو من VLAN ما إلى أحد منافذ السويتش. تسمى هذه الامكانية SPAN، وهذه الامكانية تعطي القدرة على مراقبة البيانات المرسلة عبر الشبكة من اجل جمع هذه البيانات للاستفادة منها في عدة مجالات. على سبيل المثال تستخدم SPAN من أجل تحليل انواع البروتوكولات المستخدمة عبر الشبكة وتصنيفها وبيان نسبة الاستخدام لكل بروتوكول. قد تستخدم هذه الامكانية لتسجيل المكالمات الهاتفية التي تجرى عبر شبكة ال IP. وكذلك من الاستخدمات أن تكون SPAN جزء من ال troubleshoot لمعالجة بعض المشاكل الفنية التي تتعرض لها الشبكة، وكذلك تستخدم لاغراض امن وحماية الشبكات من الهجمات والاختراقات.

يمكن تحديد مصدر النسخ  source للبيانات بحيث تكون إما منفذ/منافذ معينة بالسويتش أو أن يكون مصدرها VLAN واحدة أو أكثر أو كلا النوعين. بحيث يتم نسخ هذه البيانات لمنفذ يكون بمثابة المنفذ المقصد destination port وهذا المنفذ  قد يكون في نفس السويتس أو في سويتش آخر. في حال كان النسخ لمنفذ في سويتش آخر فتصبح Remote SPAN أو RSPAN.

في حالة RSPAN يجب أن تحدد VLAN معينة بحيث تكون موجودة على كل السويتشات ابتداء من السويتش المصدر إلى السويتش الذي يحتضن المنفذ المقصد destination port. وهذه ال VLAN يجب ان تحدد نوعها على هذه السويتشات لتكون remote span.

  

يمكن أن يكون المنفذ المصدر ل SPAN منفذ بوضعية access port أو trunk port أو EtherChannel port أو routed port  وفي حال كان المصدر هو VLAN فإن مصدر نسخ البيانات سيكون جميع المنافذ النشطة التابعة لتلك ال VLAN كما يمكن أن يكون المنفذ المقصدdestination port  هو منفذ تابع ل Source VLAN. لتشغيلSPAN  على السويتش، نقوم بتحديد مصدر/مصادر نسخ البيانات، ففي مثالنا سيكون المنفذFa0/12  وال VLANs 1-3 وكذلك نحدد المنفذ المقصدFa0/24  وجميعهم ضمن session1، ستكون الاعدادات على النحو التالي:

sw(config)# monitor session 1 source interface fa0/12

sw(config)# monitor session 11 filter vlan 1 - 3  

sw(config)# monitor session 1 destination interface fa0/24

  

وفيما يتعلق ب RSPAN، فإنه يجب انشاء VLAN داخل السويتش مصدر نسخ البيانات، بحيث تكون هذه ال VLAN من نوع remote span  وفي مثالنا التالي ستكون VLAN رقم (199)، ثم تحديد مصدر البيانات على نفس السويتش سواء أكان المصدر منفذ/منافذ أو VLANs أو كلاهما، وكذلك يتم تحديد المقصد destination وفي حالتنا ستكون ال VLAN رقم (199). بعد ذلك نقوم بعمل الاعدادات على السويتش الآخر الذي يحتوي على المنفذ المقصد destination port، بحيث ننشئ نفس ال VLAN وبرقم (199)  ويكون نوعها remote span وستكون هي مصدر النسخ، ثم نقوم بتحديد المنفذ المقصد destination port على هذا السويتش، في مثالنا سيكون المنفذ Fa0/24. وفي حال كان أكثر من سويتش بين السويتش المصدر والسويتش المقصد فإنه يلزم انشاء نفس ال VLAN رقم (199)  على هذه السويتشات وتحديد نوعها لتكون remote span. ستكون الاعدادات على النحو التالي:

sw1(config)# vlan 199

sw1(config-vlan)# remote span

sw1(config-vlan)# exit

sw1(config)# monitor session 3 source vlan 66 – 68 rx

sw1(config)# monitor session 3 destination remote vlan 199

sw2(config)# vlan 199

sw2(config-vlan)# remote span

w2(config-vlan)# exit

sw2(config)# monitor session 23 destination remote vlan 199

sw3(config)# vlan 199

sw3(config-vlan)# remote span

sw3(config-vlan)# exit

sw3(config)# monitor session 63 source remote vlan 199

sw3(config)# monitor session 63 destination interface fa0/24

من الجدير بالذكر أنه لا يمكن الجمع بين SPAN  و RSPAN على نفس المنفذ المقصد Destination port، اي أنه لا يمكن أن نحدد منفذ مقصد destination port بحيث سكون مصدر نسخ البيانات يجمع بين مصدر محلي local port or VLAN و مصدر آخر غير محلي أي remote VLAN.