این یک متن ترجمه شده ماشینی است که ممکن است حاوی خطا باشد!
تصور کنید یک شبکه مدرسهای که دانشآموزان، معلمان، مدیران و دستگاههای IoT (چاپگرها، تختههای هوشمند، دوربینها) همگی از یک شبکه مشترک استفاده میکنند. از نظر تئوری، همه میتوانند یکدیگر را ببینند. این نه امن است و نه کارآمد. راه حل بخشبندی است.
چرا بخشبندی کنیم؟
بخشبندی به معنای تقسیم یک شبکه به بخشهای کوچکتر است. هر بخش از بقیه جدا شده است، به طوری که ترافیک به طور آزادانه بین آنها جریان نداشته باشد.
| مزیت | توضیح |
|---|---|
| امنیت | یک دوربین IoT به خطر افتاده نمیتواند به سرورها دسترسی پیدا کند |
| عملکرد | ترافیک پخش کمتری در هر بخش |
| کنترل | قوانین مختلف برای گروههای کاربری مختلف |
| عیبیابی | عایقسازی آسانتر مشکلات به یک بخش خاص |
Et praktisk eksempel
در یک مدرسه، شبکه میتواند به این شکل باشد:
- VLAN 10: Administrasjon - حقوق و دستمزد، منابع انسانی، مدیریت. دسترسی به شدت محدود.
- VLAN 20: Ansatte - معلمان و سایر کارکنان. دسترسی به پوشههای مشترک و چاپگرها.
- VLAN 30: Elever - فقط دسترسی به اینترنت و پلتفرمهای آموزشی.
- VLAN 40: IoT - چاپگرها، صفحهنمایشهای هوشمند، دوربینها. بدون دسترسی به اینترنت (یا بسیار محدود).
- VLAN 50: Servere - سرورهای داخلی، غیرقابل دسترس مستقیم از سایر VLANها.
VLAN چیست؟
VLAN مخفف Virtual Local Area Network است. این روشی برای ایجاد چندین شبکه منطقی روی یک سوئیچ فیزیکی است. به جای خرید یک سوئیچ جداگانه برای هر شبکه، سوئیچ را طوری پیکربندی میکنید که پورتهای مختلف (یا ترافیک) را به عنوان شبکههای جداگانه در نظر بگیرد.
هر VLAN دارای محدوده آدرس (زیرشبکه) خاص خود است:
| VLAN | نام | زیرشبکه | دروازه |
|---|---|---|---|
| 10 | مدیریت | 10.0.10.0/24 | 10.0.10.1 |
| 20 | کارمندان | 10.0.20.0/24 | 10.0.20.1 |
| 30 | دانشآموزان | 10.0.30.0/24 | 10.0.30.1 |
| 40 | اینترنت اشیا | 10.0.40.0/24 | 10.0.40.1 |
| 50 | سرورها | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 به این معنی است که 24 بیت اول قسمت شبکه آدرس است. در عمل، این بدان معناست که شما 254 آدرس در دسترس (.1 تا .254) در هر VLAN دارید.
10.0.10.0/24آدرسهایی از10.0.10.1تا10.0.10.254را ارائه میدهد- گیتوی معمولاً اولین آدرس (
.1) است
ترافیک برچسبگذاری شده در مقابل ترافیک بدون برچسب
برای اینکه VLANها در چند سوئیچ (یا بین سوئیچ و روتر) کار کنند، از برچسبگذاری استفاده میشود:
| نوع | توضیح | کاربرد |
|---|---|---|
| بدون برچسب (access) | پورت به یک VLAN تعلق دارد. دستگاه از VLAN اطلاعی ندارد. | رایانهها، چاپگرها، تلفنها |
| برچسبگذاری شده (trunk) | پورت ترافیک را از چند VLAN حمل میکند، با شناسه VLAN برچسبگذاری شده است. | بین سوئیچها، به سمت روتر |
دستگاههایی مانند رایانهها و چاپگرها نیازی به دانستن اینکه در یک VLAN هستند ندارند. آنها به یک پورت “access” متصل میشوند که به VLAN صحیح اختصاص داده شده است. اتصال بین دو سوئیچ یا بین سوئیچ و روتر از یک پورت “trunk” استفاده میکند که تمام VLANها را حمل میکند.
تمرین 1 - مشاهده VLAN در عمل
اگر به Unifi یا پلتفرم مدیریت شبکه دیگری در مدرسه دسترسی دارید:
- بررسی کنید چه VLANهایی پیکربندی شدهاند
- کدام پورتها به عنوان access و کدام به عنوان trunk تنظیم شدهاند؟
- سعی کنید بفهمید کامپیوتر شما به کدام VLAN متصل است (نکته: آدرس IP خود را بررسی کنید و با جدول subnet مقایسه کنید)
قوانین فایروال بین VLANها
ایجاد VLANها تنها نیمی از کار است. بدون قوانین فایروال، ترافیک همچنان میتواند از طریق روتر/گیتوی بین آنها جریان یابد. شما باید به صراحت تعیین کنید چه چیزی مجاز است:
| از (منبع) | به (مقصد) | مجاز؟ | دلیل |
|---|---|---|---|
| دانشآموزان | اینترنت | ✅ بله | برای آموزش ضروری است |
| دانشآموزان | سرورها | ❌ خیر | دانشآموزان نیازی به دسترسی به سرورها ندارند |
| کارکنان | سرورها | ✅ بله | ذخیرهسازی فایل و سیستمهای داخلی |
| IoT | اینترنت | ❌ خیر (یا محدود) | دستگاههای IoT به ندرت به اینترنت نیاز دارند |
| IoT | دانشآموزان/کارکنان | ❌ خیر | IoT باید ایزوله باشد |
| سرورها | همه | ✅ بله (خروجی) | سرورها میتوانند به درخواستها پاسخ دهند |
Standard: blokker alt, tillat det du trenger
یک سیاست فایروال خوب با مسدود کردن تمام ترافیک بین VLAN ها شروع میشود و سپس فقط آنچه مورد نیاز است را باز میکند. این بسیار امنتر از شروع با همه چیز باز و تلاش برای مسدود کردن آنچه نمیخواهید است.
Subnetting
هر VLAN به subnet مخصوص به خود نیاز دارد. یک subnet محدوده آدرس شبکه را تعریف میکند:
| Subnet | Nettverksmaske | Antall adresser | Typisk bruk |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | De fleste VLAN |
/25 | 255.255.255.128 | 126 | Mindre segment |
/16 | 255.255.0.0 | 65 534 | Store nettverk |
مسئله 2 - محاسبه یک زیرشبکه
از یک ماشین حساب آنلاین زیرشبکه، مثلاً subnet-calculator.com استفاده کنید:
192.168.1.0را با ماسک/24وارد کنید. چند آدرس دریافت میکنید؟- اگر به
/25یا/23تغییر دهید چه اتفاقی میافتد؟ - برای یک کلاس با 30 دانشآموز چه چیزی را انتخاب میکنید؟
DHCP per VLAN
هر VLAN به پیکربندی DHCP مخصوص به خود نیاز دارد تا دستگاهها آدرس IP صحیح برای سگمنت خود را دریافت کنند. این میتواند در روتر یا یک سرور DHCP اختصاصی پیکربندی شود.
مثال برای VLAN دانشآموزان:
| تنظیمات | مقدار |
|---|---|
| سابنت | 10.0.30.0/24 |
| گیتوی | 10.0.30.1 |
| محدوده DHCP | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
خلاصه
- قطعهبندی شبکه را به بخشهای مجزا برای امنیت و کنترل تقسیم میکند
- VLAN شبکههای مجازی روی یک سوئیچ فیزیکی هستند
- پورتهای دسترسی دستگاهها را به یک VLAN متصل میکنند، پورتهای تانکی چندین VLAN را حمل میکنند
- قوانین فایروال تعیین میکنند چه چیزی بین VLANها مجاز است
- هر VLAN به زیرشبکه و پیکربندی DHCP جداگانه نیاز دارد
- نقطه شروع: همه چیز را مسدود کنید، فقط آنچه مورد نیاز است را مجاز کنید