در ساختار شبکه های امروزی VLAN ها عضو جدایی ناپذیری از شبکه های LAN هستند که کاربرد های مختلفی دارند، یکی از مهمترین کاربرد های VLAN یا Virtual LAN جدا سازی ترافیک عبوری با استفاده از برچسب هایی با نام Dot1Q tag میباشد. به این صورت که ترافیک مربوط به هر VLAN با یک برچسب مشخص میشود و فقط از طریق اعضای همان VLAN قابل دستیابی خواهد بود. استفاده های امنیتی بیشماری برای VLAN ها وجود دارد که یکی از پر استفاده ترین آنها استفاده از یک VLAN به عنوان Management VLAN است.
یعنی شما یکVLAN را برای دسترسی از راه دور به دستگاه های شبکه ای تان (Network Devices) اختصاص میدهید تا با استفاده از پروتکل هایی مانند Telnet, SSH, HTTP و SYSLOG به آن دستگاه متصل شوید و یا از آن دستگاه اطلاعاتی دریافت کنید، بدون آنکه باقی افرادی که در شبکه LAN شما حضور دارند به آن دسترسی داشته باشند. فرض کنید یک سوییچ سیسکو ۲۹۶۰ یا ۳۷۵۰ دارید و میخواهید بر روی آن یک Management VLAN تعریف کنید، اول آنکه به صورت پیشفرض VLAN 1 برای این منظور در نظر گرفته شده ولی سیسکو به هیچ عنوان استفاده از آن را توصیه نمیکند، پس بهتر است از VLAN دیگری برای این مسئله استفاده کنید. به این منظور یک VLAN که پیش از آن استفاده نشده را در نظر بگیرید، مثلا VLAN99، برای انجام تنظیمات به صورت زیر عمل میکنیم:
hellodigi>enable
hellodigi#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hellodigi (config)#interface vlan ۹۹
hellodigi (config-if)#ip address 192.168.100.28 255.255.255.0
hellodigi (config-if)#no shutdown
%LINK-5-CHANGED: Interface Vlan99, changed state to up
hellodigi (config-if)#exit
hellodigi (config)#ip default-gateway 192.168.100.1
hellodigi (config)#exit
hellodigi #write mem
دستوراتی که باید بنویسید با رنگ سبز مشخص شده اند.
آی پی هایی که با رنگ قرمز مشخص شده اند را با توجه به آی پی که میخواهید به آن دستگاه (در اینجا سوییچ ۳۷۵۰ سیسکو) بدهید عوض کنید. همچنین IP Default Gateway شما آی پی روتر یا سوییچ Core شما خواهد بود.
توجه داشته باشید که حتما از دستور No shut استفاده کنید تا VLAN شما به حالت فعال دربیاید.
بعد از انجام این تغییرات VLAN 99 شما به صورت VLAN Management خواهد بود، توجه کنید که هیچ یک از سیستم ها و کاربران متصل به این دستگاه را (منظور پورت متصل میباشد) در این VLAN قرار ندهید تا ترافیک VLAN شما به صورت ایزوله باقی بماند. حال کافی است تا در دستگاهی که VLAN Routing شما را انجام میدهد با استفاده از ACL یا همان Access List اقدام به اجازه دادن به کارشناسان مربوطه کنید تا فقط آنها بتوانند به این VLAN دسترسی داشته باشند، همچنین اگر از سرویس های مانیتورینگ یا مدیریتی استفاده میکنید مانندSolarwinds, Nmap, cacti, kivi که از پروتکل های SNMP, ICMP, Syslog, SSH, Telnetاستفاده میکنند، باید به آنها نیز اجازه دسترسی به این VLAN را بدهید.
Management VLAN چیست؟
در ساختار شبکه های امروزی VLAN ها عضو جدایی ناپذیری از شبکه های LAN هستند که کاربرد های مختلفی دارند، یکی از مهمترین کاربرد های VLAN یا Virtual LAN جدا سازی ترافیک عبوری با استفاده از برچسب هایی با نام Dot1Q tag میباشد. به این صورت که ترافیک مربوط به هر VLAN با یک برچسب مشخص میشود و فقط از طریق اعضای همان VLAN قابل دستیابی خواهد بود. استفاده های امنیتی بیشماری برای VLAN ها وجود دارد که یکی از پر استفاده ترین آنها استفاده از یک VLAN به عنوان Management VLAN است. یعنی شما یکVLAN را برای دسترسی از راه دور به دستگاه های شبکه ای تان (Network Devices) اختصاص میدهید تا با استفاده از پروتکل هایی مانند Telnet, SSH, HTTP و SYSLOG به آن دستگاه متصل شوید و یا از آن دستگاه اطلاعاتی دریافت کنید، بدون آنکه باقی افرادی که در شبکه LAN شما حضور دارند به آن دسترسی داشته باشند. فرض کنید یک سوییچ سیسکو ۲۹۶۰ یا ۳۷۵۰ دارید و میخواهید بر روی آن یک Management VLAN تعریف کنید، اول آنکه به صورت پیشفرض VLAN 1 برای این منظور در نظر گرفته شده ولی سیسکو به هیچ عنوان استفاده از آن را توصیه نمیکند، پس بهتر است از VLAN دیگری برای این مسئله استفاده کنید. به این منظور یک VLAN که پیش از آن استفاده نشده را در نظر بگیرید، مثلا VLAN99، برای انجام تنظیمات به صورت زیر عمل میکنیم:
hellodigi >enable
hellodigi #configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
hellodigi h(config)#interface vlan ۹۹
hellodigi (config-if)#ip address 192.168.100.28 255.255.255.0
hellodigi (config-if)#no shutdown
%LINK-5-CHANGED: Interface Vlan99, changed state to up
hellodigi (config-if)#exit
hellodigi (config)#ip default-gateway 192.168.100.1
hellodigi (config)#exit
hellodigi #write mem
دستوراتی که باید بنویسید با رنگ سبز مشخص شده اند.
آی پی هایی که با رنگ قرمز مشخص شده اند را با توجه به آی پی که میخواهید به آن دستگاه (در اینجا سوییچ ۳۷۵۰ سیسکو) بدهید عوض کنید. همچنین IP Default Gateway شما آی پی روتر یا سوییچ Core شما خواهد بود.
توجه داشته باشید که حتما از دستور No shut استفاده کنید تا VLAN شما به حالت فعال دربیاید.
بعد از انجام این تغییرات VLAN 99 شما به صورت VLAN Management خواهد بود، توجه کنید که هیچ یک از سیستم ها و کاربران متصل به این دستگاه را (منظور پورت متصل میباشد) در این VLAN قرار ندهید تا ترافیک VLAN شما به صورت ایزوله باقی بماند. حال کافی است تا در دستگاهی که VLAN Routing شما را انجام میدهد با استفاده از ACL یا همان Access List اقدام به اجازه دادن به کارشناسان مربوطه کنید تا فقط آنها بتوانند به این VLAN دسترسی داشته باشند، همچنین اگر از سرویس های مانیتورینگ یا مدیریتی استفاده میکنید مانندSolarwinds, Nmap, cacti, kivi که از پروتکل های SNMP, ICMP, Syslog, SSH, Telnetاستفاده میکنند، باید به آنها نیز اجازه دسترسی به این VLAN را بدهید.