VLAN – Virtual LAN
VLAN היא טכנולוגיה אשר משפרת את ביצועי הרשת ע"י חלוקה של רשת גדולה עם תחום ברודקסט (Broadcast Domain) גדול לקבוצות בעלות תחום ברודקסט קטן.
VLAN מאפשר למנהל הרשת ליצור קבוצות מארחים אשר עובדות כאילו הן רשתות נפרדות ועצמאיות, למרות שהן משתמשות באותן התשתיות. VLAN מאפשר לכמה רשתות ותת-רשתות (Subnet) להיות יחד על אותו המתג.
לכל רשת וירטואלית ניתן לתת שם.
חלוקה לוגית זו של הרשת מאפשרת לקבוע גישה ומדיניות אבטחה נפרדת לכל קבוצה.
יתרונות ה-VLAN:
- ביצועים – חלוקה של רשת בשכבה 2 רחבה למספר קבוצות לוגיות וכך צמצום של אזורי הברודקסט דבר שמוביל לייעול התעבורה ברשת.
- קל לניהול – למשתמשים דומים יש צרכים דומים והגדרות דומות. ניתן להעתיק את התצורה ממתג למתג.
- אבטחה – קבוצות בעלות מידע רגיש מופרדות משאר הרשת.
- חסכון – עלויות כספיות נמוכות יותר בזמן שדרוג הרשת וניצול יעיל יותר של רוחב- הסרט.
מספר ה- VLAN (VLAN ID)
לכל VLAN יש מספר. המספרים יכולים להיות בטווח שבין 1-1005.
יש מספרים מיוחדים: 1 וגם טווח המספרים 1002-1005 אלו שמורים ל- Vlan מיוחדים כגון: פרוטוקול "טבעת אסימון", הם קיימים אוטומטית ולא ניתנים להסרה או שינוי. [יש לציין שניתן להרחיב את מספרי ה- Vlan עד 4096 – רק בחלק מהעדכונים והרכיבים].
סוגי VLAN
Data Vlan או User Vlan– מעביר את תעבורת הרשת של המשתמשים. עדיף לא להעביר דרך Vlanזה תעבורת קול או תעבורת ניהול המתג, שאותם מומלץ להפריד.
Vlan 1 (Default Vlan) משמש כברירת מחדל. לאחר איתחול המתג (Boot) כל הפורטים משויכים אליו, לא ניתן למחוק אותו ולא ניתן לשנות לו שם. Vlan 1 מתפקד כמו כל Vlan, משיקולי אבטחה מומלץ לקבוע את הפורטים ל- Vlan אחר מאשר Vlan 1.
Native Vlan – נוצר ע"י פרוטוקול IEEE 802.1Q כדי לתמוך לאחור ברשתות ישנות אשר לא כוללות תיוג של מספר Vlan. הפרוטוקול: 802.1Q (dot1q) מעביר תעבורה "לא מתויגת" ל- Native Vlan. כברירת מחדל ה- native vlan הוא vlan 1.
["תיוג" הוא הוספת כמה ביטים בשדה המידע במסגרת (Frame). ביטים אלה משמשים במתג כדי לזהות לאיזה Vlan המידע צריך להישלח].
Vlan ניהול – יכול להיות כל Vlan שנבחר ומיועד ליכולות הניהול של המתג. [יש לקבוע ל- Vlan הניהול כתובת IP ו- Subnet Mask כדי שהמתג יוכל לתקשר מרחוק באמצעות: HTTP, Telnet, SSH.]
משיקולי אבטחה, לא מומלץ להשתמש ב- Vlan 1 לצורכי ניהול.
VoIP Vlan – וילאן המשמש לתעבורת קול.
הגדרת Vlan
שלבי ההגדרה:
- כאשר מגדירים Vlan חייבים להגדיר לו מספר (ID).
- ניתן כאופציה להגדיר לו שם.
- יש לשייך Vlan לפורט.
| יצירת vlan 10. | Switch(config)#vlan ** Switch(config)#vlan 10 |
| הגדרת שם: MAZKIRUT ל- vlan 10. | Switch(config-vlan)#name **** Switch(config-vlan)#name MAZKIRUT |
| בחירה של טווח הממשקים fastEthernet 0/1 – 0/9. | Switch(config)#interface range fastEthernet 0/*-* Switch(config)#interface range fastEthernet 0/1 – 9 |
| הכנסת טווח הממשקים fastEthernet 0/1 – 0/9 ל – Vlan10. | Switch(config-if-range)#switchport access vlan ** Switch(config-if-range)#switchport access vlan 10 |
| בדיקת הגדרות ה- VLAN | Switch#show vlan |
הערה: זהו הסדר הנכון של ההגדרות צריך להגדיר את ה- VLAN לפני שמשייכים אותו לפורט מסוים. כלומר קודם קוראים ל- Vlan ע"י הפקודה: vlan 10 לדוגמא. ורק לאחר מכן משייכים אותו לפורט לדוגמא: switchport access vlan 10. במידה ומבצעים את השיוך לפני יצירת ה- Vlan הוא יווצר אוטומטית בדרך כלל ותוכנת ה- IOS תודיע זאת.
