Private VLAN PVLAN

شبکه‌های Private VLAN (PVLAN) به شما این امکان را می‌دهند که دامنه‌ی Broadcast را کاهش دهید و امنیت شبکه را افزایش دهید. در اینجا دو نوع اصلی VLAN وجود دارد: Primary VLAN و Secondary VLAN. Primary VLAN به همه‌ی Secondary VLAN ها اجازه‌ی ارتباط با یکدیگر را می‌دهد، اما Secondary VLAN ها اجازه‌ی ارتباط با یکدیگر را ندارند. به عبارت دیگر، اعضای یک Secondary VLAN فقط با عضوهای همان VLAN می‌توانند ارتباط برقرار کنند.

یک مثال ساده: فرض کنید یک شرکت دارای یک شبکه‌ی VLAN است که از دو بخش اصلی تشکیل شده است: بخش اداری و بخش فناوری اطلاعات. بخش اداری می‌تواند با هم ارتباط برقرار کند اما نباید به داده‌های بخش فناوری اطلاعات دسترسی داشته باشد. در اینجا می‌توانید از PVLAN استفاده کنید تا این دو بخش از هم جدا شوند.

برای انجام تنظیمات PVLAN در تجهیزات سیسکو، مراحل زیر را دنبال کنید:

1. ایجاد Primary VLAN: ابتدا یک Primary VLAN ایجاد کنید و پورت‌هایی که قرار است به عنوان پورت‌های ترانک (Trunk) استفاده شوند را به این VLAN اختصاص دهید.

2. ایجاد Secondary VLAN ها: سپس، برای هر بخش از شبکه (مانند بخش اداری و بخش فناوری اطلاعات) یک Secondary VLAN ایجاد کنید.

3. تنظیم ارتباطات: سپس، برای هر Secondary VLAN تعیین کنید که با کدام Secondary VLAN ها می‌تواند ارتباط برقرار کند و کدام‌ها را می‌تواند ببیند.

با این تنظیمات، داده‌ها درون یک Secondary VLAN ارسال می‌شوند و فقط به دیگر اعضای همان VLAN دسترسی دارند، در حالی که ارتباطات بین Secondary VLAN ها توسط Primary VLAN کنترل می‌شود.

بله، البته که می‌توانم. در اینجا یک مثال ساده از تنظیمات PVLAN برای یک دستگاه سوئیچ سیسکو (مانند Catalyst 2960) آورده شده است:

فرض کنید می‌خواهیم یک شبکه‌ی PVLAN برای یک سوئیچ سیسکو ایجاد کنیم که دو بخش را جدا کند: بخش اداری و بخش فناوری اطلاعات.

1. ایجاد Primary VLAN: 


```
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
```

2. ایجاد Secondary VLAN ها: 


```
Switch(config)# vlan 200
Switch(config-vlan)# private-vlan isolated

Switch(config)# vlan 201
Switch(config-vlan)# private-vlan community
```

3. تنظیم ارتباطات: 


```
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan association 200,201

Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 200,201

Switch(config)# interface range FastEthernet0/2-24
Switch(config-if-range)# switchport mode private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 200
```

در این تنظیمات، VLAN 100 به عنوان Primary VLAN ایجاد شده است. سپس دو Secondary VLAN به نام‌های 200 و 201 ایجاد می‌شوند، یکی به نام isolated و دیگری به نام community. سپس ارتباطات بین Primary VLAN و Secondary VLAN ها تعیین می‌شوند. در نهایت، پورت‌ها به عنوان پورت‌های ترانک (promiscuous) یا هاست (host) تنظیم شده و ارتباطات میان اعضای Secondary VLAN انجام می‌شود.

بله، می‌توانیم برای مثال در مورد تنظیمات Quality of Service (QoS) و انواع مختلف mode ها در Private VLAN ها توضیحات بیشتری ارائه دهیم.

1. Quality of Service (QoS) در Private VLAN ها:
در یک شبکه با استفاده از Private VLAN، ممکن است نیاز به اولویت‌بندی ترافیک داشته باشید. به عنوان مثال، ممکن است بخواهید ترافیک VoIP را با اولویت بیشتری از سایر ترافیک‌ها ارسال کنید. برای این کار، می‌توانید از QoS استفاده کنید. 


```
Switch(config)# class-map VOIP
Switch(config-cmap)# match dscp ef

Switch(config)# policy-map QOS
Switch(config-pmap)# class VOIP
Switch(config-pmap-c)# priority percent 30
Switch(config-pmap-c)# class class-default
Switch(config-pmap-c)# fair-queue
```

در این مثال، یک class-map به نام VOIP برای شناسایی بسته‌های VoIP با استفاده از DSCP (Differentiated Services Code Point) ef ایجاد شده است. سپس یک policy-map به نام QOS برای تعیین اولویت برای بسته‌های VoIP و تقسیم بندی مناسب برای بسته‌های دیگر ایجاد شده است.

2. انواع مختلف mode در Private VLAN ها:
در Private VLAN ها، دو نوع mode اصلی وجود دارد: promiscuous mode و host mode.

- Promiscuous Mode:
در این حالت، پورت به عنوان یک پورت ترانک (Trunk) تنظیم می‌شود و به همه‌ی VLAN ها دسترسی دارد. این نوع پورت معمولاً برای اتصال به دستگاه‌های مدیریتی یا دستگاه‌هایی که نیاز به دسترسی به همه‌ی VLAN ها دارند، مورد استفاده قرار می‌گیرد. 


```
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 200,201
```

- Host Mode:
در این حالت، پورت به عنوان یک پورت میزبان (Host) تنظیم می‌شود و فقط به یک VLAN اصلی و یک یا چند VLAN ثانویه دسترسی دارد. این نوع پورت معمولاً برای اتصال دستگاه‌های معمولی مانند کامپیوترها یا تلفن‌های IP استفاده می‌شود. 


```
Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 200
```

در این مثال، پورت GigabitEthernet0/2 به عنوان یک پورت میزبان تنظیم شده است که به VLAN اصلی 100 و VLAN ثانویه 200 اختصاص دارد.

بله، می‌توانم به شما توضیحات بیشتری در مورد Private VLAN ها ارائه دهم، به ویژه در ارتباط با تنظیمات و مفاهیم اضافی مانند استفاده از VLAN Mapping و PVLAN Edge.

1. VLAN Mapping در Private VLAN:
در برخی مواقع، ممکن است نیاز داشته باشید که پورت‌های Trunk (مانند پورت‌های promiscuous در PVLAN) به بیش از یک VLAN اصلی و یا VLAN ثانویه دسترسی داشته باشند. برای این کار از VLAN Mapping استفاده می‌شود. 


```
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 100,200,201
```

در این مثال، پورت GigabitEthernet0/1 به عنوان یک پورت Trunk تنظیم شده است که به VLAN های 100، 200 و 201 دسترسی دارد.

2. PVLAN Edge (Protected Ports):
PVLAN Edge به شما امکان می‌دهد تا پورت‌هایی را که به آنها دسترسی مستقیم به هر گونه دیگر از پورت‌ها نیاز ندارید، محافظت کنید. به عبارت دیگر، پورت‌های PVLAN Edge نمی‌توانند به یکدیگر متصل شوند. 


```
Switch(config)# interface FastEthernet0/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 200
Switch(config-if)# switchport private-vlan mapping 100 200 community
Switch(config-if)# switchport protected
```

در این مثال، پورت FastEthernet0/3 به عنوان یک پورت میزبان در PVLAN تنظیم شده است که به VLAN اصلی 100 و VLAN ثانویه 200 (نوع community) دسترسی دارد. همچنین با استفاده از دستور switchport protected، این پورت به عنوان یک PVLAN Edge تنظیم شده است، بنابراین دیگر پورت‌های PVLAN Edge نمی‌توانند به آن متصل شوند.

با این تنظیمات، شما می‌توانید کنترل دقیق‌تری بر روی ترافیک در شبکه‌ی خود داشته باشید و امنیت آن را افزایش دهید، همچنین بهترین استفاده را از Private VLAN ها برای تقسیم و کنترل دسترسی به منابع شبکه داشته باشید.

  1. ورود به صفحه فارسی