شبکههای Private VLAN (PVLAN) به شما این امکان را میدهند که دامنهی Broadcast را کاهش دهید و امنیت شبکه را افزایش دهید. در اینجا دو نوع اصلی VLAN وجود دارد: Primary VLAN و Secondary VLAN. Primary VLAN به همهی Secondary VLAN ها اجازهی ارتباط با یکدیگر را میدهد، اما Secondary VLAN ها اجازهی ارتباط با یکدیگر را ندارند. به عبارت دیگر، اعضای یک Secondary VLAN فقط با عضوهای همان VLAN میتوانند ارتباط برقرار کنند.
یک مثال ساده: فرض کنید یک شرکت دارای یک شبکهی VLAN است که از دو بخش اصلی تشکیل شده است: بخش اداری و بخش فناوری اطلاعات. بخش اداری میتواند با هم ارتباط برقرار کند اما نباید به دادههای بخش فناوری اطلاعات دسترسی داشته باشد. در اینجا میتوانید از PVLAN استفاده کنید تا این دو بخش از هم جدا شوند.
برای انجام تنظیمات PVLAN در تجهیزات سیسکو، مراحل زیر را دنبال کنید:
1. ایجاد Primary VLAN: ابتدا یک Primary VLAN ایجاد کنید و پورتهایی که قرار است به عنوان پورتهای ترانک (Trunk) استفاده شوند را به این VLAN اختصاص دهید.
2. ایجاد Secondary VLAN ها: سپس، برای هر بخش از شبکه (مانند بخش اداری و بخش فناوری اطلاعات) یک Secondary VLAN ایجاد کنید.
3. تنظیم ارتباطات: سپس، برای هر Secondary VLAN تعیین کنید که با کدام Secondary VLAN ها میتواند ارتباط برقرار کند و کدامها را میتواند ببیند.
با این تنظیمات، دادهها درون یک Secondary VLAN ارسال میشوند و فقط به دیگر اعضای همان VLAN دسترسی دارند، در حالی که ارتباطات بین Secondary VLAN ها توسط Primary VLAN کنترل میشود.
بله، البته که میتوانم. در اینجا یک مثال ساده از تنظیمات PVLAN برای یک دستگاه سوئیچ سیسکو (مانند Catalyst 2960) آورده شده است:
فرض کنید میخواهیم یک شبکهی PVLAN برای یک سوئیچ سیسکو ایجاد کنیم که دو بخش را جدا کند: بخش اداری و بخش فناوری اطلاعات.
1. ایجاد Primary VLAN:
```
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
```
2. ایجاد Secondary VLAN ها:
```
Switch(config)# vlan 200
Switch(config-vlan)# private-vlan isolated
Switch(config)# vlan 201
Switch(config-vlan)# private-vlan community
```
3. تنظیم ارتباطات:
```
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan association 200,201
Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 200,201
Switch(config)# interface range FastEthernet0/2-24
Switch(config-if-range)# switchport mode private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 200
```
در این تنظیمات، VLAN 100 به عنوان Primary VLAN ایجاد شده است. سپس دو Secondary VLAN به نامهای 200 و 201 ایجاد میشوند، یکی به نام isolated و دیگری به نام community. سپس ارتباطات بین Primary VLAN و Secondary VLAN ها تعیین میشوند. در نهایت، پورتها به عنوان پورتهای ترانک (promiscuous) یا هاست (host) تنظیم شده و ارتباطات میان اعضای Secondary VLAN انجام میشود.
بله، میتوانیم برای مثال در مورد تنظیمات Quality of Service (QoS) و انواع مختلف mode ها در Private VLAN ها توضیحات بیشتری ارائه دهیم.
1. Quality of Service (QoS) در Private VLAN ها:
در یک شبکه با استفاده از Private VLAN، ممکن است نیاز به اولویتبندی ترافیک داشته باشید. به عنوان مثال، ممکن است بخواهید ترافیک VoIP را با اولویت بیشتری از سایر ترافیکها ارسال کنید. برای این کار، میتوانید از QoS استفاده کنید.
```
Switch(config)# class-map VOIP
Switch(config-cmap)# match dscp ef
Switch(config)# policy-map QOS
Switch(config-pmap)# class VOIP
Switch(config-pmap-c)# priority percent 30
Switch(config-pmap-c)# class class-default
Switch(config-pmap-c)# fair-queue
```
در این مثال، یک class-map به نام VOIP برای شناسایی بستههای VoIP با استفاده از DSCP (Differentiated Services Code Point) ef ایجاد شده است. سپس یک policy-map به نام QOS برای تعیین اولویت برای بستههای VoIP و تقسیم بندی مناسب برای بستههای دیگر ایجاد شده است.
2. انواع مختلف mode در Private VLAN ها:
در Private VLAN ها، دو نوع mode اصلی وجود دارد: promiscuous mode و host mode.
- Promiscuous Mode:
در این حالت، پورت به عنوان یک پورت ترانک (Trunk) تنظیم میشود و به همهی VLAN ها دسترسی دارد. این نوع پورت معمولاً برای اتصال به دستگاههای مدیریتی یا دستگاههایی که نیاز به دسترسی به همهی VLAN ها دارند، مورد استفاده قرار میگیرد.
```
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 200,201
```
- Host Mode:
در این حالت، پورت به عنوان یک پورت میزبان (Host) تنظیم میشود و فقط به یک VLAN اصلی و یک یا چند VLAN ثانویه دسترسی دارد. این نوع پورت معمولاً برای اتصال دستگاههای معمولی مانند کامپیوترها یا تلفنهای IP استفاده میشود.
```
Switch(config)# interface GigabitEthernet0/2
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 200
```
در این مثال، پورت GigabitEthernet0/2 به عنوان یک پورت میزبان تنظیم شده است که به VLAN اصلی 100 و VLAN ثانویه 200 اختصاص دارد.
بله، میتوانم به شما توضیحات بیشتری در مورد Private VLAN ها ارائه دهم، به ویژه در ارتباط با تنظیمات و مفاهیم اضافی مانند استفاده از VLAN Mapping و PVLAN Edge.
1. VLAN Mapping در Private VLAN:
در برخی مواقع، ممکن است نیاز داشته باشید که پورتهای Trunk (مانند پورتهای promiscuous در PVLAN) به بیش از یک VLAN اصلی و یا VLAN ثانویه دسترسی داشته باشند. برای این کار از VLAN Mapping استفاده میشود.
```
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 100,200,201
```
در این مثال، پورت GigabitEthernet0/1 به عنوان یک پورت Trunk تنظیم شده است که به VLAN های 100، 200 و 201 دسترسی دارد.
2. PVLAN Edge (Protected Ports):
PVLAN Edge به شما امکان میدهد تا پورتهایی را که به آنها دسترسی مستقیم به هر گونه دیگر از پورتها نیاز ندارید، محافظت کنید. به عبارت دیگر، پورتهای PVLAN Edge نمیتوانند به یکدیگر متصل شوند.
```
Switch(config)# interface FastEthernet0/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 200
Switch(config-if)# switchport private-vlan mapping 100 200 community
Switch(config-if)# switchport protected
```
در این مثال، پورت FastEthernet0/3 به عنوان یک پورت میزبان در PVLAN تنظیم شده است که به VLAN اصلی 100 و VLAN ثانویه 200 (نوع community) دسترسی دارد. همچنین با استفاده از دستور switchport protected، این پورت به عنوان یک PVLAN Edge تنظیم شده است، بنابراین دیگر پورتهای PVLAN Edge نمیتوانند به آن متصل شوند.
با این تنظیمات، شما میتوانید کنترل دقیقتری بر روی ترافیک در شبکهی خود داشته باشید و امنیت آن را افزایش دهید، همچنین بهترین استفاده را از Private VLAN ها برای تقسیم و کنترل دسترسی به منابع شبکه داشته باشید.