رفتن به محتوا

تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان

تو هر سازمان یا شرکت کوچک و بزرگ، همیشه یه سری بخش‌ها هستن که اطلاعات‌شون حساس‌تر از بقیه‌ست؛ مثلا واحد حسابداری که با اطلاعات مالی و محرمانه سر و کار داره. حالا فرض کن کارمندان بخش‌های دیگه مثل فروش یا منابع انسانی، دارن از همون شبکه‌ای استفاده می‌کنن که حسابدارها باهاش به سیستم‌های مالی وصل می‌شن! اینجاست که ماجرا امنیتی می‌شه.

واقعیت اینه که اشتراک اینترنت بین واحدهای مختلف، نه‌ تنها باعث شلوغی شبکه می‌شه، بلکه احتمال نشت اطلاعات، کندی دسترسی یا حتی نفوذ داخلی رو هم بالا می‌بره. اما راه‌حل چیه؟ استفاده از VLAN.

توی این وبلاگ قراره خیلی ساده، گام‌ به‌ گام بهت نشون بدیم چطوری با کمک VLAN، یه شبکه مرتب، امن و قابل‌کنترل برای شرکتت بسازی؛ جوری که حسابدارها توی یه محیط امن کار کنن و بقیه‌ی کارمندا هم بدون ایجاد مزاحمت، به اینترنت دسترسی داشته باشن.

تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان-مقدمه

VLAN چیست؟

VLAN یا Virtual Local Area Network مفهومی در لایه دوم مدل OSI (لایه دیتا لینک) است که امکان ایجاد چندین شبکه مجزا را روی یک زیرساخت فیزیکی مشترک فراهم می‌کند. به بیان ساده، VLAN به ما اجازه می‌دهد تا دستگاه‌های متصل به یک سوئیچ شبکه را طوری پیکربندی کنیم که در عمل، انگار در چند شبکه‌ی مستقل از هم قرار دارند.

در یک شبکه سنتی، تمام دستگاه‌هایی که به یک سوئیچ متصل هستند، در یک Broadcast Domain قرار می‌گیرند. این یعنی هر Broadcast که توسط یک دستگاه ارسال شود، به تمام پورت‌های سوئیچ منتقل می‌شود. حالا تصور کنید که این Broadcast مربوط به اطلاعات مالی، منابع انسانی یا حتی اطلاعات داخلی شرکت باشد. در چنین شرایطی، نبود تفکیک میان هر بخش می‌تواند تهدیدی جدی برای امنیت اطلاعات و عملکرد شبکه باشد.

اینجاست که VLAN وارد عمل می‌شود. با تعریف VLAN، ما می‌توانیم Broadcast Domain ها را بدون نیاز به تجهیزات مجزا از هم تفکیک کنیم. هر VLAN مانند یک شبکه مجزا عمل می‌کند و ترافیک آن فقط درون همان VLAN منتقل می‌شود، مگر اینکه توسط روتر یا سوئیچ لایه سوم مسیر‌دهی شود (Inter-VLAN Routing).

مثالی کاربردی برای درک بهتر:

فرض کنید در یک شرکت، بخش حسابداری، منابع انسانی و فروش وجود دارند و همه به یک سوئیچ مرکزی متصل هستند. با تعریف VLAN به شکل زیر:

  • VLAN 10 → حسابداری
  • VLAN 20 → منابع انسانی
  • VLAN 30 → فروش

شما می‌توانید اطمینان حاصل کنید که:

  • ترافیک مربوط به حسابداری فقط بین اعضای حسابداری باقی بماند.
  • هیچ کارمندی از بخش فروش نتواند به فایل‌ها یا سرورهای حسابداری دسترسی داشته باشد.
  • حجم ترافیک شبکه بین بخش‌ها تداخل نداشته باشد.
تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان-VLAN چیست

نکات فنی کلیدی درباره VLAN:

  • هر VLAN دارای یک VLAN ID منحصر به‌ فرد است (عدد بین 1 تا 4094).
  • پورت‌های سوئیچ می‌توانند در حالت Access (عضو فقط یک VLAN) یا Trunk (حمل ترافیک چند VLAN به‌ طور هم‌زمان) تنظیم شوند.
  • پروتکل IEEE 802.1Q برای برچسب‌گذاری (tagging) بسته‌های VLAN روی لینک‌های Trunk استفاده می‌شود.
  • ارتباط بین VLANها فقط از طریق روتر یا سوئیچ لایه 3 امکان‌پذیر است (مگر اینکه محدود شده باشد).

مزایای استفاده از VLAN:

  • قابلیت مدیریت بهتر دسترسی‌ها و منابع شبکه
  • تقسیم‌بندی شبکه بدون افزایش تجهیزات فیزیکی
  • کاهش Broadcast Domain و افزایش بازدهی شبکه
  • افزایش امنیت از طریق جداسازی منطقی واحدهای مختلف

معرفی VLAN اختصاصی برای تفکیک حسابداری از سایر کارکنان

در یک ساختار شبکه‌ای ساده اما هدفمند، اولین قدم برای تفکیک ترافیک اینترنت بین واحدهای مختلف، تعریف VLAN اختصاصی برای هر گروه از کاربران است.

سناریو:

  • VLAN 10 برای واحد حسابداری
  • VLAN 20 برای سایر کارمندان

با این جداسازی، ترافیک هر گروه از کاربران به‌صورت مستقل در شبکه جریان پیدا می‌کنه و نه‌ تنها امنیت بالاتری ایجاد می‌شه، بلکه می‌تونیم کنترل بهتری روی پهنای باند، سطح دسترسی و منابع داشته باشیم.

روش‌های پیاده‌سازی VLAN در سوئیچ‌ها

دو روش رایج برای پیاده‌سازی VLAN در سوئیچ‌ها وجود داره که هر کدوم کاربرد خاص خودش رو داره:

تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان-Port-based VLAN

Port-based VLAN (Static VLAN)

در این مدل، هر پورت فیزیکی روی سوئیچ به یک VLAN خاص اختصاص داده می‌شه. مثلاً اگر پورت شماره 1 برای حسابداری باشه، هر دستگاهی که به این پورت وصل بشه، فقط به VLAN 10 دسترسی داره. این روش ساده‌ترین نوع جداسازی شبکه‌ست و برای سناریوهای کوچک و با ساختار ثابت بسیار مناسبه.

مزیت اصلی: پیکربندی راحت – تغییر کاربر فقط با تغییر پورت
محدودیت: نیاز به مدیریت دستی پورت‌ها در صورت جابجایی افراد یا دستگاه‌ها

تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان-Tag-based VLAN

Tag-based VLAN (IEEE 802.1Q)

در این روش، بسته‌های داده‌ای که در شبکه جابه‌جا می‌شن، یک VLAN Tag (برچسب شناسایی) همراه خودشون دارن. این مدل وقتی کاربرد داره که یک لینک فیزیکی (مثل ارتباط بین دو سوئیچ یا سوئیچ و روتر) نیاز داره چند VLAN رو همزمان عبور بده. به این لینک‌ها اصطلاحاً Trunk گفته می‌شه.

مثال کاربردی:
فرض کن سوئیچ مرکزی از هر دو VLAN پشتیبانی می‌کنه. حالا برای اینکه ارتباطش با روتر برقرار بشه، باید از Trunk با tagging استفاده کنیم تا هر دو VLAN روی یک کابل منتقل بشن، بدون اینکه ترافیکشون قاطی شه.

دیاگرام ساده شبکه برای پیاده‌سازی VLA

          [ اینترنت ]
               │
           [ روتر مرکزی ]
               │ (Trunk - Tag‑based)
           [ سوئیچ مرکزی ]
           ├───────────────┐
           │               │
      [ پورت‌های VLAN10 ]   [ پورت‌های VLAN20 ]
       (حسابداری)            (سایر کارمندان)
  • پورت‌هایی که به حسابداری وصل هستن، در VLAN10 قرار دارن و ترافیکشون ایزوله‌ست.
  • سایر کاربران از طریق پورت‌هایی که عضو VLAN20 هستن به شبکه وصل می‌شن.
  • ارتباط بین سوئیچ و روتر از طریق لینک Trunk انجام می‌شه که ترافیک هر دو VLAN رو به‌صورت تگ‌گذاری‌شده منتقل می‌کنه.

مراحل پیکربندی VLAN – گام‌به‌گام

1. ساخت VLAN جدید در سوئیچ

برای شروع، باید VLANهای مورد نیاز رو تعریف کنیم. معمولاً این کار از طریق محیط تحت وب (GUI) یا خط فرمان (CLI) انجام می‌شه.

مثال CLI برای سوئیچ Cisco:

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name ACCOUNTING
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name STAFF
Switch(config-vlan)# exit
  • VLAN 10 برای واحد حسابداری با نام «ACCOUNTING»
  • VLAN 20 برای سایر کارمندان با نام «STAFF»

2. تعیین ID و نام برای VLANها

هر VLAN باید یک VLAN ID یکتا داشته باشه (عدد بین 1 تا 4094). بهتره اسم هم براش تعریف بشه تا در محیط مدیریتی بتونی راحت‌تر بفهمی مربوط به کدوم گروه کاربریه.

VLAN IDنام VLANکاربرد
10ACCOUNTINGحسابداری
20STAFFسایر کارمندان

3. اختصاص پورت‌ها به VLAN مشخص

باید تعیین کنیم که هر پورت فیزیکی سوئیچ به کدوم VLAN تعلق داره.

Cisco CLI:

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

Switch(config)# interface FastEthernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit
  • پورت 0/1 به VLAN10 (حسابداری) اختصاص داده شده.
  • پورت 0/2 به VLAN20 (کارمندان) وصل شده.

4. تنظیم Trunk Port برای ارتباط با روتر یا سوئیچ دیگر

اگر روتر یا سوئیچ دیگه‌ای قراره چند VLAN رو از یه لینک عبور بده، اون پورت باید به حالت Trunk دربیاد.

Switch(config)# interface GigabitEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit

تا اینجای کار شما موفق شدی:
– VLANها رو تعریف کنی
– پورت‌ها رو به VLAN مناسب متصل کنی
– و مسیر Trunk برای انتقال هم‌زمان VLANها رو هم راه‌اندازی کنی

تنظیم DHCP جداگانه برای هر VLAN

وقتی شما چند VLAN تعریف می‌کنی (مثلاً VLAN10 برای حسابداری و VLAN20 برای کارمندان)، اگر برای همه‌شون فقط یک DHCP (سرور یا سرویس‌دهنده آی‌پی خودکار) داشته باشی، آی‌پی‌ها به‌درستی به کلاینت‌ها تخصیص داده نمی‌شن یا تداخل به وجود میاد.

پس لازمه:

  • برای هر VLAN، یک محدوده IP اختصاصی تعریف بشه (مثلاً 192.168.10.0/24 و 192.168.20.0/24)
  • DHCP باید بتونه بفهمه هر درخواست از کدوم VLAN اومده
  • برای این کار باید از Router-on-a-Stick یا سوئیچ لایه 3 استفاده کنیم

حالت اول: استفاده از روتر (Router-on-a-Stick)

در این مدل، یه پورت از روتر روی حالت Trunk تنظیم می‌شه، و برای هر VLAN، یک زیررابط (sub-interface) ایجاد می‌کنیم که DHCP مخصوص خودش رو داره.

پیکربندی زیررابط و DHCP برای روتر Cisco:

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
!
ip dhcp pool ACCOUNTING
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.1
!
ip dhcp pool STAFF
 network 192.168.20.0 255.255.255.0
 default-router 192.168.20.1

به این ترتیب:

  • VLAN10 (حسابداری) آی‌پی از محدوده 192.168.10.0 دریافت می‌کنه
  • VLAN20 (کارمندان) آی‌پی از محدوده 192.168.20.0 می‌گیره

حالت دوم: استفاده از سوئیچ لایه 3

در این مدل، سوئیچ نقش روتر رو هم بازی می‌کنه و برای هر VLAN یک SVI (رابط مجازی) تعریف می‌شه.

پیکربندی روی سوئیچ Cisco لایه 3:

interface vlan 10
 ip address 192.168.10.1 255.255.255.0
!
interface vlan 20
 ip address 192.168.20.1 255.255.255.0
!
ip dhcp pool ACCOUNTING
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.1
!
ip dhcp pool STAFF
 network 192.168.20.0 255.255.255.0
 default-router 192.168.20.1

تست نهایی

در هر VLAN یک سیستم قرار بده و بررسی کن:

  • آیا آی‌پی درست می‌گیره؟
  • آیا تداخل نداره با VLAN دیگه؟
  • آیا ارتباط با اینترنت یا سرور مرکزی درست انجام می‌شه؟

پیکربندی پورت Trunk بین سوئیچ و روتر

وقتی چند VLAN داریم، باید بتونیم ترافیک همه اون‌ها رو از طریق یک پورت فیزیکی به روتر یا سوئیچ لایه 3 بفرستیم. اینجاست که Trunk Port به کمک ما میاد.

  • Trunk اجازه می‌ده چند VLAN به‌ صورت هم‌زمان از یک مسیر عبور کنن
  • پروتکل استاندارد برای این کار IEEE 802.1Q هست
  • این پروتکل ترافیک هر VLAN رو با یه شناسه (Tag) مشخص می‌کنه

سناریو فرضی ما:

  • VLAN10 برای حسابداری
  • VLAN20 برای کارمندان
  • سوئیچ به روتر متصل شده از طریق پورت GigabitEthernet0/1
  • می‌خوایم این پورت رو روی حالت Trunk تنظیم کنیم

پیکربندی Trunk روی سوئیچ Cisco:

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20

توضیح کد نوشته شد:

  • switchport trunk encapsulation dot1q: فعال‌سازی پروتکل تگ‌گذاری 802.1Q
  • switchport mode trunk: تغییر حالت پورت به Trunk
  • switchport trunk allowed vlan 10,20: فقط اجازه عبور به VLAN 10 و 20 داده می‌شه (برای امنیت)

پیکربندی مربوط به روتر (Router-on-a-Stick):

روی روتر شبکه باید برای هر VLAN، یه زیررابط (subinterface) تعریف کنیم که بتونه ترافیک تگ‌ شده از Trunk رو بفهمه:

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

با این تنظیمات، روتر می‌تونه ترافیک هر VLAN رو شناسایی، مسیریابی و مدیریت کنه.

نکات مهم تست و اعتبارسنجی:

  • مطمئن شو که در سوئیچ، پورت‌های متصل به کلاینت‌ها روی حالت Access باشن و VLAN مناسب براشون تعریف شده باشه.
  • از دستور show vlan brief و show interfaces trunk برای بررسی پیکربندی VLAN و Trunk استفاده کن.
  • از کلاینت‌های هر VLAN پینگ بگیر تا مطمئن بشی روتر به‌درستی در حال مسیریابی هست.
تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان-Inter-VLAN Routing

Inter-VLAN Routing یعنی چی؟

به‌طور پیش‌فرض، VLANها از نظر شبکه کاملاً جدا از هم هستن. یعنی اگه یه کلاینت توی VLAN 10 باشه و بخواد به سرور یا پرینتری در VLAN 20 دسترسی داشته باشه، بدون مسیردهی هیچ شانسی نداره.

برای همین، لازمه از یه روتر یا سوئیچ لایه ۳ استفاده کنیم که بتونه بین VLANها مسیردهی انجام بده.

دو روش برای Inter-VLAN Routing

روشتوضیح
Router-on-a-Stickاستفاده از روتر با رابط‌های Subinterface
سوئیچ لایه 3مناسب برای شبکه‌های بزرگ‌تر و پرسرعت‌تر

در این سناریوی ما (شبکه 20 نفره)، روش Router-on-a-Stick کاملاً جواب می‌ده.

پیکربندی Inter-VLAN Routing با Router-on-a-Stick

فرض کنیم:

  • VLAN 10 → حسابداری → آدرس 192.168.10.0/24
  • VLAN 20 → کارمندان → آدرس 192.168.20.0/24

روی روتر باید این Subinterfaceها رو تنظیم کنیم:

interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

حالا این IPها نقش Default Gateway برای هر VLAN رو دارن.

روی کلاینت‌ها:

VLANDefault Gateway
10192.168.10.1
20192.168.20.1

تست و اعتبارسنجی

بعد از پیکربندی:

  • از یک سیستم توی VLAN10 پینگ بگیر به سیستم دیگه توی VLAN20
  • از دستور ping 192.168.20.10 استفاده کن و نتیجه رو بررسی کن
  • همچنین می‌تونی با tracert مسیر بسته‌ها رو بررسی کنی

امنیت در مسیردهی بین VLANها

اگر نمی‌خوای همه VLANها با هم ارتباط کامل داشته باشن، باید از Access Control List (ACL) یا Policy Based Routing استفاده کنی تا دسترسی‌ها رو محدود کنی.

مثلاً:

  • VLAN10 (حسابداری) بتونه به اینترنت بره، ولی VLAN20 نتونه به VLAN10 دسترسی پیدا کنه
  • یا فقط به پورت‌های خاصی از سرور حسابداری دسترسی داشته باشن

هدف از نوشتن ACL بین VLANها چیه؟

  • جلوگیری از دسترسی کاربران VLAN20 (کارمندان) به VLAN10 (حسابداری)
  • در عین حال، اجازه دادن به VLAN10 برای دسترسی به منابع اشتراکی یا اینترنت
  • حفظ استقلال و امنیت داده‌ها

سناریو فرضی ما:

VLANکاربردIP Subnet
10حسابداری192.168.10.0/24
20کارمندان192.168.20.0/24

می‌خوایم:

  • کارمندان نتونن هیچ‌جور به حسابداری دسترسی داشته باشن
  • ولی حسابداری بتونه با اینترنت و حتی پرینتر VLAN20 کار کنه

مراحل نوشتن ACL روی روتر

1. تعریف ACL استاندارد یا گسترده (Extended)

چون می‌خوایم مبدا و مقصد رو مشخص کنیم، از ACL گسترده استفاده می‌کنیم:

access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip any any

2. اعمال ACL روی Subinterface مربوط به VLAN 20 (سمت خروجی)

interface GigabitEthernet0/0.20
 ip access-group 110 out

توضیح دقیق خطوط بالا:

  • access-list 110 deny ip ... یعنی هیچ سیستمی از VLAN20 حق نداره به سیستم‌های VLAN10 دسترسی داشته باشه.
  • permit ip any any اجازه می‌ده بقیه ترافیک (مثل اینترنت) رد بشه.
  • ip access-group 110 out یعنی این محدودیت فقط زمانی اعمال می‌شه که ترافیک از VLAN20 خارج بشه (نه داخلش).

تست سناریو:

  1. از سیستم داخل VLAN20، پینگ بگیر به سیستم داخل VLAN10 → باید Fail بشه
  2. از VLAN10 پینگ بگیر به اینترنت یا منابع عمومی → باید OK باشه
  3. از VLAN20 پینگ بگیر به گوگل یا سرور DNS → باید OK باشه

نکات امنیتی تکمیلی:

  • اگر سیستم خاصی از VLAN20 باید به یک سرور خاص در VLAN10 دسترسی داشته باشه، می‌تونی براش استثنا تعریف کنی:
access-list 110 permit ip host 192.168.20.50 host 192.168.10.10
  • این کد فقط به آی‌پی خاصی اجازه دسترسی می‌ده (مثلاً برای پشتیبان‌گیری یا پرینتر)

ACLها یکی از مؤثرترین و سبک‌ترین ابزارها برای تقسیم‌بندی و امن‌سازی دسترسی‌های بین VLANها هستن. تو این سناریو موفق شدیم دسترسی‌ها رو دقیقاً طبق نیاز کاری محدود کنیم بدون اینکه به عملکرد کاربران لطمه بزنیم.

اعمال قوانین امنیتی و فیلترینگ در شبکه‌های VLAN

در این مرحله تمرکز ما روی دو حوزه است:

  1. کنترل دسترسی کاربران به اینترنت یا سایت‌های خاص (Web Filtering)
  2. محدود کردن دسترسی کاربران به سرویس‌ها، پروتکل‌ها یا پورت‌های خاص (Firewall Rules)

1. فیلترینگ اینترنت برای کاربران عادی (VLAN20)

فرض کن نمی‌خوای کارمندها به سایت‌هایی مثل اینستاگرام، تلگرام یا یوتیوب دسترسی داشته باشن، ولی حسابداری باید به سیستم‌های مالی آنلاین دسترسی داشته باشه. راهکار؟

گزینه‌های اجرایی:

راهکارتوضیح
استفاده از فایروال سخت‌افزاریمثل Mikrotik، Fortigate یا Cisco ASA
برای تعریف رول‌های فیلترینگ بر اساس IP/URL/پورت
استفاده از DNS Filteringمثل OpenDNS یا Pi-hole
که سایت‌های خاص رو در سطح DNS بلاک می‌کنه
راهکار نرم‌افزاری روی
Gateway یا Proxy
مثل Squid + iptables
برای فیلتر کردن درخواست‌های اینترنتی از سمت VLAN خاص

نمونه رول در Mikrotik (Layer7 Filtering):

/ip firewall layer7-protocol
add name=block_social regexp="^.+(instagram|telegram|youtube).*\$"

/ip firewall filter
add chain=forward src-address=192.168.20.0/24 layer7-protocol=block_social action=drop

2. محدود کردن سرویس‌های خاص در شبکه داخلی

مثلاً فقط حسابداری اجازه دسترسی به پرینتر یا سرور فایل رو داشته باشه و بقیه کاربران خیر.

راهکار:

نوشتن ACL با دقت بیشتر یا تعریف رول در فایروال:

access-list 120 deny tcp 192.168.20.0 0.0.0.255 host 192.168.10.5 eq 445
access-list 120 permit ip any any

این خط اتصال کارمندها به پورت SMB روی سرور حسابداری رو می‌بنده ولی بقیه ارتباط‌ها باز می‌مونه.

3. استفاده از VLAN ACL (VACL) یا Private VLAN (PVLAN)

  • در سوئیچ‌های لایه 3 (مثل Cisco)، می‌تونی به جای ACL در روتر، از VACL برای فیلترینگ مستقیم بین VLANها استفاده کنی.
  • PVLAN هم زمانی کاربرد داره که بخوای در یک VLAN، کاربرها نتونن همدیگه رو ببینن (برای امنیت بیشتر در شبکه‌های عمومی یا سازمانی)
ابزارکاربرد اصلی
ACLمحدود کردن دسترسی بین VLANها
DNS Filteringبستن سایت‌ها در سطح آدرس دامنه
Firewall Rulesفیلتر دقیق پروتکل‌ها، پورت‌ها و IPها
Web Proxyکنترل و گزارش‌گیری ترافیک HTTP/HTTPS
PVLANجداسازی سطح پایین کاربران در یک VLAN مشترک

تست و اعتبارسنجی پیکربندی VLAN

بعد از انجام تمام مراحل پیکربندی (ساخت VLAN، تنظیم DHCP، تنظیم Trunk، ACL، فایروال و فیلترینگ)، حالا باید مطمئن بشیم همه چیز دقیقاً طبق انتظار کار می‌کنه. در این مرحله، نه‌تنها خطاها رو پیدا می‌کنیم، بلکه می‌تونیم نقاط ضعف امنیتی یا پیکربندی اشتباه رو هم برطرف کنیم.

1. تست IP Addressing و دریافت DHCP

دستگاهی رو از هر VLAN به شبکه متصل کن و بررسی کن:

  • آیا IP مناسب از DHCP خودش دریافت می‌کنه؟
  • آیا Default Gateway درسته تنظیم شده؟
  • آیا DNS کار می‌کنه؟

تست پیشنهادی (در ویندوز):

ipconfig /all
ping 8.8.8.8
nslookup google.com

2. تست دسترسی بین VLANها

با دستور ping یا tracert بررسی کن:

تستهدف
از VLAN20 به VLAN10باید طبق ACL یا فایروال، دسترسی محدود یا قطع باشه
از VLAN10 به اینترنتدسترسی باید آزاد باشه
از VLAN20 به سایت‌های ممنوعهنباید باز بشن (تست فیلترینگ)

مثال:

ping 192.168.10.1     // IP سرور حسابداری
tracert www.youtube.com

3. تست Trunk و ارتباط بین سوئیچ‌ها/روترها

با استفاده از دستورات CLI روی سوئیچ یا روتر مطمئن شو که:

  • پورت Trunk فعال و درست تگ‌گذاری شده
  • VLAN‌ها روی Trunk عبور می‌کنن (Tagged traffic)

در Cisco:

show interfaces trunk
show vlan brief

4. بررسی لاگ‌ها و مانیتورینگ ترافیک

اگه از تجهیزات حرفه‌ای استفاده می‌کنی، بهتره با ابزارهای زیر وضعیت VLAN رو مانیتور کنی:

ابزارکاربرد
Wiresharkتحلیل بسته‌های شبکه و تگ‌های VLAN
NetFlow یا sFlowمشاهده جریان ترافیک VLANها
SNMP Monitoringمانیتور کردن بار و فعالیت هر پورت سوئیچ

تست امنیت ACL و Firewall

سعی کن عمداً از VLAN20 به منابع VLAN10 متصل شی. اگه دسترسی نداشتی یعنی رول ACL درست نوشته شده.
همچنین فیلترینگ سایت‌ها، پورت‌ها و سرویس‌ها رو با دستگاه واقعی تست کن، نه فقط روی کاغذ یا تنظیمات!

مرحله تست و اعتبارسنجی، تضمین می‌کنه که:

  • هر VLAN دقیقاً همون دسترسی رو داره که باید داشته باشه
  • امنیت شبکه در سطح منطقی پیاده‌سازی شده
  • هیچ دستگاهی خارج از چارچوب تعیین‌شده، به داده‌ها یا اینترنت دسترسی نداره

اگر موافقی، در ادامه بخش «جمع‌بندی نهایی و پیشنهاد حرفه‌ای برای اجرای VLAN در سازمان‌های کوچک» رو هم آماده کنم.

نکات ضروری و مهم هنگام پیاده‌سازی VLAN

1. از سوئیچ مدیریت‌پذیر (Managed Switch) استفاده کن

VLAN فقط روی سوئیچ‌های مدیریت‌پذیر قابل پیاده‌سازیه. حتماً از تجهیزاتی استفاده کن که پشتیبانی کامل از 802.1Q (استاندارد Tagging) داشته باشن.

2. به Native VLAN دقت کن

0Native VLAN روی لینک Trunk نباید با VLANهای حساس (مثل حسابداری) یکسان باشه. بهتره یه VLAN غیر فعال یا بدون کلاینت براش در نظر بگیری تا از حملات VLAN Hopping جلوگیری شه.

3. ACL بنویس، نه فقط VLAN بساز

فقط ساخت VLAN برای ایزوله کردن ترافیک کافی نیست. باید با نوشتن Access Control List دقیق، دسترسی‌ها بین VLANها رو به‌درستی محدود یا مجاز کنی.

4. برای هر VLAN، DHCP جدا یا Relay تنظیم کن

اگه همه کلاینت‌ها از یک DHCP استفاده کنن، ممکنه تداخل آی‌پی رخ بده. یا برای هر VLAN یک DHCP سرور بساز، یا از DHCP Relay برای ارتباط بین VLAN و DHCP مرکزی استفاده کن.

5. تست کامل قبل از پیاده‌سازی در محیط واقعی

همه تنظیمات (VLAN، Trunk، IP، ACL، DHCP، ارتباط با اینترنت) رو در محیط آزمایشی تست کن. بعد از اطمینان کامل، وارد فاز اجرایی در شبکه اصلی شو.

6. مستندسازی فراموش نشه

برای هر VLAN، ID، نام، محدوده IP، نقش کلاینت‌ها، ACLها و تنظیمات Trunk رو مستندسازی کن. این کار در آینده برای عیب‌یابی و گسترش بسیار مفیده.

7. مانیتورینگ شبکه پس از اجرا

از ابزارهایی مثل PRTG، Zabbix یا The Dude استفاده کن تا وضعیت ترافیک، وضعیت VLANها و مصرف منابع در لحظه کنترل بشه.

8. کاربران رو آگاه کن

کاربران هر بخش (مخصوصاً حسابداری) باید بدونن اینترنت یا پرینترشون ممکنه با بقیه فرق کنه. این آگاهی باعث کاهش تماس‌های پشتیبانی می‌شه.

جمع‌بندی

راه‌اندازی VLAN یکی از مؤثرترین روش‌های تفکیک ترافیک در شبکه‌های سازمانیه، مخصوصاً در سناریوهایی که نیاز به جدا کردن دسترسی‌های حساس مثل بخش حسابداری از سایر کارمندان وجود داره. این تفکیک نه‌تنها امنیت اطلاعات مالی رو بالا می‌بره، بلکه باعث می‌شه پهنای باند بین کاربران به‌درستی مدیریت بشه.

در این مقاله سعی کردیم گام‌به‌گام مراحل طراحی، پیکربندی و اعمال سیاست‌های امنیتی روی VLANها رو بررسی کنیم؛ از تعریف و ساخت VLAN تا تنظیم DHCP جداگانه، نوشتن ACL، پیاده‌سازی Trunk و تست نهایی. همچنین نکات حرفه‌ای برای اجرای بدون خطای این ساختار در محیط واقعی رو مرور کردیم.

در نهایت پیشنهاد می‌کنیم قبل از پیاده‌سازی هر VLAN، ابتدا نیازسنجی دقیق انجام بدین، سناریوی نهایی رو مستند کرده و در محیط آزمایشی تست کنین. اجرای درست VLAN می‌تونه نقطه عطفی برای حرفه‌ای‌تر شدن زیرساخت شبکه شما باشه.

مطالب آموزشی


بازگشت به بالا