
تنظیم VLAN برای تفکیک اینترنت حسابداری از کارمندان
تو هر سازمان یا شرکت کوچک و بزرگ، همیشه یه سری بخشها هستن که اطلاعاتشون حساستر از بقیهست؛ مثلا واحد حسابداری که با اطلاعات مالی و محرمانه سر و کار داره. حالا فرض کن کارمندان بخشهای دیگه مثل فروش یا منابع انسانی، دارن از همون شبکهای استفاده میکنن که حسابدارها باهاش به سیستمهای مالی وصل میشن! اینجاست که ماجرا امنیتی میشه.
واقعیت اینه که اشتراک اینترنت بین واحدهای مختلف، نه تنها باعث شلوغی شبکه میشه، بلکه احتمال نشت اطلاعات، کندی دسترسی یا حتی نفوذ داخلی رو هم بالا میبره. اما راهحل چیه؟ استفاده از VLAN.
توی این وبلاگ قراره خیلی ساده، گام به گام بهت نشون بدیم چطوری با کمک VLAN، یه شبکه مرتب، امن و قابلکنترل برای شرکتت بسازی؛ جوری که حسابدارها توی یه محیط امن کار کنن و بقیهی کارمندا هم بدون ایجاد مزاحمت، به اینترنت دسترسی داشته باشن.

VLAN چیست؟
VLAN یا Virtual Local Area Network مفهومی در لایه دوم مدل OSI (لایه دیتا لینک) است که امکان ایجاد چندین شبکه مجزا را روی یک زیرساخت فیزیکی مشترک فراهم میکند. به بیان ساده، VLAN به ما اجازه میدهد تا دستگاههای متصل به یک سوئیچ شبکه را طوری پیکربندی کنیم که در عمل، انگار در چند شبکهی مستقل از هم قرار دارند.
در یک شبکه سنتی، تمام دستگاههایی که به یک سوئیچ متصل هستند، در یک Broadcast Domain قرار میگیرند. این یعنی هر Broadcast که توسط یک دستگاه ارسال شود، به تمام پورتهای سوئیچ منتقل میشود. حالا تصور کنید که این Broadcast مربوط به اطلاعات مالی، منابع انسانی یا حتی اطلاعات داخلی شرکت باشد. در چنین شرایطی، نبود تفکیک میان هر بخش میتواند تهدیدی جدی برای امنیت اطلاعات و عملکرد شبکه باشد.
اینجاست که VLAN وارد عمل میشود. با تعریف VLAN، ما میتوانیم Broadcast Domain ها را بدون نیاز به تجهیزات مجزا از هم تفکیک کنیم. هر VLAN مانند یک شبکه مجزا عمل میکند و ترافیک آن فقط درون همان VLAN منتقل میشود، مگر اینکه توسط روتر یا سوئیچ لایه سوم مسیردهی شود (Inter-VLAN Routing).
مثالی کاربردی برای درک بهتر:
فرض کنید در یک شرکت، بخش حسابداری، منابع انسانی و فروش وجود دارند و همه به یک سوئیچ مرکزی متصل هستند. با تعریف VLAN به شکل زیر:
- VLAN 10 → حسابداری
- VLAN 20 → منابع انسانی
- VLAN 30 → فروش
شما میتوانید اطمینان حاصل کنید که:
- ترافیک مربوط به حسابداری فقط بین اعضای حسابداری باقی بماند.
- هیچ کارمندی از بخش فروش نتواند به فایلها یا سرورهای حسابداری دسترسی داشته باشد.
- حجم ترافیک شبکه بین بخشها تداخل نداشته باشد.

نکات فنی کلیدی درباره VLAN:
- هر VLAN دارای یک VLAN ID منحصر به فرد است (عدد بین 1 تا 4094).
- پورتهای سوئیچ میتوانند در حالت Access (عضو فقط یک VLAN) یا Trunk (حمل ترافیک چند VLAN به طور همزمان) تنظیم شوند.
- پروتکل IEEE 802.1Q برای برچسبگذاری (tagging) بستههای VLAN روی لینکهای Trunk استفاده میشود.
- ارتباط بین VLANها فقط از طریق روتر یا سوئیچ لایه 3 امکانپذیر است (مگر اینکه محدود شده باشد).
مزایای استفاده از VLAN:
- قابلیت مدیریت بهتر دسترسیها و منابع شبکه
- تقسیمبندی شبکه بدون افزایش تجهیزات فیزیکی
- کاهش Broadcast Domain و افزایش بازدهی شبکه
- افزایش امنیت از طریق جداسازی منطقی واحدهای مختلف
معرفی VLAN اختصاصی برای تفکیک حسابداری از سایر کارکنان
در یک ساختار شبکهای ساده اما هدفمند، اولین قدم برای تفکیک ترافیک اینترنت بین واحدهای مختلف، تعریف VLAN اختصاصی برای هر گروه از کاربران است.
سناریو:
- VLAN 10 برای واحد حسابداری
- VLAN 20 برای سایر کارمندان
با این جداسازی، ترافیک هر گروه از کاربران بهصورت مستقل در شبکه جریان پیدا میکنه و نه تنها امنیت بالاتری ایجاد میشه، بلکه میتونیم کنترل بهتری روی پهنای باند، سطح دسترسی و منابع داشته باشیم.
روشهای پیادهسازی VLAN در سوئیچها
دو روش رایج برای پیادهسازی VLAN در سوئیچها وجود داره که هر کدوم کاربرد خاص خودش رو داره:

Port-based VLAN (Static VLAN)
در این مدل، هر پورت فیزیکی روی سوئیچ به یک VLAN خاص اختصاص داده میشه. مثلاً اگر پورت شماره 1 برای حسابداری باشه، هر دستگاهی که به این پورت وصل بشه، فقط به VLAN 10 دسترسی داره. این روش سادهترین نوع جداسازی شبکهست و برای سناریوهای کوچک و با ساختار ثابت بسیار مناسبه.
مزیت اصلی: پیکربندی راحت – تغییر کاربر فقط با تغییر پورت
محدودیت: نیاز به مدیریت دستی پورتها در صورت جابجایی افراد یا دستگاهها

Tag-based VLAN (IEEE 802.1Q)
در این روش، بستههای دادهای که در شبکه جابهجا میشن، یک VLAN Tag (برچسب شناسایی) همراه خودشون دارن. این مدل وقتی کاربرد داره که یک لینک فیزیکی (مثل ارتباط بین دو سوئیچ یا سوئیچ و روتر) نیاز داره چند VLAN رو همزمان عبور بده. به این لینکها اصطلاحاً Trunk گفته میشه.
مثال کاربردی:
فرض کن سوئیچ مرکزی از هر دو VLAN پشتیبانی میکنه. حالا برای اینکه ارتباطش با روتر برقرار بشه، باید از Trunk با tagging استفاده کنیم تا هر دو VLAN روی یک کابل منتقل بشن، بدون اینکه ترافیکشون قاطی شه.
دیاگرام ساده شبکه برای پیادهسازی VLA
[ اینترنت ]
│
[ روتر مرکزی ]
│ (Trunk - Tag‑based)
[ سوئیچ مرکزی ]
├───────────────┐
│ │
[ پورتهای VLAN10 ] [ پورتهای VLAN20 ]
(حسابداری) (سایر کارمندان)- پورتهایی که به حسابداری وصل هستن، در VLAN10 قرار دارن و ترافیکشون ایزولهست.
- سایر کاربران از طریق پورتهایی که عضو VLAN20 هستن به شبکه وصل میشن.
- ارتباط بین سوئیچ و روتر از طریق لینک Trunk انجام میشه که ترافیک هر دو VLAN رو بهصورت تگگذاریشده منتقل میکنه.
مراحل پیکربندی VLAN – گامبهگام
1. ساخت VLAN جدید در سوئیچ
برای شروع، باید VLANهای مورد نیاز رو تعریف کنیم. معمولاً این کار از طریق محیط تحت وب (GUI) یا خط فرمان (CLI) انجام میشه.
مثال CLI برای سوئیچ Cisco:
Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name ACCOUNTING
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name STAFF
Switch(config-vlan)# exit
- VLAN 10 برای واحد حسابداری با نام «ACCOUNTING»
- VLAN 20 برای سایر کارمندان با نام «STAFF»
2. تعیین ID و نام برای VLANها
هر VLAN باید یک VLAN ID یکتا داشته باشه (عدد بین 1 تا 4094). بهتره اسم هم براش تعریف بشه تا در محیط مدیریتی بتونی راحتتر بفهمی مربوط به کدوم گروه کاربریه.
| VLAN ID | نام VLAN | کاربرد |
|---|---|---|
| 10 | ACCOUNTING | حسابداری |
| 20 | STAFF | سایر کارمندان |
3. اختصاص پورتها به VLAN مشخص
باید تعیین کنیم که هر پورت فیزیکی سوئیچ به کدوم VLAN تعلق داره.
Cisco CLI:
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface FastEthernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit- پورت 0/1 به VLAN10 (حسابداری) اختصاص داده شده.
- پورت 0/2 به VLAN20 (کارمندان) وصل شده.
4. تنظیم Trunk Port برای ارتباط با روتر یا سوئیچ دیگر
اگر روتر یا سوئیچ دیگهای قراره چند VLAN رو از یه لینک عبور بده، اون پورت باید به حالت Trunk دربیاد.
Switch(config)# interface GigabitEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exitتا اینجای کار شما موفق شدی:
– VLANها رو تعریف کنی
– پورتها رو به VLAN مناسب متصل کنی
– و مسیر Trunk برای انتقال همزمان VLANها رو هم راهاندازی کنی
تنظیم DHCP جداگانه برای هر VLAN
وقتی شما چند VLAN تعریف میکنی (مثلاً VLAN10 برای حسابداری و VLAN20 برای کارمندان)، اگر برای همهشون فقط یک DHCP (سرور یا سرویسدهنده آیپی خودکار) داشته باشی، آیپیها بهدرستی به کلاینتها تخصیص داده نمیشن یا تداخل به وجود میاد.
پس لازمه:
- برای هر VLAN، یک محدوده IP اختصاصی تعریف بشه (مثلاً 192.168.10.0/24 و 192.168.20.0/24)
- DHCP باید بتونه بفهمه هر درخواست از کدوم VLAN اومده
- برای این کار باید از Router-on-a-Stick یا سوئیچ لایه 3 استفاده کنیم
حالت اول: استفاده از روتر (Router-on-a-Stick)
در این مدل، یه پورت از روتر روی حالت Trunk تنظیم میشه، و برای هر VLAN، یک زیررابط (sub-interface) ایجاد میکنیم که DHCP مخصوص خودش رو داره.
پیکربندی زیررابط و DHCP برای روتر Cisco:
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
!
ip dhcp pool ACCOUNTING
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
ip dhcp pool STAFF
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1به این ترتیب:
- VLAN10 (حسابداری) آیپی از محدوده 192.168.10.0 دریافت میکنه
- VLAN20 (کارمندان) آیپی از محدوده 192.168.20.0 میگیره
حالت دوم: استفاده از سوئیچ لایه 3
در این مدل، سوئیچ نقش روتر رو هم بازی میکنه و برای هر VLAN یک SVI (رابط مجازی) تعریف میشه.
پیکربندی روی سوئیچ Cisco لایه 3:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface vlan 20
ip address 192.168.20.1 255.255.255.0
!
ip dhcp pool ACCOUNTING
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
!
ip dhcp pool STAFF
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1تست نهایی
در هر VLAN یک سیستم قرار بده و بررسی کن:
- آیا آیپی درست میگیره؟
- آیا تداخل نداره با VLAN دیگه؟
- آیا ارتباط با اینترنت یا سرور مرکزی درست انجام میشه؟
پیکربندی پورت Trunk بین سوئیچ و روتر
وقتی چند VLAN داریم، باید بتونیم ترافیک همه اونها رو از طریق یک پورت فیزیکی به روتر یا سوئیچ لایه 3 بفرستیم. اینجاست که Trunk Port به کمک ما میاد.
- Trunk اجازه میده چند VLAN به صورت همزمان از یک مسیر عبور کنن
- پروتکل استاندارد برای این کار IEEE 802.1Q هست
- این پروتکل ترافیک هر VLAN رو با یه شناسه (Tag) مشخص میکنه
سناریو فرضی ما:
- VLAN10 برای حسابداری
- VLAN20 برای کارمندان
- سوئیچ به روتر متصل شده از طریق پورت GigabitEthernet0/1
- میخوایم این پورت رو روی حالت Trunk تنظیم کنیم
پیکربندی Trunk روی سوئیچ Cisco:
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20
توضیح کد نوشته شد:
switchport trunk encapsulation dot1q: فعالسازی پروتکل تگگذاری 802.1Qswitchport mode trunk: تغییر حالت پورت به Trunkswitchport trunk allowed vlan 10,20: فقط اجازه عبور به VLAN 10 و 20 داده میشه (برای امنیت)
پیکربندی مربوط به روتر (Router-on-a-Stick):
روی روتر شبکه باید برای هر VLAN، یه زیررابط (subinterface) تعریف کنیم که بتونه ترافیک تگ شده از Trunk رو بفهمه:
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0با این تنظیمات، روتر میتونه ترافیک هر VLAN رو شناسایی، مسیریابی و مدیریت کنه.
نکات مهم تست و اعتبارسنجی:
- مطمئن شو که در سوئیچ، پورتهای متصل به کلاینتها روی حالت Access باشن و VLAN مناسب براشون تعریف شده باشه.
- از دستور
show vlan briefوshow interfaces trunkبرای بررسی پیکربندی VLAN و Trunk استفاده کن. - از کلاینتهای هر VLAN پینگ بگیر تا مطمئن بشی روتر بهدرستی در حال مسیریابی هست.

Inter-VLAN Routing یعنی چی؟
بهطور پیشفرض، VLANها از نظر شبکه کاملاً جدا از هم هستن. یعنی اگه یه کلاینت توی VLAN 10 باشه و بخواد به سرور یا پرینتری در VLAN 20 دسترسی داشته باشه، بدون مسیردهی هیچ شانسی نداره.
برای همین، لازمه از یه روتر یا سوئیچ لایه ۳ استفاده کنیم که بتونه بین VLANها مسیردهی انجام بده.
دو روش برای Inter-VLAN Routing
| روش | توضیح |
|---|---|
| Router-on-a-Stick | استفاده از روتر با رابطهای Subinterface |
| سوئیچ لایه 3 | مناسب برای شبکههای بزرگتر و پرسرعتتر |
در این سناریوی ما (شبکه 20 نفره)، روش Router-on-a-Stick کاملاً جواب میده.
پیکربندی Inter-VLAN Routing با Router-on-a-Stick
فرض کنیم:
- VLAN 10 → حسابداری → آدرس 192.168.10.0/24
- VLAN 20 → کارمندان → آدرس 192.168.20.0/24
روی روتر باید این Subinterfaceها رو تنظیم کنیم:
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
حالا این IPها نقش Default Gateway برای هر VLAN رو دارن.
روی کلاینتها:
| VLAN | Default Gateway |
|---|---|
| 10 | 192.168.10.1 |
| 20 | 192.168.20.1 |
تست و اعتبارسنجی
بعد از پیکربندی:
- از یک سیستم توی VLAN10 پینگ بگیر به سیستم دیگه توی VLAN20
- از دستور
ping 192.168.20.10استفاده کن و نتیجه رو بررسی کن - همچنین میتونی با
tracertمسیر بستهها رو بررسی کنی
امنیت در مسیردهی بین VLANها
اگر نمیخوای همه VLANها با هم ارتباط کامل داشته باشن، باید از Access Control List (ACL) یا Policy Based Routing استفاده کنی تا دسترسیها رو محدود کنی.
مثلاً:
- VLAN10 (حسابداری) بتونه به اینترنت بره، ولی VLAN20 نتونه به VLAN10 دسترسی پیدا کنه
- یا فقط به پورتهای خاصی از سرور حسابداری دسترسی داشته باشن
هدف از نوشتن ACL بین VLANها چیه؟
- جلوگیری از دسترسی کاربران VLAN20 (کارمندان) به VLAN10 (حسابداری)
- در عین حال، اجازه دادن به VLAN10 برای دسترسی به منابع اشتراکی یا اینترنت
- حفظ استقلال و امنیت دادهها
سناریو فرضی ما:
| VLAN | کاربرد | IP Subnet |
|---|---|---|
| 10 | حسابداری | 192.168.10.0/24 |
| 20 | کارمندان | 192.168.20.0/24 |
میخوایم:
- کارمندان نتونن هیچجور به حسابداری دسترسی داشته باشن
- ولی حسابداری بتونه با اینترنت و حتی پرینتر VLAN20 کار کنه
مراحل نوشتن ACL روی روتر
1. تعریف ACL استاندارد یا گسترده (Extended)
چون میخوایم مبدا و مقصد رو مشخص کنیم، از ACL گسترده استفاده میکنیم:
access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 110 permit ip any any
2. اعمال ACL روی Subinterface مربوط به VLAN 20 (سمت خروجی)
interface GigabitEthernet0/0.20
ip access-group 110 out
توضیح دقیق خطوط بالا:
access-list 110 deny ip ...یعنی هیچ سیستمی از VLAN20 حق نداره به سیستمهای VLAN10 دسترسی داشته باشه.permit ip any anyاجازه میده بقیه ترافیک (مثل اینترنت) رد بشه.ip access-group 110 outیعنی این محدودیت فقط زمانی اعمال میشه که ترافیک از VLAN20 خارج بشه (نه داخلش).
تست سناریو:
- از سیستم داخل VLAN20، پینگ بگیر به سیستم داخل VLAN10 → باید Fail بشه
- از VLAN10 پینگ بگیر به اینترنت یا منابع عمومی → باید OK باشه
- از VLAN20 پینگ بگیر به گوگل یا سرور DNS → باید OK باشه
نکات امنیتی تکمیلی:
- اگر سیستم خاصی از VLAN20 باید به یک سرور خاص در VLAN10 دسترسی داشته باشه، میتونی براش استثنا تعریف کنی:
access-list 110 permit ip host 192.168.20.50 host 192.168.10.10- این کد فقط به آیپی خاصی اجازه دسترسی میده (مثلاً برای پشتیبانگیری یا پرینتر)
ACLها یکی از مؤثرترین و سبکترین ابزارها برای تقسیمبندی و امنسازی دسترسیهای بین VLANها هستن. تو این سناریو موفق شدیم دسترسیها رو دقیقاً طبق نیاز کاری محدود کنیم بدون اینکه به عملکرد کاربران لطمه بزنیم.
اعمال قوانین امنیتی و فیلترینگ در شبکههای VLAN
در این مرحله تمرکز ما روی دو حوزه است:
- کنترل دسترسی کاربران به اینترنت یا سایتهای خاص (Web Filtering)
- محدود کردن دسترسی کاربران به سرویسها، پروتکلها یا پورتهای خاص (Firewall Rules)
1. فیلترینگ اینترنت برای کاربران عادی (VLAN20)
فرض کن نمیخوای کارمندها به سایتهایی مثل اینستاگرام، تلگرام یا یوتیوب دسترسی داشته باشن، ولی حسابداری باید به سیستمهای مالی آنلاین دسترسی داشته باشه. راهکار؟
گزینههای اجرایی:
| راهکار | توضیح |
|---|---|
| استفاده از فایروال سختافزاری | مثل Mikrotik، Fortigate یا Cisco ASA برای تعریف رولهای فیلترینگ بر اساس IP/URL/پورت |
| استفاده از DNS Filtering | مثل OpenDNS یا Pi-hole که سایتهای خاص رو در سطح DNS بلاک میکنه |
| راهکار نرمافزاری روی Gateway یا Proxy | مثل Squid + iptables برای فیلتر کردن درخواستهای اینترنتی از سمت VLAN خاص |
نمونه رول در Mikrotik (Layer7 Filtering):
/ip firewall layer7-protocol
add name=block_social regexp="^.+(instagram|telegram|youtube).*\$"
/ip firewall filter
add chain=forward src-address=192.168.20.0/24 layer7-protocol=block_social action=drop
2. محدود کردن سرویسهای خاص در شبکه داخلی
مثلاً فقط حسابداری اجازه دسترسی به پرینتر یا سرور فایل رو داشته باشه و بقیه کاربران خیر.
راهکار:
نوشتن ACL با دقت بیشتر یا تعریف رول در فایروال:
access-list 120 deny tcp 192.168.20.0 0.0.0.255 host 192.168.10.5 eq 445
access-list 120 permit ip any any
این خط اتصال کارمندها به پورت SMB روی سرور حسابداری رو میبنده ولی بقیه ارتباطها باز میمونه.
3. استفاده از VLAN ACL (VACL) یا Private VLAN (PVLAN)
- در سوئیچهای لایه 3 (مثل Cisco)، میتونی به جای ACL در روتر، از VACL برای فیلترینگ مستقیم بین VLANها استفاده کنی.
- PVLAN هم زمانی کاربرد داره که بخوای در یک VLAN، کاربرها نتونن همدیگه رو ببینن (برای امنیت بیشتر در شبکههای عمومی یا سازمانی)
| ابزار | کاربرد اصلی |
|---|---|
| ACL | محدود کردن دسترسی بین VLANها |
| DNS Filtering | بستن سایتها در سطح آدرس دامنه |
| Firewall Rules | فیلتر دقیق پروتکلها، پورتها و IPها |
| Web Proxy | کنترل و گزارشگیری ترافیک HTTP/HTTPS |
| PVLAN | جداسازی سطح پایین کاربران در یک VLAN مشترک |
تست و اعتبارسنجی پیکربندی VLAN
بعد از انجام تمام مراحل پیکربندی (ساخت VLAN، تنظیم DHCP، تنظیم Trunk، ACL، فایروال و فیلترینگ)، حالا باید مطمئن بشیم همه چیز دقیقاً طبق انتظار کار میکنه. در این مرحله، نهتنها خطاها رو پیدا میکنیم، بلکه میتونیم نقاط ضعف امنیتی یا پیکربندی اشتباه رو هم برطرف کنیم.
1. تست IP Addressing و دریافت DHCP
دستگاهی رو از هر VLAN به شبکه متصل کن و بررسی کن:
- آیا IP مناسب از DHCP خودش دریافت میکنه؟
- آیا Default Gateway درسته تنظیم شده؟
- آیا DNS کار میکنه؟
تست پیشنهادی (در ویندوز):
ipconfig /all
ping 8.8.8.8
nslookup google.com
2. تست دسترسی بین VLANها
با دستور ping یا tracert بررسی کن:
| تست | هدف |
|---|---|
| از VLAN20 به VLAN10 | باید طبق ACL یا فایروال، دسترسی محدود یا قطع باشه |
| از VLAN10 به اینترنت | دسترسی باید آزاد باشه |
| از VLAN20 به سایتهای ممنوعه | نباید باز بشن (تست فیلترینگ) |
مثال:
ping 192.168.10.1 // IP سرور حسابداری
tracert www.youtube.com
3. تست Trunk و ارتباط بین سوئیچها/روترها
با استفاده از دستورات CLI روی سوئیچ یا روتر مطمئن شو که:
- پورت Trunk فعال و درست تگگذاری شده
- VLANها روی Trunk عبور میکنن (Tagged traffic)
در Cisco:
show interfaces trunk
show vlan brief
4. بررسی لاگها و مانیتورینگ ترافیک
اگه از تجهیزات حرفهای استفاده میکنی، بهتره با ابزارهای زیر وضعیت VLAN رو مانیتور کنی:
| ابزار | کاربرد |
|---|---|
| Wireshark | تحلیل بستههای شبکه و تگهای VLAN |
| NetFlow یا sFlow | مشاهده جریان ترافیک VLANها |
| SNMP Monitoring | مانیتور کردن بار و فعالیت هر پورت سوئیچ |
تست امنیت ACL و Firewall
سعی کن عمداً از VLAN20 به منابع VLAN10 متصل شی. اگه دسترسی نداشتی یعنی رول ACL درست نوشته شده.
همچنین فیلترینگ سایتها، پورتها و سرویسها رو با دستگاه واقعی تست کن، نه فقط روی کاغذ یا تنظیمات!
مرحله تست و اعتبارسنجی، تضمین میکنه که:
- هر VLAN دقیقاً همون دسترسی رو داره که باید داشته باشه
- امنیت شبکه در سطح منطقی پیادهسازی شده
- هیچ دستگاهی خارج از چارچوب تعیینشده، به دادهها یا اینترنت دسترسی نداره
اگر موافقی، در ادامه بخش «جمعبندی نهایی و پیشنهاد حرفهای برای اجرای VLAN در سازمانهای کوچک» رو هم آماده کنم.
نکات ضروری و مهم هنگام پیادهسازی VLAN
1. از سوئیچ مدیریتپذیر (Managed Switch) استفاده کن
VLAN فقط روی سوئیچهای مدیریتپذیر قابل پیادهسازیه. حتماً از تجهیزاتی استفاده کن که پشتیبانی کامل از 802.1Q (استاندارد Tagging) داشته باشن.
2. به Native VLAN دقت کن
0Native VLAN روی لینک Trunk نباید با VLANهای حساس (مثل حسابداری) یکسان باشه. بهتره یه VLAN غیر فعال یا بدون کلاینت براش در نظر بگیری تا از حملات VLAN Hopping جلوگیری شه.
3. ACL بنویس، نه فقط VLAN بساز
فقط ساخت VLAN برای ایزوله کردن ترافیک کافی نیست. باید با نوشتن Access Control List دقیق، دسترسیها بین VLANها رو بهدرستی محدود یا مجاز کنی.
4. برای هر VLAN، DHCP جدا یا Relay تنظیم کن
اگه همه کلاینتها از یک DHCP استفاده کنن، ممکنه تداخل آیپی رخ بده. یا برای هر VLAN یک DHCP سرور بساز، یا از DHCP Relay برای ارتباط بین VLAN و DHCP مرکزی استفاده کن.
5. تست کامل قبل از پیادهسازی در محیط واقعی
همه تنظیمات (VLAN، Trunk، IP، ACL، DHCP، ارتباط با اینترنت) رو در محیط آزمایشی تست کن. بعد از اطمینان کامل، وارد فاز اجرایی در شبکه اصلی شو.
6. مستندسازی فراموش نشه
برای هر VLAN، ID، نام، محدوده IP، نقش کلاینتها، ACLها و تنظیمات Trunk رو مستندسازی کن. این کار در آینده برای عیبیابی و گسترش بسیار مفیده.
7. مانیتورینگ شبکه پس از اجرا
از ابزارهایی مثل PRTG، Zabbix یا The Dude استفاده کن تا وضعیت ترافیک، وضعیت VLANها و مصرف منابع در لحظه کنترل بشه.
8. کاربران رو آگاه کن
کاربران هر بخش (مخصوصاً حسابداری) باید بدونن اینترنت یا پرینترشون ممکنه با بقیه فرق کنه. این آگاهی باعث کاهش تماسهای پشتیبانی میشه.
جمعبندی
راهاندازی VLAN یکی از مؤثرترین روشهای تفکیک ترافیک در شبکههای سازمانیه، مخصوصاً در سناریوهایی که نیاز به جدا کردن دسترسیهای حساس مثل بخش حسابداری از سایر کارمندان وجود داره. این تفکیک نهتنها امنیت اطلاعات مالی رو بالا میبره، بلکه باعث میشه پهنای باند بین کاربران بهدرستی مدیریت بشه.
در این مقاله سعی کردیم گامبهگام مراحل طراحی، پیکربندی و اعمال سیاستهای امنیتی روی VLANها رو بررسی کنیم؛ از تعریف و ساخت VLAN تا تنظیم DHCP جداگانه، نوشتن ACL، پیادهسازی Trunk و تست نهایی. همچنین نکات حرفهای برای اجرای بدون خطای این ساختار در محیط واقعی رو مرور کردیم.
در نهایت پیشنهاد میکنیم قبل از پیادهسازی هر VLAN، ابتدا نیازسنجی دقیق انجام بدین، سناریوی نهایی رو مستند کرده و در محیط آزمایشی تست کنین. اجرای درست VLAN میتونه نقطه عطفی برای حرفهایتر شدن زیرساخت شبکه شما باشه.
مطالب آموزشی




































































































