VLAN چیست؟

VLAN یک روش هوشمند برای تقسیم شبکه به چند شبکه کوچک‌تر و امن‌تر است؛ بدون اینکه واقعاً کابل‌کشی جدید انجام بدهید. همین موضوع باعث می‌شود مدیریت شبکه راحت‌تر شود، ترافیک کمتر شود و امنیت بالا برود. اگر بخواهیم کمی عمیق‌تر نگاه کنیم، VLAN دقیقاً همان چیزی است که مدیران شبکه برای نظم دادن به دستگاه‌ها در سازمان استفاده می‌کنند؛ از دوربین‌ها گرفته تا واحد مالی و فروش. و برای اینکه موضوع شفاف‌تر شود، یک جدول خلاصه و کاربردی هم همین‌جا می‌گذارم:

جدول کاربردی VLAN در شبکه

VLAN چه کاری انجام می‌دهد؟

وقتی یک شبکه بزرگ را بدون VLAN اجرا می‌کنید، همه دستگاه‌ها در یک Broadcast Domain قرار می‌گیرند. یعنی هر بسته Broadcast به گوش همه می‌رسد از کامپیوتر حسابدار گرفته تا پرینتر بخش پشتیبانی. این موضوع نه‌تنها شبکه را شلوغ می‌کند، بلکه ریسک امنیتی هم دارد.

VLAN این مشکل را با تقسیم‌بندی هوشمندانه حل می‌کند. در عمل شما می‌توانید دستگاه‌ها را بر اساس وظیفه یا سطح دسترسی گروه‌بندی کنید، نه بر اساس محل فیزیکی. برای مثال، ممکن است واحد مالی و واحد فروش در دو طبقه کاملاً جدا باشند، اما شما آن‌ها را در یک VLAN مشترک قرار دهید.

یک مثال در یک سازمان ۵۰ نفره معمولاً سه شبکه دیده می‌شود:

• VLAN دوربین‌ها

• VLAN کارکنان

• VLAN سرورها

این جداسازی باعث می‌شود حجم ترافیک کاهش یابد و اگر مشکلی در یکی از VLANها پیش آمد، کل شبکه مختل نشود.

چرا استفاده از VLAN این‌قدر مهم است؟

اهمیتش را وقتی می‌فهمید که با یک شبکه بدون VLAN مواجه شوید. هر بار که من برای عیب‌یابی به یک شرکت کوچک مراجعه کرده‌ام که VLAN ندارد معمولاً دو مشکل مشاهده می‌شود:
شبکه کند است و امنیت تقریباً صفر است.

در مقابل، با استفاده از VLAN نه‌تنها سرعت بالا می‌رود، بلکه کنترل‌پذیری شبکه هم چند برابر می‌شود. برای نمونه، تصور کنید تیم IT تصمیم می‌گیرد کسی خارج از واحد مالی نتواند به سرور حسابداری متصل شود؛ این کار تنها با چند قانون ساده روی VLAN انجام می‌شود. واقعیت این است که VLAN برای هر سازمانی، حتی مجموعه‌های کوچک، نوعی سرمایه‌گذاری روی امنیت و مدیریت شبکه است.

انواع VLAN و کاربرد آن‌ها

برای اینکه موضوع بیشتر جا بیفتد، بد نیست انواع VLAN را هم بشناسیم. هرکدام‌شان برای سناریو خاصی مناسب هستند.

1) Port-Based VLAN

در این حالت هر پورت سوییچ یک VLAN مشخص دارد. مثال: پورت ۱ تا ۸ برای واحد مالی، پورت ۹ تا ۱۲ برای دوربین‌ها. در یک فروشگاه زنجیره‌ای، معمولاً سوییچ‌های نزدیک صندوق‌ها پورت‌هایی با VLAN یکسان دارند تا داده‌های POS از سایر ترافیک جدا شوند.

2) MAC-Based VLAN

اختصاص VLAN بر اساس آدرس MAC دستگاه. این روش زمانی کاربرد دارد که کارمند لپ‌تاپش را جابه‌جا می‌کند اما باید همیشه در یک VLAN ثابت باشد. مثلاً لپ‌تاپ مدیر مالی حتی اگر جایگاهش را عوض کند، همچنان در همان VLAN مالی قرار می‌گیرد.

3) Protocol-Based VLAN

تقسیم‌بندی بر اساس پروتکل شبکه، مثل IPv4 یا IPv6. در شرکت‌های بزرگ که دستگاه‌های صنعتی دارند، گاهی دستگاه‌های خاص با پروتکل اختصاصی باید از شبکه عمومی جدا باشند. اینجا این نوع VLAN به کار می‌آید.

4) Dynamic VLAN

اینجاست که کار حسابی حرفه‌ای می‌شود. در این حالت با استفاده از سروری مثل VMPS یا Radius، دستگاه به محض اتصال، به شکل خودکار در VLAN مناسب قرار می‌گیرد. این روش بیشتر در سازمان‌های بزرگ یا دانشگاه‌ها دیده می‌شود.

Tagged و Untagged در VLAN یعنی چه؟

اگر تازه با VLAN کار می‌کنید، این دو اصطلاح خیلی به گوشتان می‌خورد.

Untagged یعنی پورتی که یک VLAN پیش‌فرض دارد و معمولاً برای اتصال دستگاه نهایی (مثل کامپیوتر یا دوربین) استفاده می‌شود.
Tagged زمانی است که یک پورت باید چند VLAN را حمل کند؛ دقیقاً مثل وقتی که دو سوییچ به هم متصل می‌شوند و می‌خواهید چند VLAN در مسیر جابه‌جا شود.در یک ساختمان سه‌طبقه، طبقه اول و دوم کارمندان هستند و طبقه سوم تیم پشتیبانی. اگر یک سوییچ در طبقه اول با سوییچ طبقه سوم ارتباط دارد، باید پورت بین‌شان Tagged باشد تا هر دو VLAN از آن عبور کنند.

VLAN چه مزایایی در امنیت دارد؟

امنیت یکی از اصلی‌ترین دلایلی است که سازمان‌ها به سمت VLAN می‌روند. فرض کنید یک بدافزار در سیستم واحد فروش پخش شود. اگر همه در یک VLAN باشند، این بدافزار مثل آتش در مزرعه خشک پخش می‌شود. اما با VLAN، آسیب فقط به همان بخش محدود می‌ماند.

دو مثال واقعی:

1. جلوگیری از دسترسی کارمندان به سرورهای حساس
   اگر واحد فروش به اشتباه به سرور مالی دسترسی پیدا کند، فاجعه است. با VLAN این خطر از بین می‌رود.

2. محافظت از تجهیزات IoT
   دوربین‌ها، دستگاه‌های حضور و غیاب، یا سنسورها معمولاً امنیت نرم‌افزاری ضعیف‌تری دارند. جداکردن آن‌ها در یک VLAN مستقل بهترین تصمیم است.

VLAN در شبکه‌های سازمانی چگونه پیاده‌سازی می‌شود؟

پیاده‌سازی VLAN معمولاً روی سوییچ‌های manageable انجام می‌شود. نحوه کار این‌گونه است:

• تعریف VLANها داخل سوییچ

• تعیین Tagged و Untagged

• اتصال پورت‌ها به VLAN مناسب

• افزودن قوانین Firewall یا ACL برای کنترل ارتباط بین VLANها

برای مثال، در یک شرکت بیمه که اخیراً برایشان پروژه داشتم، VLANها این‌گونه تعریف شد:

• VLAN 10: کارکنان

• VLAN 20: مالی

• VLAN 30: مهمان

• VLAN 40: دوربین‌ها

• VLAN 50: سرورها

نکته مهم این است که ارتباط بین این VLANها باید با سیاست‌های امنیتی کنترل شود تا هیچ بخش بیش از حد دسترسی نداشته باشد.

نتیجه‌گیری

VLAN چیزی فراتر از یک قابلیت در سوییچ‌های شبکه است؛ در واقع ستون اصلی نظم و امنیت در هر شبکه‌ی سازمانی محسوب می‌شود. با VLAN می‌توانید شبکه‌ای بسازید که هم سریع‌تر است، هم امن‌تر و هم قابل مدیریت‌تر. این مزیت زمانی ارزش واقعی‌اش را نشان می‌دهد که شبکه بزرگ‌تر می‌شود و هر تغییر کوچک بدون VLAN تبدیل به دردسر بزرگی خواهد شد. اگر قصد دارید شبکه کسب‌وکارتان را اصولی بسازید یا بهینه کنید، VLAN یکی از اولین و ضروری‌ترین قدم‌هاست.

پرسش‌های متداول 

1) آیا استفاده از VLAN سرعت شبکه را افزایش می‌دهد؟

بله، چون حجم Broadcast کم می‌شود و ترافیک غیرضروری حذف می‌گردد. این موضوع برای شبکه‌های پرتراکم تأثیر محسوسی دارد.

2) برای پیاده‌سازی VLAN باید سوییچ خاصی بخرم؟

بله، فقط سوییچ‌های Manageable امکان تعریف VLAN دارند. سوییچ‌های معمولی (Unmanaged) این قابلیت را ندارند.

3) آیا VLAN به‌تنهایی امنیت کافی ایجاد می‌کند؟

نه، VLAN امنیت پایه‌ای ایجاد می‌کند اما برای امنیت کامل باید فایروال، ACL، رمزنگاری و مانیتورینگ را هم در نظر گرفت.

4) آیا امکان ارتباط دو VLAN با یکدیگر وجود دارد؟

بله، از طریق Router یا Layer 3 Switch می‌توان ارتباط کنترل‌شده بین VLANها برقرار کرد.

5) تفاوت VLAN با Subnet چیست؟

Subnet تقسیم‌بندی IP است؛ VLAN تقسیم‌بندی منطقی شبکه لایه ۲. معمولاً هر VLAN یک Subnet جدا هم دارد.