نشرت تحت تصنيف Wireless Networking

Private VLAN



في شبكات موفر الخدمة Internet Service Provider (ISP) لا توجد IP أو Subnet كافية لكل مستخدم و هنا سيضطر أن يضع أكثر من مستخدم في نفس المنطقة في Subnet واحدة و لكن هذا سيضرب أمن الشبكة في مقتل حيث سنجد أن أجهزة المستخدمين قادرة علي رؤية تدفقات البيانات بينهم

فإن أردنا عزل المستخدمين عن بعضهم بإستخدام VLAN فهذا لن يسعفنا لأنه يعني أن نقوم بتخصيص VLAN لكل عميل و هذا ان استعطت عمله فلن يسعفك خصوصا في موفرات الخدمة التي يتعدي عدد عملائها 1005 هي عدد VLAN المسموحة

و هنا تسعفنا سيسكو بدعمها للتقنية الرائعة Private VLAN حيث يتم تقسيم VLAN العادية الي أجزاء تسمي Subdomains و كل subdomain يحتوي علي زوج واحد من VLAN هم Primary VLAN و Secondary VLAN و يلعب كلاهما علاقة master/slave  بالترتيب حيث يستطيع Primary VLAN الذي يلعب دور Master أن يري كل تدفقات البيانات في Secondary VLAN الذي يلعب دور Slave و يحتوي Secondary VLAN علي نوعين أولهما Isolated VLAN و لا تستطيع الأجهزة المنتمية له أن تتخاطب فيما بينها و تستطيع فقط أن تتخاطب مع Primary VLANو ثانيها Community VLAN و تستطيع أجهزتها الإتصال فيما بينها مع قدرة علي الإتصال بـ Primary VLAN


و سنقوم بإدخل العملاء – المراد عزل تدفقاتهم و المرتبطين بموفر الخدمة ببورت واحد – في isolated private VLAN و ستنقل مباشرة الي أجهزة ISP devices و التي توجد في primary VLAN

بينما الشركات أو العملاء الذين يرتبطون بموفر الخدمة بأكثر من خط و يتم الإتصال الداخلي في الشبكة بينهم بشكل طبيعي فسيتم ادخالهم في community VLANs

و يعتبر ما ذكرناه هو مثال عام و تستطيع أن تطبق هذا الأمر في أي مكان تحتاج فيه هذا التصميم شرط أن تدعمها السويتشات

Primary VLAN


فأما Primary VLAN فتسمي البورتات المنتمية لها بـالبورتات العامة أو المختلطة promiscuous لأنها تستطيع أن تتصل بجميع البورتات بما في ذلك بورتات Secondary VLAN المسماة Isolated و Community

و يقوم Promiscuous Port بدور البوابة لشبكة Private VLAN و لهذا نربط به الراواتر الذي سيعمل gateway كذلك تستطيع بمتابعة أو النسخ الإحتياطي لشبكة Private VLAN من خلاله و عموما فإننا سنقوم بتخصيص Primary VLAN للمعدات التي تتشاركها جميع الأجهزة

و توجد Primary VLAN واحدة فقط لكل Private VLAN و كل بورتات Primary VLAN تنتمي الي Private VLAN و يقوم بنقل البيانات من بورتاته Promiscuous Port الي بورتات Isolated و Community المنتمية الي Secondary VLAN

Secondary VLAN


و أما Secondary VLAN فبورتاتها نوعان هما البورتات المعزولة Isolated VLAN و البورتات الطائفية Community VLAN

فأما Isolated VLAN فبالبورتات المنتمية لها معزولة عن بعضها في مستوي الطبقة الثانية Layer 2 عدا تلك المنتمية الي promiscuous و التي تنتمي الي Primary VLAN و تحتوي كل Private VLAN علي Isolated VLAN واحدة فقط و تستطيع أن تمنع الوصول لمجموعة من السيرفرات بجعلها متصلة بـ Isolation Port

و أما Community VLAN فتستطيع البورتات المنتمية لها أن تتصل مع بعضها في نفس Community و كذلك بورتات promiscuous و التي تنتمي الي Primary VLAN و لكنها معزولة عن باقي البورتات في Community VLAN أخري و تحتوي كل Private VLAN علي أكثر من Community VLAN علي عكس سابقيه ففي الشكل السابق لدينا Primary VLAN و تم تقسيمها الي اثنين VLAN Community و واحدة Isolated VLANM

Private VLANs across Multiple Switches


تستطيع توزيع Private VLAN علي أكثر من سويتش كما تري في الشكل الا أنك لن تستطيع استخدام VTP لتوزيع اعدادات هذه VLAN لأنه لا يدعمها في نسختيه الأولي و الثانية و ستضطر لعمل اعداداتك بنفسك علي السويتشات كلها أو استخدام سويتشات تدعم VTP v3

Unicast, Broadcast, Multicast Traffic


في شبكات VLAN العادية تستطيع الأجهزة الموجودة في نفس VLAN التواصل عبر الطبقة الثانية Layer 2 أما الأجهزة في الشبكات الظاهرية المختلفة فيتم الإتصال بيها عبر الطبقة الثالثة Layer 3

أما في شبكات Private VLAN فالأمر مختلف ففي الشبكة الواحدة تكون كلا من Secondary VLAN تستطيع الإتصال بـ Primary VLAN حيث يتم التواصل في الطبقة الثانية بين بورتات Promiscuous التي هي جزء من Primary VLAN و بورتات host بنوعيها Isolated و Community الذان هما جزءان من Secondary VLAN و تتم التدفقات هكذا

  • يقوم Isolated Port بارسال broadcast الي promiscuous ports او trunk ports


  • يقوم community port بارسال broadcast الي promiscuous ports او trunk ports و البورتات في نفس community VLAN


  • يقوم promiscuous port بارسال broadcast الي كل البورتات في Primary VLAN و هي promiscuous ports او trunk ports isolated ports و community ports

و بالطبع فإن Multicast traffic يتم حجبها بين بورتات Isolated VLAN و كذلك بين البورتات في Secondary VLAN مختلفة

كذلك يتم نشر اعدادت DHCP و Spanning Tree Protocol (STP) في الشبكة و لكن لا يصلح الا STP instance واحدة فقط

Configuring Private VLANs


قبل أن تقوم بإعداد Private VLAN فلابد أن تعلم أن هناك اعدادت لا يصلح عملها علي بورتات Private VLAN حتي و ان تقبلها السويتش في سطر الأوامر الا أنه لا يستجيب لها و ذلك مثل مثل RSPAN و Dynamic Trunking Protocol (DTP) و Port Aggregation Protocol (PAgP) و Link Aggregation Control Protocol (LACP) و Multicast VLAN Registration (MVR) و voice VLAN وWeb Cache Communication Protocol (WCCP) و secure port و في بعض الأحوال فإن البورت يتعطل عند تطبيق هذه الإعدادت مثل اعداد SPAN destination port عليها رغم أنه يتقبلها كـ SPAN source port

لإعداد Private VLAN لابد أن تقوم بالخطوات التالية علما بأن الإعدادت لا يتم تطبيقها الا بالخروج من VLAN configuration mode

أولا سنحول وضع VTP الي transparent و ذلك اذا كنت السويتش يعمل علي النسخة 1 أو 2 أما في VTP version 3 فهو يدعم Private VLANs

ثانيا انشاء Primary VLAN و Secondary VLAN (Isolated – community) ثم ربطهم علما أن كل Primary VLAN لها Isolated VLAN واحدة فقط و العديد من Isolated VLAN و لن تستطيع الشبكات VLAN 1,1002,1003,1004,1005 اعدادها في Private VLAN أما شبكات extended VLAN و هي من 1006 الي 4094 فتصلح لعمل Private VLAN و في حال حذف اي من البورتات المنتمية لـ Private VLAN فإن هذا البورت يتم تعطيله

Switch# configure terminal

Switch(config)# vlan 20

Switch(config-vlan)# private-vlan primary

Switch(config-vlan)# exit

Switch(config)# vlan 501

Switch(config-vlan)# private-vlan isolated

Switch(config-vlan)# exit

Switch(config)# vlan 502

Switch(config-vlan)# private-vlan community

Switch(config-vlan)# exit

Switch(config)# vlan 503

Switch(config-vlan)# private-vlan community

Switch(config-vlan)# exit

ثالثا ربط Secondary VLAN مع Primary VLAN كما تري ربطنا الشبكات من 501 الي 503

Switch(config-vlan)# private-vlan association 501-503

Switch(config-vlan)# end

رابعا ربط بورتات Secondary VLAN (Isolated - community)  المسماة  host بـ VLAN و هنا سنربط البورت g0/22  بالشبكة 20 

Switch# configure terminal

Switch(config)# interface gigatibethernet0/22

Switch(config-if)# switchport mode private-vlan host

Switch(config-if)# switchport private-vlan host-association 20 25

Switch(config-if)# end

خامسا  ربط بورتات Primary  VLAN و  هي promiscuous   host بـ VLAN مع ربطها بـ Secondary VLAN و هنا سنربط البورت g0/2  بالشبكة 20 

Switch# configure terminal

Switch(config)# interface gigatibethernet0/2

Switch(config-if)# switchport mode private-vlan promiscuous

Switch(config-if)# switchport private-vlan mapping 20 add 501-503

Switch(config-if)# end

رابعا في حال عمل inter-VLAN routing سنقوم بإعداد Primary switch virtual interface (SVI) ثم ربط secondary بـ primary وهنا سنقوم برط البورتات في VLAN 501 و 502 بـ Primary VLAN 10

Switch# configure terminal

Switch(config)# interface vlan 10

Switch(config-if)# private-vlan mapping 501-502

Switch(config-if)# end

خامسا التحقق من عمل Private VLAN

Switch(config)# show vlan private-vlan

Primary Secondary Type Ports


10 501 isolated          Fa0/1, Gi0/1, Gi0/3

10 502 community         Fa0/11, Gi0/1, Gi0/4

10 503 non-operational

Switch# show interfaces gigabitethernet0/22 switchport

Name: Gi0/22

Switchport: Enabled

Administrative Mode: private-vlan host

Operational Mode: private-vlan host

Administrative Trunking Encapsulation: negotiate

Operational Trunking Encapsulation: native

Negotiation of Trunking: Off

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: 20 (VLAN0020) 25 (VLAN0025)

Administrative private-vlan mapping: none

Administrative private-vlan trunk native VLAN: none

Administrative private-vlan trunk Native VLAN tagging: enabled

Administrative private-vlan trunk encapsulation: dot1q

Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk private VLANs: none

Operational private-vlan:

20 (VLAN0020) 25 (VLAN0025)

Switch# show interfaces private-vlan mapping

Interface Secondary VLAN Type

——— ————– —————–

vlan10 501 isolated

vlan10 502 community

مثال عملي علي Private VLAN


فكما تري في الشكل سنقوم بإدخال المستخدمين في Isolated VLAN لحجب الإتصال بينهم أو بينهم و بين أي جهة أخري مثل السيرفرات بينما سيسمح لهم فقط بالإتصال بالراوتر Gateway و سنقوم بوضع السيرفرات في Community VLAN لإمكانية الإتصال بينهم

في البداية قم بتحويل وضع VTP الي transparent كي لا تظهر لك هذه الرسالة

%Private VLANs can only be configured when VTP is in transparent/off mode.

سنستخدم الأمر private-vlan [type] او private-vlan association [vlan list]

SW3750X(config)#vlan 100

SW3750X(config-vlan)#private-vlan primary

SW3750X(config-vlan)#vlan 101

SW3750X(config-vlan)#private-vlan community

SW3750X(config-vlan)#vlan 102

SW3750X(config-vlan)#private-vlan isolated

SW3750X(config-vlan)#vlan 100

SW3750X(config-vlan)#private-vlan association 101,102

الخطوة الثانية هي ادخال البورتات في VLAN المخصصة لها isloated/community/promiscuous بما يتطابق مع الشكل

SW3750X(config)#interface fa0/10

SW3750X(config-if)#switchport mode private-vlan host

SW3750X(config-if)#switchport private-vlan host-association 100 101

SW3750X(config-if)#interface fa0/11

SW3750X(config-if)#switchport mode private-vlan host

SW3750X(config-if)#switchport private-vlan host-association 100 101

SW3750X(config-if)#interface fa0/20

SW3750X(config-if)#switchport mode private-vlan host

SW3750X(config-if)#switchport private-vlan host-association 100 102

SW3750X(config-if)#interface fa0/21

SW3750X(config-if)#switchport mode private-vlan host

SW3750X(config-if)#switchport private-vlan host-association 100 102

SW3750X(config-if)#interface fa0/1

SW3750X(config-if)#switchport mode private-vlan promiscuous

SW3750X(config-if)#switchport private-vlan mapping 100 add 101,102

الخطوة الثالثة التأكد مما فعلناه باستخدام الأمر sh vlan private-vlan

SW3750X#sh vlan private-vlan

Primary Secondary Type Ports

——- ——— —————–

100 101 isolated Fa0/10, Fa0/11, Fa0/1

100 102 community Fa0/20, Fa0/21, Fa0/1

SW3750X#sh vlan private-vlan type

Vlan Type

—- —————–

100 primary

101 isolated

102 community

رابعا سنقوم بإعداد SVI و ذلك بعمل Interface لـ Primary VLAN فقط ثم نقوم بعمل ربط Mapping لـ secondary VLANs مع حذف بعض VLAN من هذا التخصيص ان أردت

SW3750X(config)#interface vlan 100

SW3750X(config-if)# ip address 10.1.0.1 255.255.255.0

SW3750X(config-if)# private-vlan mapping 101,102

نادر المنسي

Advertisements

المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

رأي واحد على “Private VLAN

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

WordPress.com Logo

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

w

Connecting to %s