۰۲۱۴۲۹۲۲

کاتالوگ

Menu

۰۲۱۴۲۹۲۲

Native VLAN چیست و چه کاربردی در شبکه دارد؟

Native VLAN چیست و چه کاربردی در شبکه دارد؟
Native VLAN چیست و چه کاربردی در شبکه دارد؟
دسته‌ها
امنیت
فهرست مطالب

در شبکه‌های مدرن، فناوری VLAN سرنام (Virtual Local Area Network) به‌عنوان یکی از ابزارهای کلیدی برای تقسیم‌بندی منطقی شبکه‌ها بدون نیاز به سخت‌افزارهای جداگانه، نقش مهمی ایفا می‌کند. VLANها امکان جداسازی ترافیک، افزایش امنیت، و بهبود مدیریت شبکه را فراهم می‌کنند. یکی از مفاهیم مرتبط با VLANها، Native VLAN است که در تنظیمات ترانک (Trunk) بین سوئیچ‌ها یا روترها استفاده می‌شود. Native VLAN به فریم‌های بدون برچسب (Untagged Frames) اجازه می‌دهد در لینک‌های ترانک منتقل شوند، که این ویژگی کاربردها و ملاحظات امنیتی خاصی را به همراه دارد. در این مقاله، به تعریف Native VLAN، نحوه عملکرد، کاربردها، مزایا، معایب، پیکربندی، و ملاحظات امنیتی مرتبط با آن در شبکه‌ها می‌پردازیم.

Native VLAN چیست؟

Native VLAN، که گاهی به آن VLAN پیش‌فرض ترانک نیز گفته می‌شود، یک VLAN خاص است که در لینک‌های ترانک (Trunk Links) برای انتقال فریم‌های بدون برچسب (Untagged Frames) استفاده می‌شود. در شبکه‌های مبتنی بر استاندارد IEEE 802.1Q، که پروتکل استاندارد برای برچسب‌گذاری (Tagging) VLAN است، فریم‌های متعلق به VLANهای مختلف با یک برچسب (Tag) شناسایی می‌شوند که شامل VLAN ID است. با این حال، فریم‌های بدون برچسب، که فاقد این شناسه هستند، به Native VLAN اختصاص داده می‌شوند.

به‌طور پیش‌فرض، در سوئیچ‌های سیسکو، Native VLAN روی VLAN 1 تنظیم شده است، اما می‌توان آن را به VLAN دیگری تغییر داد. این VLAN برای مدیریت ترافیکی استفاده می‌شود که به ‌صورت بدون برچسب از طریق لینک ترانک ارسال می‌شود، مانند ترافیک پروتکل‌های کنترلی (مانند CDP یا VTP) یا دستگاه‌هایی که از برچسب‌گذاری VLAN پشتیبانی نمی‌کنند.

نحوه عملکرد Native VLAN

برای درک عملکرد Native VLAN، ابتدا باید مفهوم لینک ترانک را بررسی کنیم. لینک ترانک یک اتصال بین دو دستگاه شبکه (مانند سوئیچ‌ها یا سوئیچ و روتر) است که امکان انتقال ترافیک چندین VLAN را فراهم می‌کند. در استاندارد 802.1Q، هر فریم متعلق به یک VLAN با یک برچسب 4 بایتی که شامل VLAN ID است، علامت‌گذاری می‌شود. این برچسب به سوئیچ مقصد کمک می‌کند تا فریم را به VLAN مناسب هدایت کند. اما در برخی موارد، فریم‌ها ممکن است بدون برچسب ارسال شوند، به طور مثال،

  • دستگاهی که به پورت ترانک متصل است، از 802.1Q پشتیبانی نمی‌کند.
  • ترافیک پروتکل‌های کنترلی مانند CDP سرنام (Cisco Discovery Protocol)، همچنین VTP سرنام  (VLAN Trunking Protocol) و STP سرنام  (Spanning Tree Protocol) که به‌صورت پیش‌فرض بدون برچسب ارسال می‌شوند.
  • ترافیک از دستگاه‌های قدیمی یا غیراستاندارد که برچسب‌گذاری را اعمال نمی‌کنند.

در این موارد، سوئیچ فریم‌های بدون برچسب را به Native VLAN اختصاص می‌دهد. برای مثال، اگر Native VLAN روی VLAN 1 تنظیم شده باشد، هر فریم بدون برچسبی که از لینک ترانک دریافت شود، به VLAN 1 تعلق می‌گیرد. به همین ترتیب، فریم‌های ارسالی از Native VLAN نیز بدون برچسب از لینک ترانک خارج می‌شوند.

کاربردهای Native VLAN

Native VLAN در سناریوهای مختلفی در شبکه‌های سازمانی و مراکز داده کاربرد دارد. اولین مورد پشتیبانی از دستگاه‌های غیراستاندارد است. در شبکه‌هایی که دستگاه‌های قدیمی یا غیرمطابق با 802.1Q وجود دارند،Native VLAN  امکان انتقال ترافیک این دستگاه‌ها را فراهم می‌کند. مورد بعد در ارتباط با ترافیک پروتکل‌های کنترلی است. پروتکل‌هایی مانند CDP، VTP، و STP معمولا فریم‌های بدون برچسب ارسال می‌کنند. Native VLAN این ترافیک را مدیریت می‌کند. مورد بعد اتصال به سرورها یا کلاینت‌های خاص است. در برخی موارد، سرورها یا کلاینت‌هایی که نیازی به برچسب‌گذاری ندارند، به پورت ترانک متصل می‌شوند و ترافیک آن‌ها در Native VLAN منتقل می‌شود. همچنین، در ارتباط فرآیند مدیریت شبکه Native VLAN می‌تواند برای ترافیک مدیریتی مانند دسترسی به رابط مدیریت سوئیچ استفاده شود. در نهایت، انعطاف‌پذیری در طراحی شبکه Native VLAN، امکان ترکیب ترافیک برچسب‌گذاری‌شده و بدون برچسب را در یک لینک ترانک فراهم می‌کند، که در برخی طراحی‌های شبکه مفید است.

مزایای Native VLAN

استفاده از Native VLAN در شبکه‌ها مزایای متعددی دارد. اولین مورد سازگاری با دستگاه‌های قدیمی Native VLAN  است که پیش‌تر به آن اشاره شد و امکان ادغام دستگاه‌هایی که از برچسب‌گذاری پشتیبانی نمی‌کنند را فراهم می‌کند. مورد بعد در ارتباط با مدیریت ساده‌تر پروتکل‌های کنترلی است که با اختصاص ترافیک بدون برچسب به  Native VLAN مدیریت پروتکل‌هایی مانند STP و CDP ساده‌تر می‌شود. علاوه بر این، انعطاف‌پذیری در پیکربندی نیز به مدیران شبکه اجازه می‌دهد تا ترافیک خاصی را بدون نیاز به برچسب‌گذاری در لینک ترانک منتقل کنند. در نهایت کاهش پیچیدگی در برخی سناریوها را باید یکی دیگر از مزایای فناوری فوق توصیف کرد. در شبکه‌های کوچک یا با تعداد محدود شبکه محلی مجازی، استفاده از Native VLAN می‌تواند پیکربندی را ساده‌تر کند.

معایب و خطرات Native VLAN

با وجود مزایا، Native VLAN می‌تواند خطرات امنیتی و چالش‌هایی را به همراه داشته باشد. اولین مورد آسیب‌پذیری امنیتی است.  اگر Native VLAN به‌درستی پیکربندی نشود، ممکن است مهاجمان از آن برای دسترسی غیرمجاز به شبکه استفاده کنند که پیاده‌سازی حمله VLAN Hopping یکی از آن‌ها است. همچنین، ممکن است در برخی موارد باعث بروز مشکل ترکیب ترافیک ناخواسته شود. اگر Native VLAN با شبکه‌های محلی مجازی دیگر همپوشانی داشته باشد، ممکن است ترافیک بدون برچسب به‌طور ناخواسته به VLANهای حساس هدایت شود. در شبکه‌های بزرگ، تنظیم و نظارت بر Native VLAN در تمام لینک‌های ترانک می‌تواند پیچیده باشد. علاوه بر این، استفاده پیش‌فرض از VLAN 1 به ‌عنوان Native VLAN پیش‌ فرض در سوئیچ‌های سیسکو می‌تواند خطرناک باشد، زیرا این VLAN اغلب برای مدیریت و ترافیک کنترلی استفاده می‌شود و هدف حملات قرار می‌گیرد.

ملاحظات امنیتی مرتبط با Native VLAN

Native VLAN به دلیل انتقال فریم‌های بدون برچسب، می‌تواند نقطه ضعفی در امنیت شبکه باشد. برخی از حملات و راه‌حل‌های امنیتی مرتبط به شرح زیر هستند:

  • حمله VLAN Hopping: مهاجم با ارسال فریم‌های بدون برچسب یا فریم‌های با برچسب جعلی، می‌تواند به VLANهای دیگر دسترسی پیدا کند. برای جلوگیری از بروز این مشکل باید Native VLAN را به یک VLAN غیراستفاده تغییر دهید. به طور مثال VLAN 999. همچنین، از VLAN 1 به ‌عنوان Native VLAN اجتناب کنید و پورت‌های ترانک را فقط برای VLANهای موردنیاز محدود کنید.
  • ترافیک ناخواسته در Native VLAN: اگر دستگاه‌های غیر مجاز به پورت ترانک متصل شوند، ترافیک آن‌ها ممکن است به Native VLAN هدایت شود. برای پیشگیری، پورت‌های غیرضروری را به حالت دسترسی (Access Mode) تنظیم کنید.
  • نظارت و لاگ‌گیری: فعال‌سازی لاگ‌گیری و نظارت بر ترافیک Native VLAN می‌تواند فعالیت‌های مشکوک را شناسایی کند.

پیکربندی Native VLAN

پیکربندی Native VLAN در سوئیچ‌های سیسکو (به‌عنوان مثال) به‌سادگی انجام می‌شود. مراحل زیر فرآیند تنظیم Native VLAN روی یک لینک ترانک را نشان می‌دهد:

  • ورود به حالت پیکربندی:

enable

configure terminal

  • انتخاب پورت ترانک:

interface GigabitEthernet0/1

  • تنظیم پورت به حالت ترانک:

switchport mode trunk

  • تعیین Native VLAN:

switchport trunk native vlan 999

در این مثال، VLAN 999 به ‌عنوان Native VLAN تنظیم شده است.

  • محدود کردن VLANهای مجاز (اختیاری):

switchport trunk allowed vlan 10,20,999

این دستور فقط VLANهای مشخص‌شده را در لینک ترانک مجاز می‌کند.

  • ذخیره پیکربندی:

write memory

مثال عملی از کاربرد Native VLAN

فرض کنید یک سازمان دارای دو سوئیچ است که از طریق یک لینک ترانک به هم متصل‌ هستند. سوئیچ‌ها چندین VLAN (مانند VLAN 10 برای کلاینت‌ها و VLAN 20 برای سرورها) را حمل می‌کنند. یک سرور قدیمی که از 802.1Q پشتیبانی نمی‌کند، به پورت ترانک سوئیچ اول متصل است. برای انتقال ترافیک این سرور، Native VLAN روی VLAN 100 تنظیم می‌شود. حالا:

  • فریم‌های بدون برچسب از سرور به VLAN 100 اختصاص می‌یابند.
  • سوئیچ دوم فریم‌های بدون برچسب را به VLAN 100 هدایت می‌کند.
  • برای امنیت، VLAN 100 فقط برای این سرور استفاده می‌شود و از VLAN 1 اجتناب شده است.

تفاوت Native VLAN و VLAN پیش‌فرض

اغلب Native VLAN با VLAN پیش‌فرض (Default VLAN) اشتباه گرفته می‌شود. با این حال، مهم است بدانید که این فناوری‌ها تفاوت‌هایی دارند. این تفاوت‌ها به شرح زیر هستند:

  • VLAN پیش‌فرض: معمولا VLAN 1 است و تمام پورت‌های سوئیچ در حالت اولیه به آن تعلق دارند. این VLAN برای ترافیک کنترلی و مدیریتی استفاده می‌شود.
  • Native VLAN:  فقط در لینک‌های ترانک استفاده می‌شود و فریم‌های بدون برچسب را مدیریت می‌کند. می‌تواند هر شبکه محلی مجازی باشد، نه لزوما VLAN 1.

توصیه‌های بهترین روش‌ها (Best Practices)

برای استفاده ایمن و بهینه از Native VLAN، پیشنهاد می‌شود از VLAN 1 به‌عنوان Native VLAN استفاده نکنید، زیرا هدف حملات قرار می‌گیرد، غیر فعال کردن Native VLAN غیر فعال، محدود کردن VLANهای ترانک، غیرفعال کردن ترانک غیرضروری. به بیان دقیق‌تر، اگر پورت‌هایی که نیازی به ترانک ندارند را به حالت دسترسی تنظیم کنید و در نهایت ترافیک Native VLAN  را با ابزارهایی مانند SNMP یا NetFlow نظارت کنید.

آینده Native VLAN

با پیشرفت فناوری‌های شبکه مانند SD-WAN، VXLAN، و شبکه‌های مبتنی بر ابر، استفاده از لینک‌های ترانک سنتی و Native VLAN ممکن است کاهش یابد. با این حال، در شبکه‌های سازمانی و مراکز داده که همچنان از سوئیچ‌های فیزیکی و استاندارد 802.1Q  استفاده می‌کنند، Native VLAN همچنان نقش مهمی دارد. مفاهیم مرتبط با مدیریت ترافیک بدون برچسب در فناوری‌های جدید مانند VXLAN نیز دیده می‌شود، که نشان‌دهنده ماندگاری اصول Native VLAN است.

کلام آخر

Native VLAN یک مفهوم کلیدی در شبکه‌های مبتنی بر VLAN است که امکان انتقال فریم‌های بدون برچسب را در لینک‌های ترانک فراهم می‌کند. این ویژگی برای پشتیبانی از دستگاه‌های غیراستاندارد، مدیریت پروتکل‌های کنترلی، و افزایش انعطاف‌پذیری در طراحی شبکه کاربرد دارد. با این حال، استفاده نادرست از Native VLAN می‌تواند خطرات امنیتی مانند VLAN Hopping را به همراه داشته باشد. با پیکربندی صحیح، اجتناب از VLAN 1، و اعمال بهترین روش‌های امنیتی، Native VLAN می‌تواند به‌طور ایمن و مؤثر در شبکه‌ها استفاده شود. اگرچه فناوری‌های جدید ممکن است جایگزین ترانک‌های سنتی شوند، درک Native VLAN برای مدیران شبکه و متخصصان فناوری اطلاعات همچنان ارزشمند است، زیرا مفاهیم آن در طراحی و امنیت شبکه‌های مدرن نیز کاربرد دارند. Native VLAN نمونه‌ای از تعادل بین انعطاف‌پذیری و امنیت در شبکه‌هاست که با مدیریت صحیح، می‌تواند به بهبود عملکرد و حفاظت از زیرساخت شبکه کمک کند.

نویسنده: حمیدرضا تائبی

لیست سرور HPE نسل ۱۰، ۱۱ و ۱۲
اشتراک‌گذاری
نویسنده
تصویر حمیدرضا تائبی
حمیدرضا تائبی
مطالب مشابه
برای دریافت مشاوره و یا اطلاع از قیمت، با ما در تماس باشید.
تماس با مفتاح