VLAN مخفف Virtual Local Area Network و به معنی «شبکه محلی مجازی» است. این فناوری به مدیر شبکه اجازه میدهد یک شبکه فیزیکی را به چند شبکه منطقی جداگانه تقسیم کند؛ بدون اینکه حتما برای هر بخش، کابلکشی و سوئیچ جداگانه نیاز باشد. به زبان ساده، VLAN مثل دیوارکشی مجازی داخل شبکه است. ممکن است واحد فروش، حسابداری، مدیریت، تلفن های VoIP و دوربینها همگی به یک یا چند سوئیچ مشترک متصل باشند، اما با VLAN میتوان آنها را از نظر ترافیک و دسترسی از هم جدا کرد.
VLAN چیست؟
VLAN یک شبکه محلی مجازی است که دستگاه ها را بر اساس نیاز سازمان، نه فقط بر اساس محل فیزیکی، در گروههای جدا قرار میدهد. در حالت عادی، دستگاه هایی که به یک شبکه LAN متصل هستند میتوانند در یک دامنه Broadcast قرار بگیرند. یعنی پیامهای Broadcast میتوانند بین همه اعضای آن شبکه پخش شوند.
اما با VLAN، مدیر شبکه میتواند همان LAN فیزیکی را به چند بخش منطقی تقسیم کند. برای مثال، کامپیوترهای واحد مالی در VLAN 10، سیستمهای فروش در VLAN 20، تلفنهای VoIP در VLAN 30 و دوربینها در VLAN 40 قرار میگیرند. در این حالت، هر VLAN مثل یک شبکه جدا رفتار میکند؛ حتی اگر دستگاه ها به یک سوئیچ فیزیکی وصل باشند.
VLAN چگونه کار می کند؟
VLAN معمولا روی سوئیچ های مدیریتی پیاده سازی میشود. مدیر شبکه برای هر گروه، یک VLAN ID تعریف میکند و سپس پورت های سوئیچ را به VLAN مناسب اختصاص میدهد. اگر دستگاه فقط عضو یک VLAN باشد، معمولا به پورتی متصل میشود که Access Port نام دارد. اما اگر قرار باشد چند VLAN از یک لینک عبور کنند، از Trunk Port استفاده میشود. در این حالت، سوئیچ با استفاده از برچسب یا Tag مشخص میکند هر فریم متعلق به کدام VLAN است. استاندارد رایج برای این برچسبگذاری، IEEE 802.1Q است. این استاندارد امکان عبور چند VLAN از یک لینک مشترک را فراهم میکند و در شبکه های سازمانی کاربرد زیادی دارد.
تفاوت Access Port و Trunk Port چیست؟
Access Port
پورت Access معمولا برای اتصال دستگاه نهایی استفاده میشود؛ مثل کامپیوتر، پرینتر، تلفن IP یا دوربین. این پورت معمولا فقط عضو یک VLAN است و ترافیک را بدون Tag به دستگاه تحویل میدهد. برای مثال، اگر کامپیوتر واحد حسابداری به پورت Access مربوط به VLAN 10 متصل شود، آن دستگاه عضو VLAN حسابداری خواهد بود.
Trunk Port
پورت Trunk برای اتصال بین سوئیچ ها، سوئیچ به روتر، یا سوئیچ به فایروال استفاده میشود. این پورت میتواند ترافیک چند VLAN را همزمان عبور دهد. برای اینکه دستگاه مقصد بداند هر ترافیک متعلق به کدام VLAN است، روی فریمها Tag قرار میگیرد. این کار باعث میشود بتوان چند شبکه منطقی را از یک کابل فیزیکی عبور داد.
کاربرد VLAN در شبکه چیست؟
VLAN فقط یک قابلیت فنی نیست؛ در شبکههای واقعی چند کاربرد مهم دارد.
1. جداسازی واحدهای سازمانی
در یک شرکت، همه کاربران نباید به یک سطح از شبکه دسترسی داشته باشند. واحد مالی، فروش، منابع انسانی و مدیریت میتوانند در VLAN های جدا قرار بگیرند تا ترافیک و دسترسی آنها کنترل شدهتر باشد. این جداسازی هم مدیریت شبکه را سادهتر میکند و هم جلوی دسترسی بیدلیل کاربران به بخشهای حساس را میگیرد.
2. تفکیک شبکه VoIP
تلفنهای اینترنتی یا IP Phone معمولا بهتر است در VLAN جداگانه قرار بگیرند. این کار باعث میشود ترافیک صوتی از ترافیک عادی کاربران جدا شود و مدیریت کیفیت تماس سادهتر باشد. در شبکههایی که تماس تلفنی برای کسب و کار مهم است، ترکیب VLAN و QoS میتواند به کاهش اختلال، تاخیر و افت کیفیت تماس کمک کند.
3. جداسازی دوربین ها و تجهیزات نظارتی
دوربین های مداربسته، NVR و تجهیزات نظارتی بهتر است در VLAN جدا باشند. چون این تجهیزات معمولا ترافیک زیادی تولید میکنند و از طرفی نباید دسترسی آزاد به بخشهای دیگر شبکه داشته باشند. با VLAN میتوان شبکه دوربینها را از شبکه کاربران اداری جدا کرد و فقط دسترسیهای لازم را از طریق فایروال یا روتر مجاز دانست.
4. ایجاد شبکه مهمان
در بسیاری از شرکت ها، اینترنت مهمان برای مراجعان، مشتریان یا نیروهای موقت ارائه میشود. این کاربران نباید به سرورها، فایل ها، پرینترها یا سیستم های داخلی دسترسی داشته باشند. با VLAN مهمان میتوان دسترسی آنها را فقط به اینترنت محدود کرد.
5. کاهش ترافیک Broadcast
وقتی شبکه بزرگ میشود، ترافیک Broadcast میتواند منابع شبکه را مصرف کند و عیب یابی را سختتر کند. تقسیم شبکه به چند VLAN باعث میشود هر VLAN دامنه Broadcast خودش را داشته باشد. البته VLAN بهتنهایی مشکل طراحی بد شبکه را حل نمیکند، اما برای کنترل بهتر ترافیک داخلی بسیار مفید است.
انواع VLAN
در منابع مختلف، VLAN ها را با چند نگاه دستهبندی میکنند. رایجترین مدلها عبارتاند از:
VLAN مبتنی بر پورت
در این روش، هر پورت سوئیچ به یک VLAN مشخص اختصاص داده میشود. این روش ساده، رایج و قابل کنترل است و در بیشتر شبکه های اداری استفاده میشود.
VLAN مبتنی بر MAC
در این روش، عضویت دستگاه در VLAN بر اساس آدرس MAC مشخص میشود. یعنی دستگاه حتی اگر به پورت دیگری وصل شود، میتواند همچنان در VLAN قبلی باقی بماند. این روش انعطاف بیشتری دارد، اما مدیریت آن پیچیدهتر است.
Voice VLAN
Voice VLAN برای جداسازی ترافیک تلفنهای IP استفاده میشود. در این حالت، تلفن IP میتواند در VLAN مخصوص صدا قرار بگیرد و کامپیوتر متصل به همان تلفن در VLAN کاربران باقی بماند.
Management VLAN
Management VLAN برای مدیریت تجهیزات شبکه مانند سوئیچ، روتر، کنترلر وای فای و فایروال استفاده میشود. بهتر است دسترسی مدیریتی تجهیزات از شبکه کاربران عادی جدا باشد.
Native VLAN
Native VLAN در لینکهای Trunk برای ترافیکی استفاده میشود که بدون Tag عبور میکند. تنظیم اشتباه Native VLAN میتواند از نظر امنیتی مشکلساز شود؛ بنابراین باید با دقت پیکربندی شود.
آیا VLAN امنیت شبکه را تضمین می کند؟
خیر. VLAN به جداسازی منطقی شبکه کمک میکند، اما بهتنهایی جایگزین فایروال، کنترل دسترسی و سیاست امنیتی نیست. اگر بین VLANها مسیر ارتباطی وجود داشته باشد، باید روی روتر لایه 3، فایروال یا سوئیچ لایه 3 مشخص شود چه ترافیکی مجاز است و چه ترافیکی باید مسدود شود.
برای مثال، VLAN کاربران نباید بدون محدودیت به VLAN سرورها یا مدیریت تجهیزات دسترسی داشته باشد. جداسازی با VLAN فقط قدم اول است؛ کنترل دسترسی بین VLANها قدم مهمتر است.
ارتباط بین VLAN ها چگونه برقرار میشود؟
دستگاه های داخل یک VLAN میتوانند در همان شبکه با هم ارتباط داشته باشند. اما اگر دو دستگاه در VLAN های متفاوت باشند، برای ارتباط میان آنها به Routing نیاز است.
این کار معمولا با یکی از روشهای زیر انجام میشود:
- روتر با چند Sub-interface
- سوئیچ لایه 3
- فایروال
- روتر سازمانی
به این فرایند Inter-VLAN Routing گفته میشود. در شبکه های سازمانی، بهتر است ارتباط بین VLAN های حساس از طریق فایروال کنترل شود تا سطح دسترسیها دقیقتر مدیریت شود.
مهم ترین مزایای VLAN
- جداسازی منطقی کاربران و سرویسها
- مدیریت بهتر شبکههای بزرگ
- کاهش دامنه Broadcast
- افزایش کنترل روی دسترسی ها
- مناسب برای VoIP، دوربین، مهمان و سرورها
- استفاده بهتر از زیرساخت فیزیکی موجود
- سادهتر شدن عیبیابی و سیاستگذاری شبکه
محدودیت ها و اشتباهات رایج VLAN
- قرار دادن همه کاربران در VLAN پیشفرض
- استفاده از Native VLAN بدون برنامه مشخص
- نبود فایروال یا ACL بین VLANها
- مستندسازی نکردن شماره VLANها
- استفاده زیاد و بیهدف از VLANهای متعدد
- تعریف Trunk روی پورتهایی که نیازی به آن ندارند
- جدا نکردن شبکه مدیریت تجهیزات
- تصور اینکه VLAN بهتنهایی امنیت کامل ایجاد میکند
چه زمانی به VLAN نیاز داریم؟
اگر شبکه شما فقط چند دستگاه ساده دارد، شاید نیازی به طراحی VLAN پیچیده نداشته باشید. اما در سناریوهای زیر VLAN ارزشمند میشود:
- چند واحد سازمانی با سطح دسترسی متفاوت دارید
- تلفن VoIP در شبکه استفاده میکنید
- دوربین و تجهیزات نظارتی دارید
- اینترنت مهمان ارائه میدهید
- سرور یا تجهیزات حساس دارید
- میخواهید ترافیک Broadcast را کنترل کنید
- چند سوئیچ مدیریتی در شبکه دارید
- نیاز به عیبیابی و مدیریت حرفهایتر دارید
VLAN یک شبکه محلی مجازی است که امکان تقسیم یک شبکه فیزیکی به چند شبکه منطقی جداگانه را فراهم میکند. با VLAN میتوان کاربران، واحدها، تلفن های VoIP، دوربین ها، سرورها و مهمانها را در بخشهای جدا قرار داد. VLAN باعث مدیریت بهتر شبکه، کاهش Broadcast و کنترل دقیقتر دسترسیها میشود؛ اما بهتنهایی جایگزین فایروال و سیاست امنیتی نیست. برای ارتباط بین VLAN ها باید Routing انجام شود و دسترسیها باید با ACL، فایروال یا سیاست های امنیتی کنترل شوند.
اگر شبکه سازمان شما در حال رشد است، چند واحد، چند سرویس یا تجهیزات متنوع دارد، طراحی درست VLAN میتواند یکی از پایههای مهم پایداری، امنیت و مدیریت شبکه باشد.
اگر شبکه سازمان شما شامل چند واحد، تلفن VoIP، دوربین، سرور یا کاربران مهمان است، اتصال ساده همه دستگاهها به یک شبکه واحد انتخاب حرفهای نیست. طراحی درست VLAN میتواند امنیت، مدیریت و پایداری شبکه را بهبود دهد. کارشناسان تکنت میتوانند بر اساس ساختار شبکه، تعداد کاربران، سرویسهای حساس و نیاز ارتباطی سازمان، راهکار مناسب تجهیزات شبکه، اینترنت سازمانی، اینترنت خانگی و VoIP را پیشنهاد دهند. برای بررسی زیرساخت شبکه و دریافت مشاوره تخصصی همین حالا با ما تماس بگیرید!
سوالات متداول
VLAN چیست؟
VLAN یک شبکه محلی مجازی است که دستگاه ها را در یک شبکه فیزیکی، به چند شبکه منطقی جدا تقسیم میکند.
آیا VLAN همان LAN است؟
خیر. LAN شبکه محلی فیزیکی یا منطقی است، اما VLAN یک تقسیمبندی مجازی داخل شبکه LAN محسوب میشود.
آیا VLAN امنیت شبکه را کامل میکند؟
خیر. VLAN جداسازی ایجاد میکند، اما برای امنیت کامل باید از فایروال، ACL، رمز عبور قوی و سیاست دسترسی استفاده شود.
تفاوت Access و Trunk چیست؟
پورت Access معمولا برای یک VLAN و دستگاه نهایی استفاده میشود، اما پورت Trunk ترافیک چند VLAN را بین تجهیزات شبکه عبور میدهد.
آیا برای VLAN به سوئیچ مدیریتی نیاز داریم؟
در بیشتر سناریوهای واقعی، بله. برای تعریف و مدیریت VLAN به سوئیچ مدیریتی یا تجهیزات شبکه پشتیبان VLAN نیاز است.

