Download to read offline
Vlan
- 1. Virtual LAN By UsamahALLAWI
- 2. VLANبتجميع الشبكات لمسؤوليتسمح(Hosts)ال يكن لم إذا حتى اًعمhostsب مباشر بشكل متصلينSwitchنفسه الشبكة.اًنظر عضوية ألنVLANال خالل من تهيئتها يمكنSoftwareكبير بشكل ونشرها الشبكة تصميم تبسيط إلى ذلك يؤدي أن يمكن ،. شبكات بدون،ال تجميع يتطلبhostsجديد من الكابالت ربط إعادة أو العقد عمل الموارد من الحتياجاتهم اًقوف.تسمحVLANللشبكات ا سير حركة وإدارة واألمان البساطة تحسين على يعمل مما ،الكابل نفس لمشاركة منفصلة بها االحتفاظ يجب التي واألجهزةلبيانات.على استخدام يمكن ، المثال سبيلVLANبح ،البيانات سير حركة أنواع بين أو ، الشبكة مسؤولي ومع ، المستخدمين مع المهام لفصلال يث الشبكة وظائف بقية على مباشر بشكل المنخفضة األولوية ذات البيانات أو المستخدمون يؤثر.االن خدمة مزودي من العديدترنيت ال يستخدمونVLANم واحد جزء في اًعم عميل كل خوادم بتجميع يسمح مما ، البعض بعضها عن الخاصة العمالء مناطق لفصلن به الخاص البيانات مركز في مكان أي في وجوده أثناء االتصال شبكة. الى تنظر عندما الواقع في ألنه كذلك وسميتواحدة شبكة وكأنها لك يظهر بنيتها.ش من أكثر تكون الحقيقة في هي ولكنواحدة بكةولكن وجود غير منRouterالـ أن حيثSwitchالى الواحدة الشبكة بتقسيم يقوم هنايم ال أي اآلخر عن منفصل منها كل شبكات عدةكن ألجهزة((تخيلية شبكة))االتصالبـ مرتبطين أنهم مع أخرى تخيلية شبكة بأجهزةSwitchتنظيمية عملية اال هي وما واحدللشبكات. مظهر إنشاء إلى يؤدي مما ،الشبكات أنظمة في العالمات هذه مع والتعامل الشبكة حزم على عالمات وضع خالل من شبكات تعمل منفصلة شبكات بين مقسمة انها لو كما تعمل ولكن واحدة شبكة على اًيفعل موجودة تكون التي الشبكة بيانات سير حركة ووظائف. ، (Same LAN) نفسها مادية بشبكة توصيلها من الرغم على منفصلة الشبكة التطبيقات االحتفاظ (VLAN) يمكن ، الطريقة وبهذه لشبكات الشبكات وأجهزة الكابالت من متعددة مجموعات عمل الى الحاجة دون.
- 3. الVLANالـ يجزءBroadcast Domainكلألن أجزاء إلىVLANتعتبرBroadcast Domainمن يقلل وهذا بذاته مستقل Congestionالـ تدفق نتيجة الشبكة في يحصل الذي االختناق أوDataالـ كل إلىHostsالـ في الموجودةBroadcast Domain الواحد.. الـ تركنا لوSwitchبدونإلى تقسيمVLANsتكون فإنهاBy Defaultعن عبارةVLANأنها أي واحدةBroadcast Domain ألنها الشبكة على يزداد الضغط فإن بالتالي و واحدعن عبارة ببساطةDomainواحد.وBy DefaultالـSwitchيوجد بهVLAN1للـManagement كلDomainيعطى أن يجبNetwork AddressأوSubnetwork Addressخاصكل أن بما و بهVLAN هيDomainأنه يعني فهذا مستقللكل يكون أن يجبVLAN Network AddressأوSubnetwork Addressخاص بها.... ال فوائدVLAN *من يقللbroadcastالشبكة في. *الـ ناحية من أفضلSecurity *الشبكة إدارة في سهل. *الشبكة في الكمبيوتر أجهزة انتقال يسهل. *الشبكة في أجهزة إضافة يسهل.
- 4. 1)يقومAccess portوإلى منالبيانات بنقلVLANأن حين في له تخصيصها تم فقط محددةTrunk portلنقل تعيينه يتم منفذ هو كل بياناتVLANs))خالل من إليها الوصول يمكنSwitchباسم تعرف عملية وهي ، معينTrunking 2)ل يمكنTrunk portمن أكثر إنشاءVLAN))ال علىportأن حين فيaccess portشبكة إعداد على قادرVLANواحدة ال علىport 3)فيTrunk modeوضع يتم ،tagباستخدام المنفذ علىVLAN،في بينماaccess modeوضع في المنفذ يكون ، untagged mode. للبورتات المودات من نوعيتان هنالك *Access mode *Trunk mode
- 6. Membership: Interface Numbers *:علىلإلضافة كوسيلة البورتات ارقام يستخدمون المبرمجين بعضVLAN MAC Addresses *:على لإلضافة كوسيلة الماك يستخدمون المبرمجين بعضVLAN IP Addresses *:ال يستخدمون المبرمجين بعضIPعلى لإلضافة كوسيلةVLAN Multicast IP Addresses *:يستخدمون المبرمجين بعضMulticast IPعلى لإلضافة كوسيلةVLAN Combination *:المذكورة الطرق من طريقة من اكثر باستخدام تسمح األنظمة بعض الحاضر الوقت في
- 7. ال بين التواصلSwitches مناكثر وجود حالة فيSwitchكل ،Switchال فقط ليس يعلم ان يجبVLANsكل في الموجودةSwitchاألعضاء أيضا الكن بكل المرتبطينVLANاالتي طريق عن وهذا: 1-Table Maintenance:بإرسال محطة تقوم عندما ،الطريقة هذه فيFrameBroadcast، به الخاصة المجموعة أعضاء إلى ال يقومSwitchعنده المرتبطين األعضاء ويسجل جدول في إدخال بإنشاء.ال ترسلSwitchesبعضها إلى بيها الخاصة الجداول للتحديث دوري بشكل البعض. 2-Frame Tagging:ينتقل عندما ،الطريقة هذه فيFrameبينSwitchesإضافة تتم ،extra headerإلىframeMAC لتحديدVLANالوجهة.استخدام يتمFrame tagبواسطةreceiving switchال لتحديدVLANsال رسالة لتلقيbroadcast. 3-Time-Division Multiplexing (TDM):االتصال تقسيم يتم ،الطريقة هذه في(trunk)بينSwitchesمشتركة قنوات إلى بالوقت.لل اإلجمالي العدد كان إذا ، المثال سبيل علىVLANفإن ، خمسة الشبكة فيtrunkقنوات خمس إلى مقسم.البيانات تسير إلى المتجهةVLAN 1القناة في1إلى المتجهة البيانات وتنتقل ،VLAN 2القناة في2وهكذا ،.يحددreceiving switch وجهةVLANال منها وصل التي القناة فحص طريق عنframe.
- 8. VLAN Tagging: بال ًاايضيعرفFrame Taggingسيسكو شركة قامت طريقة هيCiscoرسالة كل تميز اجل من ذلك و بتطويرهاPacketتمر بورت خالل منTrunk port لكياكثر نفهم الرسالة نقلُت عندماPacket/Frameال خالل منTrunkال عن خاصة معلومات فأنVLANبال تسمىVLAN TAGإلى تضاف الرسالةPacket/Frameاالخر الطرف الى تنقل ثم,المستقبل الطرف عند االنSwitchالرسالة الى المضافة المعلومات Packet/Frameالجهاز يقوم ًااخير ثم الرسالة من مسحُت او نزعُتSwitchالمنفذ الى الرسالة بتوصيلAccess portالمرغوب إطار في يكون سوف والذي اليه الرسالة ارسالVLANمعينة(مثلVLAN 10 , VLAN 20 ..الخ.) أنواعالVLAN Tagging : *ISL *IEEE 802.1Q Dot1q
- 9. االول النوعISL: سيسكو شركةملكية من هوCiscoل اختصار هو وInter-Switch Linkاجهزة بين االتصال اجل من البروتوكول هذا تقديم تم و متعددة سويتشاتMulti Switchesال بين المتداولة المعلومات تميز يتم ان اجل من وVLANsالمختلفة. الISLنقطة الى نقطة بيئة في يعمل(Point-to-Point)سويتش جهاز الى سويتش جهاز مثل يعني..جهاز الى راوتر جهاز او سويتش. الISLمع يعملHalf-Duplex , Full-Duplex. الISLحتى يدعم1000VLANs . الISLمع يعملFast Ethernet 100mbوGigabit Ethernet 1000mb. الISLال من اسرع يعتبرDot1Q. الISLراس بإضافة يقومISL Headerذيل وISL FCS. ال فيISLاالصلية الرسالةFrameتغليفها يتم المصدر من إرسالها تم التيEncapsulatedاضافة يتم وHeaderللFrameفي وإضافة الرسالة مقدمةISL FCSال كيبل طريق عن ارسالها يتم ان قبل الرسالة نهاية فيTrunkفأن المستقبلة الجهة في اماHeader لل اضافته تم الذيFrameال الى االصلية الرسالة تمرر ثم و ازلته يتمVLANاليها الرسالة ارسال المراد او المعنية.
- 10. الثاني لنوعIEEE 802.1QDot1q: منظمة قامت بروتوكول هوIEEEاس طريق عن صغيرة شبكات الى الكبيرة الشبكات تقسيم مشكلة حل اجل من ذلك و بإنشائهتخدام ال مفهومVLANال يعتبر كماDot1qل بديلISLسيسكو لشركة التابعCiscoألنه ذلك و ًااستخدام و شهرة اكثر عدُي كماOpen standardاالجهزة كل قبل من استخدامه يمكن ايCompatibilityمصنعي باختالفVendorsاالجهزة هذه(Cisco Systems , Juniper Networks , LANCOM Systems ,Linksys ,Etc.). كماكاالتي وهي اخرى مميزات هناك ان: *يقارب ما يدعم4096VLANs. *للرسالة تغليف بعمل يقوم الEncapsulationال بروتوكول في كماISLمعلومات بإدخال او بإضافة يقوم بلحجمها4byteحيث ال من بكثير اصغر الحجم ان وهو البروتوكول لهذا قوية ميزة هذه تعتبرISL.
- 12. ال كانت لويحدث ماذاFrameبدونTag ال دور يأتي هناNative VLAN الnative vlanللسويتش يأتي عندما أنه ببساطة فكرتهاframesعالمات أي تحمل ال بياناتtagsال من أي تدلvlansهذا داخل ال هذه لها تابع السويتشframesال إلى البيانات هذه بتحويل يقوم السويتش فإن إذنnative vlan.سويتش هناك كان فإذاdlinkأو tplinkال هي ما تفهم لن السويتشات هذه أن فطبيعي سيسكو سويتش ب موصل مثالvlanمن بيانات واستقبال بإرسال ستقوم وبالتالي ال أو بالعالمات مختومة غير سيسكو سويتشtagsال من أي تدل التيvlansبهذه الموصلة األجهزة على يجب لذا البيانات هذه لها تابع لل تابعة تكون أن السويتشاتnative vlanسيسكو سويتش مع التواصل المختلفة السويتشات هذه تستطيع وبالتالي(ا أحد هذاستخدامات الnative vlan) فال إذنnative vlanالـ واستقبال فهم عن المسئولة هيuntagged framesمن أي تدل اختام تحمل ال التي البيانات أي الvlansالبيانات هذه لها تابع. والNative VLANتكونBy defaultهيdefault VLAN 1
- 13. ال اختراقVLANيسمىVLAN Hopping الـتستهدف التي الهجمات أنواع أحدLayer 2 DevicesوتدعىVlan Hoppingالـ قواعد باختراق الهجوم هذا فكرة وتقوم Vlanعلى موجود معين لشخص بالسماح وذلك الشبكة علىVlan2على بالدخول مثالVlan 3الموجودة األجهزة بكل واالتصال الـ مميزات أحد أن نعلم كما ألننا هناكVlanالبعض بعضها عن األجهزة عزل هي طريقتان اللحظة هذه حتى الهجمات من النوع لهذا األولى الطريقة:Switch Spoofing الـ وظيفة أنTrunk Portالـ جميع بين باالتصال السماح هيVlansالـ نفس مع السويتش في الموجودةVlansسويتش على الموجودة كل بوسم وذلك آخرTrafficالـ برقم اآلخر السويتش الى ذاهبVlanالـ يعطي بدوره وهذا منه أرسلت التيTrunk Portعلى القدرة الـ بكل االتصالVlansالهجوم هذه حاالت أول لنتخيل الشبكة على الموجودة على الموجود العابث يقومPC1السويتش مخبر الجهاز على حقيقي سويتش بوصل يقوم أو وهمي سويتش بعملAبأنهTrunk Port عل التنصت أمكانية إلى باإلضافة الشبكة على الموجودة األجهزة كل إلى الوصول في الصالحيات العابث يعطي بدوره وهذاالباكيت كل ى الـ بين المرسلةVlansالسويتش في الموجودة البورتات الن طبعا والسببAحالة في تكونautoأذا لك يستجيب فهو اآلخر الطرف مع وأنك سويتش أنك أخبرتهTrunk Port كل على واحد أمر بكتابة تقوم النوع لهذا وللتصديInterfaceمع موصولHost
- 14. SwitchA#conf t SwitchA(config)#interface fastethernet0/1 SwitchA(config-if)#switchport mode access الـ بروتوكول طريق عن تتم آخرى ثغرة يحوي السويتش الن الهجوم نصف أوقفنا قد نكون األمر بهذاDTPأوDynamic Trunk Protocolالـ نوع تحديد هي باختصار البروتوكول هذا وظيفةTrunk Protocolهل تحديد أي أتوماتيكي بشكل استخدامه يجب الذي استخدام يجبQ802.1أوISLيعمل وهوBy defaultج بشكل العابث يستغله ما وهذا السويتش على الموجودة البورتات كل علىيد بأرسال يقوم فهوDTP Packetبروتوكول يستخدم بأنه إياه مخبرا السويتش إلىQ802.1الـ ليتحول مثالPortإلىTrunk Port التالي األمر بتنفيذ نقوم العمل عن البروتوكول هذه وأليقاف السابق األمر طبقنا قد كنا لو حتى أتوماتيكي بشكل SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport mode trunk SwitchA(config-if)# switchport nonegotiate
- 15. الثانية الطريقة: DoubleTagging إلى للوصول للعابث تسمح ألنها األولى من أجمل الثانية الطريقة فكرةVlanببساطة وهي السابقة الخطوات كل بعمل قمنا لو حتى آخرى بي مرتان وسمها تم باكيت أرسال مبدأ على تقومQ802.1tagsالسويتش الى الباكيت تصل وعندماAالـ بإزالة السويتش يقومTag السويتش الى بأرسالها ويقوم فقط الخارجيBكاuntagged packetالسويتش إلى تصل وعندماBالـ تحمل وهي تصلTag المطلوب المكان إلى الباكيت بإيصال بعدها السويتش وليقوم قبل من أعداده تم الذي الداخلي باكيت كل بأرسال الهجوم من النوع لهذا التصدي يمكنUntaggedإلىVlanمن ذلك ويتم شيء ألي مستخدمه وغير مسبقا أعداده تم التالي األمر خالل SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport trunk native vlan 210 بحيث210هيVlanشيء ألي مستخدمه غير
- 16.
- 17.
- 18.