در دنیای شبکههای سازمانی، Native VLAN و Allowed VLAN نقش حیاتی در مدیریت ترافیک و امنیت شبکه دارند. پیکربندی درست این VLANها باعث میشود تا از مشکلاتی مانند VLAN Hopping جلوگیری شود و ارتباط بین سوئیچها بهینه شود. بسیاری از مدیران شبکه با مفهوم Native VLAN و Allowed VLAN آشنا هستند، اما نحوه تنظیم دقیق و تعامل آنها با پورتهای Trunk اغلب باعث سردرگمی میشود. در این مقاله به صورت گام به گام و آموزشی به توضیح مفاهیم، پیکربندی و نکات امنیتی این VLANها در شبکههای سیسکو میپردازیم تا هم مبتدیان و هم حرفهایها بتوانند شبکهای امن و بهینه داشته باشند.
گر شما دستگاه فیزیکی ندارید و میخواهید به عنوان دانشجو این مقاله را مطالعه و تمرین کنید ، شما به یک کامپیوتر و نرم افزار Packet Tracer نیاز خواهید داشت
Native VLAN چیست؟
Native VLAN به VLANی گفته میشود که روی یک پورت Trunk بدون تگ 802.1Q منتقل میشود. به عبارت سادهتر، وقتی ترافیک یک پورت Trunk به سوی سوئیچ دیگر میرود و VLAN آن مشخص نشده باشد، به عنوان ترافیک Native VLAN تلقی میشود.
کاربرد Native VLAN
- انتقال ترافیک غیرتگشده روی پورتهای Trunk
- تسهیل مدیریت شبکه در ارتباط بین سوئیچها
- تعیین مسیر پیشفرض برای بستههای غیرتگ شده
نکات مهم درباره Native VLAN
- باید با امنیت شبکه مطابقت داشته باشد
- به صورت پیشفرض VLAN 1 است، اما بهتر است VLAN متفاوت برای افزایش امنیت انتخاب شود
- پیکربندی نادرست میتواند باعث VLAN Hopping شود
Allowed VLAN چیست؟
Allowed VLAN مجموعه VLANهایی است که روی یک پورت Trunk مجاز به عبور هستند. محدود کردن VLANهای مجاز باعث کاهش ترافیک اضافی و افزایش امنیت شبکه میشود.
کاربرد Allowed VLAN
- کنترل ترافیک عبوری روی پورتهای Trunk
- جلوگیری از انتشار VLANهای غیرضروری در شبکه
- کاهش ریسک حملات VLAN Hopping
نحوه پیکربندی Allowed VLAN در سیسکو
مثال پیکربندی یک پورت Trunk که فقط VLANهای ۱۰، ۲۰ و ۳۰ را مجاز میکند
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30تفاوت Native VLAN و Allowed VLAN
| ویژگی | Native VLAN | Allowed VLAN |
| تعریف | VLANی که ترافیک بدون تگ روی آن منتقل میشود | مجموعه VLANهای مجاز برای عبور روی پورت Trunk |
| کاربرد | مسیر پیشفرض بستههای غیرتگشده | کنترل عبور VLANها و افزایش امنیت |
| امنیت | در صورت اشتباه، باعث VLAN Hopping میشود | محدود کردن VLANها امنیت را افزایش میدهد |
حملات VLAN Hopping و روش جلوگیری
VLAN Hopping حملهای است که مهاجم میتواند ترافیک VLANهای دیگر را مشاهده یا تغییر دهد.
دو نوع حمله VLAN Hopping
- Switch Spoofing : مهاجم پورت خود را به حالت Trunk تغییر میدهد تا VLANهای دیگر را دریافت کند
- Double Tagging : بستهها دارای دو تگ VLAN هستند و مهاجم میتواند بسته را به VLAN هدف ارسال کند
وشهای جلوگیری VLAN Hopping
- تغییر Native VLAN از VLAN پیشفرض 1
- محدود کردن Allowed VLAN فقط به VLANهای مورد نیاز
- استفاده از پورت Access به جای Trunk برای کاربران عادی
- اعمال سیاستهای امنیتی روی سوئیچ
پیکربندی پیشرفته Native VLAN و Allowed VLAN
تغییر Native VLAN روی پورت Trunk
interface GigabitEthernet0/1
switchport trunk native vlan 99محدود کردن Allowed VLAN
interface GigabitEthernet0/1
switchport trunk allowed vlan 10,20,30ترکیب تنظیمات برای امنیت بیشتر
- Native VLAN متفاوت از VLANهای مهم
- Allowed VLAN فقط شامل VLANهای ضروری
- بررسی و مانیتورینگ دورهای پورتهای Trunk
مثال واقعی در شبکه سازمانی
فرض کنید سازمان شما سه VLAN دارد: 10 (کاربران)، 20 (مدیریت)، 30 (مالی).
- پورت Trunk بین سوئیچها تنظیم شده است
- Native VLAN روی 99 قرار دارد
- Allowed VLAN شامل 10، 20 و 30 است
این تنظیمات باعث میشود ترافیک غیرتگشده به VLAN 99 برود و کاربران نمیتوانند به VLANهای حساس دسترسی پیدا کنند.
جمعبندی نکات امنیتی
- همیشه Native VLAN پیشفرض را تغییر دهید
- Allowed VLAN را محدود کنید
- از پورتهای Access برای کاربران عادی استفاده کنید
- مانیتورینگ دورهای پورتهای Trunk را فراموش نکنید
بخش FAQ (سؤالات متداول)
Native VLAN چیست؟
VLANی است که ترافیک بدون تگ روی آن منتقل میشود و مسیر پیشفرض بستههای غیرتگشده است.
Allowed VLAN چه کاربردی دارد؟
مجموعه VLANهای مجاز برای عبور روی پورت Trunk است که کنترل ترافیک و امنیت شبکه را بهبود میدهد.
VLAN Hopping چیست و چگونه جلوگیری میشود؟
حملهای که مهاجم میتواند ترافیک VLANهای دیگر را مشاهده کند. با تغییر Native VLAN و محدود کردن Allowed VLAN میتوان از آن جلوگیری کرد.
بهترین روش برای امنیت Trunk چیست؟
Native VLAN متفاوت از VLANهای مهم، Allowed VLAN محدود، و استفاده از پورت Access برای کاربران عادی.
جمعبندی
با تنظیم درست Native VLAN و Allowed VLAN میتوانید شبکهای امن و بهینه داشته باشید و از حملات VLAN Hopping جلوگیری کنید. برای یادگیری بیشتر و پیادهسازی شبکههای سیسکو، مطالعه منابع رسمی Cisco توصیه میشود:
اگر در سازمان خود نیاز به راهنمایی و مشاوره تخصصی در زمینه
اگر در سازمان خود نیاز به راهنمایی و مشاوره تخصصی در زمینه شبکه های سیسکو دارید، همین حالا با پشتیبانی سایت IRSUPP.IR تماس بگیرید. گروه پشتیبانی شبکه های ایران با پیاده سازی و ساخت زیرساخت مناسب برای سازمان ها بستری را فراهم میکند تا از شبکه ای امن و پایدار و بدون نگرانی از تحریمها و محدودیتها بهره مند شوید.
✅ پشتیبانی سریع
✅ سرویسهای پایدار و مطمئن
✅ آموزش کامل و مشاوره رایگان
فرصت رو از دست ندید و با یک کلیک به جمع کاربران حرفهای بپیوندید 🚀
