راهنمای عملی VLAN و سگمنتیشن شبکه برای کسب‌وکارها (با سناریوهای واقعی و چک‌لیست اجرا)

۰۶ مهر ۱۴۰۴

تعداد نظرات: 1643

تعداد بازدید: 461

we weork

خلاصهٔ اجرایی (TL;DR)

VLAN یعنی تقسیم یک شبکهٔ فیزیکی به چند شبکهٔ منطقی برای امنیت، کارایی و مدیریت بهتر.
برای شرکت‌های کوچک: حداقل ۴ سگمنت بساز: کارمندان، VoIP، CCTV، مهمان.
اصل طلایی: «همه چیز بسته است مگر اینکه نیاز داشته باشد باز شود».
اجرای درست = طراحی آدرس‌دهی + قوانین بین VLANها + مانیتورینگ + بکاپ کانفیگ.

VLAN چیست و چرا مهم است؟

VLAN (Virtual LAN) تکنیکی است که به شما اجازه می‌دهد یک شبکه‌ی فیزیکی را به چندین شبکه‌ی منطقی جدا تبدیل کنید. نتیجه:

امنیت بالاتر: اگر یکی از سگمنت‌ها آلوده شد، بقیه مصون می‌مانند.
کاهش ترافیک پخش (Broadcast): عملکرد بهتر و مصرف کمتر منابع.
مدیریت ساده‌تر: اعمال سیاست‌ها، QoS و دسترسی‌ها به‌صورت هدفمند.

تفاوت VLAN با Subnet: معمولاً هر VLAN یک Subnet مجزا دارد، اما VLAN جداسازی لایه ۲ را فراهم می‌کند و به‌طور مستقیم روی سوییچ‌ها اعمال می‌شود؛ در حالی‌که Subnet مفهوم لایه ۳ است.

سناریوی مرجع: شرکت ۳۰ نفره

VLAN10 – کارمندان (Data): 192.168.10.0/24
VLAN20 – VoIP: 192.168.20.0/24
VLAN30 – CCTV (دوربین‌ها/NVR): 192.168.30.0/24
VLAN40 – مهمان (Guest Wi-Fi): 192.168.40.0/24
VLAN99 – مدیریت تجهیزات (MGMT): 192.168.99.0/24 (اختیاری و توصیه‌شده)

نقش‌ها و اصول

سوییچ‌های Access: پورت‌های کاربری روی VLANهای مربوطه در حالت Access.
لینک‌های بین سوییچ‌ها یا به روتر/فایروال: در حالت Trunk با 802.1Q tagging.
روتینگ بین VLANها (Inter-VLAN): فقط روی روتر/فایروال مرکزی انجام شود. سوییچ‌های لایه ۲ روت نکنند.
DHCP: برای هر VLAN یک Scope جدا (می‌تواند روی روتر/فایروال یا سرور DHCP باشد).
DNS: ترجیحاً یکسان برای همه، به‌جز مهمان که می‌تواند DNS عمومی داشته باشد.

سیاست‌های امنیتی پیشنهادی (بین VLANها)

Guest (40):
- فقط اینترنت؛ دسترسی صفر به VLANهای داخلی.
- DNS و NTP مجاز؛ باقی هرچه به داخلی است Drop.
CCTV (30):
- مجوز Only از NVR به دوربین‌ها (۳۰→۳۰) و از PCهای مانیتورینگ خاص در VLAN10 به NVR (۱۰→۳۰ روی پورت‌های وب/RTSP).
- خروجی به اینترنت مسدود مگر آپدیت‌های مدیریت‌شدهٔ NVR از طریق فایروال.
VoIP (20):
- دسترسی به سرور SIP/VoIP و PBX (احتمالاً در ۱۰ یا دیتاسنتر).
- ترافیک غیر VoIP به دیگر VLANها محدود؛ اینترنت فقط برای سیگنالینگ/آپدیت (در صورت نیاز).
کارمندان (10):
- دسترسی به سرویس‌های لازم (فایل‌سرور، CRM، PBX) طبق اصل حداقل دسترسی.
- دسترسی به مدیریت تجهیزات (VLAN99) محدود به تیم IT.
MGMT (99):
- فقط IPهای ادمین اجازهٔ SSH/HTTPS/SNMP به تجهیزات.
- از دیگر VLANها دسترسی ندهید (یک‌طرفه از 99 به دیگران).

طراحی آدرس‌دهی و DHCP برای VLANها

برای هر VLAN:

Gateway: x.x.x.1
DHCP Range: x.x.x.50–x.x.x.200
رزرو IP برای دستگاه‌های ثابت (NVR، PBX، APها، پرینترها) در بازهٔ پایین (مثلاً .10–.49).

نمونهٔ رزروها:

NVR: 192.168.30.10
PBX/IPPBX: 192.168.20.10 یا 192.168.10.10 (بسته به استقرار)
کنترلر وای‌فای: 192.168.99.20
پرینت‌سرورها: 192.168.10.20–29

پیکربندی مفهومی (نمونه)

توجه: این‌ها نمونهٔ مفهومی هستند؛ دستورات دقیق بسته به برند/مدل تغییر می‌کند.

1) سوییچ (سبک Cisco-like)

# ساخت VLANها
vlan10
name STAFF
vlan20
name VOIP
vlan30
name CCTV
vlan40
name GUEST
vlan99
name MGMT

# پورت کاربری روی VLAN 10
interface Gi0/1
switchport mode access
switchport access vlan10

# پورت به روتر/فایروال (Trunk)
interface Gi0/24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan10,20,30,40,99

2) روتر/فایروال (سبک Router-on-a-Stick)

# زیراینترفیس‌ها برای هر VLAN
interface Gi0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0

interface Gi0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0

interface Gi0/0.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0

interface Gi0/0.40
encapsulation dot1Q 40
ip address 192.168.40.1 255.255.255.0

interface Gi0/0.99
encapsulation dot1Q 99
ip address 192.168.99.1 255.255.255.0

اشتباهات متداول در مورد VLANها (و راه‌حل سریع)

Trunk اشتباه تعریف شده: VLANها Tag نمی‌شوند → بررسی allowed VLANs و Native VLAN.
DHCP از VLAN دیگری پاسخ می‌دهد: فیلتر DHCP Snooping/Relay درست پیاده‌سازی شود.
باز بودن بیش‌ازحد بین VLANها: اصل «حداقل دسترسی» را برگردانید؛ قوانین را بازبینی کنید.
مدیریت تجهیزات از همه VLANها باز است: یک VLAN مدیریتی بسازید و دسترسی را محدود کنید.
نسخه‌پشتیبان ندارید: بلافاصله Export بگیرید و زمان‌بندی بکاپ دوره‌ای بگذارید.

برنامهٔ توسعه (Next Steps)

افزودن NAC/802.1X برای کنترل هویت دستگاه‌ها.
جداسازی بیشتر: VLAN مخصوص سرورها/ذخیره‌سازی و VLAN IoT.
Zero Trust: میکرو-سگمنتیشن در سطح سرویس‌ها (مثلاً با فایروال‌های میزبان یا SD-WAN/SD-Access).
High Availability برای روتر/فایروال و مسیرهای Uplink.

پرسش‌های متداول (FAQ) در مورد VLANها

۱) آیا برای دوربین‌ها حتماً VLAN جدا لازم است؟
بله، چون دستگاه‌های CCTV اغلب به‌روزرسانی ضعیف و ریسک نفوذ دارند؛ جداسازی ریسک را محدود می‌کند.

۲) آیا می‌توانم بدون روتر/فایروال مرکزی بین VLANها روت کنم؟
فنی بله (با سوییچ لایه ۳)، اما توصیه می‌شود سیاست‌های امنیتی روی فایروال مرکزی اعمال شود.

۳) Guest چرا نباید به شبکهٔ داخلی دسترسی داشته باشد؟
به‌دلیل ریسک بالای دستگاه‌های ناشناخته/شخصی؛ مهمان فقط به اینترنت نیاز دارد.

۴) اگر یک سرویس باید از چند VLAN قابل دسترسی باشد چه کنم؟
یک ACL/Policy دقیق با پورت‌های مشخص تعریف کنید؛ از باز کردن کلی دسترسی خودداری کنید.

۵) Native VLAN را چند قرار دهم؟
بهتر است VLAN غیرپیش‌فرض و غیرترافیکی (مثلاً 999) را Native کنید و ترافیک واقعی را همیشه Tag کنید.

دسته‌ بندی‌ ها :

مقالات شبکه کامپیوتری

اشتراک‌گذاری مقاله

https://ssirco.com/%d8%b1%d8%a7%d9%87%d9%86%d9%85%d8%a7%db%8c-%d8%b9%d9%85%d9%84%db%8c-vlan-%d9%88-%d8%b3%da%af%d9%85%d9%86%d8%aa%db%8c%d8%b4%d9%86-%d8%b4%d8%a8%da%a9%d9%87-%d8%a8%d8%b1%d8%a7%db%8c-%da%a9%d8%b3%d8%a8/

لینک با موفقیت کپی شد

خلاصهٔ اجرایی (TL;DR) VLAN یعنی تقسیم یک شبکهٔ فیزیکی به چند شبکهٔ منطقی برای امنیت، کارایی و مدیریت بهتر. برای شرکت‌های کوچک: حداقل ۴ سگمنت بساز: کارمندان، VoIP، CCTV، مهمان. اصل طلایی: «همه چیز بسته است مگر اینکه نیاز داشته باشد باز شود». اجرای درست = طراحی آدرس‌دهی + قوانین […]