(ML-001) كيفية إدارة عناوين IP العامة أو الخاصة المتعددة بشكل صحيح على جهاز التوجيه الطرفي
$8,99
الاتصال البيني لشبكة VLAN: التوجيه بين الشبكات الافتراضية
- ماورو إيسكالانتي
- لا يوجد تعليقات
- حصة هذه المادة
فيسبوك
تويتر
لينكدين:
الواتساب
تیلیجرام
يشير الاتصال البيني لشبكة VLAN إلى عملية إنشاء اتصال بين الشبكات الافتراضية المختلفة (VLANs) في البنية التحتية للشبكة. شبكات VLAN هي أجزاء منطقية من شبكة فعلية تسمح للمسؤولين بتقسيم الشبكة إلى مجموعات منطقية أصغر لتحسين أمان الشبكة وإدارتها وأدائها.
عند إنشاء شبكات VLAN منفصلة، بشكل افتراضي، لا يمكنها الاتصال مباشرة مع بعضها البعض. ومع ذلك، في العديد من المواقف، من الضروري السماح بالاتصال بين شبكات VLAN المختلفة لمشاركة الموارد أو السماح للمستخدمين بالوصول إلى خدمات معينة على شبكات افتراضية أخرى. هذا هو المكان التوجيه بين شبكات VLAN.
يسمح التوجيه بين شبكات VLAN لحركة المرور بالتنقل بين شبكات VLAN المختلفة باستخدام جهاز التوجيه أو طبقة 3 التبديل التي لديها القدرة على التوجيه. تعمل هذه الأجهزة كجسور بين شبكات VLAN وتسمح لها بالتواصل مع بعضها البعض.
طرق تنفيذ التوجيه
الطرق الرئيسية لتنفيذ التوجيه بين شبكات VLAN هي:
1. التوجيه باستخدام جهاز توجيه خارجي
في هذا التكوين، يتم توصيل كل شبكة محلية ظاهرية (VLAN) بالواجهة الخاصة بها على جهاز التوجيه. عندما يلزم إرسال حزمة بيانات من شبكة VLAN إلى أخرى، يتم إرسالها إلى جهاز التوجيه، الذي يقوم بعد ذلك بإعادة توجيهها إلى شبكة VLAN الوجهة. هذه التقنية بسيطة وفعالة، ولكنها قد تكون غير فعالة إذا كان هناك العديد من شبكات VLAN، لأنها تتطلب واجهة منفصلة لكل منها.
2. التوجيه عند تبديل الطبقة الثالثة
في هذا التكوين، يتم تنفيذ التوجيه داخل المحول، والذي يمكنه فهم الحزم ومعالجتها على مستوى الشبكة. يحتوي هذا النوع من المحولات على واجهات افتراضية متعددة من الطبقة الثالثة، واحدة لكل شبكة محلية ظاهرية (VLAN)، مما يسمح لك بالتوجيه فيما بينها. تعد هذه التقنية أكثر كفاءة من التوجيه باستخدام جهاز توجيه خارجي، ولكنها تتطلب أجهزة أكثر تعقيدًا وتكلفة.
3. التوجيه باستخدام صندوق السيارة (جهاز التوجيه على العصا)
في هذا التكوين، يتم استخدام واجهة فعلية واحدة على جهاز التوجيه للتعامل مع حركة المرور من شبكات VLAN متعددة. يتم التمييز بين شبكات VLAN باستخدام علامات VLAN (802.1Q) الموجودة على حزم البيانات. تعد هذه التقنية أكثر كفاءة من التوجيه باستخدام جهاز توجيه خارجي من حيث استخدام الواجهة، ولكنها قد تكون محدودة بمقدار عرض النطاق الترددي المتوفر على واجهة قناة الاتصال.
خطوات أساسية
عند تكوين التوجيه بين شبكات VLAN، يجب تنفيذ عدة خطوات:
1. تكوين شبكة محلية ظاهرية (VLAN).
أولاً، يتم إنشاء شبكات VLAN فردية على المحولات أو أجهزة الشبكة. يتم تكوين كل شبكة محلية ظاهرية (VLAN) بمعرف فريد ويتم تعيين منافذ محددة لكل شبكة محلية ظاهرية (VLAN).
2. تكوين واجهات التوجيه
على جهاز التوجيه أو محول الطبقة الثالثة، يجب تكوين الواجهات التي ستتصل بكل شبكة محلية ظاهرية (VLAN). يتم تكوين هذه الواجهات باستخدام عناوين IP التي تنتمي إلى الشبكات الفرعية لكل شبكة محلية ظاهرية (VLAN).
3. تكوين جدول التوجيه
يتم تكوين المسارات الثابتة أو يتم استخدام بروتوكول التوجيه الديناميكي للسماح لجهاز التوجيه بمعرفة كيفية الوصول إلى الشبكات الفرعية لكل شبكة محلية ظاهرية (VLAN).
4. إنشاء سياسات الوصول
يمكن تطبيق قوائم التحكم في الوصول (ACLs) للتحكم في حركة المرور المسموح بها أو المحظورة بين شبكات VLAN. وهذا يوفر طبقة إضافية من الأمان والتحكم.
بمجرد الانتهاء من هذه الخطوات، سيتم ربط شبكات VLAN وستكون قادرة على التواصل مع بعضها البعض من خلال جهاز التوجيه أو طبقة 3 التبديل. سيقوم جهاز التوجيه بفحص معلومات الوجهة الخاصة بالحزم وتوجيهها إلى شبكة VLAN للوجهة المقابلة.
من المهم ملاحظة أن التوجيه بين شبكات VLAN يمكن أن يكون له تأثير على أداء الشبكة لأنه يتضمن معالجة إضافية للحزم ويمكن أن يولد حركة مرور إضافية على الشبكة.
لذلك، من المهم تصميم تكوين التوجيه بعناية والنظر في النطاق الترددي والموارد المتاحة لضمان الأداء الأمثل للشبكة.
أجهزة التوجيه أو المحولات من الطبقة الثالثة
يعتمد الاختيار بين استخدام جهاز توجيه أو محول الطبقة الثالثة للتوجيه بين شبكات VLAN على عدة عوامل، بما في ذلك حجم الشبكة وحجم حركة المرور والموارد المتاحة والاحتياجات المحددة للمؤسسة.
فيما يلي بعض الاعتبارات التي يمكن أن تساعدك على اتخاذ القرار:
1. أداء
عادةً ما تكون محولات الطبقة الثالثة أسرع من أجهزة التوجيه في التوجيه، نظرًا لأن أجهزة المحول مصممة للتعامل مع توجيه الحزم عالي السرعة. يمكن أن يكون هذا مهمًا بشكل خاص على الشبكات التي بها قدر كبير من حركة المرور بين شبكات VLAN.
2. التكلفة
عادةً ما تكون محولات الطبقة الثالثة أكثر تكلفة من أجهزة التوجيه نظرًا لأجهزتها المتخصصة. لذلك، إذا كانت الميزانية أحد الاعتبارات المهمة، فقد يكون جهاز التوجيه خيارًا أكثر فعالية من حيث التكلفة.
3. التدرجية
إذا كان الهدف من الشبكة هو النمو من حيث الحجم والتعقيد، فقد يكون محول الطبقة الثالثة خيارًا أكثر قابلية للتوسع. يمكن لمحولات الطبقة الثالثة التعامل مع أعداد كبيرة من شبكات VLAN وتوفير التوجيه بين شبكات VLAN دون الحاجة إلى واجهات فعلية إضافية كما هو مطلوب بواسطة جهاز التوجيه.
4. الميزات المتقدمة
توفر أجهزة التوجيه عادةً نطاقًا أوسع من الميزات المتقدمة مقارنةً بمحولات الطبقة 3. وقد يتضمن ذلك دعمًا لمجموعة واسعة من بروتوكولات التوجيه وإمكانيات جدار الحماية والشبكات الافتراضية الخاصة (VPN) وميزات الأمان الأخرى.
5. سهولة التكوين والإدارة
عادةً ما تكون محولات الطبقة الثالثة أسهل في التكوين والإدارة للتوجيه بين شبكات VLAN مقارنة بأجهزة التوجيه. وذلك لأنه يمكنك تكوين واجهات VLAN متعددة على جهاز واحد بدلاً من الاضطرار إلى إدارة واجهات فعلية متعددة على جهاز توجيه.
باختصار، سيعتمد الاختيار بين جهاز التوجيه ومحول الطبقة الثالثة للتوجيه بين شبكات VLAN على الاحتياجات المحددة لشبكتك. كلا الخيارين لهما مزايا وعيوب، وسيختلف الخيار الأفضل من حالة إلى أخرى.
أجهزة التوجيه مقابل محولات الطبقة الثالثة
فيما يلي، نقدم جدولًا مقارنًا يسلط الضوء على بعض المزايا التي يقدمها كل منهما الموجهات كما مفاتيح الطبقة 3 للتوجيه بين شبكات VLAN في الشبكة:
| راوتر | تبديل الطبقة 3 | |
|---|---|---|
| أداء | سرعات توجيه أبطأ عادةً مقارنة بمحولات الطبقة الثالثة | أداء عالي، قادر على التوجيه بسرعة عالية |
| costo | عموما أرخص | بشكل عام أكثر تكلفة بسبب الأجهزة المتخصصة |
| قابلية التوسع | قد تكون محدودة بعدد الواجهات المادية المتاحة | قابل للتطوير للغاية، ويمكنه التعامل مع عدد كبير من شبكات VLAN |
| الخيارات المتقدمة | دعم لمجموعة واسعة من بروتوكولات التوجيه وجدار الحماية وVPN وغيرها | يقتصر في المقام الأول على التوجيه، على الرغم من أن بعض النماذج قد تتضمن ميزات متقدمة |
| التكوين والإدارة | يمكن أن يكون أكثر تعقيدًا نظرًا للحاجة إلى إدارة واجهات فعلية متعددة | تكوين وإدارة أسهل بفضل واجهات VLAN الافتراضية |
تنفيذ توجيه VLAN في RouterOS
فيما يلي مثال لكيفية تكوين التوجيه بين شبكات VLAN على جهاز توجيه MikroTik. يفترض هذا أن لديك بالفعل شبكتي VLAN تم تكوينهما (VLAN 10 وVLAN 20) على المنفذ ether2، وتريد تكوين التوجيه بينهما.
هذا مثال بسيط وقد تحتاج إلى ضبط الأوامر لتناسب الاحتياجات المحددة لشبكتك.
أولاً، سنحتاج إلى تعيين عناوين IP لكل شبكة من شبكات VLAN. ستكون هذه العناوين بمثابة البوابة الافتراضية لكل شبكة محلية ظاهرية (VLAN). لنفترض أننا سنستخدم 192.168.10.1/24 لشبكة VLAN 10 و192.168.20.1/24 لشبكة VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. بعد ذلك، سنقوم بتمكين التوجيه بين شبكات VLAN. يقوم MikroTik بذلك تلقائيًا من خلال إمكانية توجيه الطبقة الثالثة:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. أخيرًا، إذا كنت تريد أن تتمكن شبكات VLAN أيضًا من الوصول إلى الإنترنت، فستحتاج إلى تكوين مسار افتراضي عبر بوابة الإنترنت الخاصة بك. لنفترض أن بوابة الإنترنت الخاصة بك هي 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
يمكن أن تساعد إضافة قواعد جدار الحماية للتحكم في حركة المرور بين شبكات VLAN على جهاز توجيه MikroTik في تحسين أمان الشبكة. فيما يلي مثال لكيفية القيام بذلك.
لنفترض أنك تريد حظر كل حركة المرور من شبكة VLAN 10 إلى شبكة VLAN 20، مع السماح بحركة المرور في الاتجاه المعاكس. أولاً، ستحتاج إلى تحديد الشبكات المقابلة لشبكات VLAN الخاصة بك (على سبيل المثال، 192.168.10.0/24 لـ VLAN 10 و192.168.20.0/24 لـ VLAN 20)، ثم يمكنك استخدام الأوامر التالية:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
ستقوم هذه الأوامر بإنشاء قاعدتين لجدار الحماية:
- ستحظر القاعدة الأولى كل حركة المرور من VLAN 10 إلى VLAN 20 (أي، سيتم إسقاط جميع الحزم الناشئة من شبكة 192.168.10.0/24 والمتجهة إلى شبكة 192.168.20.0/24).
- ستسمح القاعدة الثانية بحركة المرور من VLAN 20 إلى VLAN 10 (أي أنه سيتم قبول جميع الحزم الناشئة من شبكة 192.168.20.0/24 والموجهة إلى شبكة 192.168.10.0/24).
هذا مثال أساسي للغاية. يمكن أن تكون قواعد جدار الحماية أكثر تعقيدًا وتحديدًا اعتمادًا على احتياجاتك الأمنية. على سبيل المثال، قد ترغب في حظر أو السماح بأنواع معينة فقط من حركة المرور (مثل HTTP وSSH وما إلى ذلك)، أو قد ترغب في حظر أو السماح بحركة المرور من/إلى عناوين IP محددة معينة.
مسابقة المعرفة وجيزة
ما رأيك في هذا المقال؟
هل تجرؤ على تقييم معرفتك المكتسبة؟
مقالات ذات صلة
مقالات ذات صلة
مواضيع أخرى قد تهمك
طرق تعيين عناوين IPv6 (الجزء الأول)
مسيرة 25، 2024
WireGuard على MikroTik RouterOS: حل VPN آمن وفعال
مسيرة 13، 2024
طرق تعيين عناوين IPv6 (الجزء الأول)
مسيرة 11، 2024
هل تريد اقتراح موضوع؟
كل أسبوع ننشر محتوى جديد. هل تريدنا أن نتحدث عن شيء محدد؟
