الـ Private Vlan تحت مجهر NetworkSet

في تدوينتي لهذا اليوم سوف أتحدث عن أحد الخواص التى طورتها شركة سيسكو العملاقة وهي الـ Private Vlan أو كما تختصر إلىPVLANs والتى سوف نكتشف فيما بعد أهميتها في الشبكة على مستوى الحماية وعلى مستوى رفع أداء الشبكة ولندخل في الموضوع مباشرة

ماهي الـ PVLANs ؟
ببساطة وبأختصار هي خاصية تتيح لنا تقسيم Vlan معينة إلى عدة Vlan بهدف عزل الأجهزة الموجودة في Vlan واحدة عن بعضها البعض والتى أوضحت في البداية ان لها هدفان :
الهدف الأول وهو من أجل رفع مستوى اداء الشبكة من خلال منع البرودكاست Broadcast والترافيك الغير معروف Unknown Traffic من الانتشار على كل الأجهزة التى تنتمي إليها هذه الـ Vlan وسوف نرى شرح عملي لتقريب الفكرة أكثر فيما بعد
الهدف الثاني وهو من أجل رفع مستوى الحماية والامن على الشبكة فأحيانا نحن نريد منع بعض الأجهزة من التواصل فيما بينها بالأضافة إلى فائدة هامة جدا وهي منع هجوم الـ ARP spoofing الذي تحدثنا عنه في تدوينة سابقة .

ما أهمية الـ PVLANs في الشبكة ؟

لكي نفهم ونستوعب أهمية الـ Private Vlan في الشبكة يجب علينا أولا ان نفهم أين ومتى سوف نستخدم هذه الخاصية لأن فهم هذه المرحلة سوف توضح لنا أهمية أستخدام هذه الخاصية لذلك لنشاهد أولا هذا الرسم التوضيحي لهذه الشبكة ونتعرف على أهم المشاكل التى سوف تصادفنا:

يتبين لكم من خلال هذا اللاب البسيط أن هناك عدة سيرفرات موجودة على الشبكة وكل سيرفر منها يقوم بأداء وظيفة محددة وغير مرتبطة بالسيرفرات الآخرى وطبعا جميعها تنتمي لي Vlan واحدة وهي الـVlan 10 وتستطيع أن تستنتج معي من خلال هذا المثال أن السيرفرات التى تقع في الطرف السفلي والتى تمثل Web Server & Data Server لاتحتاج إلى وجود أي أتصال بينها وكل ما تحتاجه هو منفذ واحد والذي يمثل الـ Gateway لذلك سوف نقوم بعزلها عن بعضها
أما الأستخدام العملي الثاني فهو يتمثل عند شركات الأنترنت أو Internet Service Provider فأحيانا تقوم هذه الشركات بجمع أكثر من عميل في Vlan واحدة وبعدها يقوم بعزلهم عن بعض بأستخدام هذه الخاصية وهو موضوع متقدم بعض الشيئ ويتعلق بالـ MPLS.
ملاحظة هامة جدا: فائدة هذه الخاصية تتمحور فقط على مستوى الطبقة الثانية يعني العزل والمنع يتم من خلال طبقة الداتا اللينك يعني لو كان هناك أتصال بين السيرفران على مستوى الطبقة الثالثة أي من خلال الأيبي عندها يخرج الموضوع عن سيطرة هذه الخاصية لان الأتصال عندها سوف يتحكم فيه الروتر لذلك عندما تحدثنا عن فائدة هذه الخاصية في الأمن والحماية ذكرنا هذا النوع من الهجمات لانه يقوم بتزويير عنوان الماك أدريس الموجود على الـCache Table .
المفاهيم الخاصة بي PVLANs
تقسم الـ Private Vlan إلى قسمان أثنان:
القسم الأول هو الـ Primary Vlan وهي الفي لان العادية والتى نعرفها جميعا ونتعامل معها وهي تملك نوع واحد من البورتات والذي يدعى هنا Promiscuous
Promiscuous: هذا البورت يقوم بالتعامل مع جميع البورتات والمنافذ الموجودة على السويتش وهو عادة يمثل الـGateway للشبكة أو المنفذ المتصل مع سويتش آخر
القسم الثاني هو الـ Secondary Vlan وهي تتألف من نوعان الـ Isolated والـ Community
Isolated: وهي البورتات التى لا تتعامل إلا مع البورتات من نوع Promiscuous وهي الوجهة التى نريد الوصول إليها وهي فكرة العزل فهي تسمح لصاحب هذا المنفذ ان يتعامل مع الـ Gateway للشبكة فقط أو مع Promiscuous متجاهلة وجود باقي البورتات على السويتش.
Community: وهي بورتات تتعامل مع بعضها البعض ومع البورتات من نوع Promiscuous ولنفهم أكثر لنعد إلى مثالنا السابق

فلو لاحظت معي سوف تجد في أعلى الصورة وجود سيرفران أثنان الأول خاص بالأكتيف دايركتوري والثاني خاص بي الـ DNS ومن المهم ان يتعامل كلأ الأثنان مع بعضهما البعض لذا لاينفع أن نضع هذه البورتات على وضعية Isolated بل نضعها على وضعية Community وبالتالي نكون قد سمحنا لهذه المنافذ بالتواصل فيما بينها بالأضافة إلى التواصل مع الـ Promiscuous أما الأجهزة التى في الأسفل فهي تحتاج إلى عزل تام عن كل الاجهزة بحيث تكون متصلة مع الـ Gateway فقط.
أما الأجهزة التى تدعم هذه الخاصية وبحسب موقع سيسكو فهي كالتالي Catalyst 6000 running CatOS 5.4 or later, on the Catalyst 4000, 2980G, 2980G-A, 2948G, and 4912G running CatOS 6.2 or later
طريقة الأعداد
طبعا طريقة الأعداد سوف تكون نظرية فقط وعن نفسي أنا لم أقم بتجربتها كونها تحتاج موديلات معينة من السويتشات بالأضافة إلى كونها غير مدعومة من خلال المحاكيات لكن سوف يكون الشرح خطوة بخطوة ولنشاهد صورة اللاب الذي سوف نقوم بالتطبيق عليه

قد تكون الصورة معقدة بعض الشيء لكن مع التوضيح لكل خطوة سوف نفهم كل شيء إن شاء الله ولنبدأ خطوتنا الأولى

في خطوتنا الأولى قمنا بأنشاء Vlan واعددناها لكي تكون الـ Primary Vlan والتى سوف تلعب دور كبير فيما بعد وآخيرا لاتنسى كتابة خروج حتى يتم حفظ الـVlan الجديدة وللنتقل إلى الخطوة الثانية مباشرة

في الخطوة الثانية قمنا بأعداد الـSecondary Vlan وكل Vlan بحسب حاجتنا لها وهي كما موضحة بالصورة

في خطوتنا الثالثة نعود إلى الـPrimary مرة آخرى ونقوم بربط كل الـ Secondary Vlan مع الـPrimary Vlan وأهمية هذه الخطوة هو تحديد الـ Primary Vlan للـ Secondary Vlan .
ملاحظتان هامتان : أعلم انك لاتستطيع ان تربط None-Private-Vlan إلى Primary Vlan كما أنك لاتستطيع ربط Primary مع primary آخرى وبكلام آخر الربط حصرا سوف يكون مع الـ Secondary Vlan .
بعد أن أنتهينا من الخطوات السابقة ننتقل إلى الخطوات العملية والتى سوف نحدد من خلالها نوعية كل منفذ وصلاحياته من خلال تحديد نوعه وذلك من خلال وضع المنفذ في أحد الـ Secondary Vlan التى قمنا بأعدادها سابقا

وفي أخر خطوة نقوم بتحديد المنفذ الذي سوف يتصل مع جميع الـ Vlan والذي تحدثنا عنه سابقا وهو Promiscuous

وبهذه الخطوة نكوت قد أنتهينا من أعداد وتجهيز الـ Private Vlan وبقى فقط توضيح الأوامر الخاصة بي الـ troubleshooting وهي

أتمنى ان تكونوا قد أستفدتوا من تدويني لهذا اليوم وعن نفسي كان هذا الموضوع معقد جدا فيما سبق لكل ليس بعد اليوم وأنا جاهز لأي أستفسار حول هذا الموضوع وآخيرا وكما أقول دائما لاتنسونا من دعواتكم ودمتم بود