چطور اکسس پوینت را با VLAN راه‌ اندازی کنیم؟

چطور اکسس پوینت را با VLAN راه‌ اندازی کنیم؟ در ادامه این مقاله به پاسخ این سوال به صورت جامع می پردازیم. در ابتدا لازم به ذکر است که برای راه اندازی VLAN در اکسس پوینت باید هدف خود را مشخص کنید. اکسس‌پوینت سه شبکه بی‌سیم مجزا که شامل VLAN داخلی، VLAN مهمان، VLAN اینترنت اشیاء (IoT) ارائه می‌دهد که به هر کدام از آن ها به صورت جدا می پردازیم.

پیکری بندی  VLAN با اکسس پوینت

هدف راه اندازی اکسس پوینت با VLAN ایجاد یک شبکه بی‌سیم امن و قابل مدیریت با استفاده از سه VLAN مجزا است که همگی از طریق یک اکسس‌پوینت مشترک ارائه می‌ شوند. جداسازی منطقی ترافیک باعث می‌ شود امنیت افزایش پیدا کند و کاربران/دستگاه‌های مختلف به شکل کنترل‌ شده به منابع دسترسی داشته باشند. لازم به ذکر است ایمن ارتباط از معتبر ترین فروشگاه ها در جهت خرید انواع تجهیزات شبکه است.

سه VLAN اصلی که در این سناریو تعریف می‌شوند عبارت‌اند از: VLAN داخلی (مثلا VLAN 10) برای کاربران سازمانی که دسترسی کامل به منابع داخلی را دارند، VLAN مهمان (مثلاً VLAN 20) که برای بازدیدکنندگان طراحی شده و دسترسی آن‌ها صرفا به اینترنت و در صورت نیاز به منابع محدود کنترل می‌شود، و VLAN اینترنت اشیاء یا IoT (مثلاً VLAN 30) که مختص دستگاه‌ های هوشمند است و دسترسی آن‌ ها به اینترنت و سرویس‌ های ضروری محدود شده و از دسترسی به شبکه‌ های داخلی جلوگیری می‌ شود.

کاربرد VLAN داخلی (VLAN 10) در شبکه سازمان

پیاده سازی VLAN مهمان بر روی اکسس پوینت

VLAN مهمان (VLAN 20) با هدف ارائه دسترسی محدود، کنترل‌شده و ایمن به بازدیدکنندگان، پیمانکاران یا کاربران غیرسازمانی طراحی می‌شود. این بخش از شبکه به‌گونه‌ای پیاده‌سازی می‌شود که افراد خارج از سازمان بتوانند بدون ایجاد اختلال در زیرساخت داخلی، از خدمات پایه مانند اینترنت استفاده کنند. وجود این VLAN باعث می‌شود سازمان بتواند خدمات ارتباطی را در اختیار مهمانان قرار دهد، بدون آن‌که امنیت شبکه اصلی به خطر بیفتد.

کاربران متصل به VLAN مهمان معمولاً تنها به اینترنت دسترسی دارند و به‌صورت کامل از شبکه داخلی و منابع سازمانی جدا می‌مانند. این جداسازی منطقی از طریق تنظیمات VLAN، قوانین فایروال و سیاست‌های مسیریابی انجام می‌شود تا هیچ‌گونه دسترسی مستقیم به سرورها، فایل‌ها یا سیستم‌های داخلی امکان‌پذیر نباشد. چنین ساختاری خطر نفوذ، انتشار بدافزار و سوءاستفاده از منابع شبکه را به میزان قابل توجهی کاهش می‌دهد.

در بسیاری از پیاده‌سازی‌ها، VLAN مهمان همراه با مکانیزم‌هایی مانند Captive Portal برای احراز هویت یا پذیرش قوانین استفاده از شبکه راه‌اندازی می‌شود. همچنین محدودسازی پهنای باند، تعیین سقف مصرف و زمان‌بندی دسترسی از دیگر سیاست‌هایی است که برای مدیریت بهتر کاربران مهمان اعمال می‌گردد. این اقدامات باعث می‌شود علاوه بر حفظ امنیت، کیفیت سرویس شبکه داخلی نیز تحت تأثیر استفاده مهمانان قرار نگیرد.

در این تصویر راه اندازه اکسس پوینت با VLAN را مشاهده می کنید

VLAN اینترنت اشیاء (IoT)

برای پیاده‌سازی طرحی که در بالا به شما شرح دادیم، ابتدا به تجهیزات مناسب نیاز است؛ یک سوئیچ مدیریت‌ پذیر (Managed Switch) که قابلیت فعال‌ سازی VLAN و پشتیبانی از Trunk با استاندارد 802.1Q را داشته باشد، یک اکسس‌ پوینت که بتواند چند SSID مجزا را ارائه کند و امکان تخصیص VLAN ID به هر SSID را در اختیار بگذارد، و همچنین کابل‌ کشی صحیح برای اتصال اکسس‌ پوینت به سوئیچ و در نهایت اتصال سوئیچ به روتر یا فایروال.

در مرحله پیکر بندی سوئیچ، VLANهای مورد نیاز روی سوئیچ ایجاد می‌ شوند (VLAN 10 برای داخلی، VLAN 20 برای مهمان، و VLAN 30 برای IoT) و پورتی که اکسس‌ پوینت به آن متصل است در حالت Trunk تنظیم می‌ شود تا ترافیک چند VLAN را با برچسب‌ گذاری 802.1Q حمل کند. همچنین معمولا یک Native VLAN هم برای Trunk تعریف می‌ شود (که می‌تواند همان VLAN داخلی یعنی VLAN 10 باشد) تا ترافیکی که تگ ندارد به VLAN مشخصی نسبت داده شود و ارتباط مدیریتی یا عملکرد اکسس‌ پوینت دچار مشکل نشود.

سپس پیکربندی اکسس‌پوینت انجام می‌ شود: سه SSID مجزا ایجاد می‌ شود مثل corp-wifi برای guest-wifi دارای VLAN 10،  برای VLAN 20 و IoT-WiFi برای VLAN 30 و سپس برای هر SSID، VLAN متناظر تنظیم و تخصیص داده می‌شود تا هر کلاینت بی‌ سیم بر اساس SSID به VLAN صحیح وارد شود.

پیکربندی WPA2/WPA3، DHCP و Gateway برای VLANها

هم‌ زمان تنظیمات امنیتی برای هر SSID اعمال می‌ گردد؛ برای مثال شبکه داخلی می‌ تواند از WPA2-Enterprise یا WPA3-Enterprise با احراز هویت قوی‌ تر استفاده کند، در حالی که شبکه مهمان و IoT معمولاً با WPA2-PSK یا WPA3-Personal و رمزهای قوی‌ تر راه‌ اندازی می‌ شوند. پس از آن نوبت به آدرس‌دهی IP و DHCP می‌رسد تا کلاینت‌ها بتوانند در هر VLAN آدرس مناسب دریافت کنند؛ در اینجا معمولاً برای هر VLAN یک زیرشبکه جدا تعریف می‌شود

برای نمونه VLAN 10 با 192.168.10.0/24، VLAN 20 با 192.168.20.0/24 و VLAN 30 با 192.168.30.0/24 و بعد سرویس DHCP به شکل جداگانه برای هر VLAN پیکربندی می‌شود تا IP، Subnet Mask، Default Gateway و DNS به دستگاه‌ها به صورت خودکار تخصیص داده شود.

ckgl

برای مسیریابی و دسترسی به اینترنت نیز باید روی روتر یا فایروال لایه سوم، Gateway هر VLAN مشخص شود؛ معمولاً برای هر VLAN یک SVI یا اینترفیس مجازی روی روتر/fwall تعریف می‌شود که آدرس آن به عنوان Gateway آن VLAN عمل می‌کند و همچنین Default Route به سمت روتر یا دروازه اینترنت تنظیم می‌شود تا ترافیک خروجی همه VLANها به اینترنت هدایت گردد.

جداسازی ترافیک VLAN با فایروال و تست امنیتی شبکه

در مرحله سیاست‌های امنیتی، فایروال قوانین دقیق بین VLANها را اعمال می‌کند تا جداسازی واقعی برقرار شود؛ برای نمونه ترافیک VLAN 20 (مهمان) باید از دسترسی به VLAN 10 (داخلی) و VLAN 30 (IoT) جلوگیری شود، در نتیجه مهمان‌ها فقط مجاز به اینترنت خواهند بود و ارتباط داخلی در آن‌ها مسدود می‌شود.

دسترسی VLAN 30 (IoT) باید محدود شود به اینترنت و سرویس‌های ضروری و مجاز، و هر نوع دسترسی به شبکه‌های داخلی کاربران اصلی ممنوع گردد، در حالی که VLAN 10 می‌تواند به اینترنت و منابع داخلی دسترسی داشته باشد (با این امکان که در صورت نیاز، محدودیت‌های تکمیلی روی پورت‌ها یا سرویس‌های خاص نیز اعمال شود).

بعد از تکمیل پیکربندی باید شبکه به شکل کامل تست و اعتبارسنجی شود: ابتدا اتصال بی‌سیم روی هر SSID بررسی شود، سپس صحت دریافت IP و Gateway و DNS در هر VLAN چک گردد، و بعد از آن با تست‌های هدفمند، قوانین دسترسی بین VLANها صحت‌سنجی شود؛ یعنی مطمئن شویم از VLAN مهمان به شبکه داخلی و IoT دسترسی ندارند، از VLAN IoT به شبکه داخلی دسترسی وجود ندارد و تنها سرویس‌های مجاز فراهم است، و از VLAN داخلی هم اتصال به منابع داخلی و اینترنت برقرار است.

نتیجه گیری و سوالات متداول

راه‌اندازی اکسس‌پوینت با VLAN در اصل یعنی «تفکیک منطقی شبکه» با استفاده از چند شبکه مجزا روی یک زیرساخت فیزیکی. در این روش، چندین شبکه متفاوت (مثلاً شبکه کارکنان، مهمان، مدیریتی، یا IoT) به جای اینکه جداگانه کابل‌کشی شوند، روی همان سوئیچ/لینک حمل می‌شوند؛ با این تفاوت که هر کدام با VLAN خودش از هم تفکیک می‌گردد. نتیجه چنین کاری معمولاً افزایش امنیت، مدیریت ساده‌تر و کنترل دقیق‌تر ترافیک است.

در شروع کار، مهم‌ترین قدم این است که بین سوئیچ و اکسس‌پوینت، ترافیک VLANها بتواند عبور کند. برای همین، پورت سوئیچی که به اکسس‌پوینت متصل است باید در حالت trunk قرار بگیرد تا قابلیت حمل چند VLAN را داشته باشد. هم‌زمان، باید VLANهای مورد نظر روی سوئیچ تعریف شوند و مشخص شود کدام VLANها اجازه دارند از آن پورت عبور کنند. اگر VLANها به‌درستی روی سوئیچ فعال و روی پورت trunk مجاز نشوند، در عمل اکسس‌پوینت نمی‌تواند شبکه‌های مورد نظر را شناسایی و جدا کند.

در نتیجه‌گیری کلی، با راه‌اندازی اکسس‌پوینت همراه VLAN، شما شبکه‌ای دارید که هم «قابل تفکیک» است و هم «قابل کنترل». این تفکیک باعث می‌شود امنیت افزایش پیدا کند، چون داده‌های شبکه‌های مختلف از هم جدا می‌مانند و دسترسی‌ها محدود می‌شود. علاوه بر آن، مدیریت شبکه به شکل منظم‌تری انجام می‌گیرد و توسعه آینده (اضافه کردن SSID جدید، اضافه کردن VLAN جدید برای بخش‌های جدید سازمان، یا تعریف قوانین جدید دسترسی) بدون نیاز به تغییرات سنگین در زیرساخت امکان‌پذیر می‌شود.

VLAN چیست و چرا به آن نیاز داریم؟

VLAN (Virtual Local Area Network) شبکه‌ای مجازی است که به شما امکان می‌دهد یک سوئیچ فیزیکی را به چندین شبکه منطقی مجزا تقسیم کنید. این کار به بهبود امنیت، مدیریت و عملکرد شبکه کمک می‌کند. برای مثال، می‌توانید شبکه کارمندان، شبکه مهمانان و شبکه دستگاه‌های IoT را از هم جدا کنید.

چه نوع اکسس پوینتی برای استفاده با VLAN مناسب است؟

شما به یک اکسس پوینت (AP) نیاز دارید که از قابلیت “Multiple SSIDs” پشتیبانی کند و بتواند هر SSID را به یک VLAN ID خاص نگاشت کند. اکسس پوینت‌های مدیریتی (Managed APs) معمولاً این قابلیت را دارند.

چگونه SSIDهای مختلف را در اکسس پوینت ایجاد و به VLANها متصل کنیم؟

در تنظیمات اکسس پوینت، بخش Wireless یا SSID را پیدا کنید. برای هر شبکه بی‌سیم (SSID) که می‌خواهید ایجاد کنید، یک نام (مانند corp-wifi, guest-wifi) انتخاب کرده و سپس VLAN ID متناظر با آن SSID را مشخص کنید.