عیب یابی مشکلات Trunk و VLAN leakage در سوئیچ سیسکو

صبا مرادین

دی 9, 1404

در شبکه‌های سازمانی مبتنی بر تجهیزات سیسکو، دو مفهوم VLAN و Trunk نقش اصلی را در تفکیک و انتقال ترافیک لایه دوم بر عهده دارند. VLANها بخش‌های مختلف شبکه را از هم جدا می‌کنند و لینک‌های Trunk امکان عبور همزمان چند VLAN را از یک مسیر مشترک فراهم می‌سازند. با این‌حال، خطاهای تنظیمات، ناسازگاری پروتکل‌ها یا مشکلات سخت‌ افزاری می‌توانند عملکرد آن‌ها را مختل کنند.

یکی از چالش‌های شناخته‌شده در این حوزه VLAN Leakage است. وضعیتی که در آن ترافیک یک VLAN به‌طور ناخواسته وارد VLAN دیگری می‌شود. در ادامه به‌صورت خلاصه و با نگاهی کاربردی، به بررسی ” عیب یابی مشکلات Trunk و VLAN leakage در سوئیچ سیسکو ” می پردازیم. با ما همراه باشید.

مفهوم VLAN:

VLAN یا Virtual Local Area Network در حقیقت نوعی شبکه محلی مجازی است که در آن هر بخش شبکه دارای یک دامنه‌ی Broadcast مستقل بوده و ترافیک تنها در همان محدوده گردش می‌کند. طراحی VLAN با هدف افزایش امنیت، مدیریت بهتر دسترسی‌ها، بهینه‌سازی استفاده از پهنای باند و در نهایت ارتقای سرعت و کارایی شبکه انجام شده است.

در ساختارهای امروزی شبکه‌های سازمانی، جداسازی منطقی کاربران و سرویس‌ها نقش مهمی در کنترل ترافیک و کاهش ازدحام دارد. VLAN دقیقا برای همین منظور ایجاد شده و این امکان را می‌دهد که مجموعه‌ای از دستگاه‌ها به یک بستر فیزیکی مشترک متصل باشند و به ‌صورت کاملا مجزا و گروه ‌بندی ‌شده عمل کنند. نتیجه این جداسازی، افزایش امنیت، مدیریت ساده‌تر سیاست‌ها و انعطاف‌پذیری بیشتر در طراحی شبکه است.

از آن‌جایی که سوئیچ‌های سیسکو یکی از پراستفاده‌ترین تجهیزات شبکه در زیرساخت‌های شبکه ای هستند، پیکربندی صحیح VLAN روی آن‌ها اهمیت زیادی دارد. کار با CLI سیسکو و شناخت مفاهیم پایه، از ملزومات راه‌اندازی VLANهای سازمانی است.

مفهوم Trunk:

واژه Trunk یا ترانک در حوزه شبکه و مخابرات، به نوعی شیوه ی ارتباطی اشاره دارد که امکان انتقال همزمان چندین جریان داده را بدون نیاز به ایجاد لینک‌های جداگانه برای هر مسیر فراهم می‌کند. هدف از به‌کارگیری ترانک این است که داده‌ها میان چند دستگاه یا نقطه مختلف، به شکلی بهینه و یکپارچه جابه‌جا شوند.

در شبکه‌های کامپیوتری، ترانک در حقیقت مسیری ارتباطی با ظرفیت بالا است که می‌تواند مجموعه‌ای از سیگنال‌ها را همزمان از یک نقطه به نقطه دیگر منتقل کند. معمولا از این نوع لینک‌ها برای اتصال سوئیچ‌ها یا تجهیزات شبکه به یکدیگر استفاده می‌شود. سیگنال‌هایی که از طریق ترانک عبور می‌کنند می‌توانند شامل انواع مختلف داده باشند و محدود به یک نوع خاص نیستند.

یک لینک ترانک ممکن است از چندین سیم، کابل یا فیبر نوری تشکیل شده باشد که در قالب یک مسیر فیزیکی مشترک تجمیع شده‌اند تا بیشترین پهنای باند ممکن ارائه شود. در برخی پیاده‌سازی‌ها نیز ترانک تنها یک لینک پرظرفیت است که چندین سیگنال را به صورت مجازی و همزمان حمل می‌کند.

VLAN Leakage چیست:

VLAN Leakage به وضعیتی گفته می‌شود که در آن فریم‌های متعلق به یک VLAN، به اشتباه در VLAN دیگری ظاهر می‌شوند. این اتفاق به‌ نوعی شکستن مرزهای منطقی بین VLANها محسوب می‌شود و می‌تواند امنیت شبکه را به شدت تحت‌ تاثیر قرار دهد یا موجب رفتارهای پیش‌بینی‌نشده در ترافیک شود. زمانی که چنین نشت ترافیکی رخ می‌دهد، عملا جداسازی شبکه بی‌معنا شده و خطر دسترسی غیرمجاز یا اختلال در سرویس‌ها افزایش می‌یابد.

این پدیده معمولا در شرایطی ایجاد می‌شود که یکی از اجزای اصلی در تگ‌گذاری یا تنظیمات سوئیچ شبکه به درستی پیکربندی نشده باشد. در محیط‌های سیسکو، چند عامل شناخته‌شده بیشتر از بقیه باعث ایجاد VLAN leakage می‌شوند، از جمله:

تنظیم نادرست Native VLAN که می‌تواند سبب شود فریم‌های بدون تگ یا دارای تگ اشتباه وارد VLAN دیگری شوند.
مشکلات مربوط به استاندارد 802.1Q و اشتباه در نحوه تگ‌گذاری فریم‌ها در زمان عبور از لینک‌های ترانک.
باگ‌ها یا ایرادات موجود در نسخه‌های قدیمی IOS سیسکو که باعث پردازش نادرست ترافیک VLANها می‌شود.
عدم دقت در تعیین VLANهای مجاز روی لینک‌های Trunk که می‌تواند ترافیک ناخواسته را از میان لینک عبور دهد.

به طور کلی، VLAN Leakage یکی از حساس‌ترین مشکلات در شبکه‌های مبتنی بر VLAN است و کشف و رفع آن نقش مهمی در حفظ امنیت و پایداری شبکه دارد.

مشکلات رایج Trunk در سوئیچ‌های سیسکو:

در پیکربندی و عیب یابی مشکلات Trunk بر روی سوئیچ‌های سیسکو، برخی خطاها بیشتر از بقیه دیده می‌شوند و معمولاً ریشه بسیاری از اختلالات مربوط به VLAN و ارتباط بین سوئیچ‌ها هستند. مهم‌ترین این چالش‌ها عبارت‌اند از:

تنظیم اشتباه Mode پورت: گاهی یک پورت به‌اشتباه در حالت Access قرار می‌گیرد یا برعکس، در حالت Trunk تنظیم می‌شود. این مسئله باعث می‌شود ترافیک VLANها آن‌طور که باید عبور نکند و ارتباط بین سوییچ‌ها مختل شود.
عدم تطابق Native VLAN در دو طرف لینک: اگر شماره Native VLAN روی دو سوئیچ شبکه یکسان نباشد، ممکن است فریم‌های بدون تگ دچار تداخل شوند و حتی مشکل VLAN Leakage به وجود بیاید.
فعال یا غیرفعال بودن نامناسب پروتکل DTP: پروتکل Dynamic Trunking Protocol می‌تواند پورت‌ها را به‌صورت خودکار در حالت ترانک قرار دهد. وجود آن در برخی سناریوها مفید و در برخی دیگر دردسرساز است. بنابراین اشتباه در مدیریت آن مشکلاتی در شکل‌گیری ترانک ایجاد می‌کند.
محدود بودن یا اشتباه بودن VLANهای مجاز روی Trunk: اگر لیست Allowed VLANs به درستی تعیین نشده باشد، بعضی VLANها از مسیر ترانک عبور نمی‌کنند و ارتباط بین شبکه‌های مختلف قطع خواهد شد.
ناسازگاری بین 802.1Q و ISL در شبکه‌های قدیمی: در محیط‌هایی که هنوز از ISL استفاده می‌شود، اختلاف در نوع تگ‌گذاری بین دو طرف لینک می‌تواند مانع ایجاد یک Trunk پایدار شود.

در مجموع، این موارد از دلایل اصلی ایجاد اختلال در عملکرد Trunk هستند و هرکدام می‌توانند به‌طور مستقیم باعث از کار افتادن ارتباط VLANها و بروز مشکلات شبکه‌ای شوند.

بیشتر بخوانید: تفاوت پروتکل 802.1Q و ISL چیست؟

نشانه‌ های وقوع مشکل در Trunk و بروز VLAN Leakage:

زمانی که لینک‌های Trunk در شبکه دچار اختلال شوند یا VLAN Leakage رخ دهد، رفتارهای غیرعادی در شبکه ظاهر می‌شود که می‌توانند هشدار جدی از وجود یک مشکل پنهان باشند. برخی از مهم‌ترین نشانه‌ها عبارت‌اند از:

قابل‌دسترسی شدن دستگاه‌های VLANهای متفاوت بدون وجود مسیر Routing: در چنین حالتی کلاینت‌هایی که باید از هم جدا باشند، ناگهان می‌توانند یکدیگر را Ping کنند. موضوعی که نشان‌دهنده عبور غیرمجاز ترافیک بین VLANهاست.
مشاهده ترافیک غیرمرتبط روی پورت‌های مانیتورینگ یا SPAN: وقتی بسته‌هایی دیده می‌شوند که به VLAN آن پورت تعلق ندارند، معمولاً یک نشتی ترافیکی یا مشکل در تگ‌گذاری وجود دارد.
اختلال در سرویس‌های حساس مانند VoIP، سیستم‌های مالی یا نرم‌افزارهای real-time: این سرویس‌ها با کوچک‌ترین ناهماهنگی در Trunk دچار تاخیر، قطع شدن یا افت کیفیت می‌شوند و از جمله اولین بخش‌هایی هستند که مشکل را نشان می‌دهند.
ثبت بسته‌ها و فریم‌های غیرمنتظره در ابزارهای آنالیز شبکه مانند Wireshark: زمانی که در خروجی آنالیز، فریم‌هایی مربوط به VLANهای دیگر مشاهده شود، احتمال بسیار زیاد مشکل در تگ‌گذاری 802.1Q یا نشتی VLAN مطرح است.

دستورهای کاربردی سیسکو برای عیب‌یابی Trunk و VLAN:

برای رفع عیب یابی مشکلات Trunk و VLAN در سوئیچ‌های سیسکو، استفاده از مجموعه‌ای از دستورهای CLI می‌تواند تصویر دقیقی از وضعیت پورت‌ها، تگ‌گذاری و پیکربندی فعلی ارائه دهد. مهم‌ترین دستورات مورد استفاده در عیب‌یابی شامل موارد زیر هستند:

show vlan brief: این دستور، فهرستی خلاصه از VLANهای فعال روی سوئیچ شبکه و پورت‌های عضو هر VLAN را نمایش می‌دهد و کمک می‌کند ناهماهنگی یا جابه‌جایی اشتباه پورت‌ها سریع شناسایی شود.
show interfaces trunk: با اجرای این دستور می‌توان دید کدام پورت‌ها در وضعیت Trunk قرار دارند، چه VLANهایی روی آنها مجاز هستند و Native VLAN چگونه تنظیم شده است.
show running-config: این دستور کل پیکربندی جاری دستگاه را نشان می‌دهد و برای بررسی خطاهای احتمالی در تنظیمات Trunk، Allowed VLAN یا حالت پورت بسیار کاربردی است.
show interface switchport: با کمک این دستور می‌توان جزئیات کامل وضعیت یک پورت را مشاهده کرد؛ از جمله این‌که پورت در حالت Access است یا Trunk، Native VLAN چیست و چه VLANهایی روی آن تعریف شده‌اند.
debug sw-vlan trunk-errors: این دستور برای بررسی لحظه‌ای خطاهای مرتبط با Trunk مورد استفاده قرار می‌گیرد و در شرایطی که رفتار غیرعادی VLANها دیده می‌شود، بسیار کمک‌کننده است.

مراحل عیب‌یابی مشکلات Trunk و VLAN leakage:

بررسی پیکربندی پورت‌ها: اولین مرحله این است که مطمئن شوید پورت‌ها در حالت درست قرار دارند. پورت‌های Access باید فقط یک VLAN را حمل کنند و پورت‌های Trunk باید به درستی تعریف شده باشند.
هماهنگی Native VLAN: یکی از دلایل اصلی بروز مشکلات Trunk و VLAN عدم هماهنگی Native VLAN بین دو سوئیچ شبکه است. حتما بررسی کنید که Native VLAN در هر دو سمت لینک یکسان باشد.
بررسی Allowed VLANs: گاهی اوقات فقط تعدادی VLAN روی لینک Trunk مجاز هستند. اگر VLAN مورد نظر شما در این لیست نباشد، دچار مشکل ارتباطی خواهید شد.
به‌روزرسانی سیستم‌عامل سوئیچ: نسخه‌های قدیمی IOS سیسکو دارای باگ‌هایی در مدیریت VLAN و Trunk هستند. آپدیت سیستم‌عامل می‌تواند مشکل VLAN leakage را رفع کند.

چالش‌های Trunk و VLAN در شبکه‌های چندسازنده (Multi-Vendor):

در بسیاری از شبکه‌های سازمانی، تجهیزات سیسکو در کنار برندهای دیگری مانند HPE، MikroTik، Juniper یا حتی Huawei مورد استفاده قرار می‌گیرند. این ترکیب چندسازنده، اگرچه از نظر هزینه و انعطاف‌پذیری مزیت دارد، اما ممکن است باعث بروز ناسازگاری‌هایی در عملکرد Trunk و تگ‌گذاری VLANها شود. دلیل اصلی این مسئله، تفاوت در شیوه اجرای استانداردها یا تنظیمات پیش‌فرض هر سازنده است.
به عنوان نمونه، برخی تجهیزات به‌طور پیش‌فرض Native VLAN متفاوتی دارند یا رفتار آنها نسبت به فریم‌های بدون تگ با یکدیگر یکسان نیست. به همین دلیل، کوچک‌ترین عدم هماهنگی میان دو سوئیچ، احتمال بروز اختلال در Trunk یا حتی VLAN Leakage را افزایش می‌دهد.

برای جلوگیری از چالش‌های Trunk و VLAN، لازم است مطمئن شوید:

هر دو سمت لینک از استاندارد 1Q برای تگ‌گذاری استفاده می‌کنند.
Native VLAN در هر دو سوئیچ یکسان تعریف شده است.
Allowed VLANها با یکدیگر تطابق دارند.
این اقدامات ساده، بسیاری از چالش‌های Multi-Vendor را از بین می‌برد.

پیکربندی صحیح Trunk روی سوئیچ سیسکو:

برای جلوگیری از مشکلات گفته‌شده، پیکربندی و عیب یابی مشکلات Trunk روی سوئیچ شبکه ضروری است. یک نمونه تنظیم صحیح به صورت زیر است:

Switch(config)# interface g0/1

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk allowed vlan 10,20,30

Switch(config-if)# switchport trunk native vlan 99

این تنظیمات موجب می‌شود:

پورت مشخص‌شده در حالت Trunk قرار گیرد.
تنها VLANهای مورد نظر (10، 20 و 30) از طریق لینک عبور کنند.
Native VLAN روی هر دو سمت لینک به صورت هماهنگ مقدار99 تنظیم شود.
هماهنگی این سه بخش نقش اساسی در جلوگیری از نشت ترافیک و جلوگیری از مشکلات VLAN دارد.

مراحل بررسی و رفع VLAN Leakage:

برای اینکه مطمئن شوید Trunk به درستی کار می‌کند و هیچ نوع نشتی ترافیکی وجود ندارد، بررسی‌های زیر پیشنهاد می‌شود:

اجرای دستور show interfaces trunk: این دستور نشان می‌دهد پورت‌های Trunk فعال هستند و چه VLANهایی از آنها عبور می‌کنند.
مقایسه Native VLAN میان دو سوئیچ: کوچک‌ترین اختلاف در Native VLAN باعث ایجاد خطا یا نمایش فریم‌های اشتباه در سمت مقابل می‌شود.
بررسی دقیق Allowed VLANها: لازم است VLANهای تعریف‌شده در هر دو سوئیچ شبکه دقیقا یکسان باشند تا ترافیک ناخواسته عبور نکند.
به‌روزرسانی IOS یا Firmware در صورت نیاز: برخی نسخه‌های قدیمی سیستم‌عامل سیسکو باگ‌هایی دارند که موجب اختلال در Trunk و VLAN می‌شود. بنابراین ارتقاء نسخه می‌تواند راه‌حل قطعی باشد.

امنیت و نکات پیشرفته در VLAN و Trunking:

مدیریت VLANهای مجاز (VLAN Pruning):

در شبکه‌های بزرگ، اگر یک لینک Trunk ترافیک VLANهایی را منتقل کند که در سوئیچ شبکه مقصد وجود ندارند، پهنای باند هدر می‌رود و کارایی شبکه کاهش می‌یابد. این فرآیند کنترل و محدود کردن VLANهای عبوری، به نام VLAN Pruning شناخته می‌شود و با دستور زیر قابل پیاده‌سازی است:

switchport trunk allowed vlan

مزایا:

کاهش ترافیک غیرضروری در شبکه
افزایش امنیت، زیرا تنها VLANهای مجاز می‌توانند از لینک عبور کنند و ترافیک سایر VLANها مسدود می‌شود.

کنترل پروتکل DTP (Dynamic Trunking Protocol):

DTP پروتکل اختصاصی سیسکو است که برای مذاکره بین سوئیچ‌ها و تصمیم‌گیری درباره حالت Access یا Trunk شدن پورت استفاده می‌شود.

حالت‌های DTP:

dynamic desirable: پورت فعالانه درخواست Trunk شدن می‌دهد
dynamic auto: پورت تنها در صورت دریافت درخواست Trunk می‌شود
trunk: همیشه در حالت Trunk است
access: همیشه در حالت Access است

توصیه امنیت:

پورت‌هایی که نباید Trunk شوند (مانند پورت‌های کاربران) با switchport mode access تنظیم کنید.
پورت‌های Trunk نیز همواره با switchport mode trunk به‌صورت صریح پیکربندی شوند تا از Trunk شدن ناخواسته توسط مهاجم جلوگیری شود.

امنیت Native VLAN و پیشگیری از VLAN Hopping:

حملات VLAN Hopping از جمله تهدیدهای جدی در لایه 2 هستند. مهاجم با سوءاستفاده از Native VLAN یا DTP می‌تواند خود را به لینک Trunk متصل کرده و به VLANهای دیگر دسترسی پیدا کند.

اقدامات پیشگیرانه:

غیرفعال‌سازی DTP: همیشه از حالت‌های صریح trunk یا access استفاده کنید.
تغییر Native VLAN: از یک VLAN به یک VLAN غیرقابل استفاده تغییر دهید.
غیرفعال‌سازی Native VLAN در صورت امکان: Native VLAN را از لیست Allowed VLAN در Trunk حذف کنید (این قابلیت در سوئیچ‌های جدید سیسکو موجود است).

تفاوت بین VLAN Leakage و VLAN Hopping:

VLAN Leakage و VLAN Hopping هر دو به نفوذ ناخواسته ترافیک بین VLANها اشاره دارند، اما تفاوت اصلی‌شان در علت و ماهیت است.

VLAN Leakage معمولاً ناشی از پیکربندی غلط یا باگ نرم‌افزاری (مانند Native VLAN mismatch، Allowed VLAN نادرست، یا باگ IOS قدیمی) است که باعث نشت تصادفی فریم‌ها از یک VLAN به دیگری می‌شود؛ مثلاً فریم‌های بدون تگ به Native VLAN اشتباه هدایت می‌شوند.
در مقابل، VLAN Hopping یک حمله عمدی توسط مهاجم است که با سوءاستفاده از ویژگی‌های پروتکل (DTP یا Double Tagging) مرزهای VLAN را دور می‌زند؛ بدون نیاز به روتینگ لایه 3، مستقیماً به VLAN هدف پرش می‌کند.

VLANهای Voice و Auto-QoS:

در شبکه‌های مجهز به تلفن IP، کیفیت صدا اهمیت بالایی دارد. Voice VLAN این امکان را می‌دهد که تلفن IP و کامپیوتر متصل به همان پورت، به دو VLAN جداگانه اختصاص پیدا کنند:

ترافیک تلفن به Voice VLAN ارسال شده و با اولویت بالا (QoS) پردازش می‌شود.
ترافیک داده‌های کامپیوتر به Data VLAN معمولی می‌رود.

نمونه پیکربندی Voice VLAN روی پورت F0/2:

interface f0/2

switchport mode access

switchport access vlan 10

switchport voice vlan 20

switchport priority extend

این تنظیم، ترافیک صوتی را با اولویت بالا مدیریت کرده و تداخل آن با ترافیک داده را به حداقل می‌رساند.

بیشتر بخوانید: (QoS (Quality of service یا کیفیت خدمات سرویس چیست؟

نتیجه گیری:

بررسی دقیق پیکربندی پورت‌ها و هماهنگی صحیح Native VLAN بین سوئیچ‌ها از مهم‌ترین اقدامات برای جلوگیری از عبور ترافیک غیرمجاز و نشت VLANها است. محدود کردن VLANهای مجاز روی لینک‌های Trunk یا همان VLAN Pruning، علاوه بر افزایش کارایی شبکه، سطح امنیت را نیز به شکل قابل توجهی بالا می‌برد، زیرا ترافیک VLANهای غیرمجاز اجازه عبور پیدا نمی‌کند.

در مجموع، شبکه‌ای که پیکربندی دقیق Trunk و VLAN در آن رعایت شده باشد، دارای عملکرد پایدار، امنیت بالا و قابلیت مدیریت آسان خواهد بود. توجه به جزئیات پیکربندی، هماهنگی بین سوئیچ‌ها، محدود کردن VLANهای مجاز، بررسی مستمر وضعیت لینک‌ها و به‌روزرسانی نرم‌افزار، باعث می‌شود مشکلات به سرعت شناسایی و رفع شوند و از بروز دوباره آنها جلوگیری شود.

در واقع، عیب یابی مشکلات Trunk و فهم عمیق عملکرد Trunk و VLAN همراه با رعایت نکات امنیتی و عملیاتی، پایه‌ای‌ترین عامل برای تضمین شبکه‌ای امن، پایدار و کارآمد در محیط‌های پیچیده و چندسازنده است.