ما هو VLAN؟ شرح VLAN بالتفصيل وكيفية تقسيم الشبكة
آخر تحديث: 2025 | الفئة: Networking – Switching – CCNA
تقسيم الشبكة باستخدام VLAN — كل قسم في شبكة افتراضية مستقلة على نفس السويتش
مقدمة
في الشبكات الحديثة، لم يعد من العملي وضع جميع الأجهزة في نفس الشبكة دون تقسيم، لأن ذلك يؤدي إلى ازدحام الشبكة، ومشاكل في الإدارة والأمان، وصعوبة في عزل الأقسام عن بعضها. هنا تظهر أهمية VLAN التي تسمح بتقسيم الشبكة الواحدة إلى عدة شبكات افتراضية مستقلة دون الحاجة إلى أجهزة إضافية أو كابلات منفصلة لكل قسم.
تُستخدم VLAN بشكل واسع في الشركات والمؤسسات ومراكز البيانات لأنها تجعل الشبكة أكثر تنظيماً وأسهل في الإدارة وأكثر أماناً، كما تساعد في تقليل Broadcast Traffic وتحسين الأداء العام. رغم ذلك، كثير من المهندسين المبتدئين يخلطون بين مفاهيمها أو يُطبّقونها بشكل خاطئ — وهو ما سنُعالجه في هذا المقال.
في هذا الدليل ستجد شرحاً كاملاً لـ VLAN: ما هي، كيف تعمل، أنواع المنافذ، متى تستخدمها، أفضل الممارسات، ومثالاً عملياً من بيئة شركة حقيقية.
1. ما هو VLAN؟
VLAN (Virtual Local Area Network) هو شبكة محلية افتراضية تُنشأ داخل Managed Switch، تُمكّننا من تقسيم الأجهزة إلى مجموعات أو شبكات منفصلة منطقياً — حتى لو كانت جميعها متصلة على نفس السويتش الفيزيائي.
بمعنى أبسط: بدلاً من أن تكون كل الأجهزة داخل نفس الشبكة وتسمع بعضها، يمكننا إنشاء أكثر من VLAN بحيث يصبح كل قسم أو نوع من الأجهزة في شبكة مستقلة معزولة. الجهاز في VLAN 10 لا يرى الجهاز في VLAN 20 — كأنهما على سويتشَين مختلفَين تماماً — وذلك بدون أي تكلفة إضافية في الأجهزة.
مثال على تقسيم شركة بالـ VLANs:
- VLAN 10 — قسم المحاسبة
- VLAN 20 — قسم الموارد البشرية
- VLAN 30 — قسم الإدارة
- VLAN 40 — شبكة الضيوف (Guest)
- VLAN 50 — الخوادم (Servers)
2. كيف يعمل VLAN؟
عندما تُعدّ VLAN على السويتش، تُربط كل منفذ (Port) برقم VLAN محدد. السويتش يحتفظ بجدول داخلي يعرف من خلاله أي VLAN تنتمي لكل Port. عندما يُرسل جهاز Frame بيانات، يتحقق السويتش من رقم VLAN للـ Port المُرسِل ويُوجّه البيانات فقط إلى المنافذ التي تنتمي لنفس الـ VLAN.
| المنفذ (Port) | رقم الـ VLAN | الجهاز المتصل | يتواصل مع |
|---|---|---|---|
| Port 1 | VLAN 10 | PC – محاسبة | Port 2 فقط |
| Port 2 | VLAN 10 | PC – محاسبة | Port 1 فقط |
| Port 3 | VLAN 20 | PC – HR | Port 4 فقط |
| Port 4 | VLAN 20 | PC – HR | Port 3 فقط |
الأجهزة في VLAN 10 تتواصل مع بعضها بشكل مباشر، لكنها لا تستطيع التواصل مع أجهزة VLAN 20 أو VLAN 30 إلا عبر Router أو Layer 3 Switch يقوم بعملية Inter-VLAN Routing.
3. أنواع منافذ VLAN
عند التعامل مع VLAN يوجد نوعان أساسيان من المنافذ على السويتش، ولكل منهما وظيفة مختلفة تماماً:
| النوع | الوصف | يدعم كم VLAN؟ | يُستخدم مع |
|---|---|---|---|
| Access Port | منفذ ينتمي لـ VLAN واحدة فقط | VLAN واحدة | أجهزة المستخدمين، طابعات، سيرفرات |
| Trunk Port | منفذ ينقل عدة VLANs عبر نفس الكابل | حتى 4094 VLAN | Switch-Switch، Switch-Router، Switch-Hypervisor |
Access Port — التفصيل
يُستخدم لتوصيل الأجهزة النهائية (End Devices) مثل أجهزة الكمبيوتر والطابعات والهواتف وبعض السيرفرات. الجهاز المتصل به لا يعرف أنه داخل VLAN — السويتش هو من يتولى التصنيف. كل منفذ Access مرتبط بـ VLAN رقم واحد فقط.
Trunk Port — التفصيل
يُستخدم لنقل أكثر من VLAN عبر نفس المنفذ والكابل. يُستعمل في الروابط بين:
- Switch مع Switch (Uplink بين طابقَين)
- Switch مع Router (لـ Inter-VLAN Routing)
- Switch مع Firewall
- Switch مع Hypervisor (مثل Proxmox أو VMware)
- Switch مع Wireless Access Point يدعم Multiple SSIDs
4. معيار 802.1Q وآلية الـ Tagging
عندما ينتقل Frame عبر Trunk Port، يضيف السويتش إليه VLAN Tag — وهو حقل إضافي مدته 4 bytes يُدرج داخل الـ Ethernet Frame. هذا الـ Tag يحتوي على رقم الـ VLAN (يُسمى VLAN ID) التي ينتمي إليها هذا الـ Frame.
المعيار المعتمد لهذه العملية هو IEEE 802.1Q، وهو المعيار العالمي الذي تدعمه جميع أجهزة الشبكات الحديثة (Cisco, HP, Juniper, MikroTik...). عندما يصل الـ Frame إلى الجهاز التالي في المسار (Switch أو Router)، يقرأ الـ Tag ليعرف أي VLAN يخصّه، ثم يُزيل الـ Tag قبل إرساله للجهاز النهائي.
5. مميزات VLAN
- تقسيم الشبكة منطقياً دون تكلفة إضافية: لا تحتاج سويتشات منفصلة أو كابلات إضافية لكل قسم.
- تقليل Broadcast Traffic: كل VLAN تُشكّل Broadcast Domain مستقلاً — الـ Broadcast لا يتجاوز حدود الـ VLAN، مما يُحسّن الأداء العام.
- رفع مستوى الأمان: موظفو المبيعات لا يصلون لشبكة الخوادم، والضيوف لا يصلون للشبكة الداخلية — وذلك بدون Firewall إضافي.
- تنظيم الأجهزة حسب الأقسام أو الوظائف: يُسهّل التوثيق واستكشاف الأعطال وإدارة السياسات.
- مرونة التصميم: يمكن نقل مستخدم من VLAN إلى أخرى بتغيير إعداد Port واحد فقط دون تعديل الكابلات.
- دعم الأجهزة الافتراضية (Virtualization): Hypervisors مثل Proxmox وVMware تعتمد على Trunk Ports لتوصيل VMs بـ VLANs مختلفة.
- عزل شبكة الضيوف: Guest VLAN تصل للإنترنت فقط ولا ترى أي شيء داخل الشركة.
6. عيوب VLAN وتحدياتها
- تحتاج إلى Managed Switch: الـ Unmanaged Switch لا يدعم VLAN على الإطلاق. يجب شراء Managed Switch وهو أغلى.
- الإعداد يحتاج معرفة تقنية: خطأ في إعداد Trunk Port قد يُقطع اتصال عدة VLANs دفعة واحدة.
- تحتاج Router أو L3 Switch للتواصل بين VLANs: كل حركة مرور بين شبكتَين مختلفتَين تمر عبر جهاز Layer 3، مما يُضيف Latency بسيطاً.
- تعقيد الإدارة في الشبكات الكبيرة: عشرات الـ VLANs على عشرات السويتشات تتطلب توثيقاً دقيقاً ونظام IPAM.
- مخاطر أمنية إذا أُسيء الإعداد: VLAN Hopping ممكن إذا لم تُعدّ Native VLAN وPort Security بشكل صحيح.
7. متى نستخدم VLAN؟
نستخدم VLAN في معظم شبكات الشركات عندما نحتاج إلى فصل الأقسام أو الخدمات وتنظيم الشبكة بشكل احترافي.
| الحالة | هل نستخدم VLAN؟ | السبب |
|---|---|---|
| شركة فيها عدة أقسام | ✔ نعم | عزل الأقسام وتطبيق سياسات مختلفة |
| شبكة فيها WiFi للضيوف | ✔ نعم | عزل الضيوف عن الشبكة الداخلية |
| بيئة فيها Servers | ✔ نعم | تحديد من يصل للسيرفرات |
| Data Center / Hypervisors | ✔ نعم | كل VM في شبكة مستقلة عبر Trunk |
| IP Phones (VoIP) | ✔ نعم | Voice VLAN لضمان جودة الصوت (QoS) |
| شبكة منزلية صغيرة | ✘ غالباً لا | التعقيد لا يستحق في هذا الحجم |
الاستخدامات الشائعة داخل الشركات:
| رقم الـ VLAN | الاستخدام | مستوى الوصول للإنترنت |
|---|---|---|
| VLAN 10 | Users (أجهزة الموظفين) | كامل |
| VLAN 20 | Servers | محدود (حسب السياسة) |
| VLAN 30 | Printers | لا |
| VLAN 40 | IP Phones | محدود (SIP فقط) |
| VLAN 50 | WiFi داخلي | كامل |
| VLAN 60 | Guest | إنترنت فقط |
| VLAN 99 | Management (إدارة أجهزة الشبكة) | لا (معزولة تماماً) |
8. Best Practices عند استخدام VLAN
- 1. لا تضع جميع الأجهزة في VLAN واحدة: هذا يُلغي الفائدة الأساسية من VLAN. على الأقل افصل: المستخدمين، الخوادم، الضيوف، وأجهزة الإدارة.
- 2. تجنّب استخدام VLAN 1 في بيئة الإنتاج: VLAN 1 هي الـ Default VLAN على معظم السويتشات وتحمل مخاطر أمنية (VLAN Hopping). استخدم VLAN مرقّمة بشكل واضح.
- 3. أنشئ Management VLAN منفصلة: عناوين IP لإدارة السويتشات والـ APs وغيرها يجب أن تكون في VLAN معزولة لا يصل إليها المستخدمون العاديون.
- 4. افصل السيرفرات عن أجهزة المستخدمين: Server VLAN محمية بـ Firewall Rules تُحدّد من يصل لأي سيرفر — وليس "الكل يصل للكل".
- 5. استخدم Firewall Rules بين الـ VLANs: Inter-VLAN Routing وحده لا يُوفّر أماناً — يجب تطبيق ACL أو Firewall Policies تُحدّد ما يُسمح به بين كل شبكتَين.
- 6. وثّق كل VLAN بوضوح: احتفظ بجدول يتضمن: VLAN ID، الاسم، نطاق الـ IP، الـ Gateway، ووظيفتها. هذا يُوفّر ساعات من البحث عند استكشاف الأعطال.
-
7. استخدم أسماء مفهومة في إعداد السويتش:
vlan 10 name USERSأفضل بكثير من ترك الـ VLAN بدون اسم — خاصةً في الشبكات الكبيرة. - 8. غيّر Native VLAN على Trunk Ports: بدلاً من الـ Default VLAN 1، حدّد VLAN غير مستخدمة (مثلاً 999) كـ Native VLAN على كل Trunk لإغلاق ثغرة VLAN Hopping.
9. مثال عملي من بيئة شركة
تصميم الـ VLANs:
| رقم الـ VLAN | الاسم | الشبكة | الـ Gateway | الوصف |
|---|---|---|---|---|
| VLAN 10 | USERS | 192.168.10.0/24 | 192.168.10.1 | أجهزة الموظفين |
| VLAN 20 | SERVERS | 192.168.20.0/27 | 192.168.20.1 | خوادم الشركة (30 Host) |
| VLAN 30 | PRINTERS | 192.168.30.0/28 | 192.168.30.1 | الطابعات (14 Host) |
| VLAN 40 | VOIP | 192.168.40.0/27 | 192.168.40.1 | هواتف IP |
| VLAN 50 | GUEST | 192.168.50.0/25 | 192.168.50.1 | ضيوف — إنترنت فقط |
| VLAN 99 | MGMT | 192.168.99.0/28 | 192.168.99.1 | إدارة الأجهزة فقط |
قواعد الـ Firewall بين الـ VLANs:
- USERS → SERVERS: ✔ مسموح (HTTP, HTTPS, SMB, RDP حسب الحاجة)
- USERS → PRINTERS: ✔ مسموح (TCP 9100, IPP)
- USERS → GUEST: ✘ محظور
- GUEST → أي شيء داخلي: ✘ محظور (إنترنت فقط)
- SERVERS → USERS: ✘ محظور افتراضياً (حركة من الداخل فقط)
- MGMT → الكل: ✔ مسموح (لفريق IT فقط)
10. الأخطاء الشائعة في VLAN
- ❌ استخدام VLAN 1 كخيار افتراضي لكل شيء: VLAN 1 هي الافتراضية وتحمل مخاطر أمنية. معظم الهجمات الشبكية تستهدفها تحديداً. دائماً ضع الأجهزة في VLANs مرقّمة واضحة.
- ❌ نسيان إعداد Trunk Port بين السويتشات: إذا ربطت سويتشَين بـ Access Port بدلاً من Trunk، ستنتقل VLAN واحدة فقط وستتساءل لماذا باقي الـ VLANs لا تعمل.
- ❌ عدم إعداد Inter-VLAN Routing: VLAN تعزل الشبكات افتراضياً، فإذا احتجت أجهزة في VLANs مختلفة للتواصل ولم تُعدّ الـ Routing، لن يعمل شيء ولن تجد خطأً واضحاً.
- ❌ وضع السيرفرات والمستخدمين في نفس الـ VLAN: هذا يُفقد VLAN فائدتها الأمنية الأساسية. موظف يمكنه الـ Scan على كل السيرفرات في نفس الشبكة.
- ❌ عدم تطبيق سياسات بين الـ VLANs: Inter-VLAN Routing دون ACL أو Firewall يعني أن كل شبكة ترى الأخرى بشكل كامل — وهذا يُلغي الهدف من التقسيم.
- ❌ عدم توثيق أرقام وأسماء الـ VLANs: بعد 6 أشهر لن تتذكر لماذا أنشأت VLAN 45. التوثيق يُوفّر الوقت عند استكشاف الأعطال.
11. الأسئلة الشائعة (FAQ)
12. الخاتمة
تقنية VLAN تُعدّ من أهم الأدوات في عالم الشبكات، لأنها تسمح بتقسيم الشبكة وتنظيمها وتحسين مستوى الأمان والأداء دون الحاجة إلى أجهزة إضافية. لذلك نجدها حاضرة في معظم شبكات الشركات الحديثة، سواء لعزل الأقسام أو السيرفرات أو شبكات الضيوف.
إذا كنت تريد بناء شبكة احترافية قابلة للتوسع وسهلة الإدارة، فإن فهم VLAN واستخدامها بالشكل الصحيح هو خطوة أساسية لا غنى عنها. ابدأ بتقسيم بسيط (Users, Servers, Guest)، ثم طوّر التصميم تدريجياً مع نمو الشركة.
13. مقالات مرتبطة
متى تستخدم كل جهاز وما وظيفته الحقيقية في بنية الشبكة.
اقرأ المقال ←الدليل الشامل لتقسيم الشبكات — CIDR وSubnet Mask وأمثلة عملية محلولة.
اقرأ المقال ←الدليل العملي لتصميم شبكة احترافية وحساب متطلباتها بدقة.
اقرأ المقال ←دليل شامل للمهندسين لاختيار الحل الصحيح في بيئات الـ Virtualization.
اقرأ المقال ←© 2025 – جميع الحقوق محفوظة | تقنية المعلومات والبنية التحتية