Merhaba arkadaşlar bu yazımızda Local Networklerimizin hem performansını artırmada bizlere yardımcı olacak hem de bir çeşit güvenlik katmanı oluşturmamızı sağlayacak Virtual Local Area Networkler hakkında ki bilgileri sizler ile paylaşacağız. Öncelikle neden VLAN’ları kullanmalıyız sorusunun cevabı için Local Networklerin çalışma şeklini incelemekte fayda var.

 

Local Networkler WAN bağlantılarımıza göre çok daha hızlı büyürler. Büyüyen bu Local Networklere sıklıkla yeni bilgisayarlar, bu bilgisayarlara bağlı olarak Switchler eklenmekte, teknolojinin bir sonucu olarak bilgisayarlarda yeni uygulamalar çalışmaya başlamaktadır. Bu büyümenin plansız ve düzensi olduğu networklerin yönetimi zor olacağı gibi ciddi bir performans sorunuda ortaya çıkacaktır.

 

Şekildeki network üzerinde dolaşacak Broadcast paketleri düşünüldüğünde bile network performansının ne derece düşeceği anlaşılabilir. Bu network içerisindeki herhangi bir bilgisayardan çıkacak olan Broadcast paketi, örneğin bir ARP mesajı Switchler Broadcast paketleri aldıkları port dışındaki bütün portlardan gönderecekleri için bütün networkü dolaşacaktır. Broadcast paketleri her zaman networklerde vardır ve önüne geçilemez. Bununla birlikte Switchler tarafından hedef MAC adresi bilinmeyene paketlerde broadcast paketler gibi işlenecek dolayısıyla her yere gönderilecektir.

Güvenlik yönünden de bir sorunda bahsedilebilir. Örneğin şirketimize misafir olarak gelmiş bir kullanıcı, internet erişim için networkümüze dahil olduğunda bütün network kaynaklarımızı görme hakkına sahip olabilecektir.  Ayrıca bu networkte IP adresleride aynı subnette olacağı için bu noktada da bir düzensizlikten bahsedilebilir.

VLAN’lar bizlere networkümüzü birbirinden bağımsız segmentlere ayırma imkanı sağlayarak bu problemleri çözmede büyük ölçüde faydalı olacaktır. Network içerisinde oluşturduğumuz VLAN’lar ve bu VLAN’lara uygun olarak planladığımız IP Subnetleri ile networkümüze bir hiyerarşi de kazandırabiliriz.  VLAN’ları en iyi tanımlayan eşitlik şöyledir;

VLAN = Subnet = Broadcast Domain

Öncelikle şunu belirtmekte fayda var ki VLAN’lar Switchler üzerinde oluşturulur ve Switchportlarının VLAN’lara üye yapılmasıyla çalışır.

Bir VLAN’dan gönderilen broadcast paketleri,o networkteki, sadece aynı VLAN’a üye olan portlara gönderilir. Dolayısıyla broadcast paketleri sadece aynı VLAN içerisinde dolaşacaktır. Bu sebeplede her VLAN’ın bir Broadcast Domain olduğunu söyleyebiliriz. Aynı durum Unknown Unicast paketler olarak nitelendirdiğimiz, hedef MAC adresi Switchler tarafından bilinmeyen paketler içinde geçerlidir. Bu paketler de sadece aynı VLAN’a dahil olan portlara gönderilecektir. Bu noktada az önce bahsettiğimiz Broadcast ve Unknown Unicast paketlerin, bütün networke gönderilerek oluşturduğu performans kaybını önlemiş olduğumuzu söyleyebiliriz.

 

 

Hem her VLAN’ın subneti farklı olacağı için hem de Broadcast olarak gönderilen ARP paketleri diğer VLAN’lara gönderilmeyeceği için VLAN’lar arasında bir güvenlik katmanının da oluşturulduğunu söyleyebiliriz. Biz Layer 3 bir cihaz ile Vlanlar arasında yönlendirme işlemlerini yapmadığımız takdirde farklı Vlanlar birbirlerine paket gönderemeyecektir.

Şekildeki Vlan’lar üzerinde durumu şöyle yorumlayabiliriz; 4 ayrı Vlanımız var, Vlan 10, 11, 20 ve 21 şeklinde VLAN ID’leri var. Örneğin VLAN 10’a üye olan portlardan gönderilen paketler sadece diğer VLAN 10 üyelerine gönderilecek, diğer VLAN’lara gönderilmeyecektir.  VLAN 10 ve diğer VLAN’lar arasında data transferine ihtiyaç varsa Layer Routing ile bu sağlanabilir.  Aklımıza burada şöyle bir sourda gelebilir; Layer 3 routing ile VLAN’lar arasında data transferine izin vereceksek neden VLAN oluşturuyoruz? Aslında bu soru genel bir kanı olan VLAN=Security yanılgısının sonucudur.Evet Vlan güvenlik sağlayabilir fakat daha da önemlisi, Broadcast paketlerini sınırlandırarak performansı artıracaktır. Vlan Routing ile VLAN’lar arasında data transferine izin versek bile Broadcast paketler sadece aynı Vlan içerisinde sınırlı kalmaya devam edecektir.


Kısacası her VLAN ve bu VLAN’lara üye port, her switchin yaptığı, Address Learning, Forwarding, Filtering ve Flooding işlemlerini sadece kendi içerisinde yapacaktır. Hatta bu noktada Switchlerin loop önlemek için kullandığı Spannin-Tree protokolünüde her VLAN için diğerlerinden bağımsız olarak çalıştırabileceğini de söyleyebiliriz (Per-Vlan Spanning Tree).

Vlan uygulamalarında önemli noktalardan birisi de IP Adres planlaması olacaktır. Her Vlan ayrı bir subnette olmalıdır zira farklı Vlanlardaki bilgisayarların farklı Default Gateway’ler olacaktır.  Bu planlama içerisinde Vlanlara ileride dahil olacak bilgisayarları da düşünerek ip aralığını mevcut ihtiyaçtan daha geniş tutmakta fayda vardır.

Örneğin 3 ayrı binada aşağıdaki şekildeki gibi Vlan planlaması yapılan bir network düşünelim.

 

 

 

 

 

Defaul Gateway adresleri de şu şekilde planlanabilir; Burada örnek olarak her bir subnetteki ilk ip adresi Defaul gateway adresi olarak planlanmıştır.

 

 

Ip Planlaması dışında, Vlanlar uygulamalarda iki farklı şekilde geliştirilebilir.

1.    End- To –End Vlanlar
2.    Local Vlanlar

Her iki uygulama modelininde avantaj ve dezavantajları vardır.

End – To – End Vlanlar bir Vlan’a üye olan portların bütün bir networke dağılmış olmasıyla oluşurlar.  Aşağıdaki şeki incelendiğinde daha iyi anlaşılacağı gibi, örneğin Vlan 1, üç ayrı binadan olulan network içerisindeki bütün binalarda var. Genellikle kullanıcıların görevlerine yada bağlı oldukları depertmanlara göre planlanan bu networklerde Vlan Routing ihtiyacının azaltılması hedeflenmiştir. Çoğunlukla beraber çalışacak kullanıcılar aynı Vlan’da olacağı için Vlan Routing’e ihtiyaç duymadan birbirleri arasında veri transferi yapabilirler.

 

 

End- To –End Vlan’ların sağladığı bir başka fayda da, örneğin ses trafiği gibi özel trafik tiplerinin aynı Vlan içerisinde kalmasını sağlamak olacaktır. Aynı şekilde End-To-End Vlan’lar içerisinde oluşturulacak “Guest Vlan” gibi bir Vlan ile, şirketimize gelen misafir kullanıcıların, Network içerisindeki fiziksel lokasyonlarından bağımsız olarak bu Vlan’a dahil olmasını ve dolayısıyla şirket networkümüzden izolasyonunu sağlayabiliriz.

Bir başka Vlan modeli de Local Vlan’lardır. Bu Vlanlarda kullanıcıların departman yada görevlerinden çok fiziksel lokasyonları baz alınarak Vlan planlaması yapılır. Aslında geçmişte çoğunluklan End-To-End Vlanlar kullanılmıştır. Bunun sebebi ise network trafiğinin %80’inin aynı depertman (dolayısıyla aynı Vlan) içerisinde olduğunun düşünülmesidir. Gerçekten de düşünülecek olursa birbirinden farklı uygulamalar çalıştıran departmanlar, sürekli bu uygulama serverlarına data transferi yapmış, dolayısıyla da diğer departman yada Vlanlara daha az data göndermiştir. Ancak günümüzde End-To-End Vlanların yetersiz olduğunu söyleyebiliriz. Bunun sebebi artık şirketlerin uygulamalarının bütün departmanlara hitap etmesi ve bu uygulamaların bulunduğu Server’ların bir arada berlirli bir düzen ve güvenlik seviyesi ile tutulmasıdır.

 

 

Örnek şekil Local Vlanları temsil etmektedir. Farklı Vlanlar Vlan Routing ile haberleşebilir. Örneğin Vlan 10’da yer alan kullanıcılar Server’lara erişmek istediğinde Layer 2 bir cihaz üzerinden geçerek hedefe ulaşacaklardır.  Local Vlanlar büyümeye son derece elverişli olduğu gibi Switchler arasında Redundant linkler oluşturulmasıda kolay olacaktır.

Son olarak Vlan üyelik işlemlerinden bahsederek yazımızı sonlandıracağım. Vlan üyelikleri iki şekilde yapılabilir.

1.    Static Vlan Üyeliği
2.    Dinamik Vlan üyeliği

Statik Vlanlar Switch portlarının statik olarak belirli Vlanlara atanması ile oluşturulur. Bir port bir Vlan’a üye olduğunda, o porta dahil olan kullanıcının kim olduğu, hangi depertmandan olduğu gibi bilgilere bakmaksızın her zaman o  Vlan içerisinde çalışır.

Dinamik Vlanlar ise kullanıcı bazlı yapılır. Switchportları belirli bir Vlan’a üye değildir ve bir kullanıcı networke dahil olduğunda o kullanıcının kimliğine göre vlan ataması gerçekleşir. Burada Switchin kullanıcılara göre Vlan bilgilerini alacağı bir Servera (VPMS – Vlan Management Policy Server ya da Cisco ACS- Access Control Server gibi )ihtiyaç vardır.

Evet arkadaşlar bu yazımız içerisinde Vlanların ne olduğu, faydaları, ne zaman kullanılacağı ve nasıl planlanacağı ile ilgili bilgileri sizler ile paylaştık. Umarım faydalı olmuştur.


Konfigürasyon

Merhaba arkadaşlar. Bu yazımızda Cisco Switchler üzerinde Vlan konfigürasyonunun nasıl yapılacağı ile ilgili bilgileri sizler ile paylaşacağız.  Vlanların düzgün çalışması iki adımlık bir işlem ile sağlanabilir. Burada birinci adım Vlan veritabanı oluşturmak, ikinci adım ise Switchportlarını oluşturduğumuz Vlanlara üye yapmak olacaktır. Bu yazı içerisindeki Vlan uygulamaları ile ilgili çalışmalar 3550 serisi Cisco Switch üzerinde yapılmıştır.

Vlan oluşturma işlemleri iki farklı Cisco IOS konfigürasyon modunda yapılabilir. Bunlardan birincisi olan Vlan Database mode artık Cisco tarafından önerilmemektedir ve muhtemelen yeni ürünler içerisinde olmayacaktır.  Vlan database modunda konfigürasyon şu şekilde yapılabilir.

Switch#vlan database
Switch(vlan)#vlan 11 name pazarlama
Switch(vlan)#exit
Switch#

Konfigürasyon “apply” yada “exit” komutlarını çalıştırdıktan sonra tamamlanacaktır. İstenirse “abort” komutu kullanılarak oluşturulan Vlan’lar database’e eklenmeden bu moddan çıkılabilir.

Vlanlar Cisco Switchler üzerinde Vlan ID’ler ile tanımlanırlar. Vlan ID’ler 1 ile 4094 arasında olabilir. Burada 1006 ve 4094 arasındaki Vlan ID’ler Extenden Range olarak tanımlanır. Extended Range ile ilgili detaylı bilgiyi yazının ilerleyen bölümlerinde bulacaksınız.

Vlan 1 default Vlan olarak 1002, 1003, 1004 ve 1005 ise Token Ring ve FDDI networkler için reserve edilmiştir.

İkinici bir Vlan konfigürasyon moduda Global Konfigürasyon modudur ve bu mode önerilen çalışma modudur.  Ayrıca bu mode Cisco IOS ile çalışan arkadaşlar için tanıdık bir mode olması sebebiyle de tercih edilebilir. Burada da Vlan Database modunda yapılan bütün konfigürasyonlar yapılabilir.

Switch#configure terminal
Switch(config)#vlan 12
Switch(config-vlan)#name muhasebe
Switch(config-vlan)#exit
Switch(config)#

Vlanlar oluşturulduktan sonraki adımımız switch portlarını bu Vlanlara üye yapmak olacaktır. Vlan üyeliklerinin dinamik olarak tanımlanması da mümkündür. Bununla ilgili örnek çalışma daha sonra ki yazılar içerisinde yer alacaktır.

Switchportları sadece bir tane data Vlan’ına üye olabilir. Bu portlara Access portu denir.

 

 

Default olarak Cisco Switch portlarının bütün portları VLAN 1’e üyedir ve bu üyelik aşağıdaki  konfigürasyon ile değiştirilebilir.
Switch(config)#interface fastethernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 11

Burada “switchport mode access” komutu ile port statik olarak access portu haline getirilmiştir. Cisco Switch portları genellikle Dynamic Desirable moddadır. Aslında bu komut kullanılmadan da “switchport access vlan 10”  komutu çalıştırılarak Vlan üyeliği tanımlanabilir fakat portun Dynamic Desirable modda bırakılması bir güvenlik açığı olabilecektir. Dynamic Desirable Mode ve bu modun güvenlik açığı ile ilgili bilgileri Trunk Konfigürasyonunun anlatıldığı makalede bulabilirsiniz.

Vlan bilgiler ve üyelikleri “show vlan” komutu ile görüntülenebilir.

 

 

“Show vlan” komutu dışında, Vlan üyelik bilgileri Running-config dosyasından da görüntülenebilir.


Oluşturulan bu Vlan bilgileri NVRAM’de değil flash içerisinde “vlan.dat” isimli bir dosya olarak  saklanır. Dolayısıyla Vlan bilgileri silinmek istenirse bu dosyanın silinmesi gerekmektedir.  Vlan üyelik işlemleri ise RAM’de veya kaydedilmiş ise NVRAM’da bulunur.

Oluşturulan Vlanlar “no” komutu ile kaldırılabilecekken Vlanların tamamı silinecek ise aşağıdaki komut kullanılabilir.

Switch#delete flash:vlan.dat

Extended-Range Vlan Konfigürasyonu

Yazımızın başında bahsettiğimi gibi Vlan ID’lerinden 1006 ve 4094 arasında olanlar Extended-Range olarak adlandırılır. Extended-Range konfigürasyonu Vlan Database modunda yapılamaz. Bu aralık sadece VTP Transparent Mode’da kullanılabilir. VTP  Tranparent Mode için VTP (Vlan Trunking Protocol) makalesinden faydalanabilirsiniz. VTP Transparetn mode ile ilgili şimdilik söyleyeceklerim, bu modda Vlan bilgilerinin Vlan veritabanında değil Ram’de tutulduğudur. Dolayısıyla Extended-Range kullanılacaksa, bu Vlan bilgilerinin kaydedilmesi için “copy running-config startup-config” komutunun çalıştırılması gerekir.

 
Örnek Vlan Konfigürasyon Uygulaması

Vlan database modunu kullanarak Vlan oluşturma;

 

Global Konfigürasyon modunu kullanarak Vlan oluşturma;

 

 

Interfaceleri Vlanlara üye yapma.

 

 

Vlan uygulamalarında “interface range” komutu çok kullanışlıdır. Örneğinaşağıdaki gibi, b,rden fazla port aynı anda bir Vlan’a üye yapılabilir. Örnekte Fastethernet 0/6 ve 15 arasındaki bütün poetlar 20 nolu Vlana üye yapılmıştır. 

Aslında Vlan oluşturulmadan da, interface konfigürasyon modu altında Vlan üyeliği yapılabilir. Bu durumda Switch hata vermeyecek, atamak istediğimiz Vlanı oluşturacaktır. Aslında bu özellik Vlan konfigürasyonlarında hata olasılığını da artırıyor diyebiliriz. Bir hata sonucu aslında yazmak istediğimiz Vlan dışında bir Vlan ID kullanırsak bu Vlan oluşacak ve üyelik gerçekleşecektir. Burada bize verilen mesajı gözden kaçırırsak hatalı bir Vlan konfigürasyonu ile karşı karşıya kalırız. (Çözüm: VTP)

 

 

Aslında bu özellik Vlan konfigürasyonlarında hata olasılığını da artırıyor diyebiliriz. Bir hata sonucu aslında yazmak istediğimiz Vlan dışında bir Vlan ID kullanırsak bu Vlan oluşacak ve üyelik gerçekleşecektir. Burada bize verilen mesajı gözden kaçırırsak hatalı bir Vlan konfigürasyonu ile karşı karşıya kalırız. (Çözüm: VTP)

 

 

Oluşturduğumuz Vlanları ve Vlan üyeliklerini “show vlan” komutu ile aşağıdaki gibi görüntüleyebiliriz.

 

Vlan bilgileri silinmek istenirse, bu bilgilerin flash içerisinde tutulduğu unutulmamalıdır. Vlan.dat isimli veritabanı dosyamız aşağıdaki gibi silinebilir.

 

 

Evet arkadaşlar, bu yazımızda cisco Switchler üzerinde Vlan oluşturma ve Portları bu Vlanlara statik olarak üye yapma işlemlerinin nasıl yapılabileceğini anlatıp, Switch konsolunda yaptığım çalışmaların screen shotlarını sizler ile paylaştım. Umarım faydalı olmuştur.


Trunk

Bu yazımızda Switchler arasında Vlan bilgilerinin nasıl taşınacağı hakkında bilgiler vereceğiz. Switchportları sadece bir tane data vlanına üye olabilirler, dolayısıyla Switchler arasındaki bağlantılarda birden fazla Vlan bilgisini taşıyabilmemiz için özel portlara ihtiyacımız vardır. Burada özel portlar derken aslında söylemek istediğim donanımsal olarak özel bir port değil özel bir konfigürasyona sahip olan portlardır. Bu özeli konfigürasyona “Trunk” denir ve Trunk Portları üzerinden geçirdikleri framelere hangi Vlana ait oldukları ile ilgili bilgiyi etiketler.

Şekildeki iki Switch üzerinde Vlan1, Vlan2 ve Vlan3’e üye olan portlara sahiptir. Aynı Switch üzerinde aynı Vlana üye olan portlar aralarında veri transferini rahatlıkla yapabilirler.

 

 

 

 

Evet il aşamada portumuzu kapattık. Bundan sonra encapsulation tipimizi beliledik. Konfigürasyon sırasında “?” ile isl’ide görmenizi sağladım. Yani ISL konfigürasyonu da aynı şekilde yapılabilir. Encapsulationı Dot1q olarak belirledikten sonra bir sonraki adımımızda Port modunu Trunk yapacağız.