İlk bölümde switch'imize güvenli bir şekilde erişmeyi ve temel kimlik ayarlarını yapmayı öğrenmiştik. Ancak varsayılan ayarlarıyla bir switch, üzerine takılan tüm cihazları aynı yayın etki alanında (broadcast domain) tutar. Kurumsal ağlarda performans, yönetim ve güvenlik (örneğin 802.1X gibi ileri seviye politikalara zemin hazırlamak) için ağı mantıksal parçalara bölmemiz gerekir.
İşte bu noktada devreye Layer 2 mimarisinin temel taşı olan VLAN (Virtual Local Area Network) girer. Bu yazıda VLAN oluşturmayı, son kullanıcı cihazlarını bağladığımız Access portları ve switch'ler arası iletişimi sağlayan Trunk portları yapılandırmayı inceleyeceğiz.
VLAN Neden Gereklidir?
Fiziksel olarak aynı switch üzerinde bulunsalar bile, muhasebe departmanındaki bir bilgisayar ile misafir ağındaki bir cihazın aynı trafiği görmesi veya birbirleriyle doğrudan haberleşmesi istenmez. VLAN'lar sayesinde:
Performans artar: Broadcast (yayın) trafiği izole edildiği için ağdaki gereksiz yük azalır.
Güvenlik sağlanır: Farklı departmanlar veya cihaz tipleri (Kamera, IP Telefon, Sunucu) birbirinden ayrılır.
Yönetim kolaylaşır: IP blokları mantıksal olarak bölümlendirilir.
VLAN Oluşturma ve İsimlendirme
Switch üzerinde VLAN oluşturmak ve bunlara anlaşılır isimler vermek operasyonel süreçlerde büyük kolaylık sağlar. Global konfigürasyon modunda vlan komutunu kullanırız.
Merkez-SW1(config)# vlan 10
Merkez-SW1(config-vlan)# name PERSONEL
Merkez-SW1(config-vlan)# exit
Merkez-SW1(config)# vlan 20
Merkez-SW1(config-vlan)# name MISAFIR
Merkez-SW1(config-vlan)# exitUç Cihazları Ağa Dahil Etme: Access Port Konfigürasyonu
Bilgisayar, yazıcı veya kamera gibi son kullanıcı cihazlarının bağlandığı portlar Access (Erişim) portu olarak yapılandırılır. Bir access port aynı anda sadece tek bir data VLAN'ına üye olabilir.
Örneğin, GigabitEthernet 1/0/1 portunu Personel VLAN'ına (VLAN 10) atayalım:
Merkez-SW1(config)# interface gigabitEthernet 1/0/1
Merkez-SW1(config-if)# description PC-Ahmet-Muhasebe
Merkez-SW1(config-if)# switchport mode access
Merkez-SW1(config-if)# switchport access vlan 10
Merkez-SW1(config-if)# exitKurumsal İpucu (Voice VLAN): Eğer masalarda IP Telefon (VoIP) kullanılıyorsa ve bilgisayar bu telefonun arkasına bağlıysa, porta bir de Voice VLAN eklenir. Telefon Voice VLAN'ı, bilgisayar ise Access VLAN'ı kullanır.
Merkez-SW1(config-if)# switchport voice vlan 50
Switch'leri Birbirine Bağlama: Trunk Port Konfigürasyonu
Birden fazla switch'iniz olduğunda, VLAN 10'daki bir cihazın diğer switch'teki VLAN 10 cihazıyla konuşabilmesi gerekir. Tüm VLAN trafiklerini tek bir fiziksel kablo üzerinden diğer switch'e taşımak için portu Trunk moduna alırız. Cisco cihazlar bu işlemi genellikle 802.1Q protokolü ile çerçeveleri (frame) etiketleyerek yapar.
İki switch'i birbirine bağlayan GigabitEthernet 1/0/24 portunu Trunk yapalım:
Merkez-SW1(config)# interface gigabitEthernet 1/0/24
Merkez-SW1(config-if)# description UPLINK-TO-Kenar-SW2
! Layer 3 switch'lerde trunk encapsulation tipini manuel belirtmek gerekebilir:
Merkez-SW1(config-if)# switchport trunk encapsulation dot1q
Merkez-SW1(config-if)# switchport mode trunkGüvenlik Sıkılaştırması (Allowed VLAN): Varsayılan olarak bir trunk port, switch üzerindeki tüm VLAN'lara ait trafiği geçirir. Güvenlik ve performans en iyi uygulamaları (best practice) gereği, sadece ihtiyaç duyulan VLAN'lara izin verilmelidir.
Merkez-SW1(config-if)# switchport trunk allowed vlan 10,20,50
Merkez-SW1(config-if)# exitNative VLAN ve Trunk Güvenliği
802.1Q trunk portlarından geçen tüm trafik etiketlenir, Native VLAN hariç. Varsayılan olarak Native VLAN, VLAN 1'dir. "VLAN Hopping" gibi Layer 2 saldırılarını zorlaştırmak için, Native VLAN'ı kullanılmayan, "ölü" bir VLAN'a (örneğin VLAN 999) çekmek kurumsal ağlarda standart bir güvenlik prosedürüdür.
Merkez-SW1(config)# vlan 999
Merkez-SW1(config-vlan)# name NATIVE_DROP
Merkez-SW1(config-vlan)# exit
Merkez-SW1(config)# interface gigabitEthernet 1/0/24
Merkez-SW1(config-if)# switchport trunk native vlan 999Not: Bu işlemi trunk hattının her iki ucundaki switch'te de aynı VLAN ID'si ile yapmanız gerekir. Aksi takdirde "Native VLAN Mismatch" hatası alırsınız ve Spanning Tree sorunları yaşanır.
Doğrulama (Verification) Komutları
Yaptığımız ayarların doğru çalışıp çalışmadığını kontrol etmek, yapılandırmanın kendisi kadar önemlidir.
VLAN'ları ve atanan Access portları görmek için:
Merkez-SW1# show vlan briefTrunk portların durumunu ve izin verilen VLAN'ları görmek için:
Merkez-SW1# show interfaces trunkVLAN'larımızı oluşturduk, kullanıcılarımızı bağladık ve switch'lerimizi birleştirdik. Ancak ağda birden fazla switch'in birbirine farklı yollardan bağlandığı yedekli (redundant) topolojiler kurduğumuzda, başımıza Layer 2'nin en büyük kabusu olan Loop (Döngü) problemi çıkar.
Serimizin bir sonraki yazısında, ağı bu loop'lardan koruyan kahramanımız Spanning Tree Protocol (STP) mimarisine ve BPDU Guard gibi kenar port güvenlik önlemlerine derinlemesine dalış yapacağız.