Bu konu toplam 3 bölümden oluşmaktadır.
LAN Nedir?
- Daha önce LAN'ın tek bir konumdaki (ev, ofis, vb.) bir grup cihaz (PC, Server, Router, Switch, vb.) olduğunu söylemiştim.
- LAN = Broadcast Domain
- Broadcast Domain, herhangi bir cihaz tarafından gönderilen bir Broadcast Frame'i (Destination MAC: FFFF.FFFF.FFFF) alacak cihaz grubudur.
Yukarıdaki resimde toplam 4 adet Broadcast Domain vardır. Router'ın her bir Portu ayrı bir Broadcast Domain'dir.
VLAN Nedir?
Topoloji
Şirket bu LAN için 192.168.1.0/24 Ağını kullanıyor.
Performans ve Güvenlik açısından, LAN'ı Subnet'lere bölmek en iyisi olacaktır.
Örnek olarak Engineering PC'lerinden biri Broadcast Frame gönderirse, bunu LAN'daki herkes (Router, Sales, HR) alacaktır. Bu hem Güvenlik, hem de Ağ Performansı açısından bir sorundur.
Perfomans: Çok sayıda gereksiz Broadcast Trafiği Ağ Performansını düşürebilir. Ağımızdaki gereksiz trafiği en aza indirmeliyiz.
Güvenlik
- Aynı ofis içinde bile, kimin neye, nereye erişimi olduğunu sınırlamak isteriz. Bir Router veya Firewall'a Güvenlik Politikaları uygulayabilirsiniz.
- Bu bir LAN olduğundan Router üzerinden trafik geçmeden Hostlar doğrudan birbirlerine ulaşabilirler. Bu nedenle, Router'da Güvenlik Politikaları yapılandırsanız bile bunların hiçbir etkisi olmaz. Ağda kimin neye erişebileceğini belirleyen Güvenlik Politikaları uygulayabilmemiz için Hostları ayrı Subnet'lere ayırmalıyız.
192.168.1.0/24 ağını 4 eşit parçaya bölelim.
4 adet eşit Subnet oluşturmak için Host Bölümünden 2 adet Borç Bit alınmalıdır (2^2 = 4). Host Bölümünden 2 adet Borç Bit alındığı için /26 Prefix Uzunluğu Kullanılacaktır (Subnet Mask: 255.255.255.192).
2^(32-26) = 2^6 = 64 (Her Eşit Subnet için kullanılabilecek Adres Sayısı)
Alt Ağ oluşturma hakkında eksikleriniz varsa Subnetting konusunu okumanızı tavsiye ederim.
Ancak bir problem var; Router'ın her bir Subnet için IP Adrese ihtiyacı olacak, bu nedenle her Subnet için bir Porta ihtiyacı olacak.
Öyleyse, Switch ve Router arasındaki tek bağlantıyı, her bir Subnet için bir tane olmak üzere 3 ayrı bağlantıyla değiştirelim.
R1'in Portlarını Ağlara uygun şekilde yapılandırdım. Ayrıca Host'ların IP ve Default Gateway Adresleri de yapılandırılmıştır.
-----------
Ara Not
Örnek olarak yukarıdaki resimde PC3, PC2'ye Ping atabilir. Öncelikle aynı ağda olmadıklarından PC3, paketi Default Gateway'e yollayacaktır (R1 G0/0). R1, paketin Destination IP Adresine göre yönlendirme yapacaktır.
R1'in Route Tablosu:
R1, paketi G0/1 Portundan Switch'e iletecektir. Switch ise paketi PC2'ye iletecektir.
---------------
PC1, PC2'ye veri gönderirse, PC1, PC2'nin kendisinden farklı bir Subnet'te olduğunu anlayacaktır, bu nedenle Dst. MAC Adresini Default Gateway R1'e ayarlayacaktır (R1 Turuncu Portun MAC Adresi).
PC1 Frame'i Switch'e iletecek, Switch de Turuncu Porttan Frame'i R1'e gönderecektir.
R1 Frame'i Mor Porttan Switch'e gönderecek ve Switch Frame'i PC2'ye iletecektir.
PC1'in trafiği doğrudan Switch üzerinden PC2'ye gönderebilmesi yerine, trafiği önce R1 üzerinden göndermeye zorladık, R1'de bazı Güvenlik Politikaları yapılandırabiliriz ve bu Subnet'ler arasında tam olarak hangi trafiğin geçmesine izin verildiğini kontrol ederdik.
Ancak yine de sorun var. Frame, Broadcast veya Unknown Unicast ise ne olur? Switch, Frame'i aldığı Port dışında tüm portlarından gönderir (Flood).
Engineering Departmanına ait bir Broadcast Frame:
Switch sadece Layer 2 ile ilgilenir, Layer 3 bakmaz. Dolayısıyla burada 3 ayrı Subnet olmasına rağmen, Switch bunu bilmez.
Switch Broadcast Frame'i aldığı Port dışında tüm portlarından gönderir (Flood). Ve bu hem Ağ Performansı hem de Güvenlik açısından bir sorun.
Departmanları üç ayrı Subnet'e ayırmamıza rağmen (Layer 3), hala aynı Broadcast Domain'deler (Aynı LAN'dalar) (Layer 2).
Şimdi olası bir çözüm, her departman için ayrı bir Switch satın almaktır (Switch'ler birbirine bağlı olmayacak - Switch'ler Router Portlarına bağlanacak), ancak bu çok esnek değildir ve ekstra maliyet doğurur.
İşte burada VLAN devreye girer. Bu PC'lerin hepsi aynı LAN'da olmasına rağmen, bunları Layer 2'de ayırmak için VLAN kullanabiliriz.
Engineering Departmanını VLAN 10, HR Departmanını VLAN 20'ye ve Sales Departmanını VLAN30'a atayacağız.
VLAN, Switch Portlarında yapılandırılır. Switch Portlarını belirli bir VLAN'da olacak şekilde yapılandırırsınız ve ardından bu Portlara bağlı Hostlar ise bu VLAN'ın parçasıdır.
Switch, her VLAN'ı ayrı bir LAN olarak kabul eder. Switch, Broadcast/Unknown Unicast Trafiği dahil olmak üzere VLAN'lar arasındaki trafiği İLETMEYECEKTİR.
PC1 Broadcast Frame gönderirse, Frame Switch'e ulaştıktan sonra aynı VLAN'daki tüm Portlara iletilecektir. Broadcast Frame, VLAN10'da yapılandırılmış bir Porta geldiğinden, Switch Frame'i yalnızca VLAN10'daki diğer portlara iletir.
Aynı şekilde PC1, Unicast Frame'i PC2'ye göndermek isterse Frame R1 Turuncu Port'a gelir. R1 Frame'i Mor Porttan Switch'e gönderir ve Switch de PC2'ye teslim eder.
Router'ın VLAN'lar Arası Yönlendirme (Inter-VLAN Routing) için kullanıldığına dikkat edin.
Switch, Inter-VLAN Routing gerçekleştirmez. Trafiği Router üzerinden göndermelidir.
Ayrıca 3 adet VLAN olduğundan 3 adet Broadcast Domain vardır. PC1'den gönderilen Broadcast Frame, Switch üzerinden R1 Turuncu Porta gelse bile Router bunu kabul etmez, Frame'i çöpe atar (Drop).
VLAN..
- Switch üzerinde Port bazında yapılandırılır.
- Layer 2'deki Host'ları Mantıksal olarak ayırır.
İncelediğimiz topolojideki Hostlar aynı Switch'e ve dolayısıyla aynı Broadcast Domain'de fiziksel olarak bağlı olsalar da, onları mantıksal olarak ayırmak ve ayrı Broadcast Domain'lere yerleştirmek için VLAN'ları kullandık.
Switch, farklı VLAN'daki hostlar arasında trafiği doğrudan iletmez. Switch'in trafiği Router'a iletmesi gerekir. Bunun dışında Inter-VLAN Routing yöntemleri de vardır, ileride değineceğim.
VLAN Yapılandırması
VLAN Hakkında Özet Bilgi Görüntüleme Komutu: show vlan brief
VLAN 1, tüm Portların varsayılan olarak atandığı VLAN'dır. Bu nedenle herhangi bir VLAN yapılandırmasanız bile, tüm Portlar varsayılan olarak VLAN1'dedir. FDDI ve Token-Ring için kullanılan varsayılan VLAN numaraları 1002-1005 arasıdır (CCNA için bilmenize gerek yok).
VLAN 1 ve VLAN 1002-1005 varsayılan olarak mevcuttur ve silinemez!
Switch Access Port
- Access Port, tek bir VLAN'a ait olan ve genellikle PC'ler gibi Hostlara bağlanan bir Switch Portudur.
Switch Trunk Port
- Trunk Port, birden çok VLAN trafiği taşıyan Switch Portudur.
Switch Port Access Mode Yapılandırma Komutu (config-if): switchport mode access
Switch Port Access Mode VLAN Atama Komutu (config-if): switchport access vlan vlan-id
Portlara VLAN Atama
Bir Hosta bağlı olan bir Switch Portu, otomatik olarak Access Moda ayarlanır (DTP Nedeniyle). DTP (Dynamic Trunking Protocol), Cisco cihazlarında varsayılan olarak aktif olan Cisco Tescilli bir protokoldür ve Portların otomatik olarak Access / Trunk Moda geçmesini sağlar. DTP kullanılarak gerçekleştirilen Ağ Saldırıları vardır, bu nedenle Güvenlik amacıyla Port Modunun manuel olarak yapılandırılması önerilir. DTP'nin başka kullanılma amaçları da vardır, fakat DTP'ye başka bir konuda değineceğim, şimdilik ayrıntılı olarak bilmenize gerek yok.
switchport access vlan 10 komutu, VLAN'ı Porta atayan komuttur. Bu komuttan sonraki mesaja dikkat edin: Access vlan does not exist. Creating vlan 10 (VLAN mevcut değil. Cihazda VLAN10 olmadığından otomatik oluşturuldu).
Aynı şekilde diğer Portlara VLAN 20 ve VLAN30 ataması yapılıp Port Modları Access yapılıyor.
show vlan brief komutu ile her bir VLAN'a atadığımız Portları görebiliriz.
VLAN'lar otomatik oluşturulduğu için varsayılan isimleri VLAN0010, VLAN0020, VLAN0030 olmuş.
PC1: ping 255.255.255.255
Broadcast Frame, yalnızca VLAN10'daki Hostlara ulaşacaktır.
PC2: ping 255.255.255.255
Broadcast Frame, yalnızca VLAN30'daki Hostlara ulaşacaktır.
Özet
LAN Nedir? LAN = Broadcast Domain
VLAN Nedir? VLAN, mantıksal olarak birden fazla ayrı Broadcast Domain oluşturmak için kullanılır.
VLAN'ın amacı nedir? Ağ Performansı ve Güvenlik. VLAN'lar Broadcast Domain'i bölerek Ağ Sıkışıklığını (Network Congestion) önlemeye ve dolayısıyla Ağ Performansını artırmaya yardımcı olan gereksiz Broadcast Trafiğini azaltmaya yardımcı olur.
Ayrıca VLAN'lar Arası iletişimi sınırladığından ve Broadcast/Unknown Unicast Trafiği diğer VLAN'lara geçmediğinden Ağ Güvenliğini de arttırır. Mümkün olduğunca ağ trafiğinin gereksiz yere başka cihazlara gönderilmediğinden her zaman emin olmalısınız.
Son olarak Cisco Switch'lerinde VLAN yapılandırdık.
VLAN Konusunun ilk bölümünü bitirdik, şimdi konuyu tekrar etmek için Quiz Sorularına bakalım ve daha sonra LAB yaparak konuyu pekiştirelim.
Quiz 1
Quiz 2
Quiz 3
Quiz 4
Quiz 5
Cevaplar (Sırası İle): 6, 5, b, 2 (G2/2 ve G2/0), 8 (1, 10, 20, 30, 1002, 1003, 1004, 1005)
LAB 1 Çözümü
İlk olarak LAB'ı kendiniz yapmayı deneyin. LAB'ı yaparken takılırsanız/yapamazsanız veya yaptığınız çözümü doğrulamak için buradaki çözümü inceleyebilirsiniz.
1.
2.
3.
show interfaces status ve show ip interface brief komutları
show vlan brief
show interfaces status
4.
R1
show ip route
Farklı VLAN'daki PC'ler arasında iletişim var.
PC1'den gönderilen Broadcast Frame, sadece PC2 ve R1 G0/0 Portuna gider.
Trunk Port
Bir Şirketteki Departmanlar farklı Lokasyonlarda olabilir. Engineering Departmanı için olan VLAN 10'un İki Switch arasında bölündüğünü görebilirsiniz.
SW1 ile SW2 arasında biri VLAN10, diğeri VLAN30 için olmak üzere iki bağlantı vardır.
VLAN10'daki Hostlar hem SW1'e hem de SW2'ye bağlı olduğundan ve ayrıca SW1'e bağlı Hostların SW2 üzerinden R1'e ulaşabilmesi gerektiğinden İki Switch arasında VLAN10 ve VLAN30 için bağlantı olmalıdır.
VLAN20 için SW1 ve SW2 arasında bağlantı yoktur, bunun nedeni VLAN20 için SW1'e bağlı Host olmamasıdır. VLAN20'deki PC'ler, SW1'e bağlı PC'lere hala ulaşabilir, R1, Inter-VLAN Routing gerçekleştirir.
Yukarıdaki resimde VLAN20'den VLAN10'a olan yönlendirme görülüyor. VLAN20'deki bir Host, SW1'e bağlı olan bir VLAN10 Hostuna trafik göndermek istiyor. Frame'i, Default Gateway olan R1'in Dst. MAC Adresine gönderir. R1 bu paket ile ilgili yönlendirme yaparak paketi SW2'ye iletir.
Bu Trafiğin VLAN10 Portundan SW2'ye geldiğini, trafiğin artık VLAN10'da olduğunu, bu nedenle trafiğin SW2 - SW1 arasındaki VLAN10 bağlantısı ile SW1'e iletildiğini ve ardından trafiğin hedef Hosta iletildiğini unutmayın.
SW2 - SW1 arasında bir VLAN20 bağlantısı olmasa bile, Router Inter-VLAN Routing gerçekleştirdiğinden, VLAN20'deki Hostun VLAN10'daki Host'a trafik gönderebildiğini görebilirsiniz.
Birkaç VLAN'lı küçük bir ağda, Switch'leri Switch'e ve Switch'leri Router'a bağlarken her VLAN için ayrı port kullanmak mümkündür (yukarıdaki gibi).
Ancak VLAN sayısı arttığında bu geçerli değildir, Portların boşa harcanmasına neden olur ve genellikle Router'lar her VLAN için yeterli porta sahip olamaz.
Tek bir Port üzerinden birden çok VLAN'dan gelen trafiği taşımak için Trunk Port kullanabiliriz.
Her VLAN için ayrı bağlantılar kullanmak yerine SW1-SW2 ve SW2-R1 arasındaki bağlantıları tek bir bağlantıyla değiştirdik.
Bu bağlantılar tek bir fiziksel bağlantıdır, ancak tek bir bağlantı üzerinden birden çok VLAN'dan gelen trafiğe izin verilir.
SW2 üzerindeki VLAN10'dan, SW1 üzerindeki VLAN10'a erişmeye çalışalım.
SW1, SW2den gelen trafiğin hangi VLAN'a ait olduğunu nasıl bilecek?
SW1, trafiği aldığı Portta hem VLAN10 hem de VLAN30'a izin verir, ancak SW1 Frame'in hangi VLAN'a ait olduğunu nasıl bilebilir? Cevap: VLAN Tagging
Switch, Trunk Bağlantı üzerinden gönderdiği Frame'i etiketleyecektir (VLAN Tagging). Bu, Switch'in Frame'in hangi VLAN'a ait olduğunu bilmesini sağlar.
Access Port üzerinden gönderilen Frame'ler etiketlenmez, çünkü Port tek bir VLAN'a ait olduğu için etiketlenmeleri gerekmez. VLAN10'daki Switch Access Portuna bir Frame gelirse, Switch Frame'in VLAN10'da olduğunu bilir.
VLAN Tagging
Temel olarak iki adet Trunking Protokolü vardır:
- ISL (Inter-Switch Link)
- Eski ve Cisco tescilli bir protokoldür.
- 802.1Q
- IEEE tarafından oluşturulan Endüstri Standardı bir protokoldür.
- 802.1Q = dot1q
Gerçek dünyada muhtemelen asla ISL kullanmayacaksınız, modern Cisco cihazları bile desteklemiyor. CCNA için sadece dot1q öğrenmeniz gerekir.
802.1Q Etiketine (802.1Q Tag) Sahip Ethernet Frame Yapısı
Normal Ethernet Frame Yapısı
802.1Q Etiketine sahip Ethernet Frame Yapısı
802.1Q Etiketi, Ethernet Frame'inin Source ve Type/Length alanları arasına eklenir ve 4 Byte (32 Bit) boyutundadır.
802.1Q Etiketi, iki ana alandan oluşur:
- Tag Protocol Identifier (TPID)
- Tag Control Information (TCI)
TCI, üç alt alandan oluşur.
- 802.1Q - TPID (Tag Protocol Identifier)
- Length: 2 Byte (16 Bit)
- TPID, her zaman 0x8100 değerine ayarlanmıştır. Bu Frame'in dot1q (802.1Q) Etiketli olduğunu belirtir.
- 802.1Q - TCI -> PCP (Priority Code Point)
- Length: 3 Bit
- Sıkışık ağlarda önemli trafiğe öncelik veren Class of Service (CoS) için kullanılır.
- 802.1Q - TCI -> DEI (Drop Eligible Indicator)
- Length: 1 Bit
- Ağda tıkanıklık olması durumunda çöpe atılacak Frame'leri belirtmek için kullanılır.
- 802.1Q - TCI -> VID (VLAN ID)
- Frame'in ait olduğu VLAN'ı gerçekten tanımlayan alandır.
- 12 Bit boyutundadır. Bunun anlamı 2^12 = 4096 adet VLAN olabilir. Dolayısıyla VLAN Aralığı: 0 - 4095
- VLAN 0 ve 4095 ayrılmıştır ve kullanılamaz.
VLAN Aralıkları
- Normal VLAN: 1-1005
- Extended VLAN: 1006 - 4094
Normal VLAN, ISL için geçerlidir. Normal VLAN + Extended VLAN, 802.1Q için geçerlidir.
SW2'ye bağlı VLAN10'da olan PC, SW1 üzerindeki VLAN10'da olan PC'ye trafik göndermek istiyor.
Trafik SW2'ye gider ve ardından trafiğin VLAN10'a ait olduğunu gösteren bir etiketle SW1'e iletilir. SW1 Frame'i alır ve hedef de VLAN10'da olduğu için trafiği hedefe iletir.
Layer 2 Switch'in yalnızca aynı VLAN'daki trafiği ileteceğini, VLAN'lar arasındaki trafiği iletmeyeceğini unutmayın.
Native VLAN
- 802.1Q, Native VLAN adı verilen bir özelliğe sahiptir (ISL'de bu özellik yoktur).
- Native VLAN, tüm Trunk Portlarda varsayılan olarak VLAN1'dir, ancak bu herhangi bir Trunk Portta manuel olarak yapılandırılabilir.
- Tüm Trunk Portlarda ayrı ayrı Native VLAN yapılandırılması gerekir.
- Switch, Native VLAN'daki Frame'lere 802.1Q Tag eklemez.
- Switch, Trunk Portta Etiketsiz Frame alırsa ne olur? Switch, Frame'in Native VLAN'a ait olduğunu varsayar.
- Bu nedenle Native VLAN'ın Switch'ler arasında eşleşmesi çok önemlidir. Native VLAN Mismatch varsa, Switch trafiği iletmeye devam eder, ancak sorunlar ortaya çıkabilir.
Native VLAN Örnek
Native VLAN Mismatch Örnek
Native VLAN Mismatch Örnek 2
Not: VLAN10'dan VLAN30'a giden yoldaki oklar yanlış. Şu şekilde olacak: VLAN 10 PC -> SW2 -> R1 -> SW2 -> SW1
Trunk Yapılandırması
SW1 G0/0, SW2 G0/0 ve G0/1 Portları, Trunk Port olarak ayarlanmalıdır.
Switch Port Trunk Mode Yapılandırma Komutu (config-if): switchport mode trunk
Switch Port Trunk Mode Encapsulation Type Yapılandırma Komutu (config-if): switchport trunk encapsulation dot1q
Trunk Port Hakkında Bilgi Alma Komutu: show interfaces [interface-id] trunk
SW1# show interfaces trunk
Port Sütununda Trunk Portlar listelenir.
- Mode: On -> Portun Trunk Port olarak manuel yapılandırıldığı anlamına gelir.
- Status: trunking
- Native VLAN: 1
İkinci satırda Trunk Port üzerinde izin verilen VLAN'lar görüntülenir (Varsayılan olarak 1-4094). Güvenlik amacıyla, Trunk Portta hangi VLAN'ların iletilebileceğini sınırlamak isteyebiliriz.
Üçüncü satırda Management Domain'de izin verilen ve aktif olan VLAN'lar görüntülenir. Varsayılan Management VLAN (SVI) 1'dir. Switch üzerinde yapılandırılan VLAN10 ve VLAN30 da gözükmektedir.
1002-1005 aralığı gözükmemektedir, onlar modern ağlarda genelde kullanılmazlar.
Switch Trunk Port Üzerinde İzin Verilen VLAN'ları Yapılandırma Komutu (config-if): switchport trunk allowed vlan vlan-ids / add vlan-id / remove vlan-id / all / except / none
SW1
WORD: İzin verilen VLAN'ların listesini yapılandırmamıza izin verir.
Kullanım
add: Geçerli listeye VLAN eklememizi sağlar.
Kullanım
Not: SW1'de VLAN 20 oluşturulmadığı için, Management Domain'de görüntülenmediğine dikkat edin.
remove: Geçerli listeden VLAN'ı kaldırmamızı sağlar.
Kullanım
all: Tüm VLAN'lar (varsayılan durum).
Kullanım
except: Belirtilen VLAN hariç tüm VLAN'lar.
Kullanım
None: VLAN yok.
Kullanım
Bu durum hiçbir trafiğin Trunk Port üzerinden geçmesine izin vermez, bu nedenle şimdi bu ağ için istediğimiz gerçek ayarları yapalım.
SW1, kendisine bağlı VLAN10 ve VLAN30'da Hostlara sahiptir. VLAN20'deki hiçbir Hosta bağlı değildir, bu nedenle SW1 ve SW2 arasındaki bağlantıda VLAN20'ye izin verilmesine gerek yoktur.
Artık Trunk Portta izin verilen tek VLAN'lar, VLAN10 ve VLAN30'dur.
Bunun yapılmasının sebebi, Güvenlik amacıyla yalnızca gerekli VLAN'lardaki trafiğin bu bağlantıyı kullanabileceğinden emin olmaktır. Ayrıca Ağ Performansı amacıyla gereksiz trafik önlenir, çünkü diğer VLAN'lardaki Broadcast, vb. Trafikler, Trunk bağlantısı üzerinden gönderilmez.
Güvenlik amacıyla, Native VLAN'ı kullanılmayan bir VLAN ile değiştirmek en iyisidir. Native VLAN'ın Switch'ler arasında eşleştiğinden emin olun.
Switch Trunk Port Native VLAN Yapılandırma Komutu: switchport trunk native vlan vlan-id
SW1 G0/0 Trunk Portunu yapılandırdıktan sonra show vlan brief komut çıktısında G0/0 Portunun hiçbir yerde listelenmediğine dikkat edin.
show vlan brief komutu, Access Modundaki Portları gösterir.
Trunk Portları onaylamak için show interfaces trunk komutunu kullanın.
SW2'nin G0/0 Portunda VLAN10 ve VLAN30'a izin vermeliyiz. Ancak SW2'nin G0/1 Portunda VLAN20'ye de izin vermeliyiz.
SW2 G0/0
Daha önce SW2'den R1'e olan bağlantı için 3 ayrı Port kullandık ve R1'de her bir Porta ayrı bir IP Adresi atadık. Her bir Port VLAN'daki Hostlar için için Default Gateway olarak görev yaptı.
Şimdi iki cihaz arasında yalnızca bir fiziksel bağlantı kullanıyoruz (Inter-VLAN Routing yöntem 2 diyebiliriz). R1'de Sub Interface kullanmalıyız.
Router on a Stick (ROAS)
SW2 G0/1 Portuna bağlanmak için R1'de kullanılan Fiziksel Port G0/0'dır.
Tek Fiziksel Portu, 3 ayrı Sub Interface'e bölebiliriz, böylece Inter-VLAN Routing yalnızca bir Fiziksel Port ile gerçekleştirilebilir.
R1 üzerinde; VLAN10 için G0/0.10, VLAN20 için G0/0.20 ve VLAN30 için G0/0.30 Sub Interface'leri oluşturuldu. Bu 3 Mantıksal Sub Interface, tek bir Fiziksel Porttur, ancak 3 ayrı Port gibi çalışabilirler.
R1 yapılandırmasına geçmeden önce, SW2 üzerinde herhangi bir ek yapılandırma yapmamıza gerek yoktur. SW2 G0/1 Portunu zaten Trunk olarak yapılandırdık ve VLAN10, 20, 30'a izin verildiğinden emin olduk.
R1
İlk olarak Router'ın Portları varsayılan olarak down olduğundan, Portu no shutdown komutu ile açıyoruz ve çıkıyoruz (Herhangi bir IP ADRESİ ATAMIYORUZ).
Daha sonra ilk Sub Interface'i yapılandırıyoruz. Sub Interface numarasının, VLAN Numarası ile eşleşmesi gerekmez. Ancak kolaylık açısından aynı numaralar kullanılması tavsiye edilir.
encapsulation dot1q vlan-id
Bu komut Router'a, belirtilen VLAN Numarasıyla etiketlenen herhangi bir gelen Frame'i bu Sub Interface'e gelmiş gibi işlemesini söyler. VLAN10 ile etiketlenmiş bir Frame gelirse, R1, G0/0.10 Sub Interface'ine gelmiş gibi davranacaktır. Ayrıca bu Sub Interface'den ayrılan tüm Frame'leri dot1q kullanarak VLAN10 ile etiketleyecektir.
Sub Interface'e VLAN ağının son kullanabilir IP Adresini atadık ve Subnet Mask: /26. Diğer yapılandırılan Sub Interface'ler için de durum aynıdır.
Yapılandırmayı doğrulayalım - show ip interface brief
Fiziksel Portun yanı sıra tüm Sub Interface'lerin göründüğünü görebiliriz.
R1'in Route Tablosu
R1, Sub Interface'den Frame gönderdiğinde, yapılandırılan VLAN (encapsulation dot1q vlan-id) Etiketini ekler.
Örneğin, 192.168.1.64/26 Subnet'ine yönelik bir paket gelirse (Hedef VLAN 20 Ağı demek ki), paketi VLAN 20 ile Etiketleyerek G0/0.20 Sub Interface'den gönderir.
Router on a stick (ROAS) Özet
- ROAS, Router ve Switch arasında tek bir bağlantı kullanarak birden çok VLAN Arasında Yönlendirme yapmak için kullanılır.
- Switch Port, normal bir Trunk olarak yapılandırılır.
- Router Port, Sub Interface kullanılarak yapılandırılır. Her bir Sub Interface'de VLAN Etiketi ve IP Adresi yapılandırılır.
- Router, belirli bir VLAN Etiketiyle gelen Frame'ler için, o VLAN etiketiyle yapılandırılmış Sub Interface'e gelmiş gibi davranacaktır.
- Router, Sub Interface'de yapılandırılmış VLAN Etiketi ile Sub Interface'den gönderilen Frame'leri etiketleyecektir.
ROAS'ın nasıl çalıştığını görmek için topolojiye geri dönelim.
SW2'ye bağlı VLAN10'daki PC, SW1'e bağlı VLAN30'daki PC'ye ulaşmak istiyor.
Frame SW2'ye gönderilir. SW2, Frame'i VLAN10 olarak etiketleyerek G0/1 Portundan R1'e gönderir.
R1, Frame'i G0/0 Portundan alır ve VLAN 10 Etiketi nedeniyle G0/0.10 Sub Interface'ine geldiğini anlar.
Hedef, R1'in G0/0.30 Sub Interface'ine bağlı olan 192.168.1.128/26 Subnet'idir, bu nedenle Frame'i VLAN30 olarak etiketleyerek G0/0 Portundan gönderir, çünkü G0/0.30 Sub Interface'de yapılandırılan budur.
SW2 gelen Frame'i G0/0 Trunk Port üzerinden VLAN30 olarak etiketleyerek SW1'e iletir. SW1 daha sonra Frame'i hedefe iletir.
Özet
- Trunk Port Nedir? Birden çok VLAN trafiğini taşıyabilen Switch Portudur.
- Trunk Portun amacı nedir? Her bir VLAN için ayrı bir fiziksel port kullanmadan, Switch'in birden çok VLAN'dan gelen trafiği tek bir fiziksel port üzerinden iletmesine olanak tanır.
- 802.1Q Encapsulation: Ethernet Frame'inin Source MAC Adresi ile Type/Length Alanlarının arasına eklenen ve bir Trunk Port üzerinden gönderildiğinde Frame'in hangi VLAN'a ait olduğunu belirtmek için kullanılır.
- Trunk Port nasıl yapılandırılır? Encapsulation Type, İzin verilen VLAN'lar ve Native VLAN.
- Router on a Stick (ROAS): Router'ın tek bir fiziksel portunda birden çok Sub Interface yapılandırılmasını içeren ve birden çok VLAN'dan gelen trafiğin her biri için ayrı bir fiziksel port kullanmak zorunda kalmadan yönlendirilmesine olanak sağlayan Inter-VLAN Routing yöntemidir.
VLAN Konusunun ikinci bölümünü bitirdik, şimdi konuyu tekrar etmek için Quiz Sorularına bakalım ve daha sonra LAB yaparak konuyu pekiştirelim.
Quiz 1
Quiz 2
Quiz 3
Quiz 4
Quiz 5
Cevaplar (Sırası ile): d, b, c, b, a
Quiz 3 Hakkında Not: Bu durum, Switch üzerinde birden çok Trunk Encapsulation Type seçeneğinin olmasından kaynaklanıyor. Mesela Switch hem ISL, hem de dot1q kullanabiliyorsa, ilk olarak switchport trunk encapsulation ? komutu ile Trunk Kapsülleme Türünü belirtmeliyiz. Daha sonra switchport mode trunk komutu yazılmalıdır. Switch, sadece dot1q kullanıyorsa, ilk olarak switchport mode trunk komutu yazılabilir, bir sakıncası yoktur.
LAB 2 Çözümü
İlk olarak LAB'ı kendiniz yapmayı deneyin. LAB'ı yaparken takılırsanız/yapamazsanız veya yaptığınız çözümü doğrulamak için buradaki çözümü inceleyebilirsiniz.
1.
SW1(config)# do show vlan brief
SW2(config)# do show vlan brief
2.
3.
R1(config)# do show ip interface brief
R1(config)# do show ip route
SW2# show interfaces trunk
Test: Tüm PC'ler arasında iletişim var.
Router Üzerinde Native VLAN Yapılandırma (ROAS)
Native VLAN'ı Router üzerinde kullanalım. Native VLAN'ın bir avantajı; Frameler etiketlenmediğinden dolayı daha verimlidir, Frame boyutu daha küçüktür, böylece cihazın saniye başına daha fazla Frame göndermesine olanak sağlar.
Bir önceki Bölümde SW1 G0/0 ve SW2 G0/0, G0/1 Portlarını Native VLAN 1001'e ayarlamıştık. Bunu VLAN 10 yapıyoruz.
Router'da Native VLAN yapılandırmanın 2 yöntemi vardır:
Router Native VLAN Yapılandırma Yöntem 1
- Router Sub Interface Native VLAN Yapılandırma Komutu: encapsulation dot1q vlan-id native
- Bu komut Router'a, Sub Interface'in Native VLAN'a ait olduğunu ve tıpkı Switch'deki Native VLAN gibi çalışacağını söyler.
- Etiketlenmemiş Frame'in Native VLAN'a ait olduğunu varsayar ve Native VLAN'a gönderilen Frame'ler etiketlenmez.
Bu yapılandırma önceki Bölümün devamı olduğu için IP Yapılandırması yok. Sadece Sub Interface içinde yukarıdaki komutu yazdık.
PC2'den PC1'e Ping yolluyoruz. R1 ile SW2 arasındaki bağlantıyı izlemek için Wireshark kullanacağız.
İlk olarak, SW2'den R1'e giderken ICMP Echo Request mesajının yakalanmasına bakacağız. Frame VLAN 20 olarak etiketlenecek ve VLAN'lar Arası Yönlendirme için R1'e gönderilecektir.
802.1Q ile etiketleme yapıldığından dolayı yeni eklenen alanı görüyoruz.
- TPID: 802.1Q Virtual LAN (0x8100)
- 802.1Q Etiketinin geri kalan alanı ise TCI'dır. TCI ise 3 alana ayrılır:
- PRI: Best Effort (default) (0) (Frame'e özel bir öncelik verilmez).
- DEI: 0 (Ineligible: Uygun değil - Ağ Tıkanıklığı zamanlarında Paket çöpe atılmaz).
- VID (VLAN ID): 20
- Son olarak Ethernet Başlığının IPv4 ile Kapsüllendiğini belirten Type (0x0800) alanı bulunur.
Wireshark Capture (R1 -> SW2) - ICMP Echo Request
Dst. IP Adres: 192.168.1.65 (PC1). Hedef VLAN 10'daki bir Host. VLAN10, hem R1 hem de SW2'de Native VLAN olarak yapılandırılmıştır.
Görüldüğü gibi Ethernet Başlığında 802.1Q Etiketi yoktur. Hem R1 hem de SW2, etiketlenmemiş Frame'lerin (Native VLAN) VLAN10'a ait olduğunu anlar, bu nedenle Frame'i etiketlemez.
VLAN10 tüm cihazlarda Native VLAN olarak yapılandırıldığında, ICMP Echo Request, hedefe kadar etiketlenmeden devam edecektir.
SW1'e bağlı VLAN10'daki PC1, ICMP Echo Reply gönderdiğinde, Frame R1'e ulaşana kadar etiketsiz kalacaktır. R1, Frame'i VLAN20 olarak etiketleyecek ve isteği gönderen PC2'ye gönderecektir.
Router Native VLAN Yapılandırma Yöntem 2
- Router'ın Fiziksel Portunda Native VLAN için IP Adresi yapılandırın (encapsulation dot1q vlan-id native komutu gerekli değildir).
G0/0.10 Sub Interface'i no komutu ile iptal ettik. Daha sonra G0/0 Portunda uygun IP Adresini yapılandırdık.
R1# show running-config
Fiziksel Port, normal IP Adresi ile yapılandırılır. Bu Native VLAN, VLAN10 için kullanılacaktır. Diğer Sub Interface'ler encapsulation dot1q vlan-id komutu ve IP Adresleri ile önceden yapılandırdığımız gibidir.
Daha önce de söylediğimiz gibi, Güvenlik amacıyla Native VLAN'ı yalnızca kullanılmayan bir VLAN'a değiştirmeniz önerilir. Ancak Native VLAN'ı kullanmak istiyorsanız, bunun Router üzerinde nasıl yapılandırıldığını bilmek önemlidir, 2 yöntemden birini kullanabilirsiniz.
Layer 3 (Multilayer) Switch
- Layer 3 Switch, hem Anahtarlama (Switching) hem de Yönlendirme (Routing) yapabilir.
- Multilayer Switch, Layer 3'ün farkındadır. Normal bir Layer 2 Switch, Layer 3'ün farkında değildir, IP Adreslerini veya Layer 2'nin üstündeki hiçbir şeyi düşünmez. Yalnızca MAC Adresleri gibi Layer 2 bilgileriyle ilgilenir.
- Bir Router gibi Layer 3 Switch Portlarına IP Adresleri atanabilir.
- Sadece Fiziksel Portlar değil, aynı zamanda her VLAN için Virtual Interface oluşturabilir ve bu Interface'lere IP Adresleri atayabiliriz.
- SVI (Switch Virtual Interface), Layer 3'teki trafiği yönlendirme, vb. işlemlerde kullanılır.
- Layer 3 Switch üzerinde rotaları tıpkı bir Router gibi yapılandırabilirsiniz.
- Layer 3 Switch, Inter-VLAN Routing için kullanılabilir.
- ROAS, Port sayısı açısından verimlidir, ancak yoğun bir ağda Router'a giden ve Switch'e geri dönen tüm trafik, Ağ Sıkışıklığına (Network Congestion) neden olabilir.
- Büyük ağlarda, Inter-VLAN Routing için tercih edilen yöntem Layer 3 Switch'dir.
SVI Aracılığıyla VLAN'lar Arası Yönlendirme (Inter-VLAN Routing)
Topoloji
SW2'yi Layer 3 bir Switch ile değiştirdik ve R1'i kaldırmadık.
SW2 ile R1 arasındaki Trunk Bağlantısını Point-to-Point Layer 3 Bağlantısı ile değiştirdik.
Artık SW2 ile R1 arasındaki bağlantı VLAN Yönlendirme için kullanılmayacaktır (Portlara IP Adresi atanacak).
Switch'in Inter-VLAN Routing için trafiği R1'e göndermesi gerekmez. Bunu SVI (Switch Virtual Interface) ile yapabilir.
SVI
- SVI, Switch'de IP Adresleri atayabileceğiniz Sanal Arayüzlerdir.
- Her bir PC'nin Default Gateway Adresi SVI'yı kullanacak şekilde yapılandırılır.
- Farklı Subnet/VLAN'lara Trafik göndermek için PC'ler Switch'e Trafik gönderir ve Switch Trafiği Yönlendirir.
PC2: ping 192.168.1.1/26 (PC1)
Frame PC2'den SW2'ye ulaşır, hedef 192.168.1.0/26 Subnet'indedir.
SW2'nin artık kendi Route Tablosu vardır, bu nedenle Route Tablosunda hedefi arar ve hedefin VLAN10 SVI'a bağlı olduğunu görür. Böylece trafik artık VLAN10'a yönlendirilir. Frame VLAN10 olarak etiketlenerek G0/0 Portu üzerinden SW1'e iletilir. SW1 daha sonra Frame'i hedefe iletir.
Hostlar LAN dışındaki hedeflere ulaşmak isterse ne olur? Örneğin, İnterneti temsil etmesi için R1'e bağlı bir bulut ekledim.
SW2, Hostlar için Default Gateway olduğundan, Subnet'in dışına gönderilen tüm paketler, SW2'ye gönderilir.
Layer 3 Switch'de, SVI yapılandırmaya ek olarak, Fiziksel Portları Router Portu gibi çalışacak şekilde yapılandırabiliriz.
SW2 ve R1 arasındaki Point-to-Point Bağlantı için 192.168.1.192/30 Subnet'ini atayabiliriz, SW2'nin G0/1 Portu 192.168.1.193 ve R1'in G0/0 Portu 192.168.1.194'dür.
Ardından, SW2'de R1'e doğru olan Default Route yapılandırırız, böylece LAN dışındaki tüm trafik R1'e gönderilir.
SVI Yapılandırması
R1
Port Yapılandırmasını Sıfırlama Komutu: default interface interface-id
İlk olarak no komutu ile Sub Interface'leri siliyoruz. Ardından, G0/0 Portunun yapılandırmasını sıfırlamak için default interface g0/0 komutunu kullanıyoruz.
R1 G0/0 Portunu IP Adres ve /30 Subnet Mask ile yapılandırıyoruz.
SW2
SW2 G0/1 Port yapılandırmasını sıfırlamak için default interface g0/1 komutunu kullanıyoruz.
ip routing komutu ile Layer 3 Switch üzerinde Routing aktif hale getiriyoruz (kendi Route Tablosunu oluşturur).
no switchport komutu, Layer 2 Portunu, Layer 3 Portuna değiştiren komuttur. Artık bu Porta bir IP Adresi Atayabiliriz (dikkat bu bir SVI değildir).
SW2'den R1'e doğru olan Default Route yapılandırıyoruz.
show interfaces status komutudaki Vlan Sütununda G0/1 Portunun routed olarak gözüktüğüne dikkat edin.
Şimdi SW2 üzerinde SVI yapılandıralım..
SVI Portları varsayılan olarak Down (shutdown komutu) durumundadır. Etkinleştirmek için no shutdown komutunu kullanmayı unutmayın.
Karşılaşabileceğimiz bir sorunu göstermek için Switch'de tanımlanmayan (VLAN40) başka bir SVI oluşturdum ve IP Adresi 40.40.40.40/24. Ayrıca no shutdown komutunu uyguladım.
Ancak show ip interface brief komutunda SVI, down/down olarak gözükmekte. Bunun nedeni Switch'de VLAN40 olmamasıdır.
SVI up/up Olması için Gereken Koşullar
- Switch'de VLAN bulunmalıdır.
- Switch'in VLAN'da up/up durumunda olan en az bir Access Port ve/veya up/up durumda olan VLAN'a izin veren bir Trunk Portu olmalıdır.
Örneğin buradaki topolojide SW2, VLAN10 ve VLAN20'ye bağlı Hostlara sahiptir. Böylece SVI'ları up/up olabilir. VLAN30'a bağlı Host yoktur, ancak üzerinde VLAN30'a izin veren G0/0 Trunk Portu vardır, bu nedenle VLAN30'un SVI'sı da çalışır (up/up).
- VLAN, shutdown komutu ile kapatılmamalıdır. (VLAN Yapılandırma Modunda shutdown komutu ile VLAN devre dışı bırakılabilir). VLAN kapatılırsa, o VLAN için SVI up/up olmaz.
- Son olarak, SVI'ın kendisi kapalıysa (shutdown), up/up olmayacağı açıktır. Bu nedenle bir SVI oluşturduktan sonra no shutdown komutu ile açtığınızdan emin olun, çünkü SVI Portları varsayılan olarak kapalıdır (down).
Oluşturduğumuz SVI'lar için Route Tablosunda rotaların eklendiğini görebiliriz.
VLAN Konusunun üçüncü bölümünü bitirdik, şimdi konuyu tekrar etmek için Quiz Sorularına bakalım ve daha sonra LAB yaparak konuyu pekiştirelim.
Quiz 1
Quiz 2
Quiz 3
Cevaplar (Sırası İle): b ve c, a ve d, a
LAB 3 Çözümü
İlk olarak LAB'ı kendiniz yapmayı deneyin. LAB'ı yaparken takılırsanız/yapamazsanız veya yaptığınız çözümü doğrulamak için buradaki çözümü inceleyebilirsiniz.
1.
Şuanda Inter-VLAN Routing ROAS ile yapılıyor.
2.
3.
Tüm PC'ler arasında, farklı VLAN'lar arasında iletişim var.
4.
Tüm VLAN'lardaki PC'ler 1.1.1.1 IP Adresine erişebiliyorlar (İnternet).
Okuduğunuz için teşekkürler :)
Yorum Gönder
Yorum Gönder