VLAN ( Virtual Local Area Network )

24 Ocak 2024 Hüseyin Pala Network(Bilgisayar Ağları) 0

VLAN ( Virtual Local Area Network ), fiziksel bir ağ üzerindeki cihazları mantıksal olarak gruplamak için kullanılan bir ağ segmentasyon tekniğidir. VLAN’lar, aynı fiziksel ağ üzerinde bulunan cihazları, coğrafi konumlarına bakılmaksızın mantıksal olarak birbirinden izole ederek ayrı ağlar gibi davranmalarını sağlar.

Yapılan bu izolasyon, ağ performansının artmasını ve güvenliğin geliştirilmesini sağlar. VLAN konfigürasyonları Anahtar ( Switch ) cihazı üzerinde gerçekleştirilir.

Kurumsal ağlarda VLAN konfigürasyonu her zaman gereklidir. VLAN ayrıca olası ağ problemlerini filtrelememizi de sağlayabilir.

VLAN Türleri

1 – Veri VLAN’ı ( Data VLAN )
Kullanıcı VLAN’ı, genellikle standart trafiği iletmek için belirlenmemiş özel bir VLAN türüdür. Örneğin, kullanıcı kaynaklı internet trafiği bu kategoriye girebilir. Ayrıca, aynı VLAN içinde ses veya video tabanlı trafik de taşınabilir.

2- Varsayılan VLAN ( Default VLAN )
Anahtarın tüm bağlantı noktaları, anahtar başlatıldığında otomatik olarak Varsayılan VLAN’a atanır. Böylece, tüm bu bağlantı noktalarının aynı yayın etki alanına dahil olması sağlanır. Bu durum, anahtara bağlı cihazların birbirleriyle iletişim kurabilmesine olanak tanır. Cisco cihazlarında, Varsayılan VLAN “VLAN 1” olarak belirlenmiştir. VLAN 1, adını değiştiremez veya silemez, ancak diğer VLAN’larla aynı özelliklere sahiptir. Cisco anahtarlarda tüm arayüzler varsayılanda VLAN-1’e atanmıştır. Bu sayede cihaz üzerinde herhangi bir konfigürasyon yapılmasa bile arayüzlere takılan cihazlar birbirleriyle haberleşebilir.

3- Yerel VLAN ( Native VLAN )
Yerel VLAN, bir “Trunk” bağlantı noktasına atanmış olan VLAN’dır. Bu tür bir bağlantı noktası, etiketi olmayan trafiği (untagged traffic) olduğu gibi iletmekle kalmaz, aynı zamanda çok sayıda VLAN tarafından oluşturulan etiketli trafiği de (tagged traffic) destekler. “Trunk” bağlantı noktası, herhangi bir VLAN’a ait olmayan trafiği Yerel VLAN’a yönlendirir. Bu şekilde, bir cihaz tarafından üretilen ve herhangi bir VLAN’a ait olmayan trafik, anahtarın Yerel VLAN olarak yapılandırılmış olan VLAN üzerinden iletilmiş olur. Yerel VLAN, Cisco anahtarlarda varsayılanda VLAN 1 olarak atanmıştır.

4- Yönetim VLAN’ı ( Management VLAN )
Yönetim VLAN’ı, anahtarlayıcıyı yönetmek amacıyla özel olarak yapılandırılmış bir VLAN’dır. Eğer özel bir Yönetim VLAN’ı yapılandırılmamışsa, “VLAN 1” otomatik olarak Yönetim VLAN’ı olarak hizmet verir. Yönetim VLAN’ına bir IP adresi ve alt ağ maskesi atanması durumunda, anahtarlayıcıya HTTP, Telnet, SSH veya SNMP gibi yöntemlerle bağlantı kurulabilir. SVI ( Switch Virtual Interface ) olarak da bilinir. Anahtar cihazına nasıl yönetim adresi atanacağını öğrenmek için aşağıdaki makaleme göz atabilirsiniz.

https://huseyinpala.site/cisco-temel-switch-konfigurasyonu/

5- Ses VLAN’ı ( Voice VLAN )
Ses VLAN’ı, yalnızca ses trafiğinin geçirilmesi için yapılandırılan özel bir VLAN türüdür. Ses iletimi, bireyler ve kuruluşlar için kritik bir öneme sahip olduğundan, Ses VLAN’ı sıkça kullanılmaktadır. Ses VLAN’ında, ses iletimi genellikle IP telefonları aracılığıyla gerçekleştirilir. Bir bağlantı noktasında Ses VLAN’ını yapılandırabilmek için öncelikle ses ve veri için iki ayrı VLAN’ın yapılandırılması gerekmektedir. Bir IP telefon, ilk defa anahtarlayıcının ilgili bağlantı noktasına bağlandığında, anahtarlayıcının bağlantı noktası daha önceden yapılandırılmış olan VLAN’ın adını ve konfigürasyonunu IP telefona ileterek bilgi alır. IP telefon, bu bilgileri aldıktan sonra ses “frame”lerini etiketleyerek tüm ses trafiğini Ses VLAN’ı üzerinden gönderir. Ayrıca VLAN konfigürasyonu ile Ses VLAN’ı için önceliklendirme ayarlamaları da yapılabilir.


VLAN konfigürasyonu yapılmamış bir kurumsal ağda, tüm cihazların birbirleriyle serbestçe iletişim kurabilmesi, potansiyel güvenlik sorunlarına neden olabilir. Özellikle DHCP ve ARP gibi yayın paketleri, ağ performansını olumsuz etkileyebilir. Ayrıca, VLAN konfigürasyonunun eksik olduğu bir ortamda, tüm cihazlar aynı VLAN üzerinde bulunacağından, ağa bağlı her son kullanıcı, kritik sunucularla doğrudan iletişim kurabilir. Özetle, VLAN, kurumsal siber güvenlik için kaçınılmaz bir teknolojidir ve mutlaka kullanılmalı ve düzenli bir şekilde tasarlanmalıdır.

Arayüzlerin alabileceği iki farklı mod bulunmaktadır. Bunlar, Trunk ve Access

Access mod, son cihazlara verilen bir moddur; Trunk modu ise switch’ler arası arayüzler için kullanılan bir moddur.

Trunk modu, farklı VLAN’ların switch’ler arasında iletilmesini sağlar. Bu işlem için etiketleme yöntemi kullanılır. Etiketleme için başlangıçta Cisco tarafından geliştirilen ISL protokolü kullanılıyordu. Ancak günümüzde, bu iş için genel standardı temsil eden IEEE 802.1q protokolü tercih edilmektedir. Bu protokol, 2. katmandaki çerçevenin içine 4 byte’lık bir etiket ekler. Etiket içinde PRI (önceliklendirme DEFAULT = 0, RANGE = 0-7), CFI (Token Ring kullanılıyorsa 1, kullanılmıyorsa 0), VID (VLAN Kimliği) ve Type (0x8100) bilgileri bulunmaktadır.

VLAN konfigürasyonu karmaşık olmayan bir yapıya sahiptir. Konfigürasyonu daha iyi içselleştirmek için bir uygulama gerçekleştirelim. VLAN uygulaması için aşağıdaki topolojiyi kullanacağız.

Sırasıyla Switch-1 den başlayarak cihazların konfigürasyonlarını yapalım.

Switch-1(config)# vlan 10 ( VLAN OLUŞTURUR ) 
Switch-1(config-vlan)# name Insan-Kaynaklari 
Switch-1(config-vlan)# vlan 20
Switch-1(config-vlan)# name Muhasebe ( VLAN ADINI DEĞİŞTİRİR )
Switch-1(config-vlan)# vlan 30
Switch-1(config-vlan)# name Bilgi-Islem
Switch-1(config-vlan)# vlan 40
Switch-1(config-vlan)# name Misafir
Switch-1(config-vlan)# exit
Switch-1(config)#
Switch-1(config)# interface fastEthernet 0/1
Switch-1(config-if)# switchport mode access ( ARAYÜZ MOD DEĞİŞTİRME ) 
Switch-1(config-if)# switchport access vlan 10
Switch-1(config-if)# exit
Switch-1(config)#
Switch-1(config)# interface fastEthernet 0/2
Switch-1(config-if)# switchport mode access
Switch-1(config-if)# switchport access vlan 20 ( ARAYÜZÜ BELİRLENEN VLAN'a DAHİL ETMEK ) 
Switch-1(config-if)# exit
Switch-1(config)#
Switch-1(config)# interface fastEthernet 0/3
Switch-1(config-if)# switchport mode access
Switch-1(config-if)# switchport access vlan 30
Switch-1(config-if)# exit
Switch-1(config)#

*** Eğer yanlış oluşturduğumuz bir VLAN’ı silmek istersek komutu uygulayabiliriz.

Switch-00(config)# vlan 100 ( Yanlışlıkla oluşturulan VLAN ) 
Switch-00(config-vlan)# no vlan 100 ( Silinir )
Switch-00(config-vlan)# exit
Switch-00(config)#
Switch-2(config)# vlan 10
Switch-2(config-vlan)# name Insan-Kaynaklari
Switch-2(config-vlan)# vlan 20
Switch-2(config-vlan)# name Muhasebe
Switch-2(config-vlan)# vlan 30
Switch-2(config-vlan)# name Bilgi-Islem
Switch-2(config-vlan)# vlan 40
Switch-2(config-vlan)# name Misafir
Switch-2(config-vlan)# exit
Switch-2(config)#
Switch-2(config)# interface fastEthernet 0/1
Switch-2(config-if)# switchport mode access
Switch-2(config-if)# switchport access vlan 10
Switch-2(config-if)# exit
Switch-2(config)#
Switch-2(config)# interface fastEthernet 0/2
Switch-2(config-if)# switchport mode access
Switch-2(config-if)# switchport access vlan 20
Switch-2(config-if)# exit
Switch-2(config)#
Switch-2(config)# interface fastEthernet 0/3
Switch-2(config-if)# switchport mode access
Switch-2(config-if)# switchport access vlan 30
Switch-2(config-if)# exit
Switch-2(config)#
Switch-3(config)# vlan 10
Switch-3(config-vlan)# name Insan-Kaynaklari
Switch-3(config-vlan)# vlan 20
Switch-3(config-vlan)# name Muhasebe
Switch-3(config-vlan)# vlan 30
Switch-3(config-vlan)# name Bilgi-Islem
Switch-3(config-vlan)# vlan 40
Switch-3(config-vlan)# name Misafir
Switch-3(config-vlan)# exit
Switch-3(config)#
Switch-3(config)# interface fastEthernet 0/1
Switch-3(config-if)# switchport mode access
Switch-3(config-if)# switchport access vlan 10
Switch-3(config-if)# exit
Switch-3(config)#
Switch-3(config)# interface fastEthernet 0/2
Switch-3(config-if)# switchport mode access
Switch-3(config-if)# switchport access vlan 20
Switch-3(config-if)# exit
Switch-3(config)#
Switch-3(config)# interface fastEthernet 0/3
Switch-3(config-if)# switchport mode access
Switch-3(config-if)# switchport access vlan 40
Switch-3(config-if)# exit
Switch-3(config)#
Switch-4(config)# vlan 10
Switch-4(config-vlan)# name Insan-Kaynaklari
Switch-4(config-vlan)# vlan 20
Switch-4(config-vlan)# name Muhasebe
Switch-4(config-vlan)# vlan 30
Switch-4(config-vlan)# name Bilgi-Islem
Switch-4(config-vlan)# vlan 40
Switch-4(config-vlan)# name Misafir
Switch-4(config-vlan)# exit
Switch-4(config)# 
Switch-4(config)# interface fastEthernet 0/1
Switch-4(config-if)# switchport mode access
Switch-4(config-if)# switchport access vlan 10
Switch-4(config-if)# exit
Switch-4(config)# 
Switch-4(config)# interface fastEthernet 0/2
Switch-4(config-if)# switchport mode access
Switch-4(config-if)# switchport access vlan 40
Switch-4(config-if)# exit
Switch-4(config)#

Sırada her anahtar için “TRUNK” konfigürasyonu var.

Switch-1(config)# interface gigabitEthernet 0/1
Switch-1(config-if)# switchport mode trunk
Switch-1(config-if)# switchport trunk allowed vlan 10,20,30,40 ( KABUL EDİLECEK VLAN'lar )
Switch-1(config-if)# switchport trunk native vlan 10 ( İSTEĞE BAĞLI NATIVE VLAN KONF. DEFAULT = VLAN 1 )
Switch-1(config-if)# exit
Switch-1(config)#
Switch-2(config)# interface range gigabitEthernet 0/1-2
Switch-2(config-if-range)# switchport mode trunk
Switch-2(config-if-range)# switchport trunk allowed vlan 10,20,30,40
Switch-2(config-if-range)# switchport trunk native vlan 10
Switch-2(config-if-range)# exit
Switch-2(config)#
Switch-3(config)# interface range gigabitEthernet 0/1-2
Switch-3(config-if-range)# switchport mode trunk
Switch-3(config-if-range)# switchport trunk allowed vlan 10,20,30,40
Switch-3(config-if-range)# switchport trunk native vlan 10
Switch-3(config-if-range)# exit
Switch-3(config)#

*** “ALLOWED” VLAN konfigürasyonu her anahtar için aynı olmak zorunda değildir. Ancak Yerel VLAN ( Native ), her anahtar için aynı olmalıdır. Çünkü bu VLAN etiketsiz taşınır.

Switch-4(config)# interface gigabitEthernet 0/1
Switch-4(config-if)# switchport mode trunk
Switch-4(config-if)# switchport trunk allowed vlan 10,20,30,40
Switch-4(config-if)# switchport trunk native vlan 10
Switch-4(config-if)# exit
Switch-4(config)#

VLAN konfigürasyonunu tamamladık. Aynı VLAN’da yer alan cihazlar artık birbirleriyle haberleşebilir. Aynı VLAN’da yer almayan cihazlar birbirleriyle haberleşemez.

192.168.1.10 / 24 – VLAN 10 cihazdan Ping Testi
Switch-00# show vlan brief ( VLAN tablosunu getirir )
Switch-00# show interfaces fastEthernet 0/1 switchport ( Interface ile ilgili VLAN bilgilerini getirir. )

Şimdi de Ses VLAN uygulaması gerçekleştirelim.

Switch-VOICE(config)#vlan 10
Switch-VOICE(config-vlan)# name PC
Switch-VOICE(config-vlan)# vlan 20
Switch-VOICE(config-vlan)# name VOICE
Switch-VOICE(config-vlan)# exit
Switch-VOICE(config)#
Switch-VOICE(config)# interface fastEthernet 0/1
Switch-VOICE(config-if)# switchport mode access
Switch-VOICE(config-if)# switchport access vlan 10
Switch-VOICE(config-if)# switchport voice vlan 20 ( VOICE VLAN TANIMLAMA ) 
Switch-VOICE(config-if)# mls qos trust cos ( PRI DEGERINI 5 YAPMA )

VLAN konusu ile ilgili diğer makalelerime aşağıdan ulaşabilirsiniz.

DTP ( DYNAMIC TRUNKING PROTOCOL ) –> https://huseyinpala.site/dynamic-trunking-protocol-dtp/

VTP ( VLAN TRUNKING PROTOCOL ) –> https://huseyinpala.site/vtp-vlan-trunking-protocol/

VTP REVİZYON NUMARASINDAKİ TEHLİKE –> https://huseyinpala.site/vtp-revizyon-numarasinin-onemi/

INTER VLAN ROUTING –> https://huseyinpala.site/inter-vlan-routing/

VLAN HOPPING SALDIRISI –> https://huseyinpala.site/vlan-hopping-saldirisi/

Daha fazla bilgisayar ağları içeriği için takipte kalın…

“İstikbal göklerdedir. Göklerini koruyamayan uluslar, yarınlarından asla emin olamazlar”

Mustafa Kemal ATATÜRK
Post Views: 42
Hüseyin Pala hakkında 53 makale
System and Network Specialist Candidate

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*