Vlan ( Virtual LAN ) aynı ortamda bulunan LAN bağlantılarını sanal olarak birbirinden ayırmak için kullanılan bir teknolojidir. Vlan kurarak broadcast trafiğini azaltmış ve daha temiz bir network yapısını sağlamış oluruz. Günümüzde yoğun olarak kullanılan bu teknoloji sayesinde switch üzerindeki her bir porta bağlı olan makine veya diğer switchler’i ( dolayısı ile bu switch lere bağlı makine ve networkler ) birbirinden ayırabilir veya belirli kurallar çerçevesinde birbirleri ile olan iletişimini sağlayabiliriz. Örnek vermek gerekir ise bir üniversite kampusündeki wireless ile bağlanan ziyaretçilerin internete çıkabiliyorken üniversite kampus network üne bağlanmalarını istemediğimiz durumda, sahip olduğunuz şirketin her bir katının sadece kendi içerisinde çalışmasını istediğinizde veya yine LAN ortamını küçük ve güvenli networklere bölmek istediğinizde Vlan sizin için en iyi çözüm olacaktır. Bende şirketimde özellikle şirket network ünden ayrılmasını istediğim laboratuar bölümünü Vlan kullanarak şirket networkünden ayırmış ve bu sayede sadece Server lar Lab ile , istemciler de server lar ile görüşürken Lab ile istemciler görüşememektedir. Bu sayede güvenliği üst seviyeye çekmiş bulunuyorum .
Bu makalemde de kullanmış olduğu 3com Swith üzerinde vlan tanımlamasını anlatacağım .
Kullanmış olduğu 3com Baseline 2226 Switch 64 adet vlan destekler. Her yeni kurulan vlan diğer vlan lar ile iletişime geçmez. Sadece bir port vlan a üye yapılabilir. Eğer vlanlar arası iletişime geçmesi isteniliyorsa bir router veya layer 3 switch kullanılması gerekmektedir. Bu durum zaten vlan ın doğasında var. Yani eğer siz iki farklı bir vlan ı görüştürmek istiyorsanız ya layer 3 swtich almalısınız yada trunk yardımı ile bir router a bağlamalısınız . Çünkü elimdeki switch layer 2 ve ip den anlamaz.
– Resim-1 –
3com Default ayarlarında 169.254.x.y ip bloğuna sahiptir. X ve Y, mac adresin son 2 byte dır. Örnek vermek gerekirse 08004E000102 Mac adressine sahip bir switch in ip si 169.254.1.2 olacaktır. Diğer bir yöntem 3com orijinal cdsinde bulunan Discovery Tool yardımı ile swich e ulaşmaktır. Daha sonrasında DHCP den veya Static bir IP almasını sağlayabilirsiniz. Ip yi tespit ettikten sonra web ara yüzünden yönetim menüsüne ulaşıyoruz. Ardından Vlan menüsüne geliyoruz. Daha sonra yeni oluşturacağımız vlan için bir ID tanımlıyoruz.
– Resim-2 –
Yeni kurduğumuz vlan2 için portları üye yapacağız. Port 3,17,18,19 Vlan2 ye üye yaptık.
Untagged mode sadece üye olduğu vlan daki portlar ile iletişime geçer, tagged mode ise Diğer porttlardan gelen tüm istekleri forward eder yani Uplink portumuzu belirler.
– Resim-3 –
Backbone switch imiz Baseline 2816 serisi bir switch. Uplink Port(Tagged), Desktok port (Untagged Mode) olarak geçmektedir. Tekrar aynı ID ile yeni bir vlan kuruyoruz.
– Resim-4 –
Backbone switch mizde vlan2 ye üye olacak portları seçip son olarak, uplink portumuzu seçiyoruz.
Vlan mızı oluşturduk. 3,17,18,19 portları ile backbone switch teki 14,15,16 vlan2 ye üye oldu.
– Resim-5 –
Vlan1 e üye makinye ping atıyoruz ve ulaşamadığımızı görüyoruz. Vlan2 ye ping atabiliyoruz.
Eklemek isterim, Mutlaka 1 port Vlan1 üye olarak bırakılmalıdır yoksa admin paneline ulaşamazsınız ve swicth i resetlemek zorunda kalırsınız.
Port Mirroring ise paketleri analiz etmek için kullanırız. Eğer ISA Server kullanıyorsanız paketleri yakalamanız çok kolaydır fakat bir donanımsal bir üründe paketleri yakalamanız zordur. Bu tabi ki kullandığınız donanıma göre değişir. Port Mirroring belirlenen porttaki paketleri, mevcut trafiği kesmeden Analiz portuna kopyalar.
– Resim-6 –
Monitor Port olarak Gateway e giden port u seçiyoruz. Analyser Port olarak paketlerin kopyalanacağı port u seçip apply diyoruz. 9. Port a gelen tüm paketler 2. Porta kopyalanacak. Ben size msn paketlerin sniff edeceğim bunu için Msn Chat Monitor Sniffer programını kurdum.
– Resim-7 –
İlk önce Control menusunden Network Adapter imizi seçiyoruz.
– Resim-8 –
Daha sonra yakaladığımız msn paketlerini gözlemleyebiliriz. Port Mirroring ile de bilinmesi gereken. Mutlaka Analyser ın portun bant genişliği Monitoring Porttaki bant genişliğinden yüksek olmalıdır. Paketleri yakalamamıza engel olmaz fakat yoğun trafikte paketlerin tamamını yakalayamaz.
Temel olarak sahip olduğunuz 3com switch in daha kullanışlı hale gelmesi için giriş seviyesi bilgiler vermeye çalıştım . Bir sonraki makalemde görüşmek üzere.