Network

MAC Bazlı VLAN

Temel olarak ağ sistemleri bağlı olan host cihazlarının haberleşmesi için dizayn edilir, fakat ağ yapısı büyükçe ya da kontrol edilecek host sayısı arttıkça yapıyı yönetmek zorlaştığı gibi donanımsal alt yapıyı yönetmekte oldukça zorlaşacaktır. Bu durumda basit bir siyasi stratejisi işin içine girer “ Böl ve yönet” bu sistem büyük ağların yönetilmesinde ve güvenli ağ yapılarının kurulmasında en önemli stratejilerdendir. Bir ağ yapısını bölmenin birden çok yolu bulunmaktadır ki bu yazının amacı da bunları incelemek ve örneklendirmektir.

 

Ağ yapıları en basit anlamda iki farklı fiziksel ağ oluşturulması ile basitçe bölünebilir fakat bu maliyetli bir yapı ve aynı zamanda ağlar arası geçişler için çok fazla efor sarf edilmesine neden olur bu nedenle pek fazla tercih edilmez. Aslında bahsettiğim şey bölünmek istenen kısımların farklı switchlerde toplanmasıdır ki bu çok fazla port kaybına neden olduğu gibi her yapının diğer yapılarla haberleşmesi yada internete çıkabilmesi içinde router/modem ya da fazla ethernet bacağı olan tek bir router cihazına ihtiyaç duyulur. Bu hem maliyetli hem yönetmesi zor olan hem de router portları switch portlarına göre daha düşük forvarding kapasitesine sahip olduğu için yavaş bir yapı olacaktır, hele ki on ~ onbeş ayrı birimi yönetiyorsanız tam bir kâbusa dönecektir. Elbette burada unutulmaması gereken diğer bir nokta birimler arası host taşıma esnasında ek olarak kablo değişimi yapmak ve fiziksel efor sarf etmek gereğidir. Bizim gibi koca göbekli IT ciler için en istenmeyen durumdur, Hele ki online oyunun tam ortasında yada filim en heyecanlı yerinde şu bilgisayar şu birime devredildi gereğinin yapılması diye bir mail almak hiç hoş olmaz.

 

O zaman buna bir çözüm bulmak gerekir, basit anlamda fiziksel yapılar yerine bir kaç tıklama ile kurabileceğimiz mantıksal yapılar bunun en iyi çözümüdür gerek maliyet gerek zaman ve yönetim açısından daha kullanışlı çözümlerdir. Bu mantıksal yapılara VLAN ( Virtual Local Area Netrok – Sanal Yerel Ağ ) adı verilmektedir ki adından anlaşılacağı gibi mantıksal bir yapıdır yani fiziksel bir yapı yoktur. Vlanların tam olarak anlaşılması için bilinmesi gereken ilk  okul beş ve orta ikiye kadar gördüğümüz basit küme mantığıdır ki VLAN da bunu yapar, kümeleme işlemi yapar. Basit anlamda VLAN iki kısımda incelenir bunlardan birisi Port Based yada Private VLAN olarak anılan switch portlarının ayrıştırılması bir diğeri de paketlere eklenen 802.1q TAG bilgileri ile oluşturulan VLAN lardır.

 

Prvate VLAN / Port Based VLAN

 

Birden fazla switch kullanmaya benzer tek farkı switch yardımı ile hostların birbirlerinden ayrılmasıdır. Temel olarak çok switch kullanıldığında oluşan switch portlarının kaybı ve ağda yönetilmesi ve bakım gerektiren cihaz sayısını azaltılması hedeftir.

 

 

 

clip_image002

 

 

 

YAPI A Küme;

 

                A : { SW2,SW0,SW5 }

                B : { SW3,SW0,SW4 }

 

YAPI B Küme;

 

                A : { SW2,SW0,SW5 }

                B : { SW3,SW1,SW5 }

 

Şekilde görebileceğiniz gibi iki ayrı yapıda kurulabilir. YAPI A da bir adet router portu vardır ve switch router cihazının ayrım yapabileceği herhangi bir paket içeriği göndermez bu nedenle switchden gelen tüm paketler router cihazı için aynıdır ve tüm hostlar doğal olarak aynı IP blokunda olacaktır. Temelde istenilen yapılmıştır ağ farklı mantıksal alanlara bölünmüştü ve host değişimlerinde yerimizden kalkmadan sadece switch üzerinde değiştirerek yapabiliriz fakat internet çıkışı gibi işlemlerde kısıtlama ya da trafik yönlendirme işleri sorun olacaktır ve birçok DHCP ayarı gerekecektir ayrıca bu yapının temel sorunu vlanlar arası geçiş portların fiziksel olarak bölünmüş olmasından dolayı vlanlar arası geçiş sağlanamaz bu durumda çok kullanışlı değil. Yapı B aslında yapı A ile neredeyse aynı fakat bu sefer router/modem cihazını üzerindeki fazladan portlardan yararlanıyoruz ve tabi ki bu portlarda farklı IP blokları dağıtılabilmesi ve bu IP blokları için router içinde kural yazılabilmesi gerekir buda kullanılacak router cihazının maliyetini arttıracaktır. Her iki durumda da istenilen karşılansa da Private VLAN/ Port Based VLAN tam olarak ihtiyaçları karşılayamamaktadır.

 

Private VLAN/ Port Based VLAN yapıları daha çok farklı iki yada daha çok şirketi tamamen farklı iki ağ üzerinde yönetmek yada şirket networkü ile misafir networkünü tamamen birbirinden ayırmak için kullanılır fakat wifi yapılarında ve router yapılarında hem wifi cihazlarının hemde router cihazlarının birden fazla port gerekmektedir ayrıca IP subnet işlemi yapılacaksa da bu durumda birden fazla router portu gerekmektedir. Tabi bir diğer yolda Router cihazında ARP ile birden fazla IP tanımlamak ve yerel makinalarda DHCP ve Static iki subnet oluşturup birbirinden ayırmaktadır ki işimizi daha çok zorlaştıracaktır.

 

Temel sorunu vlanlar arası geçişlerin yapılamaması kullanılacak yapıya göre bağlantı ve geçiş cihazlarında birden fazla port gereksinimi doğurması.

 

 

TAG Based VLAN

 

Tag bazlı vlan sistemlerinde fiziksel bir ayrım söz konusu değildir olay tamamen transfer edilen paketlerin içeriklerine birbirlerinden ayrılmalarını sağlayan bazı TAG bilgileri girilmesi üzerinedir. Kullanımı kolaydır fiziksel müdahale gereksinimi çok azdır portlar kısa sürede yönetim arayüzünden başka bir TAG VLAN alınabilir. TAG VLAN basit anlamda iki tür port yapısından oluşur bunlar TRUNK portlar ve ACCESS portlardır elbette daha gelişmiş VLAN yapıları için kullanılan değişik mantıksal port tipleride bulunmaktadır fakat temel 802.1q bu port yapıları ile yönetilir.

 

TRUNK Port: Genel olarak içinden birden fazla mantıksal vlan paketi geçirilen porttur, gelen ve giden paketlere bir işlem yapmaz fakat isteğe göre vlansız paketlerin transferini durdurabilir. Kullanıldığı yerler birden fazla VLAN TAG ının aktarımının yapılmasını istenildiği yerlerdir. Bir VLAN switchden bir VLAN switche aktarım yapılırken birden fazla VLAN ının diğer switche aktarılması için yada VLAN router cihazına Switch üzerindeki VLAN ların aktarılması için kullanılır. Aynı sistem VLAN destekli AP cihazlarının birden fazla SSID sini tek kablo üzerinden farklı mantıksal VLAN lar için taşımak içinde kullanılır. En basit anlamı ile UPLINK portları TRUNK tipinde yapılandırılır.

 

ACCESS Port: Access port istemciler için kullanılır, bu portun özelliği hostan kendisine gelen paketleri tagsız olarak kabul etmesi ve bunları networke gönderirken tag başlığı eklemesidir aynı zamanda bahsi geçen hosta bir paket dönerken bu paketti TAG başlığının silinip hosta tagsız olarak aktarılmasını sağlar. Eğer Access portlar olmasa idi VLAN yapılarında kullanılacak tüm ethernet yapıları TAG desteklemeli idi bu hem maliyeti hem de VLAN kurulumundaki süreyi etkilediği gibi gereksiz iş yüküne de neden olacaktı.  Ayrıca ACCESS portlarının ayarları switch üzerinde yapılabildiği için hiç yerinizden kalkmadan istediğiniz cihazı istediğiniz bir VLAN gurubuna dahil edebilirsiniz. Access portlar yerel hostlar için kullanılmaktadır ve tag private vlanlar içinde kullanılabilir, fakat bu yaygın bir kullanım değildir pekte tavsiye edilmez.

 

802.1q VLAN yapılarında mutlaka ama mutlaka router cihazı VLAN ara yüzleri oluşturabilmelidir, aksi halde switch tarafından farklı vlanlardan gelen paketler router cihazına gönderildiğinde bir router cihazı için bir anlam ifade etmeyeceği için düşürülecektir.

 

 

clip_image004

 

 

Resimde görebileceğiniz gibi kümelerde bu sefer router portlarıda vardır, hali hazırda bu portların kümelere dahil olması yada bu kümenin kesişim noktasında bulunmasının nedeni tamamlayıcı bir unsur olmasıdır. Bu şu anlama geliyor VLAN yapısının tam olarak çalışması için birden fazla VLAN aktaran cihazların TRUNK portlarına host cihazlarının ise ACCESS portlrına bağlanması gerekir.

 

Hali hazırda artık VLAN nedir ve ne için kullanılır biliyoruz fakat anlattıklarımı iyi okuyan arkadaşlar için VLAN ların yetersiz kaldığı bir nokta olduğunu fark edeceksiniz. Bu kısım hepsinde statik değerler olmasıdır yani VLAN larda tüm değerler statiktir değiştirilebilir fakat müdahale gerektirir. Bu durumda kullanışlı oldukları kadar ek iş gerektiren yapılardır. Ayrıca yetersiz kaldığı bazı noktalarda bulunmaktadır bunların en başında IP telefonlar üzerinden aktarılan bilgisayar kabloları, kullananlar bilirler IP telefonların çoğu bir adet bridge switch protuna sahiptir ve tek kablo ile aynı masadaki hem IP telefon hemde PC beslenebilir, ikinci yetersizlik ise Sanal makinalarda tek porttan çıkan ve farklı vlanlara hizmet vermesi gereken sunucuların ayrıştırılmasında. Tabi daha önce belirttiğim gibi eğer IP telefon ve PC lerinizde VLAN TAG girdisi yapabiliyorsanız sorun yok yada Sanallaştırma sistemi için kullandığınız ethernet üzerinden sanal sunuculara VLAN lar ataya biliyorsanız yine sorun yok ama bunların hepsi maliyetleri arttıran durumlardır ayrıca takip gerektirir.  Sorunları çeşitlendirmek ve kafanızda daha iyi bir resim oluşturmak için şunlarda söylenebilir. VLAN yapıları için pahalı AP cihazları kullanımı gereksinimi, personelin anlık yer değişimlerinde düzgün çalışma ortamlarının oluşturulamaması ve süreli olarak bilgi işleme iş yükü yaratılması, 802.1x ile MAC doğrulamanın yapılması için ek donanımların kullanılması ve MAC bazında ayrımlara gidilmesi ve daha birçoğu, gördüğünüz gibi VLAN yapısı bize kolay yönetilebilir ve güvenli ağlar sağlarken aslında ek iş yükü de getirebiliyor. Peki ama hem bu statik yapıdan kurtulmanın hem de bahsi geçen ve daha sayılabilecek pek çok sorunun üzerinden nasıl gelebilir.

 

TAG based vlanlar paketlerin içindeki TAG bilgisine bakarak çalışırlar yani buradaki değişken paket içeriğinde ki VLAN ID sidir ve eğer bağlı cihazlar TAG bilgisi üretemiyorsa switch ACCESS portları kendilerine bağlı olan cihazlardan gelen paketleri taglarlar buraya kadar her şey yukarıdaki ile aynı, peki işin içine başka bir değişken sokar ve switchin bu TAG bilgilerini bu değişkene göre atamasını sağlarsak. Mesala switchimiz kabiliyetleri arasında benim ona vereceğim bir MAC adres listesine göre ACCESS portlardan gelen trafiği otomatik taglamasını sağlasak, yani biz bir şey yapmıyoruz MAC adreslerinden kimin hangi vlanda olması gerektiğini bir listeye çeviriyoruz ve gerisini switch kendisi hallediyor. İşte bu sisteme MAC Based VLAN deniyor.

 

MAC Bazlı VLAN :  Temel olarak çalışma mantığı TAG based VLAN ile aynıdır, fakat bu sefer ACCESS portlar VLAN TAG larını MAC adreslerine göre belirler yani iki değişkenimiz var ve hedef değişken MAC adreslerine göre değişiklik gösterebiliyor. Aynı porttan VLAN desteği olmayan bir switch ile çoğaltım yapılsa dahi switch cihazı MAC adresleri için sanal portlar üretir ve MAC adresine göre VLAN ataması yapar. Bu durumda tüm  ACCESS portlar dynamic çalışır yani statik bir değeri yoktur gelen MAC adres bilgisine göre olması gereken tipi otomatik olarak seçer, basitçe şirkette hangi kabloya bilgisayarınızı bağlarsanız bağlayın otomatik olarak dahil olduğunuz VLAN atanırsınız ve ucuz bir AP cihazı yada vlan desteği olmayan bir switch ile bile sistemi genişletir ve dinamik olarak çalışan bu vlan sisteminin keyfini yaşarsınız. Aynı zamanda AP cihazlarından, IP telefon PC ve Sanal makina sistemlerinde yaşadığınız sorunlardan kurtulursunuz.  MAC Bazlı VLAN tüm sisteme kendi kendine işleyen ve sürekli güncellenen dinamik bir VLAN yapısı kazandırır. Bu sistemin güzel yanlarından birisi 802.1x yapısında oluşan bağlanacak her cihaza sertifika üretme işinden kurtulursunuz yada misafir geldiğinde ona ayrı bir sertifika üretme işinden kurtulursunuz, hali hazırda Layer2 seviyesinde bir ayrım yapmaktadır ve hem güvenli hemde hızlı bir yapı kurmaktadır. Bu sistem için dikkat edilmesi gereken tek şey sağlam ve güçlü bir switch cihazı ile çalışmaktır hali hazırda switch artık sadece paket forvard etmiyor aynı zamanda paket içeriğini de kontrol ediyordur.

 

Artık sistemi biliyoruz, sistemimizi rahatlıkla VLAN yapısını geçirebiliriz. Devam eden satırlarda DrayTek ve SMC switchler aracılığı ile size MAC bazlı bir VLAN yapısının nasıl kurulacağını anlatacağım.

 

 

ADIM 1 : DrayTek Router cihazında sanal VLAN bacaklarının oluşturulması. Cihazın LAN VLAN kısmına giriniz alttaki resimdeki ile aynı şekilde VLAN arayüzlerini oluşturunuz ve cihazın portlarını resimde görüldüğü gibi UNTAG vlan kısmında da seçiniz. Bu şekilde hiçbir VLAN ayrılmamış MAC adresleri bu VLAN alınıp LAN1 subnetinden IP verilecektir bu hem VLAN lardan VLAN lara firewall kuralı yazarken hemde internet çıkışı için politikalarınız belirlerken yardımcı olacak bir durumdur. Güvenlik amacı ile oluşturulmuş olan “Permit untagged device in P1 to access router “ seçeneği yapı tam olarak kurulana kadar seçili kalabilir bu sayede VLAN atamalarında yanlışlık yapsanız dahi router cihazına birinci port üzerinden her zaman ulaşabilirsiniz.

 

 

clip_image006

 

ADIM 2 : Cihazın LAN >> General Setup kısmına girerek VLAN lar için seçtiğiniz sanal arayüzlerin DHCP ayarlarını yaparak alttaki resimde görüldüğü gibi aktif ediniz. VLAN ların ruting bazında birbirleri ile konuşmasını isterseniz altta bulunan inter-LAN Routing sekmesini aktif edip hangi porttaki VLAN ların hangi VLAN lar ile konuşabileceğini seçiniz. Bu şekilde VLAN ların birbirleri ile konuşmasına izin verirsiniz ayrıca geri kalan erişim sistemini de Firewall üzerinden düzenleyebilirsiniz.

 

clip_image008

ADIM 3: SMC Switch cihazınızın ara yüzüne girerek Management kısmında bulunan MAC-Based kısmından MAC adres listenizi oluşturun ve hangi portlardan cihaza erişim yapabileceğini seçin. Burası fiziksel güvenlik sağlamak için önemlidir her MAC adresi için her port seçilebilir yada özel portlar seçilerek personelin kendi birimleri dışına çıkması engellenebilir. Seçili portlar bahsi geçen MAC adresinin hangi portlardan gelir ise bahsi geçen VLAN tagı ile taglanacağını gösterir. Toplantı odasında bağlı tüm bilgisayarların UNTAG vlan olmasını ve birbirleri ile haberleşmesini istiyorsanız toplantı odasından gelen portu yada oraya kablo gönderdiğiniz portu seçmeniz yeterli olacaktır. Bu şekilde şirket bilgisayarları sadece toplantı odasında misafirler ile aynı ağda olacaktır.

 

clip_image010

 

 

ADIM4 : SMC Siwtch üzerinde VLAN kısmına girin ve hangi portların hangi VLAN ları kabul edeceğini seçin. Bu yukarıdaki sistemle hemen hemen aynıdır, tek farkı Uplink için kullanılan portların tüm VLAN lar için seçilmesi gerekliliğidir. Bu kısımda birden fazla GW ve farklı VLAN sistemleri olan yada aynı switch üzeride birden fazla şirket yöneten arkadaşlar priviate vlan yapısını da sağlayabilirler.

clip_image012

ADIM 5:  Bu adımda switch cihazının VLAN kısmında sadece uplink portu için Port Type bölümü C ( Custom Port ) olarak seçilir bu şekilde bu portun üzerinden birden fazla TAG paketi aktarılabilir hale gelir. Bu işlemden sonra yukarıda seçtiğiniz port ve girdiğiniz MAC adres bilgilerine göre bahsi geçen MAC adresleri kendilerine atanmış olan VLAN ları otomatik olarak alacaktır.

 

clip_image014

 

VLAN sistemleri MAC based VLAN sisteminden önce idare etmesi ek iş gerektiren yapılardı fakat MAC based VLAN la birlikte kolay kullanılabilir yüksek güvenlik sağlayan yapılar haline geldiler. Tabi VLAN kurmanın daha başka getirileri de var, mesela VLAN sistemi ile birlikte kullanılan 802.1p sayesinde yapınızda hangi cihazların paketlerinin öncelikli olarak iletileceği belirlenebilir ağır yük ve collision durumlarda hangi paketlerin düşürüleceği ve hangilerinin düşürülmeyeceği seçilebilir. Tüm yapıların ethernet üzerine taşınmaya çalışıldığı günümüzde kayıpsız veri transferi ihtiyacı olan VOIP cihazlarının paketleri diğer paketlere göre öncelikle dirilebilir ve daha temiz ve kayıpsız konuşmalar sağlanabilir.

 

Related Articles

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Back to top button