Forum
Arkadaşlar Merhaba, Forumu araştırdım ama şemadaki network yapımı bozmadan nasıl yapabileceğimi bilmediğim için var olan konulardan çözüm yolu bulmadım.
Yukarıdaki şemaya göre Vlan yapısı oluşturmaya çalışıyorum. Yapmak istediğim, kenar switcin belirli portlarına vlan oluşturup, backbone üzerinden fortigate ile internete çıkarmak. Backbone ve kenar üzerinde nasıl bir config yazmam gerekiyor?
kenar switch üzerinde istediğiniz vlanları oluşturun. bu vlanların idlerinin 100 ve 200 olduğunu varsayarsak, kenar sw.in backbone bağlı olduğu portu bu iki vlan için de tagged şekilde ayarlayın.
backbone üzerinde de iki vlanınızı oluşturun ve kenar sw. bağlı olduğu portu bu vlanlar için tagged hale getirin.
fortigate üzerinde isterseniz tek interface ile vlan tagging yaptırabilir, isterseniz lan için kullandığınız port haricinde bir portu konfigure edebilirsiniz.
eğer vlan tagging kullanacaksanız fortinin bacbkbonea girdiği portu tüm vlanlarınız için tagged hale getirin.
eğer ikinci bir interface yapılandıracaksanız fortinin backbonea girdiği portu yeni oluşturduğunuz vlan için untagged yapmanız yeterlidir.
.Efe hocam, iki vlan derken nasıl anlayamadım. Ben yapıma göre aşağıda ki confiği yazdım ama 192.168.11.1 vlanını 192.168.34.0 networkü ile haberleştiremedim. firewall üzerinde rouing tanımınıda yaptım. Aşağıdaki config de nerede hata var?
BACKBONE
Startup configuration: 12
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1
ip route 0.0.0.0 0.0.0.0 192.168.34.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
name "DEFAULT_VLAN"
untagged A1-A24,B1-B24
ip address 192.168.34.23 255.255.240.0
exit
vlan 10
name "VLAN10"
tagged B1-B24
ip address 192.168.11.1 255.255.255.0
ip helper-address 192.168.34.2
exit
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
KENAR
Startup configuration:
; J9280A Configuration Editor; Created on release #Y.11.12
hostname "ProCurve Switch 2510G-48"
ip default-gateway 192.168.11.1
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 41-48
ip address 192.168.34.92 255.255.240.0
no untagged 1-40
exit
vlan 10
name "VLAN10"
untagged 1-40
ip address 192.168.11.2 255.255.255.0
tagged 48
exit
spanning-tree
Tag ve untagged ler çelişkili olumuş. Güzelce şeklini çizip hangi portlar hangi vlanda hangi portlar tagged olacak onları belirleyip ekler misiniz?
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Hocam bağlantılarım tam bu şekilde;
Yapmak istediğim şey tam bu..! Yazdığım configlerde kablosuz ağ için vlan yok. Diğer vlanı çalıştırmadığım için ona geçemedim..
.Efe hocam, iki vlan derken nasıl anlayamadım. Ben yapıma göre aşağıda ki confiği yazdım ama 192.168.11.1 vlanını 192.168.34.0 networkü ile haberleştiremedim. firewall üzerinde rouing tanımınıda yaptım. Aşağıdaki config de nerede hata var?
BACKBONE
Startup configuration: 12
; J8697A Configuration Editor; Created on release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1
ip route 0.0.0.0 0.0.0.0 192.168.34.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
name "DEFAULT_VLAN"
untagged A1-A24,B1-B24
ip address 192.168.34.23 255.255.240.0
exitvlan 10
name "VLAN10"
tagged B1-B24
ip address 192.168.11.1 255.255.255.0
ip helper-address 192.168.34.2
exit
default vlan kullanmamanız önerilir. ö yüzden
kullanıcılar için farklı bir vlan oluşturun. burada eğer kenar switchten gelen
kablonuz b24'e giriyorsa mesela vlan 50 yi aşağıdaki şekilde oluşturup b24'ü
vlan 50 için tagged duruma getirin. size iki seçenek söylemiştim. birincisi
backbone switch ile fgate arasında tek kablo üzerinden işlem yapmak
istiyorsanız. fgate cihazı da b23'e taktıysanız bu portu da tagged olarak her
vlan için ayarlamalısınız.
; J8697A Configuration Editor; Created on
release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1 (buna gerek yok)
ip route 0.0.0.0 0.0.0.0 192.168.34.1 (buna gerek yok)
ip routing (bunu da yazaıp acl belirlemezseniz tüm
vlanlarınız biribiriyle haberleşir ki siz bunu istemiyorsunuz dolayısıyla
silin)
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
name "DEFAULT_VLAN"
no untagged A1-A24,B1-B24
no ip address
exit
vlan 50
name "ofis kullanıcıları"
untagged A1-A24, B1-B22
tagged b23-B24
ip address blabla
exit
vlan 10
name "kablosuz"
tagged B24
ip address 192.168.11.1 255.255.255.0 (backbone
cihaz için her vlanda farklı bir ip vermenize gerek yok bunu silebilirsiniz.)
ip helper-address 192.168.34.2 (farklı
ihtiyaçlarınız yoksa buna da gerek yok.)
exit
eğer fgate üzerinde iki port aktive
edecekseniz o zaman mesela kablosuz için b22'yi kullandıysanız
; J8697A Configuration Editor; Created on
release #K.15.08.0013
; Ver #02:1b.ef:f6
hostname "Omurga-Yedek"
module 1 type j8702a
module 2 type j8706a
ip default-gateway 192.168.34.1 (buna gerek yok)
ip route 0.0.0.0 0.0.0.0 192.168.34.1 (buna
gerek yok)
ip routing (bunu da yazaıp acl belirlemezseniz tüm vlanlarınız biribiriyle
haberleşir ki siz bunu istemiyorsunuz dolayısıyla silin)
snmp-server community "public" unrestricted
snmp-server contact
vlan 1
name "DEFAULT_VLAN"
no untagged A1-A24,B1-B24
no ip address
exit
vlan 50
name "ofis kullanıcıları"
untagged A1-A24, B1-B21
tagged b23-B24
ip address blabla
exit
vlan 10
name "kablosuz"
untagged b22
tagged B24
ip address 192.168.11.1 255.255.255.0 (backbone cihaz için her
vlanda farklı bir ip vermenize gerek yok bunu silebilirsiniz.)
ip helper-address 192.168.34.2 (farklı ihtiyaçlarınız yoksa
buna da gerek yok.)
exit
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
backbone önermli olduğundan her ipyi keşfeden monitor edemesin diye
ip authorized-managers istediğiniz ip 255.255.255.255 access manager
komutuyla da web arayüz girişi yapılabilecek yerleri kısıtlayabilirsiniz.
KENAR
Startup configuration:
; J9280A Configuration Editor; Created on release #Y.11.12
hostname "ProCurve Switch 2510G-48"
ip default-gateway 192.168.11.1
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 41-48
ip address 192.168.34.92 255.255.240.0
no untagged 1-40
exit
vlan 10
name "VLAN10"
untagged 1-40
ip address 192.168.11.2 255.255.255.0
tagged 48
exit
spanning-tree
burayı da vlan 50 'yi ofis kullanıcıları için açıp, port ayarlarını yukarıda yazdığım gibi yapın. default vlan için tüm portlar untagged olsun, vlan 50 ve 10 için backbone giden kablo tagged olsun.
Hocam, Fortigate 110C kullanıyorum. Bu model de fiber modul yok! Ethernet portuna interfaceler açılmış..
Örn: Port1 Local_Network 192.168.34.1 /255.255.240.0
Ben vlanı Local_Network altında yeni interface açarak yapmaya çalışıyorum. Bu şekilde olmaz mı?
Yoksa;
Benim yapmam gereken, Fortigate'nin diğer boş olan portlarından birine omurga dan bir kablo bağlayıp, fortinin arayüzünde o porta interface oluşturup, omurgadan o porta tagged yapmam mı gerekiyor? Eğer bu şekilde yaparsam forti üzerinde 4 tane boş portum var ben 4 vlan dan fazla vlan yapamıycağım anlamına gelmiyor mu ? 1 ay sonra Fortininn daha üst modeli gelecek onda fiber modulde olacak ve benim omurga ile forti arasında fiber bağlantı şansım da olacak.
Eğer böyle bir sıkıntım olacaksa, birde vlanlar performans açısından fiberden çalışsın diye düşünüyorsam, vlan işini biraz bekletip, yeni fortinin gelmesini beklemeliyim.. (Yeni forti geldiğinde vlan işi yeniden yapılacak.. Yanlış mı düşünüyorum) 🙂
Birde Dhcp loglarımı mı ve yönetimimi rahat takip edebilmek için ip havuzumu 192.168.34.2 li Dhcp sunucumdan dağıtmam gerekiyor. Bu yüzden ip helper-address komutunu kullandım.
Saygılar..
fortigate için internet çıkışınız gigabitten yüksek değilse ki ben böyle bir bağlantı hayatımda bir defa gördüm, fgnin fiber ile çalışmasının herhangi bir anlamı yok. bunun için ek ücret verecekseniz vermeyin.
fgate üzerinde ikinci bir lan portu belirleyebilirsiniz. bu port ve önceden kullandığınız lan portu için fgate üzerinde sabit ip belirlemekten başka ek tanıma gerek yok. dikkat etmek gereken daha once yazdığım gibi bunların backbone bağlandığı portları untagged olarak ayarlamanızdır.
4 boş portunuz varsa vlan tagging yapmadan evet 4 vlandan fazlasını kullanamazsınız.
eğer fgate üzerinde tek port kullanmak isterseniz ki bu size birçok vlan oluşturma şansı verecektir., bu portu backbone üzerinde her iki vlana da tagged olarak ayarladığınız porta takmanız ve fgate üzerinde vlan tagging tanımı yapmanız gerekir.
ip helper-address komutu da tam olarak istediğiniz iş için değildir. yapınız için kabaca dhcp istek paketlerinin farklı bir vlana aktarılması içindir. eğer yalnızca belirlediğiniz dhcp sunucudan ip dağıtmak, başka hiçbir dhcp sunucunun dağıtmaması gerekiyorsa dhcp snooping fonksiyonuna bakmanız gerekir.
vlanlar sabit olduğu müddetçe fgate gelmiş, yeni modeli gelmiş, yerine sonicwall yapmışsınız hiçbir etkisi olmaz. beklemenize gerek yok bence.
Efe hocam, Forti kullanıcı sayısını aştığı için değiştiriyorum. Elimdeki 200 kullanıcı destekliyor ben 400 kullanıcı bağladım. Cpu %99 dan aşağı inmiyor. 🙂
Yani, vlan için forti değiştirmiyorum. Sadece almışken fiber modüllümü alsam diye sorayım dedim. İnternet hızımız max. 80mbps..
Birde hocam kenar switchler backbone fiber bağlı.. backbone fortiye Ethernet bağlı. dar boğaz olmaması açısından en azından forti ile backbone arasını fibere çevirsem daha iyi olmaz mı ?
Zaten benim ömrüm GBPS internet görmeye yetmez herhalde. Siz yine şanslısınız..:)
ip helper komutunu da ben yanlış biliyormuşum. Okuduğum makalelerde her vlan için yeni scop aç.. o vlana o scop ip dağıtsın gibi anlatmışlar.. Okuduğum makaleyi size özelden gönderiyorum. Bahsettiğiniz Dhcp snooping fonksiyonunu Windows server üzerinden yapabilirmiyim. Tek dhcp den bütün vlanlara ip dağıtma işini becerebilirsem süper olacak.
fibere gerek yok bu durumda, darboğaz cihazın limitlerinin üstüne çıktığınızda olur. her pakedi gw (fgate) üzerinde işlememek için dhcp üzerinden dağıttığınız gw adresini backbone switch olarak gösterebilirsiniz. buraya da bir route yazıp internet ihtiyacı olanları yalnızca fgate üzerine gönderebilir fiber ihtiyacınızı tamamen kaldırırsınız.
gönderdiğiniz çözümdeki gibi bir uygulama yapılabilir. dikkat edilmesi gerekenler anlatılmış zaten.
dhcp snooping işleminin maksadı sizden habersiz dhcp sunucuların ip dağıtmasının önüne geçmektir. dhcp sunucunuzu trusted olarak belirleyip ipyi yalnızca onun dağıtmasını sağlarsınız. windows server da bu işlemi yapamıyorsunuz switch üzerinde tanımlamalısınız.