Vlan hakkında sorular

Merhabalar Hakan bey, bu yapılandırmayı yapınızda bulunan firewall ile yapmanız mümkün ama nasıl yapılırı değişiklik gösterecektir.

1-) Switch üzerinde ilgili vlanları oluşturup, portlara vlan atamalarını yapacaksınız.

1-) Firewall'dan switch'e giden kablonun switch üzerinde bağlı olduğu portu (resimde 2 numaralı porta bağlı gözüküyo) trunk olarak ayarlayıp ilgili vlanların geçişine izin vericeksiniz. (Bu trunk yapma işlemi switch markalarına göre değişiklik gösterebilir, ufak bir araştırma ile bulabilirsiniz.)

2-) Firewall'un switch'e bağlı olan portunuda VLAN moduna alıp ilgili vlanları burada oluşturup, tag ve untag işlemlerini yapacaksınız. Switch'e bağlı olan portta trunk (tagged) yaptığımız vlan firewall tarafında da vlan akışı olacağı için tagged (trunk) olmalı bunu inter-VLAN trafiği bu vlan üzerinden geçsin şeklinde bir kutucuk işaretleme ile söylenebiliyor bazı cihazlarda, diğer vlanlar da  access (untagged) olarak ayarlanmalı.

Sizin şekilden anlatıcak olursak switch'in 2 numaralı portu vlan 1'de bu port vlan 1'e atanıp trunk (tagged) olucak. Firewall üzerinde oluşturulan vlanlarda vlan 1 trunk (tagged) geri kalan Vlan 2,3,4 access (untagged) olucak. Burda Vlan 1 yerine farklı vlan kullanmanız tavsiye olunur, cihazlarda default vlan old. için kullanmamanız da fayda var. 

Bu ayarlamadan sonra inter-VLAN routing olduğu için vlanlar birbirine erişebilicek, normal bir policy yazar gibi vlanları istediğiniz seçilde internete çıkarabilirsiniz.

Ama yukarıda yazdığım genel hatları yani mantığı bunu nasıl yapmanız gerektiği, switch markanız ve firewall markanıza bağlı olarak değişiklik gösterecektir. Nasıl ilerlemem lazım derseniz bakmanız gereken 3 adım var derim.

1-) Öncelikle Vlan mantığında kafanızda soru işareti min. olması gerekir, bunun için portaldaki makalelerden ve değişik kaynaklardan faydalanabilirsiniz.

2-) Switch markanıza göre trunk,access port yapılandırmaları ve bunları ilgili vlanlara atama işlemleri. Switch Cisco ise Çözümpark tv'de Gökhan hocamın uygulamalı anlatımları mevcut.

3-) Firewall markanız üzerinde inter-VLAN yapılandırması nasıl yapıldığını araştırmanız.

Umarım anlatabilmişimdir, switch tarafında terimleri bilmiyorsanız ilk başta biraz karmaşık gelebilir. Ama yukarıdaki adımlara baktıktan sonra tekrar posta bakarsanız daha anlaşılır olacaktır.

Kolay Gelsin.

Bu kadar ayrıntılı cevap verdiğiniz için çok teşekkürler.

Peki bütün vlandaki gatewayler aynı olmak zorundamı ?

Eğer gatewayler farklı olursa bütün vlanların internete çıkabilmeleri için firewall üzerinde nasıl bir ayarlama yapmam gerekiyor?

Merhabalar, rica ederim. Bunu watchguard üzerinden örnek vereyim size oluşturduğunuz vlanlarınız aşağıdaki gibi oluyor, gatewayler farklı olmalı mantık bu zaten, gerekli vlanlarda dhcpler açık, yada bir dhcp sunucusundan relay ettirebilirsiniz.

[url= http://s9.postimg.org/5v7ystl0f/watch_vlan.jp g" target="_blank">http://s9.postimg.org/5v7ystl0f/watch_vlan.jp g"/> [/img][/url]

Sonrasında bu vlanlarınız için policy uygulayarak istediğiniz gibi trafiği yönlendirebilirsiniz. Aşağıdaki görüntüde misafir vlan'ı internete çıkarken kullandığı proxy kuralıdır mesela,

[url= http://s30.postimg.org/wn1ryyjf5/watchguard.jp g" target="_blank">http://s30.postimg.org/wn1ryyjf5/watchguard.jp g"/> [/img][/url]

Kolay Gelsin.

Tekrardan teşekkür ederim hocam. Gerçekten çok faydalı oldu benim için.

Rica ederim, aklınıza takılan başka bir kısım olursa sorunuz yardımcı olmaya çalışırız.

Network hakkında bilgim çok kısıtlı o yüzden bir kaç soru sormak istiyorum.

Böyle bir topolojim olduğunu varsayıyorum.

1. Fileserverım switch üzerinde vlan3e ayırdığım porta bağlı. Ben tüm vlanlardan file serverıma erişmek istiyorum nasıl yaparım?
2. Vlanlarımı internete çıkarmam için Firewallda nasıl bir kural yazmam gerekiyor ?

 

merhaba yukarıda yazılanları okumadan;

Gördüğüm kadarı ile VLAN larınız layer3 bu nedenle herhangi bir local erişim trafiği router cihazına gitmeden switch üzerinden döner bu durumda eğer bir erişim kuralı yazacaksanız bunu switch üzerinde yapmanız gerekiyor elbette destekliyor ise. Eğer desteklemiyor ise switch vlanlarını layer2 seviyesine geçirip layer3 kısmını router/firewall cihazına akataracaksını ve kuralları bu kısımda yazacaksınız. Bunu yaparsanız iç haberleşmenizin yavaşlayacağını söyleyebilirim bunun nedeni her bir IP adresinin diğer bir IP adresi ile haberleşmek için router/firewall cihazına gidecek olması ve doğal olarak tek bir portun throughput değerini kullanacak olması. Bu durumda en makul olan layer3 kısmını switch üzerinde yapmak ve güvenlik kısmını Fileserver üzerinde yapmak.

Network hakkında bilgim çok kısıtlı o yüzden bir kaç soru sormak istiyorum.

Böyle bir topolojim olduğunu varsayıyorum.

1. Fileserverım switch üzerinde vlan3e ayırdığım porta bağlı. Ben tüm vlanlardan file serverıma erişmek istiyorum nasıl yaparım?
2. Vlanlarımı internete çıkarmam için Firewallda nasıl bir kural yazmam gerekiyor ?

 

 

merhaba yukarıda yazılanları okumadan;

 

Gördüğüm kadarı ile VLAN larınız layer3 bu nedenle herhangi bir local erişim trafiği router cihazına gitmeden switch üzerinden döner bu durumda eğer bir erişim kuralı yazacaksanız bunu switch üzerinde yapmanız gerekiyor elbette destekliyor ise. Eğer desteklemiyor ise switch vlanlarını layer2 seviyesine geçirip layer3 kısmını router/firewall cihazına akataracaksını ve kuralları bu kısımda yazacaksınız. Bunu yaparsanız iç haberleşmenizin yavaşlayacağını söyleyebilirim bunun nedeni her bir IP adresinin diğer bir IP adresi ile haberleşmek için router/firewall cihazına gidecek olması ve doğal olarak tek bir portun throughput değerini kullanacak olması. Bu durumda en makul olan layer3 kısmını switch üzerinde yapmak ve güvenlik kısmını Fileserver üzerinde yapmak.

Ertan hocam ekleme için teşekkürler, atladığım bir noktaya değinmişsiniz. Ben direk Layer 2 olarak yorumladım switch'i Hakan bey, Ertan hocamın da dediği gibi switch layer 3 olursa switch üzerinde bunu gerçekleştirmeniz daha sağlıklıdır bilginize.

Kolay Gelsin.

Çok çok teşşekkürler.Hemen bu bilgileri not aldım ileride çok işime yaracağını düşünüyorum.

İyi akşamlar, Keyifli çalışmalar..