Forum
Merhaba,
Bir Devlet Hastanesinde Bilgi İşlem Sorumlusu olarak çalışmaktayım. Elimizde Karel marka ip telefonlar (bunlar ile ilgili ayarlar firma tarafından yapılacak- benden istedikleri ayrı bir vlan ve multicast paketlerinin açık olması) mevcut. Bu telefonları Bakanlığımızın vermiş olduğu ip bloğuna almak istemiyorum. Bunlar için ayrı bir VLAN oluşturmak ve Multicast paketlerini ses iletimi için (bu sanırım IGMP Snooping oluyor) açmam gerekiyor. Ağ konusunda tabi ki uzman değilim. 3 haftadır bir dizi dokuman okumaya çalıştım. Yani ağ konusunda yeniyim. Gerek ÇözümPark gerekse elimdeki switch'lerin dokumanlarını okudum. Tüm switch'lerin firmware'lerini güncelledim. Özellikle Allied Telesislerin (Web Smart hariç) web gui'leri yoktu , onları da yükledim.
IP telefonlarımız Hemşire Çağrı cihazları ile haberleşmesi gerektiğinden dolayı bunları (hem telefonları hem de hemşire çağrıları) 192.168.2.1 IP bloğunda , VLAN 5 diye bir VLAN'a almak istiyorum. İki kişilik ekibimle bu cihazların CAT6 kablolarının uçlarını tespit ettik ve switch'lerde bulunan son portlara taşıdık.
Yapımızdan bahsetmek gerekirse;
Tüm kenar switch'ler omurga switch'lere fiber kablolar ile bağlı (fiber patch paneller aracılığıyla). Türk Telekomun switch'inden (arka kısmından) bir CAT6 kablo ile AT-9000 model switch'e bağlantı sağlanmış. AT-9000 model switch'ten x510 model switch'lere ise SFP portlar aracılığıyla UPLINK (LC kablo) sağlanmış. (Bu switchlerden de patch panellere fiber bağlantı - SC kablo ) Tahminime göre Telefonlar ve Data kabloları ayrı switch'lere bağlanmış ama işgüzarın biri tüm fiber kabloları AT-9000 model switch ile x510 model switch'in birine toplamış. (Zamanla tespit ettikçe bunları tekrar switch'lere dağıtacağım).
Kabaca söylemek gerekirse omurga switch'te VLAN 5 oluşturup tüm SFP portları VLAN 5 için "TAGGED" yapacağım ve kenar switch'lerde ise tespit ettiğim portları bu switch'lerde de VLAN 5 oluşturup "UNTAGGED" yapacağım. Doğru mudur ?
Ayrıca yanlış anlamadı isem TRUNK için switch'ler arasında direkt switch'ten switch'e kablo bağlantısı gerekiyor. Bizim switch'lerimiz arasında böyle bir bağlantı yok. Daha önce dediğim gibi hepsi omurga switch'lere SFP portlar üzerinden fiber ile bağlı. Bu durumda TRUNK gerekli midir ?
Asıl önemli konu 2 adet omurga switch'in olduğu böyle bir durumda (ki bir de AT9000 var), birinde VLAN 5 oluşturdum, aynı işlemi diğerinde de oluşturmam gerekiyor mu ?(Mantık olarak diğerinden de geçen SFP bağlantılar olduğu için gerekir diye düşünüyorum) Bu ikisi arasında bir çakışma olur mu ?
Okuduklarımdan öğrendiğim kadarıyla şu komutlar ile L3 switch'lerde VLAN 5 oluşturabiliyorum :
enable
config t
vlan database
vlan 5 name IPPHONE
interface port1.0.45-1.0.48
switchport acccess vlan 5
2 adet Allied Telesis x51028GSX (L3 Omurga/Backbone Switch)
1 adet Allied Telesis AT-9000/28SP V2 (Bu Layer 3 müdür bilemedim)
15 adet Allied Telesis AT-FS980M/52
4 adet Allied Telesis AT-FS980M/28
13 adet Allied Telesis AT-GS950/24 Web Smart
1 adet Allied Telesis AT-8100S/48
3 adet Allied Telesis AT-8100S/24
11 adet Aruba 2530/48G
Maalesef şuanki durumda (Pandemi, bütçe sorunu) dışarıdan bu konu ile ilgili destek almak gibi bir durumumuz yok. Bilişim Teknolojileri ile ilgili işlerimiz sanal olduğundan , performans ve uzun vadeli maliyet getirisini anlatabileceğim bir idarecimiz yok. Tam 3 haftadır bu işi nasıl yaparım diye araştırma yapmaktayım. Yani anlayacağınız bu iş benim başıma kaldı. Bu konuda fikir ve önerilerinizi ve de yardımlarınızı bekliyorum. Teşekkür ederim.
Konuyu silmek istedim ama düzenle ya da sil olmayınca sorumu sormaktan vazgeçemedim. Kısa bir soru sorayım o zaman. Omurga switch'te VLAN5 oluşturdum. Interface kısmından 192.168.2.1/24 diye IP verdim. Diğer kenar switch'lerde VLAN5 oluşturduktan sonra interface'ten VLAN5 'e IP vermem gerekiyor mu ?
IP telefonların baz istasyonlarına da sırayla 192.168.2.2 'den başlayarak IP verdim. Hangi portlarda oldukları belli olduğundan farklı switch'lerdeki 5 tanesinin portunu deneme amaçlı VLAN5'e untagged ettim. Ama bunu yapınca baz istasyonlarının web arayüzlerine ulaşamıyorum. Nerede hata yapıyor olabilirim sizce ?
Konuyu silmek istedim ama düzenle ya da sil olmayınca sorumu sormaktan vazgeçemedim. Kısa bir soru sorayım o zaman. Omurga switch'te VLAN5 oluşturdum. Interface kısmından 192.168.2.1/24 diye IP verdim. Diğer kenar switch'lerde VLAN5 oluşturduktan sonra interface'ten VLAN5 'e IP vermem gerekiyor mu ?
Diğer switch'lerde VLAN 5'e IP vermenize gerek yok. Switch'lere hangi Vlan'dan erişmek istiyorsanız o Vlan'a IP vermeniz yeterlidir.
IP telefonların baz istasyonlarına da sırayla 192.168.2.2 'den başlayarak IP verdim. Hangi portlarda oldukları belli olduğundan farklı switch'lerdeki 5 tanesinin portunu deneme amaçlı VLAN5'e untagged ettim. Ama bunu yapınca baz istasyonlarının web arayüzlerine ulaşamıyorum. Nerede hata yapıyor olabilirim sizce ?
Cihazların arayüzüne farklı Vlan'dan mı ulaşamıyorsunuz yoksa farklı switch'lerden aynı Vlan'dan mı ulaşamıyorsunuz?
Vlan'lar arası yönlendirmeyi omurga switch'te mi firewall'da mı yaptınız?
Şu adımları dener misiniz?
- Aynı Switch aynı Vlan'daki cihazlar arası ping atabiliyor musunuz?
- Farklı switch aynı Vlan'daki cihazlar arası ping atabiliyor musunuz? Bunun için switchler'in uplink portunu trunk (tagged) yapmalısınız.
- Farklı Vlan'dan Vlan 5'e ping atabiliyor musunuz? Bunun için Layer 3 bir switch'te veya firewall üzerinde inter vlan routing yapmalısınız. Ayrıca cihazlara gateway IP olarak yönlendirmeyi yapan switch/firewall IP'sini girmelisiniz.
Cihazların arayüzüne farklı Vlan'dan mı ulaşamıyorsunuz yoksa farklı switch'lerden aynı Vlan'dan mı ulaşamıyorsunuz?
Evet. Default VLAN1 ve VLAN5 var. Baz istasyonları VLAN5'te , geri kalan herşey Default VLAN'da.
Vlan'lar arası yönlendirmeyi omurga switch'te mi firewall'da mı yaptınız?
Firewall yok. Kurumlarımıza Bakanlığımız ve Telekom aracılığıyla sağlanmış VPN olduğundan firewall merkez kurumda. Vlanlar arası yönlendirme nasıl oluyor ?
- Aynı Switch aynı Vlan'daki cihazlar arası ping atabiliyor musunuz?
Evet.
- Farklı switch aynı Vlan'daki cihazlar arası ping atabiliyor musunuz? Bunun için switchler'in uplink portunu trunk (tagged) yapmalısınız.
Evet Uplink portlarını Default VLAN için mi tagged yapmalıyım ?
- Farklı Vlan'dan Vlan 5'e ping atabiliyor musunuz? Bunun için Layer 3 bir switch'te veya firewall üzerinde inter vlan routing yapmalısınız.
Hayır. (VLAN5'teki cihaza ping denedim ama olmadı). inter vlan routing - bunun ne olduğunu bilmiyorum.
Yukarıda belirttiğim gibi router odasında 3 adet switch var. Telekom routerından AT9000 (bu cihazda 4 adet Gigabit port var) modele CAT5 ile bağlantı sağlanmış. Bu cihazın üstündeki SFP portlardan patch panelde bağlantılar var. Ayrıca üzerindeki 4 adet SFP portlardan diğer iki omurga switchlere(x51028GSX) uplink sağlanmış.Bunlardan yine pacth panele fiber (SFP portlardan) bağlantılar var. Ben bu x510'lardan birinde VLAN5 oluşturdum ve IP No olarak 192.168.2.1/24 şeklinde IP verdim.Diğer ikisinde ise sadece VLAN5 oluşturdum. Tüm portları VLAN5 için tagged yaptım. Kenar yani uç switchlerde ise sadece baz istasyonlarının portlarını VLAN5'e untagged yaptım. Bunu yapınca 192.168.2.2 IP numarasından web arayüzüne ulaşabildiğim cihazlara erişemez oluyorum. Portları eski haline getirince web arayüze erişebiliyorum.
Ayrıca cihazlara gateway IP olarak yönlendirmeyi yapan switch/firewall IP'sini girmelisiniz.
Switchlere eriştiğim default VLAN IP'si mi yoksa VLAN5 için verdiğim 192'li IP mi ?
Şimdi şu şekilde ilerlemelisiniz:
Kenar switchlerde Vlan 5 oluşturup bağlanacak baz istasyonlarının portlarını bu Vlana untagged olarak dahil edeceksiniz.
Kenar switchlerdeki Uplink portlarını Vlan 5'e tagged olarak atayacaksınız. Kenar switchlerde Vlan 5'e herhangi bir IP vermeyin.
Omurga switch üzerinde de Vlan 5 oluşturup bir IP vereceksiniz (192.168.2.1). Omurga switch'ten kenar switchlere giden uplink portlarını da Vlan 5'e tagged olarak atayacaksınız. Bilgisayarınızı da Vlan 5'e dahil olan bir porta bağlayıp, tüm switchlerdeki Vlan 5'teki cihazlara ping atabilmelisiniz (bilgisayarınıza da 192.168.2.0/24 bloğundan IP vermelisiniz). Daha sonra pc'yi vlan 1'deki bir porta alıp IP değiştirmeden Vlan 5'teki cihazları pinglemeye çalıştığınızda ping atamamalısınız. Böylelikle Vlan'lar arası yalıtım sağlanmış oldu.
Vlan'lar arası yönlendirmeye inter vlan routing deniyor. Onu da şu şekilde yapacaksınız:
Omurga switch'te routing işlemini aktif hale getirip switch'i Layer 3'e çekeceksiniz.
Default vlan'a (Vlan 1) da bir IP vereceksiniz (Mesela 192.168.1.1 veya hangisini kullanıyorsanız o blokta).
Vlan 5'teki cihazların default gateway'ine omurga switch'in Vlan 5 IP'sini 192.168.2.1 vereceksiniz.
Vlan 1'deki cihazların default gateway'ine de yine omurga switch'in Vlan 1 IP'sini vereceksiniz. Bu şekilde Vlan 1'den Vlan 5'e erişim sağlayacaksınız.
İnternet için de omurga switch üzerinde bir routing işlemi daha yapmanız lazım.
route 0.0.0.0/0 x.x.x.x gibi. Buradaki x yerine internete çıkmak için kullandığınız cihazın IP adresini yazacaksınız.
@tanerk Taner bey, çok teşekkür ederim. Ayrıntılı ve doğru bir yol çizdiğiniz için. Bende az-çok bir mantık oluşmasına yardımcı oldu. Harikasınız! Lakin;
Vlan 1'deki cihazların default gateway'ine de yine omurga switch'in Vlan 1 IP'sini vereceksiniz. Bu şekilde Vlan 1'den Vlan 5'e erişim sağlayacaksınız.
Burada takıldım. Vlan 1'de bilgisayarlar, yazıcılar ve sunucular var. Hepsinde de default gateway Türk Telekom'un (metro ethernet) router'ına verilen ip adresidir. (10.10.5.1 gibi, Not: ağımız MPLS VPN) Omurga switch'in ip'si olarak örnek 10.10.5.150 verdim.
İnternet için de omurga switch üzerinde bir routing işlemi daha yapmanız lazım.
route 0.0.0.0/0 x.x.x.x gibi. Buradaki x yerine internete çıkmak için kullandığınız cihazın IP adresini yazacaksınız.
Burada 0'ların yerine switch'in ip'sini mi yazacağım ? x.x ise sanırım Telekom'un router cihazına verilen ip adresi. Doğru mu anladım ?
Default gateway'e omurga switchin IP adresini vermezseniz, diğer Vlan'lara erişemezsiniz. Omurga switchin IPsi 10.10.5.150'yi default gateway yapacaksınız.
Omurga switch internet için kendisine gelen paketleri Telekom router'ına yönlendirmesi için şunu girmeniz lazım:
Route 0.0.0.0/0 10.10.5.1
Burada 0 tüm IP'leri yani interneti temsil ediyor.
Yalnız sizin vlan 1'deki cihazların kullandığı IP de 10.10.5.0 bloğunda görünüyor. Bu sıkıntı çıkartır. Zira yönlendirme farklı IP'ler arasında olur. Ya Telekomun router'ının ya da vlan 1'deki cihazların IPsi değişmeli.
Anladığım kadarıyla sizin pc, Server, yazıcılar falan hepsi aynı vlanda. Bunların sayısı da fazla galiba. Güvenlik ve hız için ağzınızı Vlan'lara bölmelisiniz.