Neden Vlan kullanılmalı
Performansı artırmak (Bilgisayar her açıldığında ortama 6-7 adet broadcast paketi yollar. Bilgisayar sayınız arttıkça broadcast paketleri networkte ciddi trafik oluşturacak ve ağ performansını düşürecektir. Bunu engellemek için sanal ağlar (Vlan) oluşturarak ortamdaki Broadcast domain sayısını artırmalıyız.(Böylelikle broadcast domainine düşen broadcast sayısı azalmış olur)
- Broadcast domain sayısı artar ↑
- Her broadcast domainine gelen broadcast paket sayısı azalır ↓
- Performans artar ↑
- Güvenlik artar ↑
- Maliyet azalır ↓ (Kullanılacak switch sayısı azalır)
- Her VLAN farklı bir broadcast domaindir.
VLAN 10 muhasebe → 1 – 6 port VLAN 20 pazarlama→ 7 – 12 port
VLAN 30 insankaynaklari → 13 – 18 port VLAN 40 uretim→ 19 – 24 port
- Vlanlar arası iletişim olması için routing yapılmalıdır. Multilayer switch veya router kullanılabilir. VLAN’lar arası Multilayer switch router’a göre daha performanslı routing yapar.
- Static ve dynamic vlan üyeliği yapılabilir. Static vlan daha güvenli ve yönetimi daha kolaydır.
- Switch modellerine gre vlan konfigurasyonunda farklılıklar görülebilir. (Cisco 1900-2950 farklıdır)
Default VLAN
Switchlerde default olarak bütün portlar VLAN1 üyesidir. Böylelikle istemciler aynı vlan üye oldukları için (aynı broadcast domaine sahiptirler) birbirleriyle iletişime geçebilirler.
Native VLAN
Trunk bağlantılarına atanırlar. Trunk portuna gelen vlan etiketi olmayan trafiği (untagged traffic) native Vlan yönlendirir.
Switch(config)#interface fastEthernet 0/5
Switch(config-if)#switchport trunk native vlan ID
Allowed VLAN
Trunk portlar varsayılanda bütün vlan’ları geçirirler. Güvenlik için belirtilen Vlan’ların geçirilmesine müsaade edilinebilir.
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk allowed vlan ID (izin vermek)
Switch(config-if)#switchport mode trunk allowed remove ID (izin kaldırmak)
Management VLAN
Management vlan switch yönetmek için kullanılan vlan dır. Default olarak vlan1 dir. Yönetim vlan’ına gerekli ayarlar yapılarak (ip verilmesi-alt ğ maskesi-default gateway) switch’e HTTP, Telnet, SSH ya da SNMP gibi yollarla bağlanılabilir.
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.10.5 255.255.255.0
Switch(config)#ip default-gateway 192.168.10.1
Voice VLAN
Sadece ses trafiğinin geçirmesine izin vermesi için yapılandırılan VLAN türüdür.
Not: Vlan 2 – 1001 standart vlandır ve vlan database’de tutulur. Vlan 1006 – 4096 extended vlandır ve farklı database’de tutulur.
VLAN Konfigurasyon
- Vlan oluşturulur.
Switch(config)#vlan 10
Switch(config-vlan)#name muhasebe
- Portlar Vlan’a üye yapılır
Switch(config)#interface range fastEthernet 0/1-6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Trunk Portlar
Cihazlar arasında (Switch → Switch, Switch → Router) VLAN’ların hepsini veya bir kısmını taşımak için kullanılırlar. 2 tür trunk protokolü vardır. IEEE 802.1Q Endüstriyel standart, ISL cisco’ya özgü ( ISL Sadece ethernet portunda çalışır)
Not: Cisco 2960 sadece IEEE 802.1Q destekler. 3560 802.1Q ve ISL destekler
- Sadece fast ethernet ve gigabit ethernet üzerinde desteklenir
- Trunk port herhangi bir VLAN üyesi değildir.
- Erişim ip düzeyinde denetlenir.
- Birden fazla port trunk olarak kullanılabilir.
- Paketin ulaşacağı son cihaz, paket üzerinde VLAN bilgisine erişemez.
Konfigurasyon
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk
VLAN’lar arası routing (Yönlendirme)
Layer3 katmanlı cihazla (Router veya Layer3 switch) yönlendirme yapılabilir.
Router on a stick
8 tane VLAN olduğunu düşünürsek router’a 8 tane interface ekleyemeyiz. Bu durumda sanal interfaceler oluşturmalıyız. Oluşturacağımız interface sayısı ile performansımızın ters orantılı olacağı unutmamalıdır.
Not: Gerçek interfacede ip adresi olmamalı
Vlan10 : 10.10.10.0/24 Vlan20: 10.10.20.0/24 Vlan30: 10.10.30.0/24
Router(config)#interface gigabitEthernet 0/0 (Gerçek interfacede ip adresi olmamalıdır. )
Router(config-if)#no shutdown
Router(config-if)#no ip address
Vlan10 için
Router(config)#interface gigabitEthernet 0/0.10
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config-subif)#encapsulation dot1Q 10→ (VLAN protokolü) (VLAN ID)
Vlan 20 için
Router(config)#interface gigabitEthernet 0/0.20
Router(config-subif)#ip address 10.10.20.1 255.255.255.0
Router(config-subif)#encapsulation dot1Q 20
Vlan 30 için
Router(config)#interface gigabitEthernet 0/0.30
Router(config-subif)#ip address 10.10.30.1 255.255.255.0
Router(config-subif)#encapsulation dot1Q 30
Layer3 switch

(Sadece layer 3 switch ile ilgili routing ayarları yapılacaktır. )
1- ) Aşağıdaki komutla routing aktif yapılır.
server_sw(config)#ip routing
2- ) Vlan interface konfigurasyon yapılır.
Vlan 5 için,
server_sw(config))#interface vlan 5
server_sw(config-if)#ip address 10.10.5.1 255.255.255.0
server_sw(config-if)#no shutdown
Vlan 10 için,
server_sw(config)#interface vlan 10
server_sw(config-if)#ip address 10.10.10.1 255.255.255.0
server_sw(config-if)#no shutdown
vlan 15 için,
server_sw(config)#interface vlan 15
server_sw(config-if)#ip address 10.10.10.15 255.255.255.0
server_sw(config-if)#no shutdown
VTP (VLAN TRUNKING PROTOCOL)
VTP vlan konfigurasyonunun bütün networke yayılmasını sağlayan mesajlaşma protokolüdür. Çok sayıda switch bulunan yapılarda oluşturulacak olan yeni VLAN için her switch te ayrı konfigürasyon yapmamız gerekir. Bu durum hem zaman kaybına, hem yönetim zorluğuna hemde hata yapma olasılığımızı arttır. VTP domain yapısını oluşturarak bahsettiğimiz sorunları aşabiliriz. Yapımızda bir tane switch vtp server yaparak vlan konfigürasyonlarımızı bu switch üzerinden gerçekleştirip diğer switchleri vtp client / vtp transparan mode alarak yapılan değişikliği yansıtabiliriz.
Bu kadar avantajı olmasına rağmen sistemi riske sokacak dezavantajı vardır. Mevcut switch ağına yeni bir switch eklememiz gerektiğinde network’e dahil etmeden önce switch mutlaka transparan / client moda alınmalıdır. Şahet alınmazsa ortalama dahil edilen switch kendini server olarak bildiği için revision numarası büyük olması halinde kendi veritabanını diğer switchlere basacaktır ve böylelikle yapmış olduğumuz bütün VLAN tanımlamaları silinecektir. Basit ama kötü bir felaket senaryosu.

- VTP server ve vtp transparent konfigurasyon bilgileri NVRAM’de tutulur. (VLAN.dat)
- VTP layer 2 framelerini kullanır. VLAN’ların bütün ağ içerisinde yönetilmesini sağlar.
- Tüm cisco switchler default olarak VTP server olarak ayarlanmıştır. Kendilerini bütün cisco switchler VTP server olarak kabul eder.
- Farklı domainde bulunan switchler VLAN bilgilerini paylaşmazlar.
VTP server mode
Bütün switchler default olarak server modda gelir. VLAN konfigurasyonları server switch’te ayarlanır ve server switch tarafından client switchlere ayarlar basılır.
VTP transparent mode
Transparent mode Switch VTP domainine katılmaz (Update yapmaz). Transparent switch’e gelen vtp bilgilerini trunk portları üzerinden gönderir. Kendisine ait VTP database mevcuttur.
VTP client mode
VTP sunucundan vlan bilgilerini alır, güncellemeleri alır ve gönderir. Client switch üzerinde herhangi bir değişiklik yapılmaz. Değişiklikler VTP server üzerinde yapılır.
ÇALIŞMA ŞEKLİ
- VLAN’lar VTP serverda oluşturulur.
- VLAN bilgileri client switch’e yollanır
- Aynı domain içerisinde bulunan switchler VLAN bilgilerini alırlar.
- Client switchlerde portlar VTP serverda oluşturulan VLAN’lara atanır.
- VTP clientte vlan oluşturulmaz.
VTP çalışma şartı
- VTP domain ismi aynı olmalı
- Bir tane switch VTP server olmalıdır.
NOT: VTP database’inde revision numarası ile birlikte tutulur. (Windows DNS serverda SOA numarası gibi çalışmaktadır) Her mesaj ile revision numarası artar. Büyük revision numarasına sahip switchteki bilgi daha günceldir ve diğerlerine yapıştırılır.
Konfigurasyon
I. yol
Switch#vlan database
Switch(vlan)#vtp domain domain_name
Switch(vlan)#vtp [server] [client] [transparent ]
Switch(vlan)#vtp password şifre
Switch(vlan)#vtp v2-mode (version 2 aktif yapar)
II. yol (Önerilen)
Switch(config)#vtp ?
domain Set the name of the VTP administrative domain.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
version Set the adminstrative domain to VTP version
VTP PRUNING
VTP Pruning networkteki broadcast, multicast, unknow, gibi gereksiz flood edilen paketleri azaltarak network bant genişliğini daha verimli kullanılmasını sağlar. Default olarak disable durumundadır.
Çalışma şekli
Aşağıdaki örnekte VLAN5 de bulunan PC6 tarafından broadcast paket yayınlanmıştır. Normalde VTP pruning aktif olmadığını düşünürsek vlan5′ ait olan herhangi bir bilgisayar olmayan switch10 ve switch13 broadcast paketi gereksiz yere ulaşırdı.

- VLAN 1 haricinde (native vlan) diğer vlan’larda enable edilir.
- VTP server’da enable edilirse vtp domain içerisinde bütün switchlerde enable edilmiş olur.
Konfigurasyon
Switch# vlan database
Switch(vlan)#vtp pruning (switch modellerine göre konfigurasyon farklılık göstermektedir.)
Belirli bir vlan’da vtp pruning devre dışı bırakma
switch(config-if)# switchport trunk pruing vlan remove vlan_id
DYNAMIC VLAN
- Şu mac adresi şu vlan’dadır mantığıyla çalışır. Portlara vlan atanmaz böylelikle kullanıcının yeri değiştiğinde vlan’ ayarlamaya gerek yoktur.
- Active directory ile entegre çalışabilir. ( ör: Ahmet mühendis vlan’ı, mehmet arge vlan üyesidir. Ahmet switch port 15 de bulunan bilgisayarda login olduğunda 15 nolu port vlan 15 üyesi olur. Ahmet log off olup mehmet aynı bilgisayarda login olduğunda 15 nolu port vlan arge üyesi olur. Active directory ile entegre olarak çalışmış olur.
- Yönetimi static vlan’a göre zordur.
- mac address veritabanı kurmak için VLAN Management Policy Server (VMPS) servisi kullanılmalıdır.
- IEEE 802.1X protokolünü kullanır
Show komutları
show vtp status
show vtp counters