VLAN & VTP

Neden Vlan kullanılmalı

Performansı artırmak (Bilgisayar her açıldığında ortama 6-7 adet broadcast paketi yollar. Bilgisayar sayınız arttıkça broadcast paketleri networkte ciddi trafik oluşturacak ve ağ  performansını düşürecektir. Bunu engellemek için sanal ağlar (Vlan) oluşturarak ortamdaki Broadcast domain sayısını artırmalıyız.(Böylelikle broadcast domainine düşen broadcast sayısı azalmış olur)

• Broadcast domain sayısı  artar ↑
• Her broadcast domainine gelen broadcast paket sayısı   azalır ↓
• Performans artar ↑
• Güvenlik artar ↑
• Maliyet azalır ↓ (Kullanılacak switch sayısı azalır)

• Her VLAN farklı bir broadcast domaindir.

VLAN 10 muhasebe → 1 – 6 port      VLAN 20 pazarlama→ 7 – 12 port

VLAN 30 insankaynaklari → 13 – 18 port      VLAN 40 uretim→ 19 – 24 port

• Vlanlar arası iletişim olması için routing yapılmalıdır. Multilayer switch veya router kullanılabilir. VLAN’lar  arası  Multilayer switch router’a göre daha performanslı routing yapar.
• Static ve dynamic vlan üyeliği yapılabilir. Static vlan daha güvenli ve yönetimi daha kolaydır.
• Switch modellerine gre vlan konfigurasyonunda farklılıklar görülebilir. (Cisco 1900-2950 farklıdır)

Default VLAN

Switchlerde default olarak bütün portlar VLAN1 üyesidir. Böylelikle istemciler aynı vlan üye oldukları için  (aynı broadcast domaine sahiptirler) birbirleriyle iletişime geçebilirler.

Native VLAN

Trunk bağlantılarına atanırlar. Trunk portuna gelen vlan etiketi olmayan trafiği (untagged traffic) native Vlan yönlendirir.

Switch(config)#interface fastEthernet 0/5

Switch(config-if)#switchport trunk native vlan ID

Allowed VLAN

Trunk portlar varsayılanda bütün vlan’ları geçirirler. Güvenlik için belirtilen Vlan’ların geçirilmesine müsaade edilinebilir.

Switch(config)#interface fastEthernet 0/24

Switch(config-if)#switchport mode trunk allowed vlan ID    (izin vermek)

Switch(config-if)#switchport mode trunk allowed remove ID (izin kaldırmak)

 Management VLAN

Management vlan switch yönetmek için kullanılan vlan dır. Default olarak vlan1 dir. Yönetim vlan’ına gerekli ayarlar yapılarak (ip verilmesi-alt ğ maskesi-default gateway) switch’e HTTP, Telnet, SSH ya da SNMP gibi yollarla bağlanılabilir.

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.10.5 255.255.255.0

Switch(config)#ip default-gateway 192.168.10.1

Voice VLAN

Sadece ses trafiğinin geçirmesine izin vermesi için yapılandırılan VLAN türüdür.

Not: Vlan 2 – 1001 standart vlandır ve vlan database’de tutulur. Vlan 1006 – 4096 extended vlandır ve farklı database’de tutulur.

VLAN Konfigurasyon 

• Vlan oluşturulur.

Switch(config)#vlan 10

Switch(config-vlan)#name muhasebe

• Portlar Vlan’a üye yapılır

Switch(config)#interface range fastEthernet 0/1-6

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 10

Trunk Portlar

Cihazlar arasında (Switch → Switch,  Switch → Router) VLAN’ların hepsini veya bir kısmını taşımak için kullanılırlar. 2 tür trunk protokolü vardır. IEEE 802.1Q  Endüstriyel standart, ISL  cisco’ya özgü ( ISL Sadece ethernet portunda çalışır)

Not:  Cisco 2960 sadece IEEE 802.1Q  destekler. 3560 802.1Q ve ISL destekler

• Sadece fast ethernet ve gigabit ethernet üzerinde  desteklenir
• Trunk port herhangi bir VLAN üyesi değildir.
• Erişim ip düzeyinde denetlenir.
• Birden fazla port trunk olarak kullanılabilir.
• Paketin ulaşacağı son cihaz, paket üzerinde VLAN bilgisine erişemez.

Konfigurasyon

Switch(config)#interface fastEthernet 0/24

Switch(config-if)#switchport mode trunk

VLAN’lar arası routing (Yönlendirme)

Layer3 katmanlı cihazla (Router veya Layer3 switch) yönlendirme yapılabilir.

Router on a stick

8 tane VLAN olduğunu düşünürsek router’a 8 tane interface ekleyemeyiz. Bu durumda sanal interfaceler oluşturmalıyız. Oluşturacağımız interface sayısı ile performansımızın ters orantılı olacağı unutmamalıdır.

Not: Gerçek interfacede ip adresi olmamalı

Vlan10 : 10.10.10.0/24     Vlan20: 10.10.20.0/24      Vlan30: 10.10.30.0/24

Router(config)#interface gigabitEthernet 0/0 (Gerçek interfacede ip adresi olmamalıdır. )
Router(config-if)#no shutdown
Router(config-if)#no ip address

Vlan10 için

Router(config)#interface gigabitEthernet 0/0.10

Router(config-subif)#ip address 10.10.10.1 255.255.255.0

Router(config-subif)#encapsulation dot1Q 10→  (VLAN protokolü) (VLAN ID)

Vlan 20 için

Router(config)#interface gigabitEthernet 0/0.20

Router(config-subif)#ip address 10.10.20.1 255.255.255.0

Router(config-subif)#encapsulation dot1Q 20 

Vlan 30  için

Router(config)#interface gigabitEthernet 0/0.30

Router(config-subif)#ip address 10.10.30.1 255.255.255.0

Router(config-subif)#encapsulation dot1Q 30

Layer3 switch

(Sadece layer 3 switch ile ilgili routing ayarları yapılacaktır. )

1- ) Aşağıdaki komutla routing aktif yapılır.

server_sw(config)#ip routing

2- ) Vlan interface konfigurasyon yapılır.

Vlan 5 için,

server_sw(config))#interface vlan 5

server_sw(config-if)#ip address 10.10.5.1 255.255.255.0

server_sw(config-if)#no shutdown

Vlan 10 için,

server_sw(config)#interface vlan 10

server_sw(config-if)#ip address 10.10.10.1 255.255.255.0

server_sw(config-if)#no shutdown

vlan 15 için,

server_sw(config)#interface vlan 15

server_sw(config-if)#ip address 10.10.10.15 255.255.255.0

server_sw(config-if)#no shutdown

VTP (VLAN TRUNKING PROTOCOL)

VTP vlan konfigurasyonunun bütün networke yayılmasını sağlayan mesajlaşma protokolüdür. Çok sayıda switch bulunan yapılarda oluşturulacak olan yeni VLAN için her switch te ayrı konfigürasyon yapmamız gerekir. Bu durum hem zaman kaybına, hem yönetim zorluğuna hemde hata yapma olasılığımızı arttır.  VTP domain yapısını oluşturarak bahsettiğimiz sorunları aşabiliriz. Yapımızda bir tane switch vtp server yaparak vlan konfigürasyonlarımızı bu switch üzerinden gerçekleştirip diğer switchleri vtp client / vtp transparan mode alarak yapılan değişikliği yansıtabiliriz.

Bu kadar avantajı olmasına rağmen sistemi riske sokacak dezavantajı vardır. Mevcut switch ağına yeni bir switch eklememiz gerektiğinde network’e dahil etmeden  önce switch mutlaka transparan / client moda alınmalıdır. Şahet alınmazsa ortalama dahil edilen switch kendini server olarak bildiği için revision numarası büyük olması halinde kendi veritabanını diğer switchlere basacaktır ve böylelikle yapmış olduğumuz bütün VLAN tanımlamaları silinecektir. Basit ama kötü bir felaket senaryosu.

• VTP server ve vtp transparent  konfigurasyon bilgileri NVRAM’de tutulur. (VLAN.dat)
• VTP layer 2 framelerini kullanır. VLAN’ların bütün ağ içerisinde yönetilmesini sağlar.
• Tüm cisco switchler default olarak VTP server olarak ayarlanmıştır. Kendilerini bütün cisco switchler VTP server olarak kabul eder.
• Farklı domainde bulunan switchler VLAN bilgilerini paylaşmazlar.

VTP server mode

Bütün switchler default olarak server modda gelir. VLAN konfigurasyonları server switch’te ayarlanır ve server switch tarafından client switchlere ayarlar basılır.

VTP transparent mode

Transparent mode Switch  VTP domainine katılmaz (Update yapmaz). Transparent switch’e gelen vtp bilgilerini trunk portları üzerinden gönderir.  Kendisine ait VTP database mevcuttur.

VTP client mode

VTP sunucundan vlan bilgilerini alır, güncellemeleri alır ve gönderir. Client switch üzerinde herhangi bir değişiklik yapılmaz. Değişiklikler VTP server üzerinde yapılır.

ÇALIŞMA ŞEKLİ

• VLAN’lar VTP serverda oluşturulur.
• VLAN bilgileri client switch’e yollanır
• Aynı domain içerisinde bulunan switchler VLAN bilgilerini alırlar.
• Client switchlerde portlar VTP serverda oluşturulan VLAN’lara atanır.
• VTP clientte vlan oluşturulmaz.

VTP çalışma şartı

1. VTP domain ismi aynı olmalı
2. Bir tane switch VTP server olmalıdır.

NOT: VTP database’inde revision numarası ile birlikte tutulur. (Windows DNS serverda SOA numarası gibi çalışmaktadır) Her mesaj ile revision numarası artar. Büyük revision numarasına sahip switchteki bilgi daha günceldir ve diğerlerine yapıştırılır.

Konfigurasyon

I. yol

Switch#vlan database

Switch(vlan)#vtp domain domain_name

Switch(vlan)#vtp [server] [client] [transparent ]

Switch(vlan)#vtp password şifre

Switch(vlan)#vtp v2-mode (version 2 aktif yapar)

II. yol (Önerilen)

Switch(config)#vtp ?

domain Set the name of the VTP administrative domain.

mode Configure VTP device mode

password Set the password for the VTP administrative domain

version Set the adminstrative domain to VTP version

VTP PRUNING

VTP Pruning networkteki broadcast, multicast, unknow, gibi gereksiz flood edilen paketleri azaltarak network bant genişliğini daha verimli kullanılmasını sağlar. Default olarak disable durumundadır.

Çalışma şekli

Aşağıdaki örnekte VLAN5 de bulunan PC6 tarafından broadcast paket yayınlanmıştır. Normalde VTP pruning aktif olmadığını düşünürsek vlan5′ ait olan herhangi bir bilgisayar olmayan  switch10 ve switch13  broadcast paketi gereksiz yere ulaşırdı.

• VLAN 1 haricinde (native vlan) diğer vlan’larda enable edilir.
• VTP server’da enable edilirse vtp domain içerisinde bütün switchlerde enable edilmiş olur.

Konfigurasyon

Switch# vlan database

Switch(vlan)#vtp pruning  (switch modellerine göre konfigurasyon farklılık göstermektedir.)

Belirli bir vlan’da vtp pruning devre dışı bırakma

switch(config-if)# switchport trunk pruing vlan remove vlan_id

DYNAMIC VLAN

• Şu mac adresi şu vlan’dadır mantığıyla çalışır. Portlara vlan atanmaz böylelikle kullanıcının yeri değiştiğinde vlan’ ayarlamaya gerek yoktur.
• Active directory ile entegre çalışabilir. ( ör: Ahmet mühendis vlan’ı, mehmet arge vlan üyesidir. Ahmet switch  port 15 de bulunan bilgisayarda login olduğunda 15 nolu port vlan 15 üyesi olur. Ahmet log off olup mehmet aynı bilgisayarda login olduğunda 15 nolu port vlan arge üyesi olur. Active directory ile entegre olarak çalışmış olur.
• Yönetimi static vlan’a göre zordur.
• mac address veritabanı kurmak için VLAN Management Policy Server (VMPS) servisi kullanılmalıdır.
• IEEE 802.1X protokolünü kullanır

Show komutları

show vtp status

show vtp counters