İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Kategori: Routing-Switching
Fırat Boyan 05.12.2016 39

VLAN (Virtual Local Area Network) Nedir? Nasıl Yapılandırılır?

VLAN yani Sanal Yerel Alan Ağı, bir LAN (Local Area Network) Network'ü üzerindeki kaynakların Switch Port'lar üzerinde mantıksal olarak gruplandırılması ile yapılır. VLAN kullanımı ile Network üzerindeki gereksiz Broadcast trafiği azaltılarak Bandwith (bant genişliği) artırılmış olur. Başka bir ifade ile VLAN, Network trafiğinde dolaşan Data paketlerini tüm Switch Port'larına dağıtacağı için Switch Port'larına bağlı tüm kaynaklarda yani tüm Network'te dolaşmış olacak. Bu da gereksiz bir Broadcast trafiği oluşmasına sebep olacak ve bant genişliğinin gereksiz yere kullanılmasına sebep olacaktır. Aslında bunu sadece Broadcast ve Bandwidth (bant genişliği) kapsamında değil, güvenlik kapsamında da ele alıp düşünmek gerekmektedir. Şirketimize misafir olarak gelen ve sistemimizde tanımlı olmayan birisini sistem Network'ümüze dahil etmek, çok da akıllıca ve istenen bir şey olmayacaktır. Bu nedenle, sistemden izole edilmiş bir Network üzerinden misafirimizi Internet ortamına çıkartmak, güvenlik açısından atılabilecek en önemli adımlardan birisi olacaktır ki bunu da Network'ümüzü segmentlere bölümleyerek, yani VLAN'lar oluşturarak yapabiliriz.

Vlan oluşturma

Sistemimiz üzerinde VLAN'ler oluşturarak Network'ümüzü segmentlere bölümlemek, olası Network problemlerini tanılama ve çözüme kavuşturmada bize kolaylık sağlayacaktır.

1- VLAN Türleri Nelerdir?

1.1- Veri VLAN'ı (Data VLAN)
Veri VLAN'ı özelleşmemiş standart trafiği taşımak üzere yapılandırılmış VLAN'dır. Kullanıcı kaynaklı Internet trafiği buna örnek olarak gösterilebilir. Ayrıca bir VLAN aynı anda ses ya da video temelli trafik de taşıyabilir. Veri VLAN'ının bir diğer adı da Kullanıcı VLAN'ıdır (User VLAN).

1.2- Varsayılan VLAN (Default VLAN)
Switch'teki bütün Port'lar, Switch başlatıldığında otomatik olarak varsayılan VLAN'a dahil olurlar. Cisco cihazlar için Varsayılan VLAN VLAN 1 dir. Switch Port'larının Default VLAN'a bağlı olması, bu Port'ları aynı Broadcast Domain'e dahil eder. Bu durum Switch'lere bağlanan bütün cihazların birbirleriyle iletişim kurmasına olanak sağlar. VLAN 1, yeniden adlandırılamaması ve silinememesi dışında diğer VLAN'larla aynı özelliklere sahiptir.

1.3- Yerel VLAN (Native VLAN)
Yerel VLAN "Trunk" bağlantı noktasına atanmış VLAN'dır. Bir "Trunk" bağlantı noktası herhangi bir VLAN etiketi olmayan trafiği (Untagged VLAN Traffic) olduğu gibi, çok sayıda VLAN tarafından oluşturulan trafiği de (Tagged VLAN Traffic) destekler. Trunk bağlantı noktası herhangi bir VLAN'dan gelmeyen trafiği Yerel VLAN'a yönlendirir. Bir cihaz tarafından oluşturulan ve herhangi bir VLAN'dan gelmeyen trafik Switch'in Yerel VLAN olarak yapılandırılmış olan VLAN üzerinden iletilir.

1.4- Yönetim VLAN'ı (Management VLAN)
Yönetim VLAN'ı, Switch'i yönetmek üzere yapılandırılmış herhangi bir VLAN olabilir. Eğer Yönetim VLAN'ı olarak özel bir VLAN yapılandırılmamışsa, VLAN 1 Yönetim VLAN'ı olarak hizmet verir. Yönetim VLAN'ına bir IP adresi ve Subnet Mask (alt ağ maskesi)  atandığında bu Switch'e HTTP, Telnet, SSH ya da SNMP gibi yollarla bağlanılabilir.

1.5- Ses VLAN'ı (Voice VLAN)
Ses VLAN'ı, üzerinden sadece ses trafiğinin geçirilmesi yönünde yapılandırılan VLAN'dir. Ses iletimi, kişiler ve kurumlar için çok önemli olduğu için, Ses VLAN'ı sıklıkla kullanılmaktadır. Ses VLAN'inde ses iletimi için IP telefonu kullanılır. Switch üzerindeki Port'a Ses VLAN'ı yapılandırabilmek için öncelikle ses ve veri için iki ayrı VLAN yapılandırılması gerekir. Bir IP telefon, Switch'in ilgili bağlantı noktasına ilk defa bağlandığında, Switch'in ilgili Port'una IP telefona daha önceden yapılandırılmış VLAN'ın adını ve konfigürasyon bilgisini yollar. IP telefon da bu bilgileri aldıktan sonra, Voice Frame'lerini etiketleyerek tüm ses trafiğini Voice VLAN'ı üzerinden gönderir.

2- VLAN Olmayan Bir Network Ortamında Network Trafiği

Mantığın daha net anlaşılabilmesi için, VLAN oluşturulmamış bir ağ üzerindeki Data paketlerinin, tüm sisteme nasıl dağıldığına bir göz atalım:
3. Katta bulunan PC-46'dan, 1. kattaki PC-20'ye bilgisayara bir Data paketi yolluyorum. Paketlerin rahatlıkla izlenebilmesi için, ARP protokolünü de devreye aldım. Bu iki bilgisayar, ilk kez haberleşecekleri için, PC-46'dan çıkan Data paketi, tüm Network'ü dolacaşacak, yani bir Broadcast oluşturacaktır.

vlan yapılandırma, vlan konfigürasyonu

Aşağıda görüldüğü gibi PC46'dan çıkan Data paketi, ARP Request içindeki Destination Mac Address bilgisi FF-FF-FF-FF-FF-FF (Broadcast MAC adresi) olduğu için, ilk önce 3. kataki tüm bilgisayarlara ulaştırıldı. İlgili Data paketi, ARP Request ile gelen Data paketindeki Destination IP Address kendilerine ait olmadığı için, tüm bilgisayarlar Data paketini reddetti!

vlan yapılandırma, vlan konfigürasyonu

Aynı Data paketi, ARP Request içindeki Destination Mac Address bilgisi FF-FF-FF-FF-FF-FF (Broadcast mac adresi) olduğu için, 2. kataki tüm bilgisayarlara da ulaştırıldı.
İlgili Data paketi, ARP Request ile gelen Data paketindeki Destination IP Address kendilerine ait olmadığı için, tüm bilgisayarlar Data paketini reddetti!

vlan yapılandırma, vlan konfigürasyonu

Aynı Data paketi, ARP Request içindeki Destination Mac Address bilgisi FF-FF-FF-FF-FF-FF (Broadcast mac adresi) olduğu için, 1. kattaki tüm bilgisayarlara ulaştırıldı.
İlgili Data paketi, ARP Request ile gelen Data paketindeki Destination IP Address kendilerine ait olmadığı için PC-20 hariç tüm bilgisayarlar Data paketini reddetti! PC-20, ARP Request ile gelen Data paketindeki Destination IP Address kendine ait olduğu için Data paketini aldı!

vlan yapılandırma, vlan konfigürasyonu

İşte bu örnekte görüldüğü gibi, VLAN ile segmentlere bölünmemiş bir Network ortamında Data paketleri, bu şekilde ilk Data paketi gönderiminde (daha önce hiç haberleşmemiş bilgisayarlar için) Broadcast ile tüm Network'e yayılmakta ve gereksiz yere bir trafik oluşmaktadır. Bu gereksiz Broadcast'i önlemenin yolu, Network'leri VLAN'ler ile segmentlere ayırmaktan geçmektedir.

3- VLAN Yapılandırma

VLAN Yapılandırılmamış bir Network Ortamında Network Trafiğini izledikten sonra, VLAN yapılandırma işlemimize geçebiliriz. Bu kısımda, adım adım Cisco Switch ile VLAN Yapılandırma işlemlerimize başlıyor olacağız.

Yapım şu şekilde olacak:
• 6 adet VLAN. (Vlan 10, Vlan 20, Vlan 30, Vlan 40, Vlan 50, Vlan 60)
• 60 adet PC.
• 3 adet 24 Port Layer-2 Cisco Switch.
• 1 adet Layer-3 Cisco (backbone, omurga) Switch.
• 1 adet DHCP Server.

Bilgi!: Cisco Switch'lerde VLAN 1, varsayılan VLAN olduğundan, Yönetim VLAN'ı ile Varsayılan VLAN'ı ayırmak güvenlik açısından tercih edilir.

VLAN yapılandırma işlemimizi Layer-3 Switch üzerinden yapılandırarak, burada yapılandırdığımız VLAN yapılandırmalarımızı tüm Layer-2 Switch'lere dağıtacağız. Ortamınızda birden fazla Switch bulunuyorsa, tüm Switch'leri tek tek dolaşıp, hepsinde VLAN yapılandırmak için zaman harcamak gereksizdir. Layer-3 Switch'in bize sunduğu avantajlardan birisi de, ayrı VLAN grupları arasında bir Router'a ihtiyaç duymadan IP Routing oluşturup, VLAN'lar arası iletişimi sağlayabilmesidir.

vlan yapılandırma, vlan konfigürasyonu

3.1- L3 Switch üzerinde VLAN oluşturma

L3-Switch-01>Enable
L3-Switch-01#Configure Terminal
L3-Switch-01(config)#VLAN 10
L3-Switch-01(config-VLAN)#name IT
L3-Switch-01(config-VLAN)#exit
L3-Switch-01(config)#VLAN 20
L3-Switch-01(config-VLAN)#name IK
L3-Switch-01(config-VLAN)#exit
L3-Switch-01(config)#VLAN 30
L3-Switch-01(config-VLAN)#name ARGE
L3-Switch-01(config-VLAN)#exit
L3-Switch-01(config)#VLAN 40
L3-Switch-01(config-VLAN)#name MUHENDISLIK
L3-Switch-01(config-VLAN)#exit
L3-Switch-01(config)#VLAN 50
L3-Switch-01(config-VLAN)#name FINANS
L3-Switch-01(config-VLAN)#exit
L3-Switch-01(config)#VLAN 60
L3-Switch-01(config-VLAN)#name YONETIM

Vlan oluşturma

3.2- Show Vlan komutu ile oluşturmuş olduğum VLAN'leri görüntülüyorum.

Vlan oluşturma

4- VLAN Trunk Yapılandırma

Vlan Trunk yapılandırma, Switch'lerin üzerinden birden fazla VLAN'e ait Data paketlerinin taşınması için gereklidir. Biraz daha netleştirecek olursam; bir Switch Port'undan sadece bir VLAN’a ait paketler geçebilir. Yani örneğin; VLAN yapılandırılmamış Switch'lerde varsayılan VLAN, VLAN1 olduğu için Trunk yapılandırması yapmanıza gerek yoktur ancak üzerinde birden fazla VLAN yapılandırması olan Switch'lerdeki VLAN'lere ait VLAN bilgilerinin, Switch'lerin birbirlerine bağlandığı Port'lardan geçebilmesi için Trunk yapılandırması yapılması şarttır! Aksi durumda, faklı VLAN'lere ait VLAN bilgileri, Switch'lerin birbirlerine bağlanan Port'larından geçmeyecek ve iletişim sağlanamayacaktır. Yapımızda her bir Switch üzerinde 2 aynı VLAN yapılandırması var (Ör. KAT-1-Switch-01 üzerinde VLAN 50 ve VLAN 60). Bu iki ayrı VLAN'e ait bilgilerin ortamdaki diğer Switch'lere de iletilebilmesi için, Switch'ler arası VLAN Trunk Yapılandırması yapılmalıdır. Ayrıca Trunk yapılandırması, Switch'lerin birbirlerine bağlanan Port'larında yapılandırılır.

Vlan Switch port

4.1- Backbone Switch Üzerinde VLAN Trunk Yapılandırma

L3-Switch-01>Enable
L3-Switch-01#Configure Terminal
L3-Switch-01(config)#int gigabitEthernet 0/1
L3-Switch-01(config-if)#Switchport trunk encapsulation dot1q
L3-Switch-01(config-if)#switch mode trunk
Switch Mode Trunk yapılandırması ile gigabitEthernet 0/1 Port'undan yani L3 Switch'in L2 Switch'lere bağlı olduğu Port üzerinden farklı VLAN'lerin geçeceği bilgisini veriyorum.

Bilgi!: Doq1q (802.1Q), IEEE tarafından geliştirilmiş bir VLAN Encapsulation (kapsüllenme) standartıdır. Ethernet, Data paketlerinin içerisine yerleştirdiği Bit'ler sayesinde, VLAN kimliğinin ne olduğunu belirler. Yani örneğin, Gi0/1 Portundan geçecek VLAN 10 bilgisini, VLAN 20 ve diğer VLAN'lerin bilgilerini etiketlemeye yarayan bir protokoldür. 802.1Q standardı; VLAN kullanımında ortaya çıkan, büyük ağları daha küçük ve yönetilebilir parçalara bölme ihtiyacını karşılamak için geliştirilmiştir.

Vlan oluşturma Trunk yapılandırma

4.2- Show Interfaces Trunk komutu ile Port'lar üzerindeki VLAN Trunk yapılandırmasını görüntülüyorum.
L3-Switch-01>show interfaces trunk

Vlan oluşturma Trunk yapılandırma

4.3- KAT-3-Switch-01 Üzerinde VLAN Trunk Yapılandırma
KAT-3-Switch-01 Üzerindeki sırası ile gigabitEthernet 0/1 ve gigabitEthernet 0/2 Port'larına gireceğim.

KAT-3-Switch-01>Enable
KAT-3-Switch-01#Configure Terminal
KAT-3-Switch-01(config)#interface gigabitEthernet 0/1
KAT-3-Switch-01(config-if)#Switchport mode trunk
KAT-3-Switch-01(config-if)#exit
KAT-3-Switch-01(config)#interface gigabitEthernet 0/2
KAT-3-Switch-01(config-if)#Switchport mode trunk

Vlan oluşturma Trunk yapılandırma

4.4- show interfaces Trunk komutu ile Port'lar üzerindeki VLAN Trunk yapılandırmasını görüntülüyorum.
KAT-3-Switch-01>show interfaces Trunk

Vlan oluşturma Trunk yapılandırma

4.5- KAT-2-Switch-01 Üzerinde VLAN Trunk Yapılandırma
KAT-2-Switch-01 Üzerindeki sırası ile gigabitEthernet 0/1 ve gigabitEthernet 0/2 Port'larına gireceğim.

KAT-2-Switch-01>Enable
KAT-2-Switch-01#Configure Terminal
KAT-2-Switch-01(config)#interface gigabitEthernet 0/1
KAT-2-Switch-01(config-if)#Switchport mode trunk
KAT2-Swtich(config-if)#exit
KAT-2-Switch-01(config)#interface gigabitEthernet 0/2
KAT-2-Switch-01(config-if)#Switchport mode trunk

Vlan oluşturma Trunk yapılandırma

4.6- show interfaces Trunk komutu ile Port'lar üzerindeki VLAN Trunk yapılandırmasını görüntülüyorum.
KAT-2-Switch-01>show interfaces trunk

Vlan oluşturma Trunk yapılandırma

4.4- KAT-1-Switch-01 Üzerinde VLAN Trunk Yapılandırma
KAT-1-Switch-01 Üzerindeki gigabitEthernet 0/1 ve gigbitEthernet 0/2 Port'larına gireceğim.

KAT-1-Switch-01>Enable
KAT-1-Switch-01#Configure Terminal
KAT-1-Switch-01(config)#interface gigabitEthernet 0/1
KAT-1-Switch-01(config-if)#Switchport mode trunk
KAT-1-Switch-01(config-if)#exit
KAT-1-Switch-01(config)#interface gigabitEthernet 0/2
KAT-1-Switch-01(config-if)#Switchport mode trunk

Vlan oluşturma Trunk yapılandırma

4.3.1- show interfaces Trunk komutu ile Port'lar üzerindeki VLAN Trunk yapılandırmasını görüntülüyorum.
KAT-1-Switch-01>show interfaces Trunk

Vlan oluşturma Trunk yapılandırma

6- VTP (Virtual LAN Trunking Protocol) Yapılandırma

Öncelikle VTP yapısından biraz bahsetmek istiyorum. VTP, çok fazla sayıda Switch bulunan Network'lerde, protokolün adından da anlaşılabileceği gibi, Trunk Port'lar yani bağlantı noktaları sayesinde, VLAN yapılandırma ayarlarını diğer Switch'lere taşımayı sağlar. VTP, bir anlamda VLAN Domain (VLAN Etki Alanı) olarak da adlandırabilir. VTP Server'da ekleme, silme, değiştirme gibi çeşitli yetkiler verilir ve VTP sayesinde eklenen, silinen ya da değiştirilen bu bilgilerin Network üzerindeki diğer Switch'lere otomatik olarak bildirilmesi sağlanmış olur.

● VTP Domain: VTP Domain sayesinde bir etki alanı oluşturarak, diğer Switch'leri de bu etki alanına toplamış oluyoruz.
● VTP Password: VTP Password sayesinde; örneğin ortama başka bir Switch eklendiğinde, VTP ile tüm VLAN bilgisinin bu yeni Switch üzerine de geçmesini engellemiş oluruz. Ayrıca şunu da bilmenizde fayda var; yeni takacağınız Switch(ler)'inizi çok daha farklı bir amaç için kullanacak olabilir, tanımlı olan VLAN'lerin bu yeni Switch(lere)'e tanımlanmasını istemeyebilirsiniz. Yeni takacağınız Switch(ler)'inize bu VTP Password bilgisini girmediğiniz sürece, VLAN bilgilerini alamayacaktır.
● VTP Version 2: Version 2, veri tutarlılık kontrollerini desteklemektedir. Bu, CLI üzerinden veya SNMP (Simple Network Management Protocol) gibi başka bir yöntem aracılığıyla VTP Domain hakkında yeni bilgiler girildiğinde, VTP Version 2'nin tutarlılık kontrolünü gerçekleştireceği anlamına gelmektedir.
● VTP Mode: Üç tane VTP Mode bulunmaktadır. Bunlar;
• VTP Server Mode: Bu Mode'da çalışan Switch'te VLAN oluşturulabilir ve silinebilir. Ayrıca Layer3 (Backbone) Switch'te VLAN interface konfigürasyonu, Server Mode'da olan Switch'te yapılandırılır. VPT Server Mode, Backbone Switch üzerinde varsayılan olarak tanımlıdır.
• VTP Mode Transparent: Bu modda çalışan Switchler, VTP'den VLAN bilgilerini alarak kendi üzerinde bu bilgileri tutmadan diğer Switch'lere iletir. Bir nevi köprü görevi görmektedir.
• VTP Mode Client: Bu modda olan Switch'ler Trunk Portl'arı üzerinden VLAN listesini alıp, kendi üzerlerinde bu bilgileri kaydederek VLAN bilgilerini taşırlar.

Özellik VTP Server VTP Client VTP Transparent
VLAN oluşturma, düzenleme, silme Evet Hayır Sadece Local
Bağımsız Senkronizasyon Evet Evet Hayır
VTP Tanımlarını iletme Evet Evet Evet

Bilgi!: Burada en önemli nokta, VTP Domain'dir. VTP Domain sadece bir kez oluşturulur. VTP Server'da önemli olan, versiyon numarasıdır. Ortamda versiyon numarası en yüksek olan VTP Server, yetkili konuma geçmektedir. Bu nedenle de VTP Domain'e eklenecek bir parola bilgisi ile de Network ortamına eklenecek başka bir VTP Server'ın yetkisiz işlem yapması engellenmiş olur. Bunu da Layer3 Switch (Backbone Switch) üzerinde oluşturuyorum.

6.1- L3 Switch Üzerinde VTP Yapılandırma

L3-Switch-01>Enable
L3-Switch-01#Configure Terminal
L3-Switch-01(config)#vtp domain xyz
L3-Switch-01(config)#vtp password 123456
L3-Switch-01(config)#vtp version 2

Bilgi!: Layer3 Switch'te VTP Mode, zaten Server olduğu için Vtp Mode Server komutu yazmaya da gerek yoktur. 

Vlan oluşturma Trunk yapılandırma

6.2- Show VTP Status komutu ile oluşturduğum VTP yapısının durum bilgisini görüntülüyorum.

Vlan oluşturma Trunk yapılandırma

6.3- KAT-3-Switch-01 Üzerinde VTP Yapılandırma

Layer2 Switch'ler üzerinde, Layer3 Switch üzerinde yaptığımız gibi VTP Domain bilgisini girmiyoruz. Çünkü Domain, sadece bir kez oluşturulabilir! Bunu da Layer3 Switch  üzerinde oluşturmuştum. Ayrıca Layer2 Switch'ler üzerinde Vtp Mode'u Server olarak girmiyoruz. Vtp Mode Server, ortamda sadece bir tane bulunabilir. Bu da Layer3 Switch üzerinde yapılandırmıştım.

KAT-3-Switch-01>Enable
KAT-3-Switch-01#Configure Terminal
KAT-3-Switch-01(config)#vtp password 123456
KAT-3-Switch-01(config)#vtp version 2
KAT-3-Switch-01(config)#vtp mode client

Vlan oluşturma Trunk yapılandırma

6.4- Show VTP Status komutu ile oluşturduğum VTP yapısının durum bilgisini görüntülüyorum.

Vlan oluşturma Trunk yapılandırma

6.5- KAT-2-Switch-01 Üzerinde VTP Yapılandırma

KAT-2-Switch-01>Enable
KAT-2-Switch-01#Configure Terminal
KAT-2-Switch-01(config)#vtp Password 123456
KAT-2-Switch-01(config)#vtp version 2
KAT-2-Switch-01(config)#vtp Mode client

Vlan oluşturma Trunk yapılandırma

6.6- Show VTP Status komutu ile oluşturduğum VTP yapısının durum bilgisini görüntülüyorum.

Vlan oluşturma Trunk yapılandırma

6.7- KAT-1-Switch-01 Üzerinde VTP Yapılandırma

KAT-1-Switch-01>Enable
KAT-1-Switch-01#Configure Terminal
KAT-1-Switch-01(config)#vtp Password 112233
KAT-1-Switch-01(config)#vtp version 2
KAT-1-Switch-01(config)#vtp Mode client

Vlan oluşturma Trunk yapılandırma

6.8- Show VTP Status komutu ile oluşturduğum VTP yapısının durum bilgisini görüntülüyorum.

Vlan oluşturma Trunk yapılandırma

VTP yapılandırmasından sonra, Show Vlan komutu ile VLAN'leri görüntülemek istediğimizde, L3 Switch üzerinde oluşturduğumuz VLAN bilgilerinin katlardaki Layer2 Switch'lere aktarıldığını görebiliyorum.

6.9- Show Vlan komutu ile KAT-3-Switch-01 Üzerinde VLAN durumu.

Vlan oluşturma Trunk yapılandırma

6.10- Show Vlan komutu ile KAT-2-Switch-01 Üzerinde VLAN durumu.

Vlan oluşturma Trunk yapılandırma

6.11- Show Vlan komutu ile KAT-1-Switch-01 Üzerinde VLAN durumu.

Vlan oluşturma Trunk yapılandırma

7- Switch Port'lara VLAN Tanımlama

Oluşturmuş olduğumuz VLAN'leri, Trunk yapısı ile KAT1, KAT2, ve KAT3'teki Layer2 Switch'lere tanımladıktan sonra, bu VLAN bilgilerini Switch Port'lara tanımlayacağız.

7.1- KAT-3-Switch-01 Üzerinde Switch Port VLAN Tanımalama
3. Katta IT ve IK olmak üzere iki farklı departman bulunuyor. Bu departmana ait VLAN bilgileri IT için VLAN 10, IK için ise VLAN 20 şeklindedir. IT için VLAN 10, fastEthernet 0/1'den başlayarak gigabitEthernet 0/10'a kadar olan tüm Port'ları VLAN 10 için atayacağız. Daha sonra IK için VLAN 20, fastEthernet 0/11'den başlayarak gigabitEthernet 0/20'ye kadar olan tüm Port'ları VLAN 20 için atayacağız.

Switch portlarda vlan oluşturma

KAT-3-Switch-01>Enable
KAT-3-Switch-01#Configure Terminal
KAT-3-Switch-01(config)#Interface Range fastEthernet 0/1-10
KAT-3-Switch-01(config-if-range)#Switchport mode access
KAT-3-Switch-01(config-if-range)#Switchport access VLAN 10
KAT-3-Switch-01(config-if-range)#exit
KAT-3-Switch-01(config)#Interface Range fastEthernet 0/11-20
KAT-3-Switch-01(config-if-range)#Switchport mode access
KAT-3-Switch-01(config-if-range)#Switchport access VLAN 20

Interface Range fastEthernet 0/1-10 komutu, fastEthernet 0/1'den başlayarak fastEthernet 0/10'a kadar olan Port'ları topluca seçer.
SwitchPort mode access komutu, seçilen Port'un bir erişim Portu olduğu belirtilir.
SwitchPort access VLAN 10 komutu, Port'un hangi VLAN’a erişim Portu olduğu belirler. Aynı işlem, VLAN 20, VLAN 30, VLAN 40, VLAN 50 ve VLAN 60 için de tekrarlanacaktır.

Vlan oluşturma Trunk yapılandırma

7.2- KAT-2-Switch-01 Üzerinde Switch Port VLAN Tanımalama
2. Katta ARGE ve MUHENDISLIK olmak üzere iki farklı departman bulunuyor. Bu departmana ait VLAN bilgileri ARGE için VLAN 30, MUHENDISLIK için ise VLAN 40 şeklindedir. ARGE için VLAN 30, fastEthernet 0/1'den başlayarak fastEthernet 0/10'a kadar olan tüm Port'ları VLAN 30 için atayacağız. Daha sonra MUHENDISLIK içinvVLAN 40, fastEthernet 0/11'den başlayarak fastEthernet 0/20'ye kadar olan tüm Port'ları VLAN 40 için atayacağız.

Switch portlarda vlan oluşturma

KAT-2-Switch-01>Enable
KAT-2-Switch-01#Configure Terminal
KAT-2-Switch-01(config)#Interface Range fastEthernet 0/1-10
KAT-2-Switch-01(config-if-range)#Switchport mode access
KAT-2-Switch-01(config-if-range)#Switchport access VLAN 30
KAT-2-Switch-01(config-if-range)#exit
KAT-2-Switch-01(config)#Interface Range fastEthernet 0/11-20
KAT-2-Switch-01(config-if-range)#Switchport mode access
KAT-2-Switch-01(config-if-range)#Switchport access VLAN 40

Vlan oluşturma Trunk yapılandırma

7.3- KAT-1-Switch-01 Üzerinde Switch Port VLAN Tanımalama
3. Katta FINANS ve YONETIM olmak üzere iki farklı departman bulunuyor. Bu departmana ait VLAN bilgileri FINANS için VLAN 50, YONETIM için ise VLAN 60 şeklindedir. FINANS için VLAN 50 fastEthernet 0/1'den başlayarak fastEthernet 0/10'a kadar olan tüm Port'ları VLAN 50 için atayacağız. Daha sonra YONETIM için VLAN 60 fastEthernet 0/11'den başlayarak fastEthernet 0/20'ye kadar olan tüm Port'ları VLAN 60 için atayacağız.

Switch portlarda vlan oluşturma
KAT-1-Switch-01>Enable
KAT-1-Switch-01#Configure Terminal
KAT-1-Switch-01(config)#Interface Range fastEthernet 0/1-10
KAT-1-Switch-01(config-if-range)#Switchport mode access
KAT-1-Switch-01(config-if-range)#Switchport access VLAN 50
KAT-1-Switch-01(config-if-range)#exit
KAT-1-Switch-01(config)#Interface Range fastEthernet 0/11-20
KAT-1-Switch-01(config-if-range)#Switchport mode access
KAT-1-Switch-01(config-if-range)#Switchport access VLAN 60

Vlan oluşturma Trunk yapılandırma

Katlardaki Layer2 Switch'ler üzerinde Switch Port VLAN Tanımalama işlemlerini tamamladıktan sonra, Show Vlan komutu ile VLAN'leri görüntülemek istediğimizde, VLAN'lerin ilgili Switch Port'lara atandığını görebiliyorum.

7.4- Show Vlan komutu ile KAT-3-Switch-01 Üzerinde Switch Port'lara atanan VLAN'ler

Switch portlara VLAN atama

7.5- Show Vlan komutu ile KAT-2-Switch-01 Üzerinde Switch Port'lara atanan VLAN'ler

Switch portlara VLAN atama

7.6- Show Vlan komutu ile KAT-1-Switch-01 Üzerinde Switch Port'lara atanan VLAN'ler

Switch portlara VLAN atama

8- VLAN IP Ataması ve VLAN'ler Arası Routing

Server üzerinde ilgili DHCP Scope'larımı oluşturduktan sonra, Backbone Switch Üzerinde VLAN'lere IP ataması ve VLAN'ler arasında IP Routing işlemi gerçekleştirme işlemine geçiyorum.

8.1- İlk olarak, ip routing komutu ile VLAN'ler arası iletişimi sağlayacağız Her VLAN IP adresi atama işlemi için tekrar tekrar IP Routing komutu yazılmayacaktır. Bu sebeple Bu komut, sadece bir kez yazılmalıdır. Bu komut yazılmazsa, farklı Network'lerdeki VLAN'ler birbirleri ile haberleşemezler.

8.2- Daha sonrasında ise, ip address komutu ile VLAN'lere tek tek IP adres ataması yaparak, ilgili VLAN'lere VLAN IP adresi tanımlama işlemini yapacağız. Bu VLAN IP adresi tanımlama işlemi, L3 Switch'in ilgili VLAN'ine bakan IP adesi yani Default Gateway IP adresi olacaktır. 

8.3- Son olarak, tüm Client PC'lerin hangi DHCP sunucusundan IP adresi bilgisini alacaklarını öğretmemiz gerekiyor. Bunun için ip helper-address komutunu kullanarak Client PC'lere kendi VLAN Network ID bilgilerine göre DHCP Server Scope'larında hazırlanmış olan IP adreslerini almalarını sağlayacağız. 

● VLAN IP adresleri yani VLAN Default Gateway IP adresleri aşağıdaki gibidir.
ip adress 10.10.10.254 255.255.255.0 
ip adress 10.10.20.254 255.255.255.0 
ip adress 10.10.30.254 255.255.255.0 
ip adress 10.10.40.254 255.255.255.0 
ip adress 10.10.50.254 255.255.255.0 
ip adress 10.10.60.254 255.255.255.0 

● DHCP Server IP adresi aşağıdaki gibidir.
ip helper-address 10.10.10.100 

8.4- VLAN'ler için IP adresi ataması
L3-Switch-01>Enable
L3-Switch-01#Configure Terminal
L3-Switch-01(config)#ip routing
L3-Switch-01(config)#interface VLAN 10
L3-Switch-01(config-if)#ip address 10.10.10.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100
L3-Switch-01(config-if)#Exit
L3-Switch-01(config)#interface VLAN 20
L3-Switch-01(config-if)#ip address 10.10.20.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100
L3-Switch-01(config-if)#Exit
L3-Switch-01(config)#interface VLAN 30
L3-Switch-01(config-if)#ip address 10.10.30.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100
L3-Switch-01(config-if)#Exit
L3-Switch-01(config)#interface VLAN 40
L3-Switch-01(config-if)#ip address 10.10.40.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100
L3-Switch-01(config-if)#Exit
L3-Switch-01(config)#interface VLAN 50
L3-Switch-01(config-if)#ip address 10.10.50.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100
L3-Switch-01(config-if)#Exit
L3-Switch-01(config)#interface VLAN 60
L3-Switch-01(config-if)#ip address 10.10.60.254 255.255.255.0
L3-Switch-01(config-if)#ip helper-address 10.10.10.100

VLAN IP Atama

Makalem boyunca yazmış olduğum tüm bu VLAN yapılandırma ayarları tek tek yapıldıktan sonra DHCP Server üzerinde her VLAN için Scope'lar oluşturarak, Client PC'lerin kendi VLAN ID'lerine ait Scope'lardan IP adresi almalarını sağlamanız gerekiyor.

Faydalı olması dileğiyle...

Etiketler: Cisco, Switch, VLAN Yapılandırma, VLAN OluşturmaVirtual Local Area Network, Encapsulation, VLAN TrunkVTP Yapılandırma, VTP Oluşturma,  VLAN Routing, IP Routing, VLAN IP Ataması.


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 39 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


12.10.2023 Volkan Soytorun
elinize sağlık baya güzel olmuş
02.02.2023 Bilg. Muh.
elinize sağlık güzel bir anlatım, faydalı çözüm
26.08.2022 Mustafa
Hocam Merhaba. Harika anlatım için teşekkürler. Benim sorum vlan ile interface vlan arasındaki fark nedir ? teşekkürler

28.08.2022 Fırat Boyan
Merhaba Mustafa; VLAN, OSI Referans Modeli'nin L2 katmanında Broadcast Domain'lerin mantıksal olark segmentlere ayrılması için kullanılan bir terminoloji olup; Interface, VLAN'lerin tanımandığı fiziksel Port'lardır.


18.04.2022 Süleyman Çakaner
Bir sorum olacaktı. Topolojiye göre 3.kat vlan10da bulunan 2 pc, kat 1e inse ve ordan networke bağlansa kat 1 swye geriye kalan boş portları vlan10 tanımlaması yapmamız uygun mudur? Yani kat1e 2 pc eklesek ve vlan10dan çıkmasını sağlasak yapılan işlemleri sordum. iyi çalışmalar dilerim.

19.04.2022 Fırat Boyan
Teknik olarak mümkün olsa da neden böyle bir şeye ihitiyaç duyulsun ki? Her katın kendine ait bir VLAN yapısı var ve tüm VLAN Network'leri birbirleri ile zaten konuşabiliyor. Amaç, sadece Broadcast'i kısmak.


15.06.2021 Bahadir Caner
Merhaba Fırat hocam, Gördüğüm en sade ama bir o kadarda gerekli detayları içeren anlatım olmuş. Aynı yapıyı Aruba, Cisco swler ile (karma) oluştursaydık neleri farklı yapmamız gerekirdi ?

15.06.2021 Fırat Boyan
Merhaba Bahadır, Karma ortamlı bir yapı kurmadım ama network işleyiş presipleri tüm markaların aynı. Sadece CLI ekranlarındaki komut yazım biçimleri değişiyor.Bazılarında da direkt GUI üzerinden yapılandırıyorsun.


27.03.2021 Erkan Firat
Merhaba. Bilgi paylaşımınız için çok teşekkürler. Şöyle bir sorum olacak; mesela 500 mt lik bir mesafe için peş peşe (her 100 mt de bir sw) switcler bağlayarak datanın yollanmasının sakıncası varmıdır. Teşekkürler.

28.03.2021 Fırat Boyan
Mevcut ortamını tam bilmediğim için herhangi bir şey söylemem zor.

28.03.2021 Erkan Firat
Aslında sormak istediğim; data yı bu şekilde uzağa taşımak doğru bir yöntem mi, performans olarak kayıp yaşarmıyız veya farklı sorunlara neden olurmu.

28.03.2021 Fırat Boyan
Merhaba, CAT kablolar için zaten Max. mesafe 100mt olduğu için, her 100mt'de (hatta 80 mt) Switch'ler ile sinyal tazelemesi yapılması şarttır.


04.11.2020 Oğuz Aslan
Merhaba Fırat hocam. Öncelikle teşekkür ederim verdiğiniz bilgiler için. 2 farklı şirket var. Bu şirketlerde internet ortak kullanılacak. Ama serverları ve ağları farklı olacak. Her biri kendi ağ yapısını barındıracak. Diğer şirketle hiç bir şekilde haberleşmeyecek internet haricinde. Nasıl bir yol izlemeliyim? Şimdiden teşekkür ederim cevabınız için.
19.10.2020 Emre Sak
Fırat hocam öncelikle makaleniz ders niteliğinde ve çok değerli, teşekkür ediyorum. Sormak istediğim bir husus var, şöyle bir yapi düşünelim, yapıda 1 adet modem ve sf-300-24 port l3 cisco switch var, sadece bu switch üzerinde l2 cihaz kullanmadan 2 grup halinde vlan yaratıp farklı networklerle clientları birbirinden ayırabilirmiyim, yoksa router a ihtiyacım var mı, yani sf300 kendi icinde routing yapabiliyormu, cunki denemelerimde farkli vlanlarda clientlar ip aliyor network e baglanip diger vlanda ki cihazlarıda goruyor fakat internete çıkamıyorlar, şimdiden teşekkür ederim.

20.10.2020 Fırat Boyan
Merhaba Emre, Yorumun için teşekkürler. Faydalı olduğunu bilmek güzel :) Tabi ki L2 Switch kullanmadan da elindeki tek L3 Switch üzerinde de Vlan oluşturabilirsin. L3 Swtich'in L2'den farkı, OSI referans modeline göre 3. katman yani yönlendirme katmanındaki yapıya uygun bir network ekipmanı olması ve yönlendirme özelliğinin olmasıdır. Vlan yapını oluşturduktan sonra tek yapman gereken, Vlan'ler arası routing işlemi yapmak olacak.


15.06.2020 Tufan yilmaz
Daha önce aldığım bir egitimdi lazim oldu tekrar tek okumayla herseyi hatirladim,cok guzel bir makale olmuş ellerinize saglik hocam.
01.06.2020 Erkan Satır
Merhaba Fırat Bey, Öncelikle gerçekten emeğinize sağlık, çok faydalı içerik Teknik lise okuyorum network konusunda hevesliyim ve bu dersinizi bana mail üzerinden göndere bilir misiniz. Yapmayı denedim fakat başaramadım üzgünüm :(

01.06.2020 Fırat Boyan
Merhaba Erkan, bire bir aynısını uyguladın mı? Çalışmaması için bir sebep olmamalı. Bir yeri kaçırıyorsun. Baştan, dikkatlice yapmanı öneririm.


31.12.2019 Ahmet Recep Yan
Sorunu çözdüm. Serverın portunu VLAN10a dahil etmemişim :)
27.10.2019 ilhan celik
Merhaba, Harika bir anlatım olmuş neyi neden kullanmamız gerektiğini daha iyi anlamış olduk. Sadece sormak istediğim bazı forum ve videolarda fortigate bacağı ile l3 sonlandırması yapıyorlar. ( Ortam da sanrım hep l2 var ) Local Network performansını bu nasıl etkiler bu işlem ? Yada hiçbir farkı olmazmı ? Bunu tam olarak öğrenmek istiyorum. iyi çalışmalar

29.10.2019 Fırat Boyan
Merhaba, Evet şimdi daha net oldu. L3 SW bir tercih meselesidir.L3 SW ile Vlan oluşturup bunu L2 SW'lere dağıtabilir, VLAN'ler arası routing işlemleri yapılandırabiliriz ancak bu maliyetli bir işlemdir. Bu nedenle de her kurumda bir Firewall olduğunu düşünürsek, eldeki cihazla da bu pekala yapılabilir ki hız konusu da, kullanılan cihazların sağladığı bandwith değeri ve kablolama alt yapısı ile doğru orantılıdır.

27.10.2019 ilhan çelik
Merhaba, Bazı sitelerde L3 SW yerine Fortigate FW'nin bir bacağını trunk yaparak bağlıyorlar daha sonra sonlandırmayı da burdan yapıyorlar. Öğrenmek istediğim de L3 Sw yerine Fortigate ile sonlandırınca VLANları local network te bir yavaşlama olurmu ? Benimde mesela elimde L2 SW var . L3 Sw yok elimde oyüzden merak ediyorum. Eğer L3 ile sonlandırma Local Network için hız oluşturuyorsa ondan aldırmak istiyorum. Umarım bu sefer kendimi anlata bilmişimdir :)

27.10.2019 Fırat Boyan
Merhaba İlhan, sorunu daha da netleştirebilir misin? Tam olarak sormak istediğin nedir?


31.07.2019 onur karayılmaz
fırat bey makale için teşekkür ederim. network konusunda yeniyim Subneting ve Vlan arasında fark nedir ? subnet yapıyoruz ağlar küçültülüp broadcast önlenebiliyor ?

01.08.2019 Fırat Boyan
Öncelikle, kullandığın network cihazların, kablolama alt yapını destekliyor olması şart! CAT6; 1000BASE-TX standardında 100mt. Mesafede 1.000Mbps(1Gbit), 55mt. Mesafede 10.000Mbps (10Gbit) hız sağlar. Bu hızı Fiber Optik kablolarda 1000BASE-SX (Max.275 MT.) ve 1000BASE-LX (Max.550 MT.) standartlarında OM1-Multimode Fiber kabloda (TURUNCU-Led) alırsın. Fiber optik kabloların mesafe ve bant genişlikleri ile bilgi almak için, Multimode ve Singlemode Fiber Optik Kablolar konulu makalemi okumanı tavsiye ederim.

01.08.2019 onur karayılmaz
çok teşekkür ederim Fırat Bey affınıza sığınarak , switchleri bazen gbit port cat 6 ile bağlıyoruz birbirinie bazende fiber kablo ile multi yada single fiber patch kablo kaç GBit bağlantı sağlıyor yoksa aynı kapıyamı çıkıyor örneğin 2 switch birbirine cat6 ile bağlanmış gbit portundan içlerinden biride firewalla fiber kablo ile bağlanmış . fiber ile bağlanan 10 Gbit mi oluyor bant genişliği ?

31.07.2019 Fırat Boyan
Subnetting, bir network'ün küçültülmesi ya da büyütülmesi işlemidir. Bu işlemde, Vlan'de olduğu gibi iki ya da daha fazla network'ü birbirinden ayırma işlemi yapılmaz. Ancak Vlan, iki ya da daha fazla network'ü birbirinden mantıksal olarak ayırma işleminde kullanılır. Vlan ile ayıracağın iki ya da daha fazla network'te de subnetting yapabilirsin. Sol üst köşede arama bölümünde subnetting diye aratırsan, bununla ilgil detaylı olarak yazdığım bir makaleyi bulabilirsin.


16.05.2019 Nur
Hocam bu makalenizi pdf şeklinde çıkarabilir miyim

16.05.2019 Fırat Boyan
Merhaba Nur, Sitede yazı kopyalamayı devre dışı bıraktım. Direkt web sayfasını yazdırma şeklinde yapabilirsin.


20.03.2019 Mustafa Çamkesen
fırat abi gerçekten çok açıklamalı ve güzel bir makale olmuş eline emeğine sağlık
20.11.2018 Akhan
Güzel bir makale olmuş. Elinize sağlık.
09.06.2018 Metin
multilayer switch portlarını vlan olarak nasıl tanımlayabilirim. örneğin multilayer sw fast0/2 portu vlan 10 olsun gibi

18.06.2018 Metin
merhaba; rica etsem linkteki örneğe bakabilr misiniz. Backbone üzerinde vlan oluşturma işlemleri. Dhcp vlana göre ip dağıtması gerekirken scope ayrımı yapmadan tek gruptan dağıtıyor. İyi çalışmalar

11.06.2018 Fırat Boyan
ip routing komutu, backbone SW üzerinde yapılır. Trunk ise, birden fazla SW kullanılan yapılarda bir SW üzerinden birden fazla Vlan e ait frame bilgilerinin geçmesi için gereklidir. Yani birden fazla SW ve VLAN varsa, Trunk şarttır. Faklı model olması farklılık göstermez.

10.06.2018 Metin
Peki portlar trunk mı olmalı, routing olmalı mı yine. Gerçek bir yapıda backbone cisco, kenar swler hp, cisco ve baska bir iki sw marka daha olabilir kontrolsüz bir büyüme var çünkü.bu sekilde vlan yapmada sıkıntı çıkar mı omurga üzerinde. Teşekkür ederim

10.06.2018 Fırat Boyan
Aslında makalede geçenden çok da farklı değil. Makalede VLANleri L3 Switch üzerinde tanımlayıp, VTP yardımıyla alt L2 Switchlere dağıttık ve port atamalarını bu swtichlerde yaptık. Senin sorduğun doruda VLAN yapılandırlamaları yine L3 SW üzerinde yapılacak ancak VTP kullanmaya gerek kalmadan port atamalarını direkt olarak yine L3 SW üzerinde L2 SWlerde yaptığımız gibi yapman lazım. Hepsi bu.


28.05.2017 Süleyman yurt
merhaba; bir konu bu kadar güzel anlatılır . eline yüregine saglık hocam. saygılarımla.
13.12.2016 rafet
Elinize sağlık Fırat Hocam. Çok faydalı oldu.
07.12.2016 hakan kaplanoğul
Teşekkürler, faydalı ve güzel bir makale olmuş.