Vlan Oluşturma
Last updated
Last updated
Sanal yerel alan ağı (VLAN - Virtual Local Area Network), bir yerel alan ağı (LAN) üzerindeki ağ kullanıcılarının ve kaynakların sanal olarak gruplandırılması ve switch üzerindeki portlara atanmasıyla oluşturulur. VLAN kullanılmasıyla her VLAN sadece kendisiyle ilgili broadcast trafiği alacağından, yayın trafiği azaltılarak bant genişliği artırılmış olur. VLAN tanımlamaları bulunulan yere, bölüme, kişilere, kullanılan uygulamaya ya da protokole göre yapılabilir. VLAN kullanımının avantajları 3 ana başlıkta toplanabilir:
Kontrol ve performans
Güvenlik
Ölçeklenebilirlik
Configuration -> Network -> Interface -> Vlan -> New Vlan" arayüzü, yeni bir VLAN oluşturmak ve VLAN ayarlarını yapılandırmak için kullanılır. Bu arayüzün 5 sekmesi şunlardır:
Layer 2: Bu sekmede, VLAN ID'si, VLAN ismi, VLAN açıklaması gibi Layer 2 ayarları yapılandırılır.
Ports: Bu sekmede, VLAN'a bağlı olan portlar ayarlanır. Yani, hangi fiziksel portların hangi VLAN'a ait olduğu belirlenir.
Layer 3: Bu sekmede, VLAN'ın Layer 3 ayarları yapılır. Örneğin, VLAN'ın IP adresi, alt ağ maskesi, varsayılan ağ geçidi, DNS ayarları vb.
Alias: Bu sekmede, VLAN için alternatif bir isim belirlenir. Bu isim, VLAN ID'si yerine kullanılabilir.
Spanning Tree: Bu sekmede, VLAN'a ait olan ağ segmentinin Spanning Tree ayarları yapılandırılır.
Bu arayüzlerin nasıl kullanılacağı ve ayarlarının nasıl yapılacağı konusunda daha detaylı bilgi almak isterseniz, aşağıdaki sayfadan yararlanabilirsiniz.
Bu rehberde, aşağıdaki senaryoyu gerçekleştirmek için gerekli konfigürasyon adımları açıklanacağı yer almaktadır. IK ve ArGe departmanlarına ait farklı network ve güvenlik ihtiyaçları olduğundan, bu iki departman için ayrı VLAN'lar oluşturulması gerekmektedir. VLAN oluşturma işlemi, switch yönetim arayüzü üzerinden gerçekleştirilecektir.
VLAN 100: İK Departmanı
VLAN 200: ArGe Departmanı
Her bir VLAN, farklı güvenlik politikaları ve DPI kuralları ile internet erişimi sağlayacak şekilde düzenlenecektir. VLAN'lar arasındaki iletişim, firewall kuralları ile sınırlandırılacaktır.
VLAN oluşturma:
Switch yönetim arayüzü üzerinden, VLAN 100 ve VLAN 200 oluşturulacaktır. Her bir VLAN için ayrı IP adres blokları belirlenecektir.
Firewall kuralları:
VLAN 100'ün internet erişimi, içerik filtrelemesi ve güvenlik kurallarının uygulanması için özel olarak belirlenmiş DPI kuralları ile kısıtlanacaktır. Bu kural, firewall cihazına entegre edilecek ve sadece VLAN 100 trafiğini etkileyecektir. İK departmanı tarafından kullanılan sunuculara erişim, firewall kuralları ile düzenlenecektir.
VLAN 200'ün internet erişimi, içerik filtrelemesi ve güvenlik kurallarının uygulanması için ayrı bir DPI kuralı belirlenecektir. Bu kural da firewall cihazına entegre edilecektir ve sadece VLAN 200 trafiğini etkileyecektir. ArGe departmanı tarafından kullanılan sunuculara erişim, firewall kuralları ile düzenlenecektir.
VLAN'lar arası iletişim:
İK departmanı tarafından kullanılan VLAN 100 ile ArGe departmanı tarafından kullanılan VLAN 200 arasında iletişim kurulması gerektiğinde, firewall kuralları düzenlenecektir. Bu sayede, sadece belirli servisler için VLAN'lar arası trafiğe izin verilecektir. VLAN'lar arası genel bir iletişim sağlanmayacaktır.
Bu şekilde, İK ve ArGe departmanlarına ait verilerin ve kaynakların birbirlerinden ayrı tutulması ve internet erişimi sırasında farklı DPI kurallarının uygulanması sağlanacak, ayrıca VLAN'lar arası trafiğin sınırlandırılması ile güvenlik artırılacaktır.
IK VLAN'ının oluşturulmasında aşağıdaki parametreler dikkate alınmıştır:
ID ve Name parametrelerinin doldurulması gereklidir. Opsiyonel olarak Zone ayarlaması sayesinde IK Zone ile oluşturduğumuz vlan 10 Interface'i eşleştiriyoruz.
ArGe Vlan oluşturulmasında aşağıdaki parametreler göz önüne alınmıştır:
ID ve Name parametrelerinin doldurulması gereklidir. Opsiyonel olarak Zone ayarlaması sayesinde ArGe Zone ile oluşturduğumuz vlan 20 Interface'i eşleştiriyoruz.
Gerçekleştirilen konfigürasyonun CLI arayüzündeki karşılığı:
ID
VLAN Interface için sayı değeri olan bir ID belirtilmelidir. Bu değer daha sonrasında değiştirilemeyecektir.
Name
Vlan ismini IK olarak belirliyoruz.
Zone
Oluşturduğumuz IK Zone seçenekler arasında listelenir. Seçim yapıyoruz.
Status
VLAN Interface'in aktif çalışabilmesi isteniyorsa seçilmesi gereklidir.
Tagged Ports
IEEE 802.1Q standartlarına uygun oluşturulan VLAN'a ait bilgilerle ethernet frame üzerinden encapsulation işleminin gerçekleştirilebileceği portların belirlenebilir. Seçeneklerin arasında Fiziksel ve Aggregation Interface bulunmaktadır. Trunk port olarak da bilinir.
Untagged Ports
Oluşturulan Vlan'a ait olan portlar belirlenebilir. Seçeneklerin arasında sadece Fiziksel Interface bulunmaktadır. Access port olarak da bilinir.
Native Ports
Native port "Trunk" bağlantı noktasına atanmış VLAN'dır. Bir Native port herhangi bir VLAN etiketi olmayan trafiği (untagged traffic) olduğu gibi, çok sayıda VLAN tarafından oluşturulan trafiği de (tagged traffic) destekler.
IPv4
Static olarak IPv4 ve IPv6 adresleri ve netmask Vlan Interface için tanımlanabilir
Gateway
Opsiyonel bir ayarlamadır istenilirse gateway IP adresi belirlenebilir.
ID
VLAN Interface için sayı değeri olan bir ID belirtilmelidir. Bu değer daha sonrasında değiştirilemeyecektir.
Name
Vlan ismini ArGe olarak belirliyoruz.
Zone
Oluşturduğumuz ArGe Zone seçenekler arasında listelenir. Seçim yapıyoruz.
Status
VLAN Interface'in aktif çalışabilmesi isteniyorsa seçilmesi gereklidir.
Tagged Ports
IEEE 802.1Q standartlarına uygun oluşturulan VLAN'a ait bilgilerle ethernet frame üzerinden encapsulation işleminin gerçekleştirilebileceği portların belirlenebilir. Seçeneklerin arasında Fiziksel ve Aggregation Interface bulunmaktadır. Trunk port olarak da bilinir.
Untagged Ports
Oluşturulan Vlan'a ait olan portlar belirlenebilir. Seçeneklerin arasında sadece Fiziksel Interface bulunmaktadır. Access port olarak da bilinir.
Native Ports
Native port "Trunk" bağlantı noktasına atanmış VLAN'dır. Bir Native port herhangi bir VLAN etiketi olmayan trafiği (untagged traffic) olduğu gibi, çok sayıda VLAN tarafından oluşturulan trafiği de (tagged traffic) destekler.
IPv4
Static olarak IPv4 ve IPv6 adresleri ve netmask Vlan Interface için tanımlanabilir
Gateway
Opsiyonel bir ayarlamadır istenilirse gateway IP adresi belirlenebilir.
