Sanal yerel alan ağı
(VLAN), bir yerel alan ağı (LAN) üzerindeki ağ kullanıcılarının ve
kaynakların mantıksal olarak gruplandırılması ve switch üzerinde port’lara
atanmasıyla yapılır. VLAN kullanılmasıyla her VLAN sadece kendi broadcast’ini
alacağından, broadcast trafiği azaltılarak bant genişliği artırılmış olur.
VLAN’lar ağ üzerinde uygulanarak, 2. seviye anahtarlamanın getirdiği birçok
problem ortadan kaldırılır. Bunları temel olarak 3 başlık altında
toplayabiliriz:
1. Broadcast Kontrol
Broadcast her protokol
tarafından üretilir. Ancak yoğunluğu protokole, uygulamaya ve servisin nasıl
kullanıldığına göre değişir. Düz kullanılan (VLAN uygulanmamış) 2. seviye
anahtarlama cihazlarında, gelen broadcast paketi uçtakilerin alıp almayacağına
bakılmaksızın, her port’a gönderilir. Ağ üzerindeki cihaz sayısının fazla
olması demek, broadcastin de katlanarak artmasına ve bu paketlerin ağ
üzerindeki her cihaza gönderilmesine neden olur.
İyi tasarlanmış bir ağ,
ölçütlere göre segmentlere ayrılmalıdır. Bunu yapmanın en uygun yolu switching
ve routing’den geçer. Bu da VLAN’lar arasında broadcast trafiğini engeller.
2. Güvenlik
VLAN oluşturulmamış düz bir ağın
bir başka dezavantajı güvenliktir. Switch kullanılmayan bir ağ üzerinde iki
bilgisayar arasındaki veri akışı ağa bağlı tüm cihazlara da iletilmektedir. Bu,
trafik sorununa yol açtığı gibi, ağ üzerinde gelip geçen tüm paketleri dinleyen
ve veri kısmını çözen yazılımlar ve hatta donanımlar sebebiyle oldukça
güvensizdir. Dağıtım cihazı olarak switch kullanıldığında her port’un kendi
collision segmentine ayrılması ile port’lar arasındaki bu güvenlik açığı
engellenebilmektedir. Ancak düz kullanılan switch topolojisinde broadcast’in
tüm port’lara gönderiliyor olması, ağ üzerindeki tüm cihazların birbirinin
broadcast trafiğini alıyor olması demektir.
İkinci bir husus, bu ağ üzerinde
diğerleri ile ağ ilişkisi olmayacak kullanıcı gruplarına, diğer cihazlarca
erişim sağlanmakta, broadcast paketleri gönderilmektedir. Switch üzerinde ağ
cihazları VLAN’lara ayrıldığında bu tarz güvenlik açıkları ortadan kalkacaktır.
Bu sayede bir kullanıcının ağ üzerinde herhangi bir uca bağlanarak tüm ağı
dinleme ve bilgiyi ele geçirme şansı olmayacaktır. Ancak bağlanacağı VLAN
üzerinde işlem yapabilecektir.
3. Esneklik
VLAN’lar yaratılarak oluşturulmuş
bir ağ üzerinde aslında broadcast grupları oluşturulmuştur. Anahtarlar üzerinde
fiziksel konumu neresi olursa olsun, bir kullanıcıyı istediğiniz VLAN’a atama
esnekliğine sahip olunur. Aynı şekilde zaman içerisinde büyüyen bir VLAN, yeni
oluşturulan VLAN’lara aktarılabilir. Bu işlem switch üzerinde yapılacak yeni
bir port tanımıyla mümkün olmaktadır.
VLAN kullanılan bir network’te,
VLAN’lar arası yönlendirme için bir router’a ya da başka bir 3. katman cihaza
ihtiyaç vardır. Switch üzerinde kullanılan her VLAN için bir ucun switch’den
router’a gelmesi gerekmektedir.
VLAN’lar Arası İlişkiler
1. Statik VLAN'lar: Ağ
yöneticisi tarafından tanımlanarak, switch port'ları üzerine atanır. Switch'in
port'u yönetici tarafından tekrar değiştirilmediği sürece o VLAN'a aittir. Bu
yöntem ile network yönetimi ve izlemesi kolaylaşır.
2. Dinamik
VLAN'lar: Dinamik VLAN'da switch port'una bağlı cihazın VLAN'ını tanır ve
o port'unu tanıdığı VLAN'a otomatik olarak atar. Network yönetim programları
ile donanım adresi (MAC), protokol, ya da hatta uygulama bazında dinamik VLAN
tanımlaması yaptırılabilir. Örneğin, merkezi bir VLAN yönetim uygulamasına MAC
adreslerinin girildiğini düşünelim. Bir cihaz ağ üzerindeki bir switch'in, VLAN
atanmamış bir port'una bağlandığında, VLAN yönetim veritabanına MAC adresi
sorulur ve alınan VLAN değeri, switch'in o port'una atanır. Eğer kullanıcı
değişir ya da uca bağlı cihaz değişirse, yeni VLAN değeri istenir ve port'a
atanır. Bu durumda veritabanı dikkatle hazırlandıktan sonra, ağ yöneticisinin
yönetim ve konfigürasyon işleri azalır. Cisco cihazlarda dinamik VLAN kullanımı
için VMPS (VLAN Management Policy Server - VLAN Yönetim Sunucusu) MAC
adreslerine karşılık VLAN haritası veritabanı servisini sunar.
VLAN Tanımlamaları
Vlan'lar bağlı switch'ler
arasında dağılırlar. Switch fabric'i tarafından alınan paket, "frame
tagging" adı verilen yöntemle ait olduğu VLAN'a atanmış port'lara (ya da
port'a) gönderilir. Switch fabric, aynı VLAN bilgisini taşıyan switch'ler
grubudur. Switch dünyasında iki çeşit bağlantı bulunmaktadır:
Access links; sadece bir
VLAN'a ait olan bağlantıdır. Access link üzerine bağlanan cihaz, VLAN'lar arası
ilişkilerden, fiziksel network'ten bağımsız olarak bir broadcast grubuna bağlı
olduğu varsayımıyla çalışır. Switch'ler, access link'le bağlı cihaza
göndermeden önce paket üzerindeki VLAN başlığını kaldırır. Access link
üzerindeki cihazların gönderdiği paketler, bir router ya da başka bir 3. katman
cihazı tarafından yönlendirilmediği sürece kendi VLAN'ları dışındaki cihazlarla
konuşamazlar.
Trunk links; üzerinde
birden çok VLAN taşıyabilir. Trunk link switch'ten başka bir switch'e, bir
router'a ya da bir sunucuya yapılabilir. Sadece Fast ya da Gigabit Ethernet
üzerinde desteği vardır. Cisco switch'ler trunk bağlantı üzerindeki VLAN'ları
tanımak için iki ayrı yöntem kullanır: ISL ve IEEE802.1q. Trunk
bağlantılar cihazlar arasında VLAN'ları taşımak amacıyla kullanılırlar ve
VLANların tümünü ya da bir kısmını taşımak üzere biçimlendirilebilirler.
Frame tagging yönteminde,
paketin geldiği switch, paketin VLAN ID'sini (VLAN numarasını) tanıyarak filtre
tablosundan pakete ne yapılması gerektiğini bulur. Paket üzerindeki VLAN
başlığı, trunk bağlantıdan çıkmadan önce paketten ayrılır. Eğer paketin geldiği
switch üzerinde başka trunk bağlantı varsa, paket doğrudan bu port üzerinden
gönderilir. Paketin ulaşacağı son cihaz, paket üzerinde VLAN bilgisine
erişemez.
VLAN Tanımlama Yöntemleri
Inter-Switch Link (ISL): Cisco
switch’ler tarafından kullanılır ve sadece Fast ya da Gigabit Ethernet üzerinde
çalışabilir. Bu yöntem “external tagging” adı verilen, paketin orijinal boyunu
değiştirmeyen, ancak 26 byte’lık bir ISL başlığını pakete ekleyerek, cihazlar
arasında VLAN tanınmasını sağlayan bir yöntemdir. Ayrıca paketin sonuna paketi
kontrol eden 4-byte uzunluğunda FCS (frame check sequence) alanı ekler. Paket
bu eklentilerden sonra sadece ISL tanıyan cihazlar tarafından tanınabilir.
Paketin büyüklüğü 1522 byte uzunluğuna kadar erişebilir ki ethernet
network’ünde maksimum uzunluk 1518 byte’tır. ISL bilgileri ile zarflanan paket,
access link çeşidi bağlantıya çıkacağı zaman tüm eklentilerinden ayrılarak
orijinal haline geri döner.
IEEE 802.1q: IEEE tarafından
geliştirilen bu standart yöntem, farklı markadan switch ya da router arasında,
bir bağlantı üzerinden çok VLAN taşımak amacıyla kullanılır. Gelen paket
üzerine tanımlanan standarda uygun bir başlık yerleştirilir ve cihazlar
arasında pakete ait VLAN’ın tanınması sağlanır.
LAN Emulation (LANE): ATM
network’ünde bir bağlantı üzerinden çok VLAN taşınması amacıyla kullanılır.
IEEE 802.10 (FDDI): FDDI
network’ünde bir bağlantı üzerinden çok VLAN taşınması amacıyla kullanılır.
SAID adı verilen bir VLAN tanımlama başlığını pakete ekler.
VLAN’lar Arasında
Yönlendirme İşlemleri
Bir VLAN’a bağlı cihazlar kendi
aralarında serbestçe konuşabilir, broadcast’lerini gönderebilirler. VLAN’lar
network’ü bölümler, trafiği ayırırlar. VLAN’lar arasında cihazların
konuşabilmesi için 3. katman bir cihaza ihtiyaç vardır.
Bu durumda iki seçenek vardır:
1. Bir
router üzerine her VLAN için bir bağlantı eklenir ve router üzerinde gerekli
konfigürasyonlar yapılarak VLAN’lar arası iletişim sağlanır.
2. ISL (ya
da trunk bağlantı üzerinde VLAN tanımlaması yapabilen) bir router üzerine
switch fabric’e bağlantı yapılır, gerekli konfigürasyonlardan sonra VLAN’lar
arası iletişim sağlanır.
Eğer network üzerinde
tanımlanacak VLAN sayısı az ise (2, 3 gibi), ilk seçeneği tercih ederek VLAN
adedi kadar network çıkışı olan bir router temin edilir.
Ancak VLAN adedi fazla ve
network genişlemeye açık bir network ise, ikinci seçenek tercih edilmelidir.
Cisco router’lar 2600 ve sonrası modellerinde ISL desteği vermektedir. Bu
durumda router’ın bir bağlantısı üzerinde (tercihen en yüksek bant genişliğine
sahip olanı), ISL servisi çalıştırılır ya da router üzerine bir “route switch
module (RSM)” temin edilerek yönlendirme yapılır. RSM 1005 adet VLAN desteği
vermektedir ve router’ın backplane’i üzerinde çalıştığı için paket işlemesi
daha düşük zamanlıdır. Router’ın Fast ya da Gigabit ethernet bağlantısı
üzerinde ISL çalıştırarak VLAN yönlendirme işlemine “router-on-a-stick” adı
verilir.
VLAN Trunk Protokolü (VTP)
Cisco, network üzerinde bağlı
switchlerin VLAN yönetimi için VLAN Trunk Protokol (VTP) protokolünü
yaratmıştır. VTP ağ yöneticisine VLANlar üzerinde ad değiştirme, ekleme, silme
gibi işlemlerin yapılmasını sağlar ve yeni bilgileri ağ üzerindeki tüm switch
lere bildirir. VTP;
Çok switch’li network’lerde
merkezi yönetim ile konfigürasyon eksikliği, yanlışlığı gibi hataları ortadan
kaldırır.
Farklı network’ler arasında VLAN trunk bağlantıları kurulmasını sağlar.
Örneğin, Ethernet, ATM (LANE), FDDI arasında VLAN tanımlamalarını paylaştırır.
Hatasız bir şekilde VLAN izlemeyi ve monitörlemeyi sağlar.
Dinamik olarak eklenen VLAN’ları tüm switch’lere rapor eder.
VTP’nin ağ üzerindeki VLAN’ları yönetebilmesi için bir VTP server’ın ağa servis
vermesi gerekmektedir. VLAN bilgisinin paylaşılması istenen tüm server ve
switch’lerin aynı VTP domain grubuna biçimlendirilmesi gereklidir. Switch’ler
VTP domain bilgisini, konfigürasyon yenileme numarasını ve bilinen tüm
VLAN’ları parametreleriyle beraber yayınlarlar. Switch’ler VTP bilgilerini
trunk port’u üzerinden gönderecek, fakat almayacak ve VTP veritabanını
güncellemeyecek şekilde ayarlanabilir (transparent mode).
Switch’ler gelecek VTP bilgisini
dinleyerek, yeni VLAN tanımını alır, trunk port’larından bu VLAN’a ait yeni
bilgiyi bekler duruma geçerler. Gelebilecek olan VTP bilgisi VLAN ID, IEEE
801.10, SAID ya da LANE olabilir. Güncellemeler konfigürasyon yenileme
numarasının arttırılmasıyla sağlanır. Switch kendisinden yüksek olan
konfigürasyon yenileme numarası aldığında, daha yeni bir konfigürasyonun
geldiğini bilir ve yeni gelen bilgiyi eski veritabanının üzerine kaydeder.
Üç çeşit VTP çalışma modu
vardır: Server, Client, Transparent.
Server; Cisco Catalyst serisi
switch’lerde baştan yüklü olarak gelir. Her VTP domain için VLAN ekleme,
çıkarma, konfigüre etme işlemleri için en az bir VTP server’a ihtiyaç vardır.
Server modda çalışan bir switch üzerinde yapılan her değişiklik, o VTP
domain’ine duyurulur. Konfigürasyonu NVRAM (Non-Volatile RAM – Geçici olmayan
bellek) üzerinde saklanır.
Client; VTP sunucularından
bilgileri alan, güncelleme bilgilerini alıp, gönderen, fakat herhangi bir
değişiklik yapamayan switch’lerdir. Konfigürasyonu NVRAM (Non-Volatile RAM –
Geçici olmayan bellek) üzerinde saklanmaz, geçicidir.
Transparent; VTP domain grubuna
katılmadan, gelen VTP bilgilerini trunk port’ları üzerinden aynen gönderen
switch’lerdir. Kendi üzerlerinde bulunan VTP veritabanı üzerinde yapılabilecek
değişiklikleri trunk port’lardan iletmezler. Konfigürasyonu NVRAM (Non-Volatile
RAM – Geçici olmayan bellek) üzerinde saklanır.
VLAN Prunning
Bant genişliği tasarrufu
amacıyla, VTP konfigürasyonunu broadcast, multicast ve diğer unicast
paketlerini azaltmak amacıyla değiştirilmesidir. VTP prunning servisi gelen
broadcast’i sadece o bilgiyi alması gereken trunk port’larına gönderir,
diğerlerine göndermez. Örneğin, VLAN 5 ait hiçbir port’u bulunmayan bir
switch’e gelen VLAN 5 broadcast’i, switch’in hiçbir port’u üzerinden
gönderilmez. VTP prunning switch’lerde kapalı halde gelir. VTP prunning’in
aktif hale getirilmesi için tüm VTP domain üzerinde aktif hale getirilmesi
gerekir. VLAN 2-1005 arası prunning yapılabilir VLAn numaralarıdır. VLAN 1
yönetim amaçlı bir VLAN olduğundan hiçbir zaman prune edilemez.
