VLAN V IRTUAL L OCAL A REA N ETWORKS H. Cem KEFELİ Security of Computer Networks – H. Engin DEMİRAY

2 S UNUM IÇERIĞI Network cihazları ve özellikleri. Broadcast, Unicast, Multicast kavramları. VLAN nedir? VLAN işlevleri? VTP protokolü VLAN konfigürasyonu nasıl yapılır? Packet Tracer nedir? VLAN simülasyonu. Tartışma

N ETWORK E LEMANLARI Hub RouterSwitch Layer 3 Device No Collision Domain No Broadcast Domain Layer 2 Device No Collision Domain Broadcast Domain Layer 1 Device Collision Domain Broadcast Domain

H UB

S WITCH

R OUTER

K ATMANLI N ETWORK Y APISI

H UB - R EPEATER A repeater connects segments of a LAN. It forwards every frame and has no filtering capability. It also is a regenerator, not an amplifier

B ROADCAST IP Packet ICMP Broadcast.pkt

B RIDGE - S WITCH A bridge does not change the physical (MAC) addresses in a frame. A bridge has a table used in filtering decisions

U NICAST IP Packet ICMP Unicast.pkt

M ULTICAST IP Packet RIPv2 PDU Multicast.pkt IP Packet RIPv2 PDU IP Packet RIPv2 PDU

VLAN N EDIR ? V irtual LAN = V irtual L ocal A rea N etwork IEEE tarafından geliştirilmiştir. VLAN yapısı kullanılarak mantıksal ağ ağlar oluşturulabilir. Bu mantıksal ağlar aslında bölümlenmiş birer broadcast domaindir

VLAN N EDIR ? (C ONT ’ D.) Her VLAN için kendisine ait bir broadcast domain’i oluşmaktadır. VLAN’lar en az Layer-2 bir cihaz kullanılarak oluşturulabilirler. Eğer VLAN oluşturulan ortamda Layer-3 işlevi görebilecek yeteneklere sahip bir cihaz yoksa VLAN’lar arası haberleşme sağlanamaz

VLAN İŞLEVLERİ VLAN’lar bir network içerisindeki broadcast domainleri istediğimiz gibi yönetmemizi sağlar. Böylece network içerinde dolaşan broadcast paketlerin sayısı azalır ve gereksiz trafik oluşmamış olur. Broadcast domainler birbirinden yalıtıldığı için güvenlik daha etkin bir biçimde düzenlenir. Nasıl??? Access Control List(ACL)’lerin daha etkin kullanımını sağlar

VLAN ÇEŞİTLERİ Statik VLAN VLAN'lar switch portlarının yönetici tarafından atanmasıyla oluşturulan VLAN’lara verilen isimdir. Dinamik VLAN Aygıtların adreslerinin bir veritabanına girilmesi ve switchlerin otomatik olarak atanması işlemine dinamik VLAN denir. Statik VLAN'lar daha güvenlidir. Daha kolay yönetilir ve bakımı yapılır. Dinamik VLAN'lar ise nodun VLAN'ını otomatik olarak belirler. Bir yazılım aracılığıyla donanım adresleri(MAC) ve protokollerin VLAN'ı dinamik olarak yaratması sağlanır. Cisco network yöneticileri VLAN Management Policy Server (VMPS) yazılımını kullanarak MAC adresleri veritabanını oluştururlar. Bu adresler sayesinde VLAN'ların dinamik adreslenmesi sağlanır

S TATIK VLAN

D INAMIK VLAN

VLAN PORT ÇEŞİTLERİ Herhangi bir cihazın bir VLAN’a switch üzerinden üye edilmesi ile oluşan fiziksel hattır. Bir switch’in bir başka switch’e bağlanması ile oluşan ve VLAN bilgilerini taşıyan fiziksel hattır. Access PortTrunk Port

F RAME T AGGING M ETHODS

IEEE Q / E THERNET -F RAME “ TAGGING ” Trunk’lar üzerinden akan VLAN bilgileri etiketlenerek taşınmaktadır. Bir VLAN içerisinden çıkan herhangi bir cihaza ait IP paketleri, içeriklerine ekstra bazı veriler eklenerek trunk portlar üzerinden taşınmaktadır. Günümüzde bu etiketleme işlemi için kullanılan en yaygın protokol IEEE 802.1Q’dür

IEEE Q U SER P RIORITY V ALUES

VTP - V LAN T RUNKING P ROTOCOL VLAN bilgilerinin ağdaki diğer cihazlar ile paylaşılması amacı ile oluşturulan bir protokoldür. Böylece geniş bir ağ içerisindeki tüm cihazlar için aynı VLAN konfigürasyonunun yapılmasına gerek kalmaz. Her bir switch kendi üzerinde oluşturulmuş VLAN’ları diğer switchlere tanıtır. Böylece ağ içerisinde aynı VTP domain’inde yer alan her cihaz birbiri ile senkron olur. VTP, Server-Client yapısı ile çalışan bir sistemdir. VTP bilgileri yalnızca trunk portlar arasında taşınmaktadır

VTP M ODLARI Server Mode: Bu modda çalışan switch üzerinde VLAN oluşturulur, değiştirilir ve silinebilir. Transparent Mode: Bu modda çalışan switch VTP'den VLAN bilgilerini alabildiği gibi, kendi üzerinde de VLAN oluşturulabilir. Ancak, kendi üzerinde üretilen VLAN bilgilerini diğer switchler ile paylaşmaz. Client Mode: Bu modda çalışan switch trunk portları üzerinden VLAN bilgisini alırlar ve VLAN bilgilerini diğer trunk portlara taşırlar. Ancak kendi üzerilerinde VLAN oluşturamaz ya da silemezsiniz

VTP P RUNING Networkde gönderilen broadcast paketleri varsayılan olarak trunk portlardan tüm cihazlara taşınacaktır. Çünkü o cihazlarda o VLAN’e üye bazı kullanıcılar bulunabilir. Fakat VLAN’a üye kullanıcı olmadığı sezimlenirse taşınmasına gerek yoktur. Bu özelliğe VTP pruning adı verilir

VLAN K ONFIGÜRASYONU Switchler üzerinde VLAN’lar oluşturulur. Switch> enable Switch# configure terminal Switch(config)# vlan 2 Switch(config-vlan)# name VLAN2 Switch(config-vlan)# exit Switch(config)# vlan 3 Switch(config-vlan)# name VLAN3 Switch(config-vlan)# exit Switch(config)# exit Switch#

VLAN K ONFIGÜRASYONU İlgili portlar/cihazlar bu VLAN’lara üye yapılır. Switch> enable Switch# configure terminal Switch(config)# i nt fastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 2 Switch(config-if)# exit Switch(config)# int fastEthernet 0/2 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 3 Switch(config-if)# exit Switch(config)# int fastEthernet 0/4 Switch(config-if)# switchport mode trunk Switch(config-if)# exit Switch(config)#

VLAN K ONFIGÜRASYONU Eğer birden çok switch varsa VTP kullanılarak daha etkin PDU paylaşımı sağlanır. Switch> enable Switch# vlan database Switch(vlan)# vtp domain MyCompanyArea Changing VTP domain name from NULL to MyCompanyArea Switch(vlan)# vtp client Setting device to VTP CLIENT mode. Switch(vlan)# exit APPLY completed. Exiting.... Switch#

VLAN K ONFIGÜRASYONU

VLAN K ONFIGÜRASYONU

VLAN K ONFIGÜRASYONU

S WITCH T OPOLOJISI SimpleSwitchTopology.pkt

VLAN T OPOLOJISI SimpleVLANTopology.pkt

VLAN I NTER -R OUTING T OPOLOJI SimpleVLANInterroutingTopology.pkt

VLAN I NTER -R OUTING T OPOLOJI VLANInterroutingTopology. pkt

VLAN V IRTUAL L OCAL A REA N ETWORKS H. Cem KEFELİ Security of Computer Networks – H. Engin DEMİRAY TEŞEKKÜRLER…