eNSP - VLAN
- melihcelenk
- Site Admin
- Mesajlar: 218
- Kayıt: 05 Eki 2021, 03:23
eNSP - VLAN
Bir ağda bulunan bütün cihazlar birbirlerinin mac adreslerini öğrenmek için broadcast yaparlar. Ağ büyüdükçe bu trafik artar ve hız azalır. Bunu önlemenin yolu alt ağlara bölmektir. Böylece her bilgisayar sadece kendi vlan'indeki cihazlara broadcast yapacaktır ve bütün ağ yavaşlamayacaktır.
Her VLAN bir alt ağdır. Bu aynı zamanda güvenliği sağlar. Örneğin satış departmanındaki bir bilgisayar üretim ve ar-ge departmanının ağına erişemez. Ancak her üç katta da satış departmanına ait bölümler olduğunu ve yukarı katlarda yöneticilerin bulunduğunu düşünürsek satış departmanına ait 1. kattaki bir bilgisayar 3. kattaki bir bilgisayarla haberleşebilir. Veya Kat 1 ile Kat 2'deki insan kaynakları departmanına ait bilgisayarlar haberleşebilirken yöneticilerin bulunduğu 3. kattaki VLAN 30'a ait bilgisayarlara erişimi kısıtlayabiliriz.
Bir yerel alan ağı üzerindeki paketlerin çoğu VLAN etiketlerine sahiptir. Ancak ATM, FR ve PPP gibi bazı WAN protokolleri VLAN paketlerini tanımlayamaz.Bu nedenle WAN'a bir VLAN paketi gönderileceğinde VLAN bilgileri paketlenir, VLAN etiketi kaldırılır ve paket iletilir. Bu uygulamada WAN'a çıkmayan bir VLAN tanımlaması yapılacaktır.
VLAN atamanın değişik yöntemleri vardır. Bu uygulamada oluşturduğumuz VLAN'leri portlara atayacağız.
Uygulamamızda 3 katlı bir bina var. Her katta Satış, Üretim ve Ar-Ge, İnsan Kaynakları olmak üzere üç departman var. Her departman için birer VLAN tanımlıyoruz. Bunlar
VLAN 10 ağı 10.0.10.0/24 (SATIŞ)
VLAN 20 ağı 10.0.20.0/24 (ÜRETİM VE AR-GE)
VLAN 30 ağı 10.0.30.0/24 (İNSAN KAYNAKLARI)
şeklinde olacak.
Port Bazlı VLAN atama
PC1 için:
Çok fazla cihaz olduğundan anlaşılır olması amacıyla her bilgisayara kendi numarası ve VLAN'ine göre IP verdik.
Cihazları Start butonuyla çalıştıralım ve konfigürasyona başlayalım.
* * * * *
R1 - Yönlendirici Konfigürasyonu
Yönlendiricimizin (R1) GE 0/0/0 portuna üç IP atayacağız. Her bilgisayar kendi VLAN'ine ait varsayılan ağ geçidi üzerinden iletişim kuracak.
10 Vlan'i için 10.0.10.254 (GE 0/0/0.10)
20 Vlan'i için 10.0.20.254 (GE/0/0/0.20)
30 Vlan'i için 10.0.30.254 (GE/0/0/0.30)
IP adresleri yönlendiricimizin ara yüzlerine tanımlanacak.
VLAN paketleri Dot1q paketleri ve QinQ paketleri olarak sınıflandırılabilir. Farkları Dot1q paketinin tek, QinQ paketinin çift katmanlı VLAN etiketi taşımasıdır. Bu uygulamada Dot1q kullanacağız. Dot1q ismi IEEE'nin 802.1q protokolünden gelmektedir.
Şimdi R1 terminalini çift tıklayarak açalım ve
Hatalı bir giriş (örneğin .40 yazıldı) yapıldığında geri almak için q ile geri dönüp
Aynı komutları diğer ara yüzler üzerinde diğer VLAN'ler için kullanalım:
Ayrıca
* * * * *
LSW1 - Kat 1'deki Switch Konfigürasyonu
LSW1'in terminaline girelim. Sistem moduna geçelim.
Şimdi her bir port için bir vlan tanımlayacağız. GE 0/0/1 portumuzda PC1, GE 0/0/2 portumuzda PC2 ve diğer portlarda da anlatım kolaylığı açısından bilgisayarlar kendi numaralarını taşıyan portlar üzerinden bağlı.
Portlarda Access, Hybrid ve Trunk olmak üzere üç tane bağlantı tipi var.
access: Bir porta bir kullanıcı cihazı bağlanır. Ethernet çerçeveleri etiketlenmez. Arabirim, paketlere bir VLAN etiketi ekler. Access link, etiketlenmemiş bir paket aldığında kabul eder ve default VLAN ID ile etiketler. Etiketlenmiş bir paket aldığında ise VLAN ID'si varsayılan VLAN ID ile aynıysa paketi kabul eder ve iletir. Paketin VLAN ID'si varsayılan VLAN ID'den farklı ise paketi bırakır. Ayrıca göndereceği paketin VLAN etiketini siler.
trunk: Trunk ara yüzü, birden çok VLAN'den gelen çerçevelerin geçmesine izin verir. Pratikte switchler veya yönlendiricilere VLAN'lerin taşınmasını sağlar. Trunk olmasaydı her bir VLAN için farklı kablo bağlamamız gerekirdi. Eth-trunk birden fazla fiziksel bağlantının bir yol üzerinden geçmesini sağlıyordu, VLAN Trunk ise birden fazla mantıksal ağın bir yol üzerinden geçmesini sağlıyor.
hybrid: Bir kullanıcı cihazına veya switch'e bağlanabilen karma bir bağlantıdır. Birden çok VLAN'den gelen çerçevelerin geçmesine izin verir ve giden çerçevelerin etiketlerini kaldırabilir.
Biz bu uygulamada switch'in bilgisayarlara bağlı olan portları için
Bu konfigürasyonu geri almak için
Aynı komutları diğer portlar için de yapalım.
Artık vlan'lerimizi oluşturduk ve 1. kattaki her bilgisayar kendi vlan'i içinde haberleşebilir. Ancak henüz 2. ve 3. kattaki kendi departmanlarındaki bilgisayarlarla haberleşemez.
2. katla iletişimi sağlamak için orada bulunan LSW2 switch'inde de vlan tanımlayıp VLAN geçişine izin vermemiz gerekmektedir.
2. switch'te vlan tanımlamadan önce 1. switch'te vlan geçişine izin vererek buradaki işlemlerimizi tamamlayalım.
Bu kez karşı tarafta bir switch olduğu için
Bütün vlan'lere izin vermek için
Aynı işlemleri yönlendiriciye giden port, yani GE 0/0/24 için de yapalım.
Yanlış bir vlan tanımlaması yaptıysak
1 vlan'i varsayılan olarak atanır. Vlan'e eklemediğimiz her portu burada görmekteyiz. Kapalı durumda olduğundan D(Down) olarak görünmektedir.
10 vlan'ine baktığımızda GE0/0/1 ve GE0/0/2 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
20 vlan'ine baktığımızda GE0/0/3 ve GE0/0/4 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
20 vlan'ine baktığımızda GE0/0/5 ve GE0/0/6 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
Ayrıca terminalde aşağı satırlarda VLAN'lere verdiğimiz isimleri de görebiliriz. Varsayılan olarak atanan vlan 1 için otomatik olarak VLAN 0001 ismi verilmiş.
LSW2 - Kat 2'deki Switch Konfigürasyonu
Aynı komutları bağlı portları göz önüne alarak LSW2 için de yazıyoruz.
Önce vlan'leri tanımlıyoruz.
Ardından her bir porta vlan atıyoruz.
Son olarak vlan'lerimizi display vlan komutu ile kontrol ediyor ve switch'ler arası vlan aktarımı için trunk yapıyoruz. Bu kez vlan 10 20 komutunu kullanalım ve 30'u dahil etmediğimizde ne olacağını görelim.
PC5'ten PC11'e ping atalım.
Görüldüğü gibi switch'ten vlan 30 için geçişe izin vermediğimiz için haberleşme sağlanamadı.
Ardından yönlendiricimizin terminaline tekrar dönüp GE 0/0/23 portu için
Kat 3'e giden GE 0/0/24 portuna da vlan'ler için geçiş izni vermeyi unutmayalım.
Bu kez tekrar PC5'ten PC11'e ping atalım.
Aynı vlan'deki bilgisayarların farklı katlarda farklı switch'lere bağlı olmasına rağmen haberleşebildiğini gördüğümüze göre konfigürasyonun başarılı yapıldığını anlamış olduk. 3. katın konfigürasyonu da aynı şekilde ilgili portlar göz önüne alınarak aynı şekilde yapıldığında bütün katlardaki bilgisayarlar kendi vlan'lerinde haberleşebilir duruma gelecektir.
Topolojiyi aşağıdan indirip inceleyebilirsiniz. Ya da kendiniz kurup içinde bulunan cihazlara ait konfigürasyon dosyalarını (.cfg) switch'lere ve yönlendiriciye sağ tıklayarak Import Config butonuyla içeri aktarabilirsiniz.
KAYNAKLAR:
https://support.huawei.com/enterprise/e ... in-a-batch
https://support.huawei.com/enterprise/e ... nation-vid
https://support.huawei.com/enterprise/e ... n-commands
https://support.huawei.com/enterprise/e ... -link-type
https://support.huawei.com/enterprise/e ... C250450822
Her VLAN bir alt ağdır. Bu aynı zamanda güvenliği sağlar. Örneğin satış departmanındaki bir bilgisayar üretim ve ar-ge departmanının ağına erişemez. Ancak her üç katta da satış departmanına ait bölümler olduğunu ve yukarı katlarda yöneticilerin bulunduğunu düşünürsek satış departmanına ait 1. kattaki bir bilgisayar 3. kattaki bir bilgisayarla haberleşebilir. Veya Kat 1 ile Kat 2'deki insan kaynakları departmanına ait bilgisayarlar haberleşebilirken yöneticilerin bulunduğu 3. kattaki VLAN 30'a ait bilgisayarlara erişimi kısıtlayabiliriz.
Bir yerel alan ağı üzerindeki paketlerin çoğu VLAN etiketlerine sahiptir. Ancak ATM, FR ve PPP gibi bazı WAN protokolleri VLAN paketlerini tanımlayamaz.Bu nedenle WAN'a bir VLAN paketi gönderileceğinde VLAN bilgileri paketlenir, VLAN etiketi kaldırılır ve paket iletilir. Bu uygulamada WAN'a çıkmayan bir VLAN tanımlaması yapılacaktır.
VLAN atamanın değişik yöntemleri vardır. Bu uygulamada oluşturduğumuz VLAN'leri portlara atayacağız.
Uygulamamızda 3 katlı bir bina var. Her katta Satış, Üretim ve Ar-Ge, İnsan Kaynakları olmak üzere üç departman var. Her departman için birer VLAN tanımlıyoruz. Bunlar
VLAN 10 ağı 10.0.10.0/24 (SATIŞ)
VLAN 20 ağı 10.0.20.0/24 (ÜRETİM VE AR-GE)
VLAN 30 ağı 10.0.30.0/24 (İNSAN KAYNAKLARI)
şeklinde olacak.
Port Bazlı VLAN atama
PC1 için:
Diğer bilgisayarlara daIP adresi: 10.0.10.1
Subnet maskesi: 255.255.255.0
Gateway: 10.0.10.254
şeklinde atamaları yapıyoruz.IP adresi 10.0.[Bulunduğu VLAN].[PCNumarası]
Subnet maskesi: 255.255.255.0
Gateway: 10.0.[Bulunduğu VLAN].254
Çok fazla cihaz olduğundan anlaşılır olması amacıyla her bilgisayara kendi numarası ve VLAN'ine göre IP verdik.
Cihazları Start butonuyla çalıştıralım ve konfigürasyona başlayalım.
* * * * *
R1 - Yönlendirici Konfigürasyonu
Yönlendiricimizin (R1) GE 0/0/0 portuna üç IP atayacağız. Her bilgisayar kendi VLAN'ine ait varsayılan ağ geçidi üzerinden iletişim kuracak.
10 Vlan'i için 10.0.10.254 (GE 0/0/0.10)
20 Vlan'i için 10.0.20.254 (GE/0/0/0.20)
30 Vlan'i için 10.0.30.254 (GE/0/0/0.30)
IP adresleri yönlendiricimizin ara yüzlerine tanımlanacak.
VLAN paketleri Dot1q paketleri ve QinQ paketleri olarak sınıflandırılabilir. Farkları Dot1q paketinin tek, QinQ paketinin çift katmanlı VLAN etiketi taşımasıdır. Bu uygulamada Dot1q kullanacağız. Dot1q ismi IEEE'nin 802.1q protokolünden gelmektedir.
Şimdi R1 terminalini çift tıklayarak açalım ve
komutuyla GE 0/0/0.10 ara yüzüne girelim. Bu aynı zamanda .10 ara yüzünü aktif edecektir.interface g0/0/0.10
Hatalı bir giriş (örneğin .40 yazıldı) yapıldığında geri almak için q ile geri dönüp
komutu kullanılabilir.[R1]undo interface g0/0/0.40
komutunu yazalım. Bu komutla birlikte VLAN paketindeki etiket kaldırılarak 3. katmana iletilir. VLAN etiketi 10 olan paketlerin geçmesine izin verilir.dot1q termination vid 10
komutuyla bu ara yüze IP atayalım. 10 VLAN'ine ait bilgisayarlar bu IP üzerinden haberleşecek.ip address 10.0.10.254 24
komutuyla VLAN etiketi alt arabirimlerinde ARP yayınını etkinleştirelim. Bunu yapmadığımız takdirde VLAN etiketi sonlandırma alt arabirimleri paketleri aldıktan sonra yayın paketini atar. Yayın paketlerinin geçişine izin vermek için bu komutu kullanırız.arp broadcast enable
Aynı komutları diğer ara yüzler üzerinde diğer VLAN'ler için kullanalım:
int g0/0/0.20
dot1q termination vid 20
ip add 10.0.20.254 24
arp broadcast enable
int g0/0/0.30
dot1q termination vid 30
ip add 10.0.30.254 24
arp broadcast enable
komutuyla oluşturduğumuz arabirimleri görebiliriz.display interface brief
komutu ile yaptıklarımızı kontrol edebiliriz. Aynı komutun sonuna ara yüzüdisplay current-configuration interface
şeklinde eklersek sadece ona ait konfigürasyonu görürüz.display current-configuration interface g0/0/0.10
Ayrıca
komutunu çalıştırırsak da eklediğimiz arabirimlerin arp tablosunda yer aldığını görürüz.display arp
* * * * *
LSW1 - Kat 1'deki Switch Konfigürasyonu
LSW1'in terminaline girelim. Sistem moduna geçelim.
komutuyla 10 etiketli bir vlan tanımlayalım.vlan 10
ile vlan'imize açıklama yazalım. q ile geri dönelim.description SATIS
komutuyla 20 etiketli bir vlan tanımlayalım.vlan 20
ile vlan'imize açıklama yazalım. q ile geri dönelim.description URETIM-ARGE
komutuyla 30 etiketli bir vlan tanımlayalım.vlan 30
ile vlan'imize açıklama yazalım. q ile geri dönelim.description INSANKAYNAKLARI
Şimdi her bir port için bir vlan tanımlayacağız. GE 0/0/1 portumuzda PC1, GE 0/0/2 portumuzda PC2 ve diğer portlarda da anlatım kolaylığı açısından bilgisayarlar kendi numaralarını taşıyan portlar üzerinden bağlı.
ile GE 0/0/1 ara yüzüne girelim.interface g0/0/1
Portlarda Access, Hybrid ve Trunk olmak üzere üç tane bağlantı tipi var.
access: Bir porta bir kullanıcı cihazı bağlanır. Ethernet çerçeveleri etiketlenmez. Arabirim, paketlere bir VLAN etiketi ekler. Access link, etiketlenmemiş bir paket aldığında kabul eder ve default VLAN ID ile etiketler. Etiketlenmiş bir paket aldığında ise VLAN ID'si varsayılan VLAN ID ile aynıysa paketi kabul eder ve iletir. Paketin VLAN ID'si varsayılan VLAN ID'den farklı ise paketi bırakır. Ayrıca göndereceği paketin VLAN etiketini siler.
trunk: Trunk ara yüzü, birden çok VLAN'den gelen çerçevelerin geçmesine izin verir. Pratikte switchler veya yönlendiricilere VLAN'lerin taşınmasını sağlar. Trunk olmasaydı her bir VLAN için farklı kablo bağlamamız gerekirdi. Eth-trunk birden fazla fiziksel bağlantının bir yol üzerinden geçmesini sağlıyordu, VLAN Trunk ise birden fazla mantıksal ağın bir yol üzerinden geçmesini sağlıyor.
hybrid: Bir kullanıcı cihazına veya switch'e bağlanabilen karma bir bağlantıdır. Birden çok VLAN'den gelen çerçevelerin geçmesine izin verir ve giden çerçevelerin etiketlerini kaldırabilir.
Biz bu uygulamada switch'in bilgisayarlara bağlı olan portları için
komutuyla access'i seçiyoruz.port link-type access
Bu konfigürasyonu geri almak için
komutunu kullanabiliriz.undo port link-type
ile porta ait varsayılan vlan'i tanımlıyoruz.port default vlan 10
komutuyla yaptığımız konfigürasyonu görelim.display this
Aynı komutları diğer portlar için de yapalım.
int g0/0/2
port link-type access
port default vlan 10
int g0/0/3
port link-type access
port default vlan 20
int g0/0/4
port link-type access
port default vlan 20
int g0/0/5
port link-type access
port default vlan 30
Uygulamada her vlan için az sayıda bilgisayar olduğu için bu şekilde yaptık. Eğer çok sayıda bilgisayar olsaydı bunları gruplayıp tek seferde konfigüre edebilirdik. 20 vlan'i için aşağıdaki gibi gruplama yapabiliriz ve her birinin ara yüzüne girmek yerine grup ara yüzüne girip yukarıdaki komutları yazabiliriz. "to" ifadesi aralığı belirtmek için kullanılır. Aşağıda g0/0/4 yerine g0/0/12 yazarsak 3'ten 12'ye kadar bütün portları gruplayarak girdiğiniz komutları her biri için uygulayacaktır.int g0/0/6
port link-type access
port default vlan 30
Bunu yaptıktan sonra display this komutuyla kontrol edebilirsiniz ve başka bir zaman tekrar port-group kat1-20 komutuyla bu ara yüze erişebilirsiniz.<HUAWEI> system-view
[HUAWEI] port-group kat1-20
[HUAWEI-port-group-kat1-20] group-member g0/0/3 to g0/0/4
Artık vlan'lerimizi oluşturduk ve 1. kattaki her bilgisayar kendi vlan'i içinde haberleşebilir. Ancak henüz 2. ve 3. kattaki kendi departmanlarındaki bilgisayarlarla haberleşemez.
2. katla iletişimi sağlamak için orada bulunan LSW2 switch'inde de vlan tanımlayıp VLAN geçişine izin vermemiz gerekmektedir.
2. switch'te vlan tanımlamadan önce 1. switch'te vlan geçişine izin vererek buradaki işlemlerimizi tamamlayalım.
ile LSW2'ye giden portun ara yüzüne girelim.int g0/0/23
Bu kez karşı tarafta bir switch olduğu için
komutuyla bağlantı tipimizi trunk olarak seçelim.port link-type trunk
ile oluşturduğumuz 10, 20 ve 30 vlan'lerinin GE 0/0/23 portuna geçişine izin verelim.port trunk allow-pass vlan 10 20 30
Bütün vlan'lere izin vermek için
komutunu da kullanabiliriz. Bu kez 2 ile 4094 arasındaki bütün vlan'lerin geçişine izin vermiş oluruz.port trunk allow-pass vlan all
Aynı işlemleri yönlendiriciye giden port, yani GE 0/0/24 için de yapalım.
Şimdiint g0/0/24
port link-type trunk
port trunk allow-pass vlan 10 20 30
komutu ile oluşturduğumuz vlan'leri inceleyelim.display vlan
Yanlış bir vlan tanımlaması yaptıysak
ile 11 vlan'iniundo vlan 11
ile 10'dan 20'ye bütün vlan'leriundo vlan batch 10 to 20
ile bütün vlan'leri kaldırabiliriz.undo vlan batch 2 to 4094
1 vlan'i varsayılan olarak atanır. Vlan'e eklemediğimiz her portu burada görmekteyiz. Kapalı durumda olduğundan D(Down) olarak görünmektedir.
10 vlan'ine baktığımızda GE0/0/1 ve GE0/0/2 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
20 vlan'ine baktığımızda GE0/0/3 ve GE0/0/4 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
20 vlan'ine baktığımızda GE0/0/5 ve GE0/0/6 portlarının UT (UNTAG) olarak işaretlendiğini ve U(UP) yani aktif olduğunu görüyoruz.
GE0/0/23 portu TG (TAG) olarak işaretlenmiş ve U(UP) aktif durumda.
Ayrıca terminalde aşağı satırlarda VLAN'lere verdiğimiz isimleri de görebiliriz. Varsayılan olarak atanan vlan 1 için otomatik olarak VLAN 0001 ismi verilmiş.
LSW2 - Kat 2'deki Switch Konfigürasyonu
Aynı komutları bağlı portları göz önüne alarak LSW2 için de yazıyoruz.
Önce vlan'leri tanımlıyoruz.
Ardından her bir porta vlan atıyoruz.
Son olarak vlan'lerimizi display vlan komutu ile kontrol ediyor ve switch'ler arası vlan aktarımı için trunk yapıyoruz. Bu kez vlan 10 20 komutunu kullanalım ve 30'u dahil etmediğimizde ne olacağını görelim.
PC5'ten PC11'e ping atalım.
Görüldüğü gibi switch'ten vlan 30 için geçişe izin vermediğimiz için haberleşme sağlanamadı.
Ardından yönlendiricimizin terminaline tekrar dönüp GE 0/0/23 portu için
komutunu yazalım.port trunk allow-pass vlan 10 20 30
Kat 3'e giden GE 0/0/24 portuna da vlan'ler için geçiş izni vermeyi unutmayalım.
Bu kez tekrar PC5'ten PC11'e ping atalım.
Aynı vlan'deki bilgisayarların farklı katlarda farklı switch'lere bağlı olmasına rağmen haberleşebildiğini gördüğümüze göre konfigürasyonun başarılı yapıldığını anlamış olduk. 3. katın konfigürasyonu da aynı şekilde ilgili portlar göz önüne alınarak aynı şekilde yapıldığında bütün katlardaki bilgisayarlar kendi vlan'lerinde haberleşebilir duruma gelecektir.
Topolojiyi aşağıdan indirip inceleyebilirsiniz. Ya da kendiniz kurup içinde bulunan cihazlara ait konfigürasyon dosyalarını (.cfg) switch'lere ve yönlendiriciye sağ tıklayarak Import Config butonuyla içeri aktarabilirsiniz.
KAYNAKLAR:
https://support.huawei.com/enterprise/e ... in-a-batch
https://support.huawei.com/enterprise/e ... nation-vid
https://support.huawei.com/enterprise/e ... n-commands
https://support.huawei.com/enterprise/e ... -link-type
https://support.huawei.com/enterprise/e ... C250450822