Sanal yerel alan aðý (VLAN), bir yerel alan aðý (LAN) üzerindeki að kullanýcýlarýnýn ve kaynaklarýn mantýksal olarak gruplandýrýlmasý ve switch üzerinde port'lara atanmasýyla yapýlýr. VLAN kullanýlmasýyla her VLAN sadece kendi broadcast'ini alacaðýndan, broadcast trafiði azaltýlarak bant geniþliði artýrýlmýþ olur. VLAN tanýmlamalarý, bulunulan yere, bölüme, kiþilere ya da hatta kullanýlan uygulamaya ya da protokole göre tanýmlanabilir.
VLAN'lar að üzerinde uygulanarak, 2. seviye anahtarlamanýn getirdiði birçok problem ortadan kaldýrýlýr. Bunlarý temel olarak 3 baþlýk altýnda toplayabiliriz:
1. Broadcast Kontrol
Broadcast her protokol tarafýndan üretilir. Ancak yoðunluðu protokole, uygulamaya ve servisin nasýl kullanýldýðýna göre deðiþir. Düz kullanýlan (VLAN uygulanmamýþ) 2. seviye anahtarlama cihazlarýnda, gelen broadcast paketi uçtakilerin alýp almayacaðýna bakýlmaksýzýn, her port'a gönderilir. Að üzerindeki cihaz sayýsýnýn fazla olmasý demek, broadcastin de katlanarak artmasýna ve bu paketlerin að üzerindeki her cihaza gönderilmesine neden olur.
Ýyi tasarlanmýþ bir að, ölçütlere göre segmentlere ayrýlmalýdýr. Bunu yapmanýn en uygun yolu switching ve routing'den geçer. Bu da VLAN'lar arasýnda broadcast trafiðini engeller.
2. Güvenlik
VLAN oluþturulmamýþ düz bir aðýn bir baþka dezavantajý güvenliktir. Switch kullanýlmayan bir að üzerinde (daðýtým coax kablo ya da hub aracýlýðý ile), iki bilgisayar arasýndaki veri akýþý aða baðlý tüm cihazlara da iletilmektedir (collision). Bu, trafik sorununa yol açtýðý gibi, að üzerinde gelip geçen tüm paketleri dinleyen ve veri kýsmýný çözen yazýlýmlar ve hatta donanýmlar sebebiyle oldukça güvensizdir. Daðýtým cihazý olarak switch kullanýldýðýnda her port'un kendi collision segmentine ayrýlmasý ile port'lar arasýndaki bu güvenlik açýðý engellenebilmektedir. Ancak düz kullanýlan switch topolojisinde broadcast'in tüm port'lara gönderiliyor olmasý, að üzerindeki tüm cihazlarýn birbirinin broadcast trafiðini alýyor olmasý demektir.
Ýkinci bir husus, bu að üzerinde diðerleri ile að iliþkisi olmayacak kullanýcý gruplarýna, diðer cihazlarca eriþim saðlanmakta, broadcast paketleri gönderilmektedir. Switch üzerinde að cihazlarý VLAN'lara ayrýldýðýnda bu tarz güvenlik açýklarý ortadan kalkacaktýr. Bu sayede bir kullanýcýnýn að üzerinde herhangi bir uca baðlanarak tüm aðý dinleme ve bilgiyi ele geçirme þansý olmayacaktýr. Ancak baðlanacaðý VLAN üzerinde iþlem yapabilecektir.
3. Esneklik
VLAN'lar yaratýlarak oluþturulmuþ bir að üzerinde aslýnda broadcast gruplarý oluþturulmuþtur. Anahtarlar üzerinde fiziksel konumu neresi olursa olsun, bir kullanýcýyý istediðiniz VLAN'a atama esnekliðine sahip olunur. Ayný þekilde zaman içerisinde büyüyen bir VLAN, yeni oluþturulan VLAN'lara aktarýlabilir. Bu iþlem switch üzerinde yapýlacak yeni bir port tanýmýyla mümkün olmaktadýr.
Ayný iþlem VLAN desteðini kullanmadan yapýlmaya kalkýldýðýnda, yeni oluþturulacak alt network için, merkezi router'a kadar baðlantý fiziksel olarak saðlanmalýdýr.
VLAN kullanýlan bir network'te, VLAN'lar arasý yönlendirme için bir router'a ya da baþka bir 3. katman cihaza ihtiyaç vardýr. Switch üzerinde kullanýlan her VLAN için bir ucun switch'den router'a gelmesi gerekmektedir.
VLAN'lar Arasý Ýliþkiler
Ýki çeþit VLAN bulunmaktadýr:
1. Statik VLAN'lar: Að yöneticisi tarafýndan tanýmlanarak, switch port'larý üzerine atanýr. Switch'in port'u yönetici tarafýndan tekrar deðiþtirilmediði sürece o VLAN'a aittir. Bu yöntem ile network yönetimi ve izlemesi kolaylaþýr.
2. Dinamik VLAN'lar: Dinamik VLAN'da switch port'una baðlý cihazýn VLAN'ýný tanýr ve o port'unu tanýdýðý VLAN'a otomatik olarak atar. Network yönetim programlarý ile donaným adresi (MAC), protokol, ya da hatta uygulama bazýnda dinamik VLAN tanýmlamasý yaptýrýlabilir. Örneðin, merkezi bir VLAN yönetim uygulamasýna MAC adreslerinin girildiðini düþünelim. Bir cihaz að üzerindeki bir switch'in, VLAN atanmamýþ bir port'una baðlandýðýnda, VLAN yönetim veritabanýna MAC adresi sorulur ve alýnan VLAN deðeri, switch'in o port'una atanýr. Eðer kullanýcý deðiþir ya da uca baðlý cihaz deðiþirse, yeni VLAN deðeri istenir ve port'a atanýr. Bu durumda veritabaný dikkatle hazýrlandýktan sonra, að yöneticisinin yönetim ve konfigürasyon iþleri azalýr. Cisco cihazlarda dinamik VLAN kullanýmý için VMPS (VLAN Management Policy Server - VLAN Yönetim Sunucusu) MAC adreslerine karþýlýk VLAN haritasý veritabaný servisini sunar.
VLAN Tanýmlamalarý
Vlan'lar baðlý switch'ler arasýnda daðýlýrlar. Switch fabric'i tarafýndan alýnan paket, "frame tagging" adý verilen yöntemle ait olduðu VLAN'a atanmýþ port'lara (ya da port'a) gönderilir. Switch fabric, ayný VLAN bilgisini taþýyan switch'ler grubudur. Switch dünyasýnda iki çeþit baðlantý bulunmaktadýr:
Access links; sadece bir VLAN'a ait olan baðlantýdýr. Access link üzerine baðlanan cihaz, VLAN'lar arasý iliþkilerden, fiziksel network'ten baðýmsýz olarak bir broadcast grubuna baðlý olduðu varsayýmýyla çalýþýr. Switch'ler, access link'le baðlý cihaza göndermeden önce paket üzerindeki VLAN baþlýðýný kaldýrýr. Access link üzerindeki cihazlarýn gönderdiði paketler, bir router ya da baþka bir 3. katman cihazý tarafýndan yönlendirilmediði sürece kendi VLAN'larý dýþýndaki cihazlarla konuþamazlar.
Trunk links; üzerinde birden çok VLAN taþýyabilir. Trunk link switch'ten baþka bir switch'e, bir router'a ya da bir sunucuya yapýlabilir. Sadece Fast ya da Gigabit Ethernet üzerinde desteði vardýr. Cisco switch'ler trunk baðlantý üzerindeki VLAN'larý tanýmak için iki ayrý yöntem kullanýr: ISL ve IEEE802.1q. Trunk baðlantýlar cihazlar arasýnda VLAN'larý taþýmak amacýyla kullanýlýrlar ve VLANlarýn tümünü ya da bir kýsmýný taþýmak üzere biçimlendirilebilirler.
Frame tagging yönteminde, paketin geldiði switch, paketin VLAN ID'sini (VLAN numarasýný) tanýyarak filtre tablosundan pakete ne yapýlmasý gerektiðini bulur. Paket üzerindeki VLAN baþlýðý, trunk baðlantýdan çýkmadan önce paketten ayrýlýr. Eðer paketin geldiði switch üzerinde baþka trunk baðlantý varsa, paket doðrudan bu port üzerinden gönderilir. Paketin ulaþacaðý son cihaz, paket üzerinde VLAN bilgisine eriþemez.
VLAN Tanýmlama Yöntemleri
Inter-Switch Link (ISL): Cisco switch'ler tarafýndan kullanýlýr ve sadece Fast ya da Gigabit Ethernet üzerinde çalýþabilir. Bu yöntem "external tagging" adý verilen, paketin orijinal boyunu deðiþtirmeyen, ancak 26 byte'lýk bir ISL baþlýðýný pakete ekleyerek, cihazlar arasýnda VLAN tanýnmasýný saðlayan bir yöntemdir. Ayrýca paketin sonuna paketi kontrol eden 4-byte uzunluðunda FCS (frame check sequence) alaný ekler. Paket bu eklentilerden sonra sadece ISL tanýyan cihazlar tarafýndan tanýnabilir. Paketin büyüklüðü 1522 byte uzunluðuna kadar eriþebilir ki ethernet network'ünde maksimum uzunluk 1518 byte'týr. ISL bilgileri ile zarflanan paket, access link çeþidi baðlantýya çýkacaðý zaman tüm eklentilerinden ayrýlarak orijinal haline geri döner.
IEEE 802.1q: IEEE tarafýndan geliþtirilen bu standart yöntem, farklý markadan switch ya da router arasýnda, bir baðlantý üzerinden çok VLAN taþýmak amacýyla kullanýlýr. Gelen paket üzerine tanýmlanan standarda uygun bir baþlýk yerleþtirilir ve cihazlar arasýnda pakete ait VLAN'ýn tanýnmasý saðlanýr.
LAN Emulation (LANE): ATM network'ünde bir baðlantý üzerinden çok VLAN taþýnmasý amacýyla kullanýlýr.
IEEE 802.10 (FDDI): FDDI network'ünde bir baðlantý üzerinden çok VLAN taþýnmasý amacýyla kullanýlýr. SAID adý verilen bir VLAN tanýmlama baþlýðýný pakete ekler.
VLAN'lar Arasýnda Yönlendirme Ýþlemleri
Bir VLAN'a baðlý cihazlar kendi aralarýnda serbestçe konuþabilir, broadcast'lerini gönderebilirler. VLAN'lar network'ü bölümler, trafiði ayýrýrlar. VLAN'lar arasýnda cihazlarýn konuþabilmesi için 3. katman bir cihaza ihtiyaç vardýr.
Bu durumda iki seçenek vardýr:
1. Bir router üzerine her VLAN için bir baðlantý eklenir ve router üzerinde gerekli konfigürasyonlar yapýlarak VLAN'lar arasý iletiþim saðlanýr.
2. ISL (ya da trunk baðlantý üzerinde VLAN tanýmlamasý yapabilen) bir router üzerine switch fabric'e baðlantý yapýlýr, gerekli konfigürasyonlardan sonra VLAN'lar arasý iletiþim saðlanýr.
Eðer network üzerinde tanýmlanacak VLAN sayýsý az ise (2, 3 gibi), ilk seçeneði tercih ederek VLAN adedi kadar network çýkýþý olan bir router temin edilir.
Ancak VLAN adedi fazla ve network geniþlemeye açýk bir network ise, ikinci seçenek tercih edilmelidir. Cisco router'lar 2600 ve sonrasý modellerinde ISL desteði vermektedir. Bu durumda router'ýn bir baðlantýsý üzerinde (tercihen en yüksek bant geniþliðine sahip olaný), ISL servisi çalýþtýrýlýr ya da router üzerine bir "route switch module (RSM)" temin edilerek yönlendirme yapýlýr. RSM 1005 adet VLAN desteði vermektedir ve router'ýn backplane'i üzerinde çalýþtýðý için paket iþlemesi daha düþük zamanlýdýr. Router'ýn Fast ya da Gigabit ethernet baðlantýsý üzerinde ISL çalýþtýrarak VLAN yönlendirme iþlemine "router-on-a-stick" adý verilir.
VLAN Trunk Protokolü (VTP)
Cisco, network üzerinde baðlý switchlerin VLAN yönetimi için VLAN Trunk Protokol (VTP) protokolünü yaratmýþtýr. VTP að yöneticisine VLANlar üzerinde ad deðiþtirme, ekleme, silme gibi iþlemlerin yapýlmasýný saðlar ve yeni bilgileri að üzerindeki tüm switch lere bildirir. VTP;
- Çok switch'li network'lerde merkezi yönetim ile konfigürasyon eksikliði, yanlýþlýðý gibi hatalarý ortadan kaldýrýr.
- Farklý network'ler arasýnda VLAN trunk baðlantýlarý kurulmasýný saðlar. Örneðin, Ethernet, ATM (LANE), FDDI arasýnda VLAN tanýmlamalarýný paylaþtýrýr.
- Hatasýz bir þekilde VLAN izlemeyi ve monitörlemeyi saðlar.
- Dinamik olarak eklenen VLAN'larý tüm switch'lere rapor eder.
VTP'nin að üzerindeki VLAN'larý yönetebilmesi için bir VTP server'ýn aða servis vermesi gerekmektedir. VLAN bilgisinin paylaþýlmasý istenen tüm server ve switch'lerin ayný VTP domain grubuna biçimlendirilmesi gereklidir. Switch'ler VTP domain bilgisini, konfigürasyon yenileme numarasýný ve bilinen tüm VLAN'larý parametreleriyle beraber yayýnlarlar. Switch'ler VTP bilgilerini trunk port'u üzerinden gönderecek, fakat almayacak ve VTP veritabanýný güncellemeyecek þekilde ayarlanabilir (transparent mode).
Switch'ler gelecek VTP bilgisini dinleyerek, yeni VLAN tanýmýný alýr, trunk port'larýndan bu VLAN'a ait yeni bilgiyi bekler duruma geçerler. Gelebilecek olan VTP bilgisi VLAN ID, IEEE 801.10, SAID ya da LANE olabilir. Güncellemeler konfigürasyon yenileme numarasýnýn arttýrýlmasýyla saðlanýr. Switch kendisinden yüksek olan konfigürasyon yenileme numarasý aldýðýnda, daha yeni bir konfigürasyonun geldiðini bilir ve yeni gelen bilgiyi eski veritabanýnýn üzerine kaydeder.
Üç çeþit VTP çalýþma modu vardýr: Server, Client, Transparent.
Server; Cisco Catalyst serisi switch'lerde baþtan yüklü olarak gelir. Her VTP domain için VLAN ekleme, çýkarma, konfigüre etme iþlemleri için en az bir VTP server'a ihtiyaç vardýr. Server modda çalýþan bir switch üzerinde yapýlan her deðiþiklik, o VTP domain'ine duyurulur. Konfigürasyonu NVRAM (Non-Volatile RAM - Geçici olmayan bellek) üzerinde saklanýr.
Client; VTP sunucularýndan bilgileri alan, güncelleme bilgilerini alýp, gönderen, fakat herhangi bir deðiþiklik yapamayan switch'lerdir. Konfigürasyonu NVRAM (Non-Volatile RAM - Geçici olmayan bellek) üzerinde saklanmaz, geçicidir.
Transparent; VTP domain grubuna katýlmadan, gelen VTP bilgilerini trunk port'larý üzerinden aynen gönderen switch'lerdir. Kendi üzerlerinde bulunan VTP veritabaný üzerinde yapýlabilecek deðiþiklikleri trunk port'lardan iletmezler. Konfigürasyonu NVRAM (Non-Volatile RAM - Geçici olmayan bellek) üzerinde saklanýr.
VLAN Prunning
Bant geniþliði tasarrufu amacýyla, VTP konfigürasyonunu broadcast, multicast ve diðer unicast paketlerini azaltmak amacýyla deðiþtirilmesidir. VTP prunning servisi gelen broadcast'i sadece o bilgiyi almasý gereken trunk port'larýna gönderir, diðerlerine göndermez. Örneðin, VLAN 5 ait hiçbir port'u bulunmayan bir switch'e gelen VLAN 5 broadcast'i, switch'in hiçbir port'u üzerinden gönderilmez. VTP prunning switch'lerde kapalý halde gelir. VTP prunning'in aktif hale getirilmesi için tüm VTP domain üzerinde aktif hale getirilmesi gerekir. VLAN 2-1005 arasý prunning yapýlabilir VLAn numaralarýdýr. VLAN 1 yönetim amaçlý bir VLAN olduðundan hiçbir zaman prune edilemez.
Gökhan Eryol
|