Bu yazımızda "inter-vlan routing" diye bilinen VLAN'ler arası yönlendirmenin nasıl yapıldığını anlatmaya çalışacağız.
Normal şartlarda iki farklı VLAN'e üye olan bilgisayarlar birbirlerine erişemezler.
Birinci Çözüm:
İki farklı VLAN'e üye bilgisayarların birbirlerine erişebilmeleri için VLAN'ler arası yönlendirme yapılması gereklidir. Bu yönlendirmenin yapılabilmesi için de bir yönlendiriciye ihtiyaç vardır. Aşağıdaki şekilde yönlendiricimizin bir fastethernet0/0 portuna VLAN61 ağından bir IP numarası veriyoruz (192.168.61.1). Yönlendiricimizin fastethernet0/1 portuna da VLAN53 ağından bir IP veriyoruz (192.168.53.1). VLAN61 ağında yer alan bilgisayarların varsayılan ağ geçidi (default gateway) değerine de yönlendiricimizin fastethernet IP numaralarını veriyoruz. Yani A bilgisayarının IP numarası 192.168.61.61 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.61.1 veriyoruz. Aynı şekilde C bilgisayarının IP numarası 192.168.53.53 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.53.1 veriyoruz.
Bu durumda VLAN61'e bağlı olan bilgisayarlar, VLAN53'e bağlı olan bilgisayarlarla görüşebileceklerdir.
Bu topoloji geçerli ve çalışan bir topoloji olsa da pratik değildir ve oldukça önemli bir eksiği bulunmaktadır: Örneğin anahtarımıza yeni bir VLAN daha eklemeyi düşünüyor (VLAN99) ve bu VLAN'in de diğer VLAN'lerle görüşmesini istiyorsak, yönlendiricimize bir eternet arayüzü daha eklememiz gerekecektir. Anahtarımıza her yeni VLAN ekleme durumunda da yönlendiricimize bir başka yeni bir arayüz eklememiz gerekecektir. Bu da pratikte pek mümkün değildir. Çünkü yönlendiricilerin eternet arayüzü sayısı fiziksel kısıtlardan dolayı sınırlıdır. Eternet arayüz sayısı fazla olan yönlendiriciler de oldukça pahalıdır. Sırf VLAN'ler arası yönlendirme yapmak için de bu maliyet hiçbir zaman göze alınmaz.
Ayrıca anahtara eklenecek her bir VLAN için anahtarımızdan bir portu da yönlendirici bağlantısı için kaybedeceğiz demektir. Bu da pek verimli bir çözüm değildir.
İkinci Çözüm:
Birinci çözümdeki problemden kurtulabilmek için anhtarda ve yönlendiricide IEEE 802.1q portları kullanılacaktır. Özetle söyleyecek olursak, IEEE 802.1q portları birden fazla VLAN'i geçiren portlar olarak tanımlanabilir. (Bu çözümün anlaşılabilmesi için IEEE 802.1q kavramının iyi bilinmesi gereklidir. Bu kavram bilinmiyorsa ikinci çözüm tam anlaşılmayabilir. ) Anahtarımızın bir portunu IEEE 802.1q portu olarak belirleyip, bu portu yönlendiricimizin eternet portlarından birisine takacağız. Yönlendiricimizin portunu da yine IEEE 802.1q portu olarak belirleyeceğiz ve bu port üzerine de alt arayüzler (subinterface) tanımlayacağız.
Önce anahtar konfigürasyonundan başlayalım. Anahtarımızın üzerinde 24 adet port bulunduğunu varsayıyoruz. Anahtarın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız. Anahtar üzerindeki 1-12 arası portları VLAN61'e, 13-23 arası portları da VLAN53'e dahil edeceğiz. Şekilde de görüleceği gibi anahtarımızın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 23
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface fastethernet 0/24
ANAHTAR(config-if)#switchport mode trunk
Şimdi de yönlendiricimizin konfigürasyonunu yapalım. Aşağıda yine Cisco marka bir yönlendirici için yapılmış konfigürasyon yer almaktadır:
YONLENDIRICI#configure terminal
YONLENDIRICI(config)#interface fastethernet 0/0
YONLENDIRICI(config-if)#no shutdown
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.61
YONLENDIRICI(config-if)#ip address 192.168.61.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 61
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.53
YONLENDIRICI(config-if)#ip address 192.168.53.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 53
Yukarıdaki konfigürasyonlar haricinde VLAN61 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) adreslerinin de doğru olarak girilmesi grekmektedir. VLAN61'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak 192.168.61.1 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da 192.168.53.1 girilmesi gerekmektedir.
Yukarıdaki konfigürasyon çalışıyor olsa da yine ideal bir çözüm değildir. Çünkü VLAN'ler arası yönlendirme yapmak için bir adet yönlendirici satın almak gerekecektir. Bu da ekonomik yönden pratikte pek fazla kullanılmayan bir yöntemdir.
Bundan dolayı; VLAN'ler arası yönlendirme yapılması için bir yönlendirici almak yerine, yönlendirici özelliği olan anahtarlar (Layer 3 switch) tercih edilmektedir. Böylece konfigürasyon olarak daha az karmaşık bir yöntem seçilmiş olunur. Ayrıca bu çözüm daha ekonomiktir.
Üçüncü Çözüm:
En son değineceğimiz ve genellikle de kullanılan çözümde bir adet üçüncü katman anahtara (layer 3 switch) ihtiyacımız vardır. Üçüncü katman anahtar, yönlendirme yapabilen anahtar demektir. Bu çözümde anahtarlama cihazımızda yer alan VLAN'lere birer IP numarası vermemiz gereklidir. IP numarası verdiğimiz bu VLAN'ler, SVI (Switched Virtual Interface) olarak da tanımlanırlar. VLAN'lerde yer alan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da bu VLAN'lere atadığımız IP numaralarını girmemiz gerekecektir. Bu şekilde konfigürasyon yapıldığı takdirde VLAN'ler birbirlerine erişebileceklerdir.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#ip routing
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 24
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface vlan 61
ANAHTAR(config-if)#no shutdown
ANAHTAR(config-if)#ip address 192.168.61.1 255.255.255.0
ANAHTAR(config-if)#exit
ANAHTAR(config)#interface vlan 53
ANAHTAR(config-if)#ip address 192.168.53.1 255.255.255.0
ANAHTAR(config-if)#exit
Elimizde yönlendirme yeteneği olan bir anahtar bulunduğu takdirde herhangi bir yönlendiriciye ihtiyaç duymadan yukarıdaki konfigürasyon ile VLAN'ler arası yönlendirme yapılabilecektir.
Selçuk Şahin
The purpose of this blog is to share some useful information about information security. The languages used in this blog are Turkish and English. Bu günlüğün temel amacı bilgi güvenliği ile ilgili faydalı bilgileri paylaşmaktır. Günlüğün dili Türkçe ve İngilizce'dir.
Wednesday, June 23, 2010
Monday, June 7, 2010
HP ProCurve Anahtarlari İçin "port mirroring" Yapılması
Selamlar,
Bu yazımızda HP ProCurve marka anahtarlama cihazlarında "port mirroring" konfigürasyonunun nasıl yapılacağını anlatacağız.
HP ProCurve marka anahtarlama cihazlarında "port mirroring" ayarı yapmak çok basittir. Aşağıdaki konfigürasyon, HP ProCurve 2848 anahtarlama cihazı için yaplmıştır.
Önce trafiklerini aynalayacağımız (mirroring) portları belirlememiz gerekiyor. Bizim kullandığımız anahtarlama cihazında toplam 48 adet port var ve biz bu portlardan ilk 20 tanesini (1-20), 48 numaralı porta aynalayacağız. Yani ilk 20 porttan geçen trafik, 48 numaralı porta yönlendirilecektir:
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#interface 1-20
ANAHTAR(config-1-20)#monitor
Yukarıda yapılan şey, aynalama (mirroring) yapılacak olan portların içerisinde girip "monitor" komutunu yazmaktan ibarettir.
Bundan sonra yapılacak tanım 1-20 arasındaki portların hangi porta ya da portlara yönlendirileceğidir (mirroring):
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#mirror-port ethernet 48
Yukarıdaki basit konfigürasyon adımlarıyla anahtarlama cihazının üzerindeki 1-20 portları, 48 numaralı porta yönlendirmiş (mirroring) oluyoruz.
Bu yazımızda HP ProCurve marka anahtarlama cihazlarında "port mirroring" konfigürasyonunun nasıl yapılacağını anlatacağız.
HP ProCurve marka anahtarlama cihazlarında "port mirroring" ayarı yapmak çok basittir. Aşağıdaki konfigürasyon, HP ProCurve 2848 anahtarlama cihazı için yaplmıştır.
Önce trafiklerini aynalayacağımız (mirroring) portları belirlememiz gerekiyor. Bizim kullandığımız anahtarlama cihazında toplam 48 adet port var ve biz bu portlardan ilk 20 tanesini (1-20), 48 numaralı porta aynalayacağız. Yani ilk 20 porttan geçen trafik, 48 numaralı porta yönlendirilecektir:
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#interface 1-20
ANAHTAR(config-1-20)#monitor
Yukarıda yapılan şey, aynalama (mirroring) yapılacak olan portların içerisinde girip "monitor" komutunu yazmaktan ibarettir.
Bundan sonra yapılacak tanım 1-20 arasındaki portların hangi porta ya da portlara yönlendirileceğidir (mirroring):
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#mirror-port ethernet 48
Yukarıdaki basit konfigürasyon adımlarıyla anahtarlama cihazının üzerindeki 1-20 portları, 48 numaralı porta yönlendirmiş (mirroring) oluyoruz.
Subscribe to:
Posts (Atom)