Bu yazıda  VLAN’ların nasıl oluşturulduğundan, vlanlar üzerinden nasıl iletişim kurulduğundan ve VLAN iletişiminin nasıl test edileceğinden bahsedeceğiz.  Kısaca VLAN’ın ne olduğundan bahsedecek olursak VLAN’lar LAN kavramının sanallaştırılmış halidir.  Bir switch’in portları vlan’lar aracılığıyla gruplandırılarak birbirlerine erişimleri denetlenir. (Birbirlerinden soyutlanmaları sağlanır.)

VLAN’lar hakkında daha detaylı bilgiye aşağıdaki yazılardan ulaşabilirsiniz.

Aşağıda örnek switch’imiz yer almakta.  Cisco komutları kullanacağız. Uygulamayı packet tracer üzerinden gerçekleştirebileceğiniz gibi gerçek cihaz veya GNS3 gibi başka bir simulasyon ortamı da kullanabilirsiniz.

Bu switch’in 1 ve 2. portları muhasabe (accounting), 3 ve 4. portları ise satış (sales) için ayrılmış olsun.

  • VLAN2 10.1.2.0/24, Accounting PORT1, PORT2
  • VLAN3 10.1.3.0/24, Sales PORT3, PORT4

Hedefler

Bu uygulamada aşağıdaki hedefleri gerçekleştirmeye odaklanıyoruz. Genel olarak mevcut yapıyı gözden geçirdikten sonra aşağıdaki adımları tamamlayacağız.

  1. VLAN2 ve VLAN3 VLAN’lerini oluşturun ve isim verin.
  2. Belirtilen portları VLAN’lere atayın.
  3. Portlarda STP’yi inaktif hale getirin. (spanning-tree portfast)
  4. PC1 ve PC2’yi 1 ve 2 nolu portlara takın ve aynı subnetden IP verin.
  5. İki PC arasında devamlı ping atın.
  6. PC’lerden birini çıkarın ve port 3’e geçirin. Ping’e ne olduğunu gözleyin.
  7. Diğer PC’yi çıkarın ve port 4’ye geçirin. Ping’e ne olduğunu gözleyin. (Ping tekrar başlayacak.)
  8. Bilgisayarlardan birini çıkarın ve port 1’e geçirin. (Ping tekrar kesilecek.)
  9. Ping devam ederken portu vlan3’e geçirin. (Ping tekrar başlayacak.)

Genel Görünüm

Öncelikle switch üzerindeki konfigürasyonu görüntüleyelim. show run

Konfigürasyona baktığımızda her portun switchport mode dynamic desirable olduğunu görüyoruz.

Bu DTP kullanarak diğer tarafla trunk negotiate etmeye çalışacağı anlamına geliyor.

Portları görüntülediğimizde 2 adet GigabitEthernet portu görünüyor. Gi0/1 ve Gi0/2

Bunların dışında yalnızca aşağıdaki konfigürasyonlar mevcut.

Kapanmasın diye exect-timeout ve loglar yazıyı kesmesin diye logging syncronous verilmiş.

vlan1’e IP verilmediğini görüyoruz. Bu cihaz remote olarak yönetilemez. Zaten konsol portundan bağlanıyoruz.

show vlan çıktısına baktığımızda switch üzerinde hangi portların olduğunu ve hangi vlanlere dahil olduklarını görebiliyoruz.

vlan1 default pozisyonda silinemez ve yeniden adlandırılamaz.

Active: Bütün portlar vlan1 içerisinde tanımlı. Bu sadede her şey birbirine erişebiliyor. Çünkü hepsi aynı default vlan 1 altındalar.

1002, 1003, 1004, 1005 vlanlarını görüyoruz. Bu lan’leri asla kullanmayız.  Kafa karıştırmasın. Token ring fddi içinler. Aktif fakat unsupported olduklarını görüyoruz. Sadece standart gereği oradalar. VLAN’ler için RFC standardı yazıldığında eklenmişledir.

Bu şekilde gerekli ilk incelemeyi yaptıktan sonra adımlarımızı gerçekleştirmeye başlayabiliriz.

1. Adım: VLAN2 ve VLAN3 VLAN’lerini oluşturun ve isim verin.

Bütün portların default’da vlan1’de olduğunu hatırlayalım.

vlan2 ile vlan’i oluşturduktan sondra. Priviledged mode’a feçip show vlan deseydik. VLAN 2 yi oluşturduğunu fakat VLAN002 olarak otomatik bir isimlendirme yaptığını görecektik.

2. Adım: Belirtilen portları VLAN’lere atayın.

switchport mode access port yalnız bir vlan’e atanabilir anlamını taşır. Alternatif olarak trunk port ise birden fazla vlan’e dahildi.

3. Adım: Portlarda STP’yi inaktif hale getirin.

Böylece direk aktif hale geleceklerdir. Normalde portların aktif hale gelmeleri 30 saniye alır.

STP hakkında kısaca bilgi verecek olursak. STP spanning tree protocol bir loop detection protocol’dür. Portlarında STP olmayan iki switch loop oluşturacak şekilde örneğin 2 portu da birbirine olacak şekilde bağlandığında oluşacak loop network’ün durmasına, dolayısıyla cihazların ve cihazlara bağlı clientler’in de işlevsiz hale gelmesine yol açacaktır. Broadcast her portdan gideceği için çoğalarak network’ü durdururlar. STP bu tarz loopların oluşmasını önlemek için gereklidir.

4. Adım: PC1 ve PC2’yi 1 ve 2 nolu portlara takın ve aynı subnetden IP verin.

5. Adım: İki PC arasında devamlı ping atın. (ping ip-adresi -t)

Ping başlayacak. Client’lar aynı subnette ve aynı VLAN’da olduklarına göre aralarında bağlantı kurulabilir.

6. Adım: PC’lerden birini çıkarın ve port 3’e geçirin. Ping’e ne olduğunu gözleyin.

Ping kesilecek. Portlar farklı VLAN’lerde olduklarından birbirlerine ulaşamazlar.

show interfaces fa0/2 switchport komutu ile gözlemleyebiliriz. Bu komutu bir çeşit vlan raporu olarak görebiliriz.

Administrative Mode, Static access olduğunu görüyoruz. Bu konfigürasyonu biz vermiştik. Trunk ya da dynamic desirable değil.

Gördüğümüz üzere Administrative Mode‘a ek olarak bir de Operational Mode var. Biri hangisi olarak ayar verildiği diğeri hangisi olarak fonksiyon gördüğü. Dynamic mode’da iseniz farklılık görülebilir. Negotiation sonucu access veya trunk olabilir.

Administrative Trunking Encapsulation  negotiate olduğunu görüyoruz. Bu da ISL veya dot1q  veya negotiate olabilir. Protokolü kararlaştırmaya çalışacak.

Access Mode VLAN2 dediğini görüyoruz ki bu da portumuzun VLAN’ini gösteriyor. show interfaces fa0/3 switchport komutu ile VLAN3’e baksak VLAN3’de olduğunu görüyoruz.

7. Adım: Diğer PC’yi çıkarın ve port 4’ye geçirin. Ping’e ne olduğunu gözleyin.

Belirtilen fizisel işlemi yapıyoruz. İki cihaz artık aynı VLAN’de oldukları için ping tekrar başlıyor.

8. Adım: Bilgisayarlardan birini çıkarın ve port 1’e geçirin.

Beklediğimiz üzere ping tekrar kesildi. Port4’deki bilgisayarı Port1’e taşıdık. Farklı vlan’larda olduklarından bağlantı kesildi.

9. Adım: Ping devam ederken portu vlan3’e geçirin. (Ping tekrar başlayacak.)

conf t yazarak global config mode’a geçtik fakat show komutları bu moddan çalışmaz. Böyle bir durumda do komutunu kullanabiliriz.

Doğru vlan’e geçirdik fakat ping geri başlamadı. Neden? Burada fiziksel bir değişiklik yapmadık yalnızca komut girdik. Unutmayalım. Switch hala MAC’adresini mac tablosuna aldığı haliyle yani yanlış VLAN’de tutuyor.

komutunu girdiğimizde görüyoruz ki (eğer hemen düzeltmediyse) MAC adresi hala yanlış vlan’de. (vlan2)  Timeout dolduğu anda düzeliyor ve ping’in geldiğini görüyoruz.

Böylece uygulamamız tamamlanmış oldu.