VLAN Tanımı ve VLAN’ler Arası İletişim

VLAN 2. katman iletişiminde port-security, interface counter’lar ile beraber en önemli rollerden birini gerçekleştirir. VLAN’in ne olduğunu basitçe özetlemek istersek VLAN aslında LAN fikrinin sanallaşmasıdır. Portlar VLAN’lara atanır. Böylece LAN’ın fiziksel sınırlandırmalarına maruz kalmazlar. VLAN’ler cihazlar arasında geçiş yapabildiklerinden network’ün tümüne bir sınıflandırma getirmek mümkün olur. Cihazlar arasındaki erişim de sınırlandırılabilir hale getirilir.

Bir VLAN, tek bir switch’deki bağlantı noktalarının bir alt kümesini veya birden çok switch’deki portların alt kümelerini içerebilir. VLAN’e geçmeden önce daha iyi anlamak açısından böyle bir teknolojiye neden ihtiyaç duyulduğuna bakalım.

Neden VLAN?

Layer 2’de bir güvenliğin sanal olarak olmayışı: VLAN’lerin olmadığı bir dünyada yalnızca büyük geniş layer-2 network’lere sahiptik.  Düz layer-2 network’lerinde switchler ardı ardına birbirine bağlanıyordu. Bilgisayarlardan biri broadcast yaptığında mesaj bu cihazların hepsine ulaşıyordu. Böyle bir ortamda temel problem öncelikle bir güvenliğin olmayışıydı. Her bir cihazın diğer cihazlara tam erişimi var. Bunu önleyebilecek tek şey server’a (windows server’a) yüklenmiş bir software tabanlı bir firewall olabilir. Bu da device-by-device güvenlik anlamına gelir. Yani 10 server’ınız varsa 10 yazılım anlamına gelir ki onları nasıl yöneteceğiniz yine ayrı bir problemdir.

Layer 2’de bir segmentasyonun olmayışı: Layer 2’de bir segmentasyonun olmayışı bizi ölçeklenebilirlik (scalability) anlamında kısıtlar. Broadcast arttıkça network yavaşlayacaktır. Her bir cihazın bu broadcast’leri alması ve işlemesini düşünün. Ağdaki bir bilgisayar bir broadcast frame’i aldığında açıp içeriğine bakmak zorundadır. Çoğu zaman bu bir arp mesajı, DHCP isteği olabilir fakat bu ortamda daha çok cihaz barındırdıkça her şey daha yavaş çalışacaktır. Yani cihazlarımız sadece onları network’e takmamız ile yavaşlamış olurlar.

Layer 2’de cihazları ayırmanın bir yolunun olmayışı: Son olarak Layer2’de cihazları ayırt etmenin bir yolu yoktur. Zaman geçtikçe ortaya çıkan yeni ve geliştirilmiş network cihazları VoIP, Video Streaming, IP Survailence camera gibi teknolojilerle geldiğinde QoS (Quality Of Service) ihtiyacı doğdu. Trafikler arasında önceliklendirme yapmak gerekti. Örneğin telefonda konuşan birinin video dosyası indiren birinden daha önemli olması gibi. Aşağıdaki tavsiye edilen bantgenişliği ataması var. İnceleyecek olursak voice real-time yani %33’ünü aldığını görüyoruz. Yani trafiğinin %33’ünü ses ve video aktarımına ayır diyor. Mission Critical Data %35i alıyor. Voice signaling 7% diğer her şey ise %25 ile best-effort yani ulaşacak fakat öncelikli değil.

Bütün cihazlar aynı networkte olduğundan cihazları ayırt etmemiz bu noktada önemli. Bunu da VLAN kullanarak yapıyoruz.

Peki bu problemi VLAN olmadan önce nasıl çözüyorduk?

Bu çözümlerden biri her ayrıma bir router yerleştirmek. Yalnızca topolojinin geri kalanını internete bağlamak için değil, şirketin departmanlarını ayırmak için de router kullanılır. Farklı bir güvenlik gerektiren veya ayrıştırılma gerektiren noktalara router yerleştirilerek bloklanır.

1. Adım: Router ile bölme işlemi:

Unutmayalım ki router’ın her interface’i bir subnettir.

Bu durumda örneğin muhasebe departmanı için, router interface’i default gateway 10.1.1.1 olarak verilir. Muhasebe departmanındaki bütün diğer cihazlar ona işaret eder.

Böyle bir güvenlik önlemine ihtiyaç duyacak olursak (sales  çalışanlarının, accounting printer’larına erişememesi gibi) router’a bir ACL (Access Control List) yazacağız demektir. 10.1.2.0/24 adresleri 10.1.1.0/24 adreslerine erişemeyecek diyeceğiz. Bu bize bir firewall yetkinliği sağlayarak güvenlik gereksinimimizi karşılayacak.

Router’lar görev tanımı olarak broadcast’leri durdururlar. Bu da bizim network’ü ölçeklendirmemize (scale) olanak sağlayacak.

Router’ın her bir interface’i bir subnet olduğundan cihazları sınıflandırma derdimiz de ortandan kalkmış oluyor. IP telefonlar bu dönemde karşımıza çıksa benzer şekilde hepsini tek bir switch’e bağlayacaktık. Böylece bir şekilde QoS konfigürasyonları yapabilecektik. Örneğin 10.1.3.0 adreslerine öncelik ver şeklinde.

2. Adım: Her Segment’e Bir Server:

Bu çözüm kullanıldığında her bir segmente bir server koymak durumu ile de sıklıkla karşılaşıyordu. Çünkü router’lar yavaştır. Routerlar gelişse de bu her zaman inetwork için bir darboğaz (bottleneck) olarak kalır. Sonuç olarak her network’ün kendine has bir server’i olduğu yapıya gidilir.

VLAN Çözümü

Daha önce bahsettiğimiz diğer çözümlerin bir yanı da fiziksel olarak limitlendirmesidir. Yani böyle bir durumda bir departmanda olan bir bilgisayara başka departmandan biri oturacak olursa fiziksel değişiklik yapmak gerekir. VLAN ise network’ü port tabanlı olarak segmentler fiziksel değişiklik yapılmadan yalnızca portun vlan’ı değiştirilir.

Her switch içerisinde vlan bilgisinin depolandığı bir dosya tutar. Her port bir vlan’a atanır. Trunk port ise bütün VLAN’ların üyesidir. (tagged interface) Yani VLAN taglerini üzerinde bırakan interfacedir denilebilir. Bilgisayarlar trunk değil access porta sahipseler VLAN datasını göremezler. Yalnızca kendi VLAN’larından gelen frame’leri görebilirler. VLAN datasının görülebileceği tek yer trunk portudur. Cihaz karşısındaki cihaz ayırt edebilsin diye trunk portundan VLAN tagı bırakır.

VLAN’ler birden fazla broadcast domain / subnet / network oluşturur.

Broadcast Domain: VLAN2’deki cihaz broadcast mesajı yayınladığında switch bunu sınırlandırır. Yayın yalnızca o VLAN’a dahil portlardan gerçekleşir. Normalde switch’in tamamı broadcast domain’ken artık port barındıran her bir VLAN bir Broadcast Domain’dir.

Subnet: Her bir VLAN ayrı bir subnet olarak tanımlanır.

  • VLAN 1 – Accounting 10.1.2.0/24
  • VLAN 2 – Sales 10.1.1.0/24

VLAN’in en güzel özelliği ise switchler arasında da geçiş yapabilmesidir. Bu fiziksel limit sorununu da ortadan kaldırır.

Trunk Portlar: Bu portlar bütün VLAN’leri taşırlar ve switchleri birleştiriken kullanılırlar. Trunk portlara daha sonra detaylı olarak değineceğiz. Şimdilik bilmemiz gereken bu portların hiçbir vlan’e ait olmayıp tüm vlan verisini üzerlerinde taşırlar.

Sonuç olarak VLAN’ler trafiği segmentleyerek ve izole ederek sorunu çözmüş oldu.  Peki SALES çalışanlarının ACCOUNTING çalışanlarına erişmesini ya da herbirinin internete erişmesini talep ediyorsak? Şu anda hepsi kendi küçük balonları içerisinde. Bunun için VLAN’ler arası geçiş’i sağlamamız gerekiyor.

VLAN’ler Arası Geçiş

VLAN’lerin layer-2’de bir izolasyon sağladığından bahsettik. Peki birbirinden ayrılan VLAN’ları konuşturmak istiyorsak? Bu VLAN’lerin de tıpkı normal LAN’ler gibi routing’e ihtiyaç duyması anlamına gelir.

  • Router kullanarak
    • Her Bir VLAN için bir router interface ( Eski, fakat Geçerli itimal )
    • ROAS (Router On A Stick) Metodu
  • L3 Switch Kullanarak

Şimdi aşağıdaki gibi iki VLAN’imiz olduğunu varsayalım.

  • VLAN2 - SALES
  • VLAN3 - ACCOUNTING

Bu VLAN’leri switch üzerinde oluşturduğumuzda VLAN’lar birbirine erişemez ve internete çıkamaz. Bunun sebebi VLAN’ların OSI modelinin L2 seviyesinde işlerini oldukça iyi yapmalarıdır. VLAN layer-2 (data-link layer) seviyesi bir teknolojidir ve segmentasyonu layer-2’de yapar. Tıpkı fiziksel seviyede kabloyu çıkartıldığında üst taraf tamamen kopuyorsa layer-2 için de segmentasyon böyle olacaktır. Bağlantı sınırlandırıldıktan sonra üst tarafın bir önemi yoktur. (Datalink Layer Seperation)

Peki kullanıcıları VLAN’lerinden nasıl çıkaracağız? Router’ların devreye girdiği yer burasıdır.

Burada VLAN’ler arası stratejilerini ele alacağız.

Her Bir VLAN İçin Bir Router Interface

Her VLAN’i bir porta bağlamak eski fakat geçerli bir ihtimaldir.

Switchin G0/3 ve G0/15 portları switch üzerinde bulunuyor diyelim. (Aşağıdaki örnekte Fa0/2 ve Fa0/1 olmuşlar.) Bu portları VLAN’lere manuel olarak atayalım. G0/3 (Fa0/2) VLAN2 ve G0/15 VLAN3 olacak şekilde. Bunu nasıl yaparız?

İlk olarak vlan’ları oluşturmakla başlayalım.

Daha sonra cihazdaki interfaceleri görüntüleriz.

Ardından interface’leri vlan’lara dahil ederiz.

Son olarak yaptığımız değişiklikleri görüntüleyelim.

Böyle bir durumda VLAN3’deki bir porta bağlanmış olan bir PC’de aşağıdaki konfigürasyon olacak.

  • 10.1.3.50 SM:255.255.255.0 GW:10.1.3.1

Ping 10.1.2.50 dediğinde bu adresi farklı bir subnette olduğunu fark edevek ve default gateway için bir ARP mesajı yayınlayacak. Bu ARP mesajı bütün VLAN portalarından gönderilecek. Router’ın ilgili interface’inden cevap gelecek ve PC öğrendiği hedef MAC adresi ile frame’i oluşturacak. Özetle şöyle bir frame gönderecek.

|Ping|S. IP: kendi ip adresi | D. IP : karşıdaki pc ip | D. MAC. : router-mac | S. MAC: kendi-mac-adresi |

Frame router’a iletildiğinde router routing tablosuna bakar. G0/0 (bu örnekte Fa0/0) interface’ini tespit eder ve aynı switch’e geri yollar. Fakat bu sefer farklı VLAN’dan. Trunk port kullanmıyoruz dikkat ederseniz.

 

Bu tasarım çalışsa da birçok kısıtlandırması var. Router interfaceleri bunlardan biri. 10,20,50 tane VLAN bir organizasyonda olduğunda bu kadar ethernet interface’i olan bir router bulunabilecek mi? Bu imkansız değil fakat oldukça zordur. Pahalıdır ve routerlar bunun için tasarlanmamıştır. Kablolama yine ayrı bir maliyet olarak karşımıza çıkar. İşte ROAS diğer adıyla Router-On-A-Stick burada devreye girer.

ROAS – Router On A Stick

ROAS ufak ve orta ölçekli (500 cihaza kadar) yapılarda yaygındır. Aşağıdaki gibi bir yapıda VLAN2’deki .50’nin VLAN3’deki .50’ye erişmek istediğini farz edelim yine. Trunk port bütün VLAN’ların üyesidir. (tagged interface) Yani VLAN taglerini üzerinde bırakan interfacedir denilebilir. Bilgisayarlar VLAN datasını görmez. VLAN datasının görülebileceği tek yer trunk portudur. Cihaz karşısındaki cihaz ayırt edebilsin diye VLAN tagı bırakır. Frame geri dönerken yine üzerindeki tag ile döner.

Router üzerinde ise bir önceki örnekteki gibi ayrı interfaceler bulundurmak yerine tek bir interface parçalanarak kullanılır. (sub-interface) G0/0.2 veya G0/0.3 gibi mantıksal subinterfacelere ayrılır. Bu interfacelere IP adresi verilir. Ardından encapsulation dot1Q 2 komutu gelir. Bu komut VLAN 2 ye cevap ver anlamındadır. Bir patin VLAN 2 tagıyla gördüğünde bu alt-interface’e yolla anlamına gelir.

Yine VLAN 2 deki .50’nin VLAN3‘deki .50 ye erişmek istediğini düşünelim. Kendi networkünde olmadığını fark ediyor. Default gateway’i için bir ARP mesajı yolluyor. 10.1.2.1 default gateway’i için MAC adresini soruyor. Bu frame broadcast olduğundan (D. MAC: FF:FF:FF:FF:FF:FF) trunk’u geçiyor ve router subinterface’i cevap veriyor. Ben senin default gateway’inim. İşte bu da MAC adresim diyor. GW MAC adresini öğrenen PC bu sefer veri yolluyor. VLAN2 tagıyla. Veri routerdan geri dönüyor. Fakat şimdi VLAN3 tagı taşıyor. Switch bu sefer geri aldığı datayı VLAN3’deki .50’ye iletiyor.

VLAN’ler Arası Routing Yapmamak

Peki bu routing işlemine hiç ihtiyacımız olmadığı bir yapı olabilir mi? Cevap evet. Günümüzde cloud datanın, işlem gücünün vs. cloud’da tutulması yaygın bir yöntemdir. Nedir cloud? Basitçe bir datacenter’dır. Rack’ler boyu uzanan yedekli sağlam, yine güç kaynağının yedeklendiği serverlardır. Bu da cloud müşterisi için cost-benefit‘dir. Çünkü her bir lokasyona server, storage ve backup çözümü koymaktan iyidir. Tüm veri cloud’da saklanır. Başka biri sizin yerinize alt seviye ortamla ilgilenir. Tabi birçok kurum cloud’a güvenmeyebilir verisini kendi yapısında tutmak isteyebilir. Fakat internet bağlantı hızları ve güvenilirliği arttıkça cloud’a olan yönelim artmıştır. Yerelde kalan data azaldıkça cloud’a geçiş artmaktadır. (ROAS ile gidip gelme yerine) VLAN security, segmentation ve QoS’dan faydalanmaya devem edilerek direk cloud’a geçiş yapılır.

Son olarak bir diğer yöntem olan L3 switching’e değineceğiz.

L3 Switching

L3 switching, switching ve routing’in en iyi özelliklerini tek bir cihazda birleştirir. L3 switch’ler çekirdek routing fonksiyonlarını alarak ASIC tabanlı bir sisteme çevirirler. ASIC (application spesific Integrated Circuit) routing fonksiyonlarını hardware seviyesinde gerçekleştiren bir sistem olması anlamına gelir. IOS gibi bir işletim sistemini aradan çıkartarak, CPU interruptları olmadan her biri bu çip üzerine offload edildiğinden L3 switch normal bir switch’in hızında routing yapabilir. Routing wirespeed bir fonksiyon halini alır.

Peki böyle bir çözüm mümkünse normal switch ve routerlar nasıl hala var olmayı sürdürebiliyorlar? ASIC’dan bahsediyorsak bu donanım, mühendislik maliyeti, üretim maliyeti hemen bir özellik eklemeye çıkarmaya uyum sağlayamayacak bir ürün olmasına yol açar. ASIC tabanlı cihazlar sahip oldukları özellikler sebebiyle sınırlıdırlar. Esnek değillerdir. Hem de son kertede Routerların yaptığı bazı şeyleri Switch’lerin yapması mümkün değildir. Çünkü bunun için bir ASIC yoktur. Bu nedenle bir süre daha ortalıkta routerlar switch’ler göreceğiz.

 

Kaynaklar

Etiketler:

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir