Edit�r'den
Bili�im Harcamalar�
Hangi Linux?
Sanal Yerel A�lar�
Serbest Yaz�l�m - II
Veritaban� Bile�enleri
Windows G�venli�i - I
CISN Ar�iv
Anket
Geribildirim


Computing & Information Services Newsletter
Sanal Yerel Alar (VLAN'lar)
     
 

Sanal yerel alan a (VLAN), bir yerel alan a (LAN) zerindeki a kullanclarnn ve kaynaklarn mantksal olarak gruplandrlmas ve switch zerinde port'lara atanmasyla yaplr. VLAN kullanlmasyla her VLAN sadece kendi broadcast'ini alacandan, broadcast trafii azaltlarak bant genilii artrlm olur. VLAN tanmlamalar, bulunulan yere, blme, kiilere ya da hatta kullanlan uygulamaya ya da protokole gre tanmlanabilir.

VLAN'lar a zerinde uygulanarak, 2. seviye anahtarlamann getirdii birok problem ortadan kaldrlr. Bunlar temel olarak 3 balk altnda toplayabiliriz:

1. Broadcast Kontrol

Broadcast her protokol tarafndan retilir. Ancak younluu protokole, uygulamaya ve servisin nasl kullanldna gre deiir. Dz kullanlan (VLAN uygulanmam) 2. seviye anahtarlama cihazlarnda, gelen broadcast paketi utakilerin alp almayacana baklmakszn, her port'a gnderilir. A zerindeki cihaz saysnn fazla olmas demek, broadcastin de katlanarak artmasna ve bu paketlerin a zerindeki her cihaza gnderilmesine neden olur.

yi tasarlanm bir a, ltlere gre segmentlere ayrlmaldr. Bunu yapmann en uygun yolu switching ve routing'den geer. Bu da VLAN'lar arasnda broadcast trafiini engeller.

2. Gvenlik

VLAN oluturulmam dz bir an bir baka dezavantaj gvenliktir. Switch kullanlmayan bir a zerinde (datm coax kablo ya da hub aracl ile), iki bilgisayar arasndaki veri ak aa bal tm cihazlara da iletilmektedir (collision). Bu, trafik sorununa yol at gibi, a zerinde gelip geen tm paketleri dinleyen ve veri ksmn zen yazlmlar ve hatta donanmlar sebebiyle olduka gvensizdir. Datm cihaz olarak switch kullanldnda her port'un kendi collision segmentine ayrlmas ile port'lar arasndaki bu gvenlik a engellenebilmektedir. Ancak dz kullanlan switch topolojisinde broadcast'in tm port'lara gnderiliyor olmas, a zerindeki tm cihazlarn birbirinin broadcast trafiini alyor olmas demektir.

kinci bir husus, bu a zerinde dierleri ile a ilikisi olmayacak kullanc gruplarna, dier cihazlarca eriim salanmakta, broadcast paketleri gnderilmektedir. Switch zerinde a cihazlar VLAN'lara ayrldnda bu tarz gvenlik aklar ortadan kalkacaktr. Bu sayede bir kullancnn a zerinde herhangi bir uca balanarak tm a dinleme ve bilgiyi ele geirme ans olmayacaktr. Ancak balanaca VLAN zerinde ilem yapabilecektir.

3. Esneklik

VLAN'lar yaratlarak oluturulmu bir a zerinde aslnda broadcast gruplar oluturulmutur. Anahtarlar zerinde fiziksel konumu neresi olursa olsun, bir kullancy istediiniz VLAN'a atama esnekliine sahip olunur. Ayn ekilde zaman ierisinde byyen bir VLAN, yeni oluturulan VLAN'lara aktarlabilir. Bu ilem switch zerinde yaplacak yeni bir port tanmyla mmkn olmaktadr.

Ayn ilem VLAN desteini kullanmadan yaplmaya kalkldnda, yeni oluturulacak alt network iin, merkezi router'a kadar balant fiziksel olarak salanmaldr.

VLAN kullanlan bir network'te, VLAN'lar aras ynlendirme iin bir router'a ya da baka bir 3. katman cihaza ihtiya vardr. Switch zerinde kullanlan her VLAN iin bir ucun switch'den router'a gelmesi gerekmektedir.

VLAN'lar Aras likiler

ki eit VLAN bulunmaktadr:

1. Statik VLAN'lar: A yneticisi tarafndan tanmlanarak, switch port'lar zerine atanr. Switch'in port'u ynetici tarafndan tekrar deitirilmedii srece o VLAN'a aittir. Bu yntem ile network ynetimi ve izlemesi kolaylar.

2. Dinamik VLAN'lar: Dinamik VLAN'da switch port'una bal cihazn VLAN'n tanr ve o port'unu tand VLAN'a otomatik olarak atar. Network ynetim programlar ile donanm adresi (MAC), protokol, ya da hatta uygulama baznda dinamik VLAN tanmlamas yaptrlabilir. rnein, merkezi bir VLAN ynetim uygulamasna MAC adreslerinin girildiini dnelim. Bir cihaz a zerindeki bir switch'in, VLAN atanmam bir port'una balandnda, VLAN ynetim veritabanna MAC adresi sorulur ve alnan VLAN deeri, switch'in o port'una atanr. Eer kullanc deiir ya da uca bal cihaz deiirse, yeni VLAN deeri istenir ve port'a atanr. Bu durumda veritaban dikkatle hazrlandktan sonra, a yneticisinin ynetim ve konfigrasyon ileri azalr. Cisco cihazlarda dinamik VLAN kullanm iin VMPS (VLAN Management Policy Server - VLAN Ynetim Sunucusu) MAC adreslerine karlk VLAN haritas veritaban servisini sunar.

VLAN Tanmlamalar

Vlan'lar bal switch'ler arasnda dalrlar. Switch fabric'i tarafndan alnan paket, "frame tagging" ad verilen yntemle ait olduu VLAN'a atanm port'lara (ya da port'a) gnderilir. Switch fabric, ayn VLAN bilgisini tayan switch'ler grubudur. Switch dnyasnda iki eit balant bulunmaktadr:

Access links; sadece bir VLAN'a ait olan balantdr. Access link zerine balanan cihaz, VLAN'lar aras ilikilerden, fiziksel network'ten bamsz olarak bir broadcast grubuna bal olduu varsaymyla alr. Switch'ler, access link'le bal cihaza gndermeden nce paket zerindeki VLAN baln kaldrr. Access link zerindeki cihazlarn gnderdii paketler, bir router ya da baka bir 3. katman cihaz tarafndan ynlendirilmedii srece kendi VLAN'lar dndaki cihazlarla konuamazlar.

Trunk links; zerinde birden ok VLAN tayabilir. Trunk link switch'ten baka bir switch'e, bir router'a ya da bir sunucuya yaplabilir. Sadece Fast ya da Gigabit Ethernet zerinde destei vardr. Cisco switch'ler trunk balant zerindeki VLAN'lar tanmak iin iki ayr yntem kullanr: ISL ve IEEE802.1q. Trunk balantlar cihazlar arasnda VLAN'lar tamak amacyla kullanlrlar ve VLANlarn tmn ya da bir ksmn tamak zere biimlendirilebilirler.

Frame tagging ynteminde, paketin geldii switch, paketin VLAN ID'sini (VLAN numarasn) tanyarak filtre tablosundan pakete ne yaplmas gerektiini bulur. Paket zerindeki VLAN bal, trunk balantdan kmadan nce paketten ayrlr. Eer paketin geldii switch zerinde baka trunk balant varsa, paket dorudan bu port zerinden gnderilir. Paketin ulaaca son cihaz, paket zerinde VLAN bilgisine eriemez.

VLAN Tanmlama Yntemleri

Inter-Switch Link (ISL): Cisco switch'ler tarafndan kullanlr ve sadece Fast ya da Gigabit Ethernet zerinde alabilir. Bu yntem "external tagging" ad verilen, paketin orijinal boyunu deitirmeyen, ancak 26 byte'lk bir ISL baln pakete ekleyerek, cihazlar arasnda VLAN tannmasn salayan bir yntemdir. Ayrca paketin sonuna paketi kontrol eden 4-byte uzunluunda FCS (frame check sequence) alan ekler. Paket bu eklentilerden sonra sadece ISL tanyan cihazlar tarafndan tannabilir. Paketin bykl 1522 byte uzunluuna kadar eriebilir ki ethernet network'nde maksimum uzunluk 1518 byte'tr. ISL bilgileri ile zarflanan paket, access link eidi balantya kaca zaman tm eklentilerinden ayrlarak orijinal haline geri dner.

IEEE 802.1q: IEEE tarafndan gelitirilen bu standart yntem, farkl markadan switch ya da router arasnda, bir balant zerinden ok VLAN tamak amacyla kullanlr. Gelen paket zerine tanmlanan standarda uygun bir balk yerletirilir ve cihazlar arasnda pakete ait VLAN'n tannmas salanr.

LAN Emulation (LANE): ATM network'nde bir balant zerinden ok VLAN tanmas amacyla kullanlr.

IEEE 802.10 (FDDI): FDDI network'nde bir balant zerinden ok VLAN tanmas amacyla kullanlr. SAID ad verilen bir VLAN tanmlama baln pakete ekler.

VLAN'lar Arasnda Ynlendirme lemleri

Bir VLAN'a bal cihazlar kendi aralarnda serbeste konuabilir, broadcast'lerini gnderebilirler. VLAN'lar network' blmler, trafii ayrrlar. VLAN'lar arasnda cihazlarn konuabilmesi iin 3. katman bir cihaza ihtiya vardr.

Bu durumda iki seenek vardr:

1. Bir router zerine her VLAN iin bir balant eklenir ve router zerinde gerekli konfigrasyonlar yaplarak VLAN'lar aras iletiim salanr.

2. ISL (ya da trunk balant zerinde VLAN tanmlamas yapabilen) bir router zerine switch fabric'e balant yaplr, gerekli konfigrasyonlardan sonra VLAN'lar aras iletiim salanr.

Eer network zerinde tanmlanacak VLAN says az ise (2, 3 gibi), ilk seenei tercih ederek VLAN adedi kadar network k olan bir router temin edilir.

Ancak VLAN adedi fazla ve network genilemeye ak bir network ise, ikinci seenek tercih edilmelidir. Cisco router'lar 2600 ve sonras modellerinde ISL destei vermektedir. Bu durumda router'n bir balants zerinde (tercihen en yksek bant geniliine sahip olan), ISL servisi altrlr ya da router zerine bir "route switch module (RSM)" temin edilerek ynlendirme yaplr. RSM 1005 adet VLAN destei vermektedir ve router'n backplane'i zerinde alt iin paket ilemesi daha dk zamanldr. Router'n Fast ya da Gigabit ethernet balants zerinde ISL altrarak VLAN ynlendirme ilemine "router-on-a-stick" ad verilir.

VLAN Trunk Protokol (VTP)

Cisco, network zerinde bal switchlerin VLAN ynetimi iin VLAN Trunk Protokol (VTP) protokoln yaratmtr. VTP a yneticisine VLANlar zerinde ad deitirme, ekleme, silme gibi ilemlerin yaplmasn salar ve yeni bilgileri a zerindeki tm switch lere bildirir. VTP;

  • ok switch'li network'lerde merkezi ynetim ile konfigrasyon eksiklii, yanll gibi hatalar ortadan kaldrr.
  • Farkl network'ler arasnda VLAN trunk balantlar kurulmasn salar. rnein, Ethernet, ATM (LANE), FDDI arasnda VLAN tanmlamalarn paylatrr.
  • Hatasz bir ekilde VLAN izlemeyi ve monitrlemeyi salar.
  • Dinamik olarak eklenen VLAN'lar tm switch'lere rapor eder.

VTP'nin a zerindeki VLAN'lar ynetebilmesi iin bir VTP server'n aa servis vermesi gerekmektedir. VLAN bilgisinin paylalmas istenen tm server ve switch'lerin ayn VTP domain grubuna biimlendirilmesi gereklidir. Switch'ler VTP domain bilgisini, konfigrasyon yenileme numarasn ve bilinen tm VLAN'lar parametreleriyle beraber yaynlarlar. Switch'ler VTP bilgilerini trunk port'u zerinden gnderecek, fakat almayacak ve VTP veritabann gncellemeyecek ekilde ayarlanabilir (transparent mode).

Switch'ler gelecek VTP bilgisini dinleyerek, yeni VLAN tanmn alr, trunk port'larndan bu VLAN'a ait yeni bilgiyi bekler duruma geerler. Gelebilecek olan VTP bilgisi VLAN ID, IEEE 801.10, SAID ya da LANE olabilir. Gncellemeler konfigrasyon yenileme numarasnn arttrlmasyla salanr. Switch kendisinden yksek olan konfigrasyon yenileme numaras aldnda, daha yeni bir konfigrasyonun geldiini bilir ve yeni gelen bilgiyi eski veritabannn zerine kaydeder.

eit VTP alma modu vardr: Server, Client, Transparent.

Server; Cisco Catalyst serisi switch'lerde batan ykl olarak gelir. Her VTP domain iin VLAN ekleme, karma, konfigre etme ilemleri iin en az bir VTP server'a ihtiya vardr. Server modda alan bir switch zerinde yaplan her deiiklik, o VTP domain'ine duyurulur. Konfigrasyonu NVRAM (Non-Volatile RAM - Geici olmayan bellek) zerinde saklanr.

Client; VTP sunucularndan bilgileri alan, gncelleme bilgilerini alp, gnderen, fakat herhangi bir deiiklik yapamayan switch'lerdir. Konfigrasyonu NVRAM (Non-Volatile RAM - Geici olmayan bellek) zerinde saklanmaz, geicidir.

Transparent; VTP domain grubuna katlmadan, gelen VTP bilgilerini trunk port'lar zerinden aynen gnderen switch'lerdir. Kendi zerlerinde bulunan VTP veritaban zerinde yaplabilecek deiiklikleri trunk port'lardan iletmezler. Konfigrasyonu NVRAM (Non-Volatile RAM - Geici olmayan bellek) zerinde saklanr.

VLAN Prunning

Bant genilii tasarrufu amacyla, VTP konfigrasyonunu broadcast, multicast ve dier unicast paketlerini azaltmak amacyla deitirilmesidir. VTP prunning servisi gelen broadcast'i sadece o bilgiyi almas gereken trunk port'larna gnderir, dierlerine gndermez. rnein, VLAN 5 ait hibir port'u bulunmayan bir switch'e gelen VLAN 5 broadcast'i, switch'in hibir port'u zerinden gnderilmez. VTP prunning switch'lerde kapal halde gelir. VTP prunning'in aktif hale getirilmesi iin tm VTP domain zerinde aktif hale getirilmesi gerekir. VLAN 2-1005 aras prunning yaplabilir VLAn numaralardr. VLAN 1 ynetim amal bir VLAN olduundan hibir zaman prune edilemez.

Gkhan Eryol

 
     
  - BAA DN -  
2002 METU CC
Design: CC - INFO