Bugüne kadar sıklıkla kullandığımız Vlanların ardından artık Private Vlanlar ile de tanışmanın zamanı geldi. Private VLAN özellikle her vlan için ayrı bir subnet gereğini ortadan kaldırması yönünden baktığımızda önemli hale gelmeye başladı. Private Vlanlar kısaca aynı Vlan’a üye hostlar arasında Layer 2 isolasyon sağlarlar. Daha sonra örnekleyeceğim gibi özellikle servis sağlayıcılar için Private Vlanlar tam bir biçilmiş kaftan olacaktır. Tabi ki servis sağlayıcılar dışında bizler de Private Vlanları kullanarak subnet derdinden kurtularak broadcast domainlermizi küçültebiliriz.

Private VLAN mantığı içerisinde aslında portlar Primary ve Secondary olmak üzere iki ayrı Vlan’a üye olurlar. İki çeşit Secondary Vlan vardır; Isolated Vlan’lar ve Community Vlan’lar. Isolated Vlan’a üye olan portlar birbirleri arasında Layer 2’de haberleşemezler. Community Vlan’a üye olan portlar, aynı Community Vlan’daki portlar ile haberleşebilirler fakat farklı Community Vlan’lara üye olan portlar ile haberleşemezler. Aslında bu iki Vlan şekli farklı port type’ları ile daha da anlam kazanacaktır. Secondary Vlan içerisinde üç farklı port şekli vardır; Promiscuous, Isolated, Community.

Promiscuous Portlar aynı Primary Vlan altındaki, Community ya da Isolated secondary Vlan portlarıda dahil olmak üzere bütün portlar ile haberleşirler. Bu portlara genellikle default gateway sağlayan cihazlar bağlanır.

Isolated Portlar sadece Promiscuos portlar ile haberleşirler.

Community portlar ise aynı secondar vlandaki portlar ve Promiscuous portlar ile haberleşirler.

Bir senaryo üretip üzerinde konuşarak devam edersek, port ve vlan type’ların daha iyi anlaşılacağını düşünüyorum.

Bir servis sağlayıcınız ve iki ayrı müşteriniz var. Müşteri-A ve Müşteri-B. Müşteri-A’nın iki adte servar’ı, Müşteri B’nin 1 adet server’ı sizin bünyenizde bulunuyor. Her iki müşterinin birbiri ile haberleşmemesi gerekiyor ve ayrıca size ait bir Log Server’da bütün serverlardan gelen loglar turuluyor.

Şimdi bunu yapmak için standar Vlan yapısını kullanabiliriz.. Bu durumda iki ayrı müşteri için, ve Log Server için ayrı birer Vlan oluşturabiliriz. Bu durumda her Vlan için ayrı birer subnet gerekecektir. Log Server’a erişilme zorunluluğundan dolayı Vlan Routing’de enable edilecek ve bir süre access-list ile müşterilerin birbirlerine erişmemeleri de sağlanmaya çalışılacaktır. Müşteri sayısının çok daha fazla olduğu durumlarda bu uygulama bir kabusa dönüşebilir.

Oysa Private Vlan’lar ile çok daha kolay bir konfigürasyon ve ip planlaması ile bunun altından kalkabiliriz. İşlem basamakları kısaca şu şekilde olacaktır;

1. 1 adet Primary vlan oluştururuz,

2. Bu primary Vlan ile bağlantılı biri Community Vlan, diğer Isolated Vlan olmak üzere iki adet Secondary Vlan oluştururuz,

3. 2 adet Server’ı bulunan müşterinin portlarını Community Vlan’a, 1 adet Server’a bulunan müşterinin portunu Isolated Vlan’a yerleştiririz.

4. Son olarak da Log Server’ın bulunacağı portu Promiscous port olarak belirlediğimizde işlem tamam olacaktır.

Bu noktada aklımıza gelebilecek bir başka soru Trunk portları ile ilgili olacaktır. Trunk portları Secondary Vlan bilgilerinide taşıyacağı için bu portlar ile ilgili bir sorunumuz olmayacakır.

İsterseniz şimdie Private Vlanlardaki Unicast ve Broadcast trafiğinin switchler tarafından nasıl yönlendirileceğinden bahsedelim.

Standart Vlanlarda, sadece aynı Vlan’a üye olan portlar broadcast paketlerini paylaşırlar. Dolayısıyla Switch kendisine gelen broadcast paketleri, gelen port ile aynı id’ye sahip Vlan’lara ve Trunk portlarına gönderir. Bu bilgiden hareket ile Private Vlanlar için şunları söyleyebiliriz;

1. Isolated bir porttan Switche gelen bir broadcast paketi sadece Trunk portlarına ve Promiscuous portlara gönderilir.

2. Community bir porttan Switche gelen broadcast paketleri, sadece aynı Community Vlandaki diğer portlara, Promiscuous portlara ve Trunk portlarına gönderilir.

3. Promiscuous bir porttan Switche gelen broadcast paketleri bütün portlara gönderilir. (Diğer Promiscuous portlar, Trunk Portları, Community ve Isolated Vlan portları)

Evet, sıra geldi konfigürasyon basamaklarına;

1. Private Vlan konfigürasyonu sadece VTP Transparent Modda yapılabilir. Bu sebeple birinci aşamada yapılacak işlem default olarak VTP Server durumunda olan switchleri Transparent moda çekmek olacaktır.

Switch(config)# vtp mode transparent

2. Primary ve Secondary Vlanlar oluşturulur. Burada unutulmaması gereken bir nokta Primary Vlan oluşturulduktan sonra, hangi Secondary Vlanlar ile ortak çalışacağının konfigürasyon sırasında belirtilmesi gerekliliğidir.

Switch(config)# vlan 10 — 10 no’lu Vlan oluşturuldu
Switch(config-vlan)# private-vlan community – Community Vlan olarak belirlendi.

Switch(config)# vlan 20 — 20 no’lu Vlan oluşturuldu
Switch(config-vlan)# private-vlan community – Community Vlan olarak belirlendi.

Switch(config)# vlan 30 — 30 no’lu Vlan oluşturuldu
Switch(config-vlan)# private-vlan isolated – Isolated Vlan olarak belirlendi.

Switch(config)# vlan 100 — 100 no’lu Vlan oluşturuldu
Switch(config-vlan)# private-vlan primary – Primary Vlan olarak belirlendi.

Switch(config-vlan)# private-vlan association 10,20,30 - 10-20-30 Secondary Vlanlar ile map edildi

3. Portların Vlanlara atanması sırasında iki farklı nokta vardır. Bu aşamada bizim için önemli olan nokta Secondary Vlanlara üye olan portlar host portu olarak tanımlanmasıdır.

Switch(config)# interface range fastethernet 0/1 – 0/2
Switch(config-if)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 10
(Burada ilk yazılan Vlan Primary, ikinci yazılan Vlan Secondary Vlan’dır.)

Switch(config)# interface range fastethernet 0/4 – 0/5
Switch(config-if)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 20

Switch(config)# interface fastethernet 0/3
Switch(config-if)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 30

4. Son olarak Promiscuous port tanımlanır. Burada Primary ve Secondary Vlanların map edildiğini söyleyebiliriz.

Reklamlar