güncelleme tarihi Ağ Güvenliği Siber Güvenlik

VLAN ve Türleri

VLAN ve Türleri için bir yorum yapın

VLAN (Virtual LAN), fiziksel bir ağın mantıksal olarak bölümlere ayrılmasıdır. Aynı VLAN’daki cihazlar birbiriyle iletişim kurabilirken, farklı VLAN’lar arasında iletişim için Layer 3 cihaz (router veya L3 switch) gereklidir.

VLAN’lar (Virtual Local Area Network), ağ trafiğini mantıksal olarak bölümleyerek yayın (broadcast) trafiğini sınırlandırır. Her VLAN ayrı bir yayın domain’i (broadcast domain) oluşturur.  Bir cihaz broadcast yaparsa (örneğin ARP isteği), sadece aynı VLAN’daki cihazlar bu yayını görür. Örneğin, VLAN 10’daki bir bilgisayarın ARP isteği, sadece VLAN 10’daki diğer cihazlara gider. Broadcast trafiği diğer VLAN’lara geçmez (L3 cihaz olmadan).

VLAN Avantajları:

Her VLAN ayrı bir yayın domain’idir.
Farklı departmanların trafiği izole edilebilir.
Fiziksel bağlantıya bağlı kalmadan mantıksal gruplama yapılabilir.

VLAN Türleri

  1. Data VLAN: Kullanıcı trafiği için ayrılmış VLAN’lar (ör: VLAN 10, VLAN 20).
  2. Default VLAN (VLAN 1): Switch’lerde varsayılan VLAN.
  3. Native VLAN: Trunk portlarda etiketlenmeyen trafik için kullanılır (genellikle VLAN 1).
  4. Management VLAN: Switch’e uzaktan erişim (SSH, Telnet) için kullanılır (ör: VLAN 99).
  5. Voice VLAN: IP telefon trafiği için optimize edilmiş VLAN (QoS önceliği vardır).

Tagged (Etiketli) ve Untagged (Etiketsiz) Trafik Nedir?

VLAN yapılandırmasında “tagged” ve “untagged” terimleri, bir ağ paketinin hangi VLAN’a ait olduğunu belirten VLAN etiketi (tag) taşıyıp taşımadığını ifade eder.

Tagged (Etiketli) Trafik

  • 802.1Q standardı ile VLAN bilgisi pakete eklenir.
  • Trunk portlar üzerinden iletilir (birden fazla VLAN trafiği taşır).
  • Switch-to-Switch veya Switch-to-Router bağlantılarında kullanılır.

Untagged (Etiketsiz) Trafik

  • VLAN bilgisi taşımaz, sadece Native VLAN (varsayılan VLAN) trafiği untagged geçer.
  • Access portlar üzerinden iletilir (sadece tek bir VLAN’a ait cihazlar bağlanır).
  • Örnek Kullanım:

 Native VLAN ve Tagged/Untagged İlişkisi

  • Native VLAN, trunk portlarda etiketlenmemiş (untagged) trafik için kullanılır.
  • Varsayılan Native VLAN = VLAN 1 (değiştirilebilir).

Örnek VLAN Yapılandırmaları:

VLAN Yapılandırma Adımları (Cisco Switch)

A) VLAN Oluşturma ve Port Atama

Switch# configure terminal
Switch(config)# vlan 10 # VLAN oluştur
Switch(config-vlan)# name SATIS # VLAN'a isim ver
Switch(config-vlan)# exit
Switch(config)# interface gig0/1 # Portu seç
Switch(config-if)# switchport mode access # Access moda al
Switch(config-if)# switchport access vlan 10 # Portu VLAN 10'a ata
Switch(config-if)# end

B) Birden Fazla Portu Aynı VLAN’a Atama (Range Kullanımı)

Switch(config)# interface range gig0/1 - 24
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10

Trunk Yapılandırması (VLAN’lar Arası İletişim)

Trunk portlar, birden fazla VLAN trafiğini taşır (genellikle switch-to-switch veya switch-to-router bağlantılarında).

A) Manual Trunk (Cisco)

Switch(config)# interface gig0/48
Switch(config-if)# switchport mode trunk # Trunk moda al
Switch(config-if)# switchport trunk allowed vlan 10,20,30 # İzin verilen VLAN'lar
Switch(config-if)# switchport trunk native vlan 99 # Native VLAN ayarla (opsiyonel)

B) Dynamic Trunking Protocol (DTP)

  • switchport mode dynamic desirable: Karşı tarafı trunk’a zorlar.
  • switchport mode dynamic auto: Pasif bekler, karşı trunk ise trunk olur.
  • switchport nonegotiate: DTP mesajı göndermez, manuel trunk gerekir.

5. VLAN’lar Arası İletişim (Inter-VLAN Routing)

Farklı VLAN’lar arası iletişim için Layer 3 cihaz gerekir:

A) Router ile Inter-VLAN Routing (Router-on-a-Stick)

Router(config)# interface gig0/0.10 # Subinterface oluştur
Router(config-subif)# encapsulation dot1Q 10 # VLAN 10 için
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface gig0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0

B) L3 Switch ile Inter-VLAN Routing

Switch(config)# interface vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config)# ip routing # L3 routing'i aktif et

6. VLAN Yönetim Protokolleri

A) VTP (VLAN Trunking Protocol)

  • VLAN bilgilerini otomatik senkronize eder.
  • Modlar:
    • Server: VLAN oluşturur/siler, diğerlerine dağıtır.
    • Client: Sadece VLAN bilgisi alır, değişiklik yapamaz.
    • Transparent: Kendi VLAN’larını yönetir, VTP’yi iletir ama senkronize olmaz.
Switch(config)# vtp domain ORNEK_DOMAIN
Switch(config)# vtp mode server
Switch(config)# vtp password SIFRE

7. VLAN Güvenliği

A) VLAN Hopping Saldırısına Karşı Önlemler

  • Native VLAN’ı değiştir: Varsayılan VLAN 1 yerine farklı bir VLAN kullan.
  • Trunk portlarda gereksiz VLAN’ları kapatın:
Switch(config-if)# switchport trunk allowed vlan 10,20

DTP’yi kapatın;

Switch(config-if)# switchport nonegotiate

B) Private VLAN (PVLAN)

  • Aynı VLAN içinde bile trafiği izole eder (ISP’lerde yaygındır).

8. VLAN Best Practices (En İyi Uygulamalar)

  1. VLAN 1’i kullanmayın (güvenlik açıklarına sebep olabilir).
  2. Management VLAN’ı ayrı tutun (VLAN 99 gibi).
  3. Trunk portlarda gereksiz VLAN’ları filtreleyin.
  4. Voice VLAN’larında QoS (Quality of Service) uygulayın.
  5. VTP domain ve password kullanın (yetkisiz erişimi engeller).

Örnek VLAN Yapılandırması için burayı ziyaret edebilirsiniz.

Önerilen yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir