VLAN Nedir & Nasıl Yapılandırılır?

Merhabalar,

VLAN (Virtual Local Area Network) yani türkçe karşılığıyla Sanal Yerel Alan Ağı kısaca nedir dersek 😊
Networkümüzde bulunan cihazların mantıksal olarak gruplandırılmasıdır.

VLAN yapmamızda en temel iki amaç bulunmaktadır bunlardan ilki Broadcast trafiğini azaltmak ve her Networkün kendi Broadcast kümesi içinde kalmasını sağlamak diğeri ise güvenliktir.

Söyle düşünelim Default 1 yani Native vlanda çalışan bir Networkümüzün olduğunu varsayalım böyle bir yapıda bütün cihazlar birbiriyle haberleşiyor olacak bu durumda Networke dahil olan her bilgisayar risk içeriyor olacaktır çünkü makina üzerinde bulunan ve daha önce keşfedilmemiş bir zararlı bütün networke yayılıyor olacaktır. Bu yüzden;

* Default Vlanı bütün networkümüzde kapatmalı ve cihazları Management Vlan üzerinden yönetmeliyiz.
* Vlanlar Firewall üzerindeyse departmanlar için sıkılaştırılmış kurallar yazmalısınız. Örneğin muhasebe departmanın sunucu üzerinde bir yazılıma bağlantı sağladığını düşünelim. Yazılımın ve Windowsun kullandığı portlar(LDAP, DNS, RPC, SMB vs) harici bütün portların(servislerin) erişimini Muhasebe departmanı için engelleyin.
* Vlanlar Layer-3 switch üzerindeyse Firewall tarafına yine Route yazacağımız için Vlanları Firewall üzerinde yönetiyor olacağız fakat burada birimleride kendi Vlanları içinde sıkılaştırmak istersek Switch üzerinde Access Listler yazmalıyız.
* Dynamic Vlan Assignment için ortamızına NPS(Radius) Server kurun. Wired ve Wireless kimlik doğrulamasını Radius sunucunuz üzerinden yaptırın.
* Switchleriniz üzerinde Syslog yapılandırması yapın ve Monitoring sisteminize dahil edin.
* X bir ethernet portuna sadece belirli bir cihaz bağlıysa Mac-Security kısıtlaması yapabilirsiniz yani sadece o cihazın MAC adresi bağlansın başkası bağlanmak istediğinde engelle diyebilirsiniz.
* Switchler üzerinde Telneti kapatıp Local kullanıcı açıp kimlik doğrulamayı Default-Local olarak gösterin böylelikle Console ve SSH erişimini Switch üzerindeki veritabanından yapacaktır. Derseniz böyle yapmayalım çok Switch var ortamda ozaman Management_Users adında bir grup açın bu cihazları yönetecek kullanıcıları bu gruba dahil edin. Bütün Network cihazlarına Radius entegrasyon yapın kimlik doğrulamayı Radius sunucudan yaptırın. Amman dikkat 😊 Radius bağlantınız giderse cihazlara erişemiyor olacaksınız bunun tectubesini daha önceden yaşıyan biri olarak local kullanıcı açmayı unutmayın 😊 söyle bir komut uygulayan ilk doğrulamayı radiustan yapsın erişemezse localden yapsın böylelikle erişiminiz kesilmez 😉aaa authentication login default group radius local-case

Tabi vlanın genel tanımından bahsedip güvenlik bilgisi paylaştık fakat burada önemli iki kavram daha var 😊Trunk Port ve Access Port bu iki kavramı size söyle açıklıyor olacağım;

* A Switchi üzerinde 4 departman için vlan açtık(10,20,30,40)
* A Switchimizin 48 portu ile B Switchimizin 48 portu birbirine direk bağlı
* A switchimin üzerinde olan vlanları(10,20,30,40) B Switchimizede aktarmak istiyoruz işte bu noktada A Swithimin ve B Switchimin 48 portlarını Trunk Port olarak atıyoruz.
* Peki aktarmayı sağladık peki B Switchin bu vlanları bilmesini sağlamak için ne yapmalıyız tabikide B switchimizede bu vlanları tanımlamalıyız değilmi 😉
* Peki iki Swithi birbiri ile haberleştirdik peki Access Port nedir? Access Port bilgisayarlarımızı, yazıcılarımızı vs takacağımız portlar demektir

Aşağıdaki örneğimizde 48 porta bütün vlanları geçirmesinisini vlan all komutu ile söyledik

interface gigabitEthernet 1/0/48
switchport mode trunk
switchport trunk allowed vlan all
description SW Trunk Port
no shutdown

1 ile 47 arasındaki portların ise personel vlanına dahil olduğunu tanımladık

interface range gigabitEthernet 1/0/1-47
switchport mode access
switchport access vlan 10
description Personel Port
no shutdown

Unutmayın herzaman karlınıza Cisco çıkacak değil 😊

Cisco Trunk = HP Tagged
Cisco Access = HP Untagged

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist