Private VLAN

Merhabalar.

Bu yazımda size private vlan kavramından ve private vlan ile birlikte bir ağ içerisinde gerçekleştirilebilecek güvenlik senaryolarından bahsetmeye çalışacağım. Peki nedir private vlan? İsterseniz konuyu biraz baştan alalım…

İnternet âleminin gaz ve toz bulutundan ibaret olduğunu söyleyebileceğimiz yıllarda bir networkü bölmek için uygulayacağımız çözüm router’ımızın fiziksel port sayısını arttırıp bu porta yeni network tanımlamaktan ibaretti. Neyse ki sonraları vlan yardımımıza yetişti ve artık yeni bir network oluşturmak birkaç satır konfigürasyondan ibaret hale geldi. Tamam vlan tanımlamasıyla network oluşturmak için gereken bir ton yükten kurtulmuş olduk ama vlan’lerin güzellikleri sadece bu kolaylıktan ibaret olmadı. Vlan’ler ile birlikte aynı switch’in üzerinde yan yana bulunan iki uç adeta aralarında fiziksel olarak bir router varmışçasına ikinci katmanda birbirlerinden izole konuma geldi. Yani fiziksel olarak yan yana bulunan iki uç mantıksal olarak farklı subnetlerde oldukları için kendi aralarındaki haberleşme bir üçüncü katman cihazı ile kontrol edilebilir hale geldi.

Network güvenliği söz konusu olduğunda ikinci katman şüphesiz büyük önem arz etmektedir. Aynı networkte(yerel ağda) bulunmak bir sürü güvenlik önlemini gereksiz işlevsiz bırakmaktadır. Networkümüzü antik şehirlere benzetecek olursak; şehrimizi çevreleyen duvar aşılmış ortada giriş çıkışı düzenleyecek bir kapı kalmamış durumdadır. Yani isteyen istediği kapıyı zorlayabilecek hale gelmiştir. Çünkü Layer 2 içerisinde sizi gelecek tehditlerden koruyacak ne firewall ne de IPS, IDS vb cihazlar bulunmaktadır. Arık masum arp sorguları bile birer tehdit oluşturabilecek durumdadır. İşte bu noktada private vlan kavramı gerektiğinde biz ağcıların yardımına hazır olarak beklemektedir. 🙂

Private vlanler adeta vlan içerisinde başka bir vlan oluşturmaktadır. Diğer bir deyişle aynı IP subneti içerisinde bulunan iki ucun oluşturacakları trafiğin diğer uçtan izole edilmesidir. Peki “neden böyle bir şey yapayım ki eğer istersem başka bir vlan oluştururum iki ayrı ucu farklı vlanlere atarım sorun böylece çözülmüş olur” diye düşünebilirsiniz. Evet bu da bir çözümdür fakat pek te işlevsel olmayan sonuçlar ortaya çıkartabilecek bir çözümdür. Bir kere yaptığımız işlem iki adet bilgisayar için iki ayrı vlan oluşturmaktır. Bu durum spanning tree protokolünü sadece belirli sayıda vlan için desteklenen cihazlarda sorun çıkartabilmektedir. Ya da bir servis sağlayıcıda çalıştığımızı düşünürsek her bir müşteri için farklı bir vlan oluşturmamız anlamına gelecektir ki bu da maksimum 4096 adet müşteri edinebileceğimiz anlamına gelmektedir. 🙂 Ayrıca oluşturulan her yeni vlan için bir IP subnet aralığı ayırmamız gerekmektedir. Bu durum IP adreslerinin de verimsiz kullanılmasına neden olabilmektedir. Private Vlan yapılandırmasında yeni bir IP subnet’i oluşturmaya gerek kalmadan, soruna çözüm üretilebilmektedir. Şimdi private vlan’lere neden ihtiyaç duyduğumuzu analdıysak gelelim private vlan kavramına ve konfigürasyonuna.

Private vlan’in esasında bir vlan içerisine çeşitli özelliklerde ikincil bir vlan tanımlamak anlamına geldiğini söylemiştim. Artık burada en dışta bulunan yani içerisinde başka vlan’ler oluşturacağımız vlan’imize primary vlan adını vereceğiz. Bu noktadan sonra primary vlan olarak atadığımız vlan içerisinde diğer vlan’lerimizi oluşturacağız. Private vlan içerisinde üç grup port tanımlaması yapacağız. Bunlar:
Promiscuous: Aynı vlan içerisindeki diğer bütün uçlar ile veri alıp gönderebilen port tipidir. Genellikle varsayılan ağ geçitlerine giden uplink portlarıdır.
Isolated: Bu tip portlar kendi aralarında direk haberleşemezler. Sadece promiscuous port ile haberleşebilirler.
Community: Kendi aralarında ve promiscous portlarla haberleşebilen portlardır. Aynı primary vlan altında tanımlanmış farklı bir id ye sahip başka bir community vlan ile de direk haberleşemezler.

Bu bilgileri dahilinde Community vlan community portların oluşturduğu alt vlan grubudur. Isolated vlan ise isolated portların oluşturduğu alt vlan grubur. Tekrar değinmek gerekirse aynı community vlan de bulunan uçlar birbirleri ile haberleşebilirlerken; isolated vlan üzerinde bulunan uçlar birbirleri ile haberleşemezler.

Şimdi gelelim bir senaryo üzerinde private vlani açıklamaya ve private vlan konfigürasyonuna. Aşağıdaki şekildeki gibi bir yapı göz önüne alacak olursak. Oluşturduğumuz 500 numaralı vlan içerisinde üç adet alt vlan oluşturalım. Diyelim ki yeşil halkalı bilgisayarın sadece gateway ile konuşmasını, içerisinde bulundukları vlan’deki diğer uçlar ile konuşmamasını istiyoruz. Kırmızı ve mor halkalı bilgisayarların ise kendi içlerinde konuşmalarında bir sakınca görülmemektedir. Bu tanımlamadan anlaşılacağı üzere yeşil uç isolated vlan; diğer uçlar ise iki ayrı community vlan üzerinde olacaklardır.

Şimdi sıra geldi konfigürasyona. Öncelikle switchlerimizi vtp transparent moda almamamız yani vtp’yi devre dışı bırakmamız gerekmektedir. (Eğer VTPv3 kullanılıyorsa bu işlemi yapmaya gerek yoktur.) Bu noktadan sonra primary vlanimizi ve buna bağlı alt vlan lerimizi oluşturmaya başlayacağız.

SwitchA(config)#vtp mode transparent

SwitchA(config)#vlan 500
SwitchA(config-vlan)#private-vlan primary

SwitchA(config)#vlan 501
SwitchA(config-vlan)#private-vlan community

SwitchA(config)#vlan 502
SwitchA(config-vlan)#private-vlan community

SwitchA(config)#vlan 503
SwitchA(config-vlan)#private-vlan isolated

SwitchA(config)#vlan 500
SwitchA(config-vlan)#private-vlan association 501,502,503

Sıra geldi portlarda yapacağımız vlan tanımlamalarına

SwitchA(config)#interface fastEthernet 0/1
SwitchA(config-if)#switchport mode private-vlan host
SwitchA(config-if)#switchport propecia bestellen schweiz private-vlan host-association 500 501

SwitchA(config-if)#interface fastEthernet 0/2
SwitchA(config-if)#switchport mode cialis walmart private-vlan host
SwitchA(config-if)#switchport private-vlan host-association 500 502

SwitchA(config)#interface fastEthernet 0/3
SwitchA(config-if)#switchport trunk encapsulation dot1q
SwitchA(config-if)#switchport mode trunk

SwitchA(config)#interface fastEthernet 0/8
SwitchA(config-if)#switchport mode private-vlan promiscuous
SwitchA(config-if)#switchport private-vlan mapping 500 501,502,503

—-

Şimdi VTP transparent modda olduğu için vlan tanımlama işlemlerini diğer switch için de gerçekleştirceğiz.

SwitchB(config)#vtp mode transparent

SwitchB(config)#vlan 500
SwitchB(config-vlan)#private-vlan primary

SwitchB(config)#vlan 501
SwitchB(config-vlan)#private-vlan community

SwitchB(config)#vlan 502
SwitchB(config-vlan)#private-vlan community

SwitchB(config)#vlan 503
SwitchB(config-vlan)#private-vlan isolated

SwitchB(config)#vlan 500
SwitchB(config-vlan)#private-vlan association 501,502,503

SwitchB(config)#interface fastEthernet 0/1
SwitchB(config-if)#switchport mode private-vlan host
SwitchB(config-if)#switchport private-vlan host-association 500 501

SwitchB(config-if)#interface fastEthernet 0/2
SwitchB(config-if)#switchport mode private-vlan host
SwitchB(config-if)#switchport private-vlan host-association 500 502

SwitchB(config)#interface fastEthernet 0/3
SwitchB(config-if)#switchport mode private-vlan host
SwitchB(config-if)#switchport private-vlan host-association 500 503

SwitchB(config)#interface fastEthernet 0/8
SwitchB(config-if)#switchport trunk encapsulation dot1q
SwitchB(config-if)#switchport mode trunk

Şimdi gelelim switchlerin 3.Katman arayüzlerinin(SVI) oluşturulmasına. Burada dikkat etmemiz gereken husus SVI arayüzünü primary vlan üzerinde tanımlamamız gerektiğidir.

SwitchA(config)#interface vlan 500
SwitchA(config-if)#ip address 192.168.100.10 255.255.255.0
SwitchA(config-if)#private-vlan mapping 501,502

SwitchB(config)#interface vlan 500
SwitchB(config-if)#ip address 192.168.100.20 255.255.255.0
SwitchB(config-if)#private-vlan mapping 501,502,503

Yukarıda belirtildiği şekilde switchlerde gerekli konfigürasyonları yaptığımızda göreceğiz ki aynı community vlan üzerindeki iki ayrı uç farklı switch üzerinde olsalar bile birbirleri ile haberleşebilmektedir. Yani private vlan bilgisi trunk portlar üzerinden diğer switch’e aktarılmaktadır. Fakat farklı community vlanler içerisinde bulunan iki uç, aynı switch 40 mg twice a day accutane üzerinde olsalar bile birbirleri ile haberleşemediği görülecektir.

Bu yazımda private vlan’lerden bahsetmeye çalıştım. Umarım faydalı olmuştur. Yazıma son vermeden önce bir kaç hususa değinmek istiyorum. Öncelikle private vlan konfigürasyonunda oluşturulabilecek isolated vlan sayısı bir tanedir. Yani bir primary vlan altında birden fazla isolated vlan oluşturulamamaktadır. Bir diğer husus ise private vlan Cisco 2960 serisi cihazlarda desteklenmemektedir. Bu özellik 3560 serisi cihaz ve üst modellerinde bulunmaktadır.

Bir başka ağcıyız yazısında görüşmek üzere. Sağlıcakla…

Mehmet Burak Uysal

“Private VLAN” için bir cevap

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir