Native VLAN Nedir?

Native (Yerel) VLAN, etiketi olmayan bir VLAN’dır. Anahtarları kurduğunuzda VLAN1 otomatik olarak açılır. Etiketlenmediği için farklı anahtarlara bağlı bilgisayarlar herhangi bir ekstra adıma gerek kalmadan birbirleriyle konuşabilirler.

Native VLAN Tanımı ve Özellikleri

Trunk bağlantısı olarak yapılandırdığımız portlar üzerinde 802.1Q ve ISL tag’leri geçirir.

Fakat, diyelim iki Switch arasında Trunk bağlantısı yapmadık. Bu durumda, sadece Native VLAN yani VLAN1 üzerindeki bilgisayarların haberleşmesine izin veririz.

İki Switch arasında Trunk bağlantısı yapmamızın sebebi, access portlarının tag’ları geçirememesidir.

Native VLAN Nasıl Çalışır?

VLAN1 bu durumdan etkilenmez ve iki Switch arasında frame paketler başarıyla geçebilir. Bu sebeple, Switch’ler üzerinde VLAN1 varsayılan olarak etkindir.

VLAN1 untagged (tagsız) olduğu için Switch’e bağlanan her bilgisayar veya aygıt bir VLAN’a üye olmadan haberleşebilir. Fakat, VLAN’a üye olan diğer cihazlar ile haberleşemez.

VLAN’lar arası veri akışı için, Router’lar üzerinde Inter-VLAN (VLAN Yönlendirme) işlemi uygularız. Eğer bir ağ ortamında Layer 3 Switch’ler kullanıyorsanız yönlendirme görevini bunlarla yapabilirsiniz.

VLAN1’in kullanılması ağ güvenliği açısından kullanılması kesinlikle önerilmemektedir. Bu yüzden, ağ güvenliğiniz için VLAN1’i değiştirmeniz kesinlikle önerilmektedir.

Native Yapının Çalışma Mantığı

Aşağıda gösterilen ağ düzenine bakalım ve VLAN1’in nasıl çalıştığını kontrol edelim. Bunu anlamak, ağın nasıl çalıştığını bilmek açısından gerçekten önemlidir.

VLAN1 üyesi bilgisayarlar arasında ping işlemi başarılı olacaktır. Ancak VLAN5 üyesi bilgisayarlar arasındaki ping işlemi başarısız olacaktır.

VLAN1’deyseniz VLAN5’teki biriyle konuşamazsınız. Bu ayrım ağ güvenliğini ve verimliliğini sağlar.

VLAN1 Çalışma Mantığı

802.1Q ile ISL Etiketleri Arasındaki Farklar Nelerdir?

VLAN trafiğini etiketlemenin ve tanımlamanın iki farklı yolu vardır: 802.1Q ve ISL. Aralarındaki en büyük fark, 802.1Q’nun herkesin kullanabileceği bir standart olması, ISL’nin ise yalnızca Cisco tarafından yapılmış olmasıdır.

802.1Q, sanal LAN trafiğini etiketlemenin en yaygın yoludur. Hemen hemen tüm ağ donanımı bunu destekler. Kimlik ve diğer bazı ayrıntıları içeren Ethernet çerçevelerine 4 baytlık bir etiket koyar. Bu etiket, aynı fiziksel ağı kullanıyor olsalar bile anahtarların farklı grupları ayırmasına yardımcı olur.

ISL ise yalnızca Cisco tarafından yapılmaktadır. Kimlik ve kaynak ve hedef MAC adresleri gibi daha fazla ayrıntı dahil olmak üzere Ethernet çerçevelerine 26 baytlık bir başlık ekler. ISL yalnızca Cisco donanımıyla çalışır ve başkalarının kullanabileceği bir standart değildir.

VLAN1 Yapılandırmasını Nasıl Etkiler?

VLAN’ları kurarken, bunları oluşturmak ve birbirleriyle konuşmalarını sağlamak için hem 802.1Q hem de ISL kullanılabilir. Ancak Cisco anahtarlarında ISL yalnızca IOS yazılım sürümü 12.0 veya daha eski olan eski anahtarlarda çalışır. IOS sürüm 12.1 veya üzeri olan daha yeni anahtarlar yalnızca 802.1Q’yu destekler.

LAN grupları oluştururken, bir trunk bağlantısının her iki ucunun da aynı etiketleme yöntemini kullandığından emin olmak önemlidir. Bir uç 802.1Q, diğer uç ISL kullanıyorsa birbirleriyle konuşamazlar.

Özetlemek gerekirse 802.1Q ve ISL, VLAN trafiğini etiketlemenin iki farklı yoludur. 802.1Q yaygın olarak kullanılır ve herkese açıktır; ISL ise yalnızca Cisco içindir. Gruplar için her ikisini de kullanabilirsiniz ancak ana hat bağlantısının her iki ucunun da aynı etiketleme yöntemini kullanması gerekir.

VLAN1 Çalışma Prensibi ⇒ Video

Packet Tracer kullanarak iki Cisco Switch arasında VLAN1’in çalışma mantığını incelemek için aşağıdaki videoyu izleyebilirsiniz. Dahası ayrıca bize destek olmak için YouTube kanalımıza abone olabilirsiniz!

YouTube'da İzle

Son Söz

Bu yazımızda, Switch’lerde VLAN’lar yapılandırırken varsayılan olarak etkin olan VLAN1’in ne olduğunu ve nasıl çalıştığını inceledik. Bizi takip ettiğiniz için teşekkürler!

Native VLAN Hakkında Kafaları Kurcalayan SSS

Bu etiketsiz VLAN neden switch’e ilk kurulumda otomatik olarak ekleniyor?

Üreticiler, cihazı fişe takar takmaz iletişim kurabilmenizi ister. Hiçbir yapılandırma yapmadan bilgisayarlar birbirini görsün diye VLAN1 hazır gelir. Kutudan çıktığı gibi çalışan bir ağ sunar.

Bu varsayılan yapı sayesinde temel bağlantı için ekstra komut yazmanız gerekmez. Erişim portları zaten bu gruba üyedir. EtherType alanına herhangi bir etiket eklenmez.

Fakat bu rahatlık büyük bir güvenlik açığı doğurur. Herkes aynı yayın alanında kalır. Ayrıca VLAN atlama saldırılarına karşı savunmasız hale gelirsiniz.

Güvenlik uzmanları neden VLAN1’in derhal değiştirilmesini söylüyor?

Saldırganlar, yönetim trafiğinin de genelde burada aktığını bilir. Varsayılan VLAN’ı kullanmak, onlara altın tepside hedef sunmak demektir. Üstelik çift etiketleme (double tagging) gibi numaralarla diğer gruplara sızabilirler.

Kontrol düzlemi ile kullanıcı trafiğini birbirinden ayırmalısınız. Yönetim IP’leri ve kritik servisler kesinlikle bu yerel grupta olmamalıdır. Ağınızın temiz bir mimariye ihtiyacı var.

Hemen yeni bir özel VLAN oluşturun. Yönetim hariç tüm access portlarını oraya atayın. Sonra da trunk üzerinde bu etiketsiz hattı farklı bir kimlikle değiştirin.

Trunk bağlantıda etiketli ve etiketsiz çerçeveler birlikte nasıl yol alıyor?

Trunk, üzerinden geçen her çerçeveye bir kimlik rozeti takar. 802.1Q standardı bu rozeti 4 byte’lık bir etiketle halleder. Hedef switch bu rozeti okuyup paketi doğru gruba yönlendirir.

Ancak etiketsiz gelen çerçeveler için özel bir kural vardır. Switch bunları hemen varsayılan gruba ait sayar. İşte bu yüzden trunk’ın iki ucundaki yerel VLAN tanımı birebir aynı olmalıdır.

Aksi halde bir uçtan etiketsiz giren paket, diğer uçta bambaşka bir gruba düşer. Sonuçta veri sızıntısı kaçınılmaz olur. Uyumsuzluk, ağın sessiz katilidir.

ISL ve 802.1Q arasında neden artık bir seçim yapmıyoruz?

Çünkü ISL, tarihin tozlu raflarına kalktı. Cisco bu protokolü çoktan emekliye ayırdı. Eski IOS sürümleri dışında hiçbir modern cihaz ISL’i desteklemez.

802.1Q ise IEEE damgası taşıyan evrensel bir standarttır. HP’den Juniper’a her marka bu dili anlar. Endüstrinin ortak paydası haline gelmiştir.

Dolayısıyla bugün bir trunk kurarken aklınızdan sadece dot1q geçsin. Zira hem daha az ek yük getirir hem de tüm cihazlarla sorunsuz çalışır.

Access portlar neden tag’leri geçiremez ve bu ayrım ne işe yarar?

Access port, son kullanıcı cihazları için tasarlanmıştır. Bilgisayarınız genelde etiketli paketleri anlamaz. Bu yüzden anahtar, paketi kullanıcıya ulaştırmadan önce rozetini söker.

Aynı mantıkla, dışarıdan gelen paketi de alır almaz bir gruba atar. Access port sadece tek bir VLAN’a sadıktır. Bu basitlik, uç noktalarda karışıklığı önler.

Tag taşıma işi ise sadece switch’ler arası trunk hatlara mahsustur. Net bir görev dağılımı vardır. Sonuç olarak ağ hem güvenli hem öngörülebilir olur.

VLAN’lar arası iletişimi sağlamak için hangi yönteme başvurmalıyım?

Router veya Layer 3 switch olmazsa olmazdır. Farklı sanal ağlar birbirini doğal olarak görmez. İletişim için mutlaka bir yönlendirme kararı gerekir.

Elinizde Layer 3 bir switch varsa işiniz çok kolay. Inter-VLAN routing’i hemen aktif edersiniz. SVİ arayüzleri üzerinden trafik akışı başlar.

Yok eğer klasik bir router kullanacaksanız, alt arayüzler yaratmanız gerekir. Fiziksel bir bacağı sanal olarak bölersiniz. Her gruba bir kapı açıp paketleri mantıksal yollarla buluşturursunuz.

Native VLAN Nedir, Nasıl Çalışır?