Aynı ağda veri ve ses cihazlarının bulunmasıyla ilişkili güvenlik riskleri nedeniyle Cisco, ses cihazlarına ayrılmış VLAN’larda IP telefonlarının izole edilmesini önerir.
VLAN’lar birkaç yıl önce piyasaya sürüldüğünde, konsept o kadar radikal ve faydalıydı ki hemen sektöre kabul edildi. Günümüzde, VLAN’ları bir şekilde kullanmayan makul büyüklükte bir ağ bulmak nadirdir. VLAN’lar, anahtarlamalı ortamları birden fazla yayın alanına bölmenize izin verir. İşte bir VLAN’ın temel özeti:
A VLAN = Bir Yayın Alanı = Bir IP Alt Ağı
Bir kuruluşta VLAN’ları kullanmanın birçok faydası vardır, bunlardan bazıları
takip etme:
■ Artırılmış performans: Broadcast alanının boyutunu azaltarak ağ aygıtları daha verimli çalışır.
■ Geliştirilmiş yönetilebilirlik: Ağın mantıksal kullanıcı, uygulama veya sunucu gruplarına bölünmesi, ağı daha iyi anlamanıza ve yönetmenize olanak tanır.
■ Fiziksel topolojiden bağımsızlık: VLAN’lar, kullanıcıları kampüs ağındaki fiziksel konumlarına bakılmaksızın gruplandırmanıza olanak tanır. Departmanlar büyür veya ağın yeni bir alanına taşınırsa, fiziksel ağ değişiklikleri yapmadan yeni bağlantı noktalarındaki VLAN’ı değiştirebilirsiniz.
■ Artırılmış güvenlik: VLAN sınırı, mantıksal bir alt ağın sonunu işaretler. Diğer alt ağlara (VLAN) ulaşmak için, yönlendirilmiş (Layer3) bir cihazdan geçmeniz gerekir. Bir yönlendirici üzerinden trafik gönderdiğinizde filtreleme seçenekleri (erişim listeleri gibi) ve diğer güvenlik önlemlerini ekleme olanağınız vardır.
Vlan Trunking-Tagging
VLAN’lar Şekil 3-4’te gösterildiği gibi ayrı anahtarları aşabilir.
Bir VLAN_GRAY üyesi yayın mesajı gönderirse, her iki anahtardaki tüm VLAN_GRAY bağlantı noktalarına gider. Aynı şey VLAN_WHITE için de geçerlidir. Bunu sağlamak için, switch arasındaki bağlantı birden fazla VLAN için trafik taşımalıdır. Bu bağlantı noktası türü, bir trunk port olarak bilinir.
Trunk port genellikle tagged(etiketli) port olarak adlandırılır, çünkü swtitchler VLAN “etiketi” varken birbirleri arasında paket gönderir. Bu durum aşağıdaki şekilde gösterilmiş
- HostA (VLAN_GRAY ) HostD’ye (VLAN_GRAY ) veri göndermek istiyor. HostA, verileri SwitchA’ya aktarır.
- SwitchA verileri alır ve HostD’nin FastEthernet 0/24 bağlantı noktası üzerinden kullanılabilir olduğunu fark eder (çünkü HostD’ın MAC adresi bu bağlantı noktasında öğrenilmiştir). FastEthernet 0/24 devre bağlantı noktası olarak yapılandırıldığından SwitchA, VLAN_GRAY etiketini IP üstbilgisine yerleştirir ve çerçeveyi SwitchB’ye gönderir.
- SwitchB VLAN_GRAY etiketini işler çünkü FastEthernet 0/24 portu bir trunk port olarak yapılandırılmıştır. Çerçeveyi HostD’ye göndermeden önce VLAN_GRAY etiketi başlıktan kaldırılır.
- Etiketsiz çerçeve HostD’ye gönderilir.
Bu işlemi kullanarak, PC hangi VLAN’a ait olduğunu asla bilemez. VLAN etiketi, gelen çerçeve bir trunk portundan geçtiğinde uygulanır. VLAN etiketi, hedef PC’ye bağlantı noktasından çıkarılırken kaldırılır. VLAN’ların bir swtiching konsepti olduğunu unutmayın; PC’ler asla VLAN etiketleme sürecine katılmaz.
VLAN’lar yalnızca Cisco teknolojisi değildir. Hemen hemen tüm yönetilen switch satıcıları VLAN’ları destekler. VLAN’ların karma satıcı ortamında çalışabilmesi için aralarında ortak bir trunking veya “etiketleme” dilinin bulunması gerekir. Bu dil 802.1Q olarak bilinir. Tüm satıcılar anahtarlarını, herhangi bir ortamdaki anahtarlar arasında dolaşmamıza izin veren 802.1Q etiketini tanımak ve anlamak için tasarlar.
Cisco Voice Vlan anlamak
VLAN’ları kullanarak ses ve veri trafiğini ayırmak yaygın ve önerilen bir uygulamadır. Davetsiz misafirlerin ağdaki sesli konuşmaları yakalamasına ve bunları WAV veri dosyalarına dönüştürmesine izin veren Wireshark ve Ses Üzerinden Yanlış Yapılandırılmış İnternet Telefonları (VOMIT) gibi kullanımı kolay uygulamalar zaten mevcuttur. VLAN’ları kullanarak ses ve veri trafiğini ayırmak, veri uygulamalarının ses trafiğine ulaşmasını önleyen sağlam bir güvenlik sınırı sağlar. Ayrıca, veri üzerindeki ses trafiğine öncelik vererek QoS dağıtımı için daha basit bir yöntem sunar.
Ses ve veri trafiğini ayırırken karşılaşabileceğiniz ilk zorluklardan biri, bilgisayarların genellikle bir Cisco IP Telefonunun arkasındaki Ethernet bağlantı noktasını kullanarak ağa bağlı olmasıdır. Bir anahtar portunu yalnızca tek bir VLAN’a atayabildiğiniz için, başlangıçta ses ve veri trafiğini ayırmak imkansız görünüyor. Yani, Cisco IP Telefonlarının 802.1Q etiketlemeyi desteklediğini görene kadar.
Cisco IP Telefonlarında yerleşik olan bir switch yapısı, tam bir Cisco switch içinde bulunan aynı donanımın hemen hemen aynı özellik içerir. Gelen switchport, 802.1Q etiketli paketleri alabilir ve gönderebilir. Bu, cihazın altında gibi, Cisco anahtarı ile IP telefon arasında bir tür devre bağlantısı kurma sağlar.
Cisco switch ve IP telefon arasındaki bağlantıyı “mini-trunk” olarak adlandırabilirsiniz. Bu durumda, IP telefonu kendi paketlerini doğru ses VLAN etiketiyle etiketleyip gönderir. Switch, bu trafiği, etiketli paketleri (mini trunk) destekleyen bir bağlantı noktasına aldığından, switch etiketi okuyabilir ve verileri doğru VLAN’a yerleştirebilir. Veri paketleri IP telefondan ve etiketsiz anahtara geçer. Anahtar, bu etiketsiz paketleri veri trafiği için switchport’ta yapılandırdığınız VLAN’a atar.