Cisco Switch'lerde VLAN Yapılandırma Uzmanlığı: Kapsamlı Bir Rehber
Modern kurumsal ağ mimarilerinde, Sanal Yerel Ağlar (VLAN'lar) sadece bir kolaylık değil; aynı zamanda güvenlik, performans ve organizasyonel mantığın temel direkleridir. Tek bir fiziksel anahtarı birden fazla mantıksal ağa bölerek, mühendisler yayın alanlarını izole edebilir, hassas verileri koruyabilir ve trafik yönetimini kolaylaştırabilir. Bu rehber, Cisco IOS tabanlı anahtarlarda VLAN'ları yapılandırmak, doğrulamak ve yönetmek için titiz, adım adım bir walkthrough sunar, kesinlik ve en iyi uygulama uyumunu arayan ağ profesyonelleri için özel olarak hazırlanmıştır.
1. VLAN Paradigmasını Anlamak
Komutları yürütmeden önce mekanizmayı anlamak çok önemlidir. Bir VLAN, Ethernet çerçevelerini 802.1Q tanımlayıcı (ID) ile etiketler, bu da anahtarlara trafik akışlarını ayırt etme imkanı tanır. Bir anahtardaki portlar genellikle iki moddan birine atanır:
- Erişim Portları: Son cihazları (PC'ler, yazıcılar) bağlar ve tek bir VLAN için trafik taşır. Çerçeveler, cihaza doğru porttan ayrılırken etiketsizdir.
- Trunk Portları: Anahtarları diğer anahtarlara veya yönlendiricilere bağlar. Birden fazla VLAN için trafik taşır ve çerçeve sahipliğini tanımlamak için 802.1Q etiketlerini korur.
2. VLAN'ları Oluşturma ve Adlandırma
Segmentasyonun ilk adımı, anahtar veritabanında VLAN'ları tanımlamaktır. VLAN ID'leri 1'den 4094'e kadar değişebilirken, standart aralık (1-1005) en yaygın olarak kullanılır.
Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name DATA_NETWORK Switch(config-vlan)# exit Switch(config)# vlan 20 Switch(config-vlan)# name VOICE_NETWORK Switch(config-vlan)# exit Switch(config)# vlan 99 Switch(config-vlan)# name MANAGEMENT Switch(config-vlan)# endEn İyi Uygulama: VLAN'larınıza her zaman isim verin. Karmaşık ortamlarda, sorun giderme sırasında “VLAN 20” görmek, “VOICE_NETWORK” görmekten çok daha az bilgilendiricidir.
3. Portları VLAN'lara Atama (Erişim Modu)
VLAN'lar mevcut olduğunda, fiziksel arayüzlerin onlara atanması gerekir. Bu yapılandırma, anahtara belirli bir porta giren her trafikin belirli bir VLAN'a ait olduğunu söyler.
Tek bir arayüz yapılandırma:
Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# description Connection to HR_PC_01 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# no shutdownBir aralık arayüzleri yapılandırma:
Switch(config)# interface range GigabitEthernet0/2 - 10 Switch(config-if-range)# description HR_Department_PCs Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 104. Trunk Bağlantıları Yapılandırma (Anahtarlar Arası Bağlantı)
Anahtarlar arasında trafik geçirmek için trunk bağlantılarını yapılandırmanız gerekir. Bu bağlantılar etiketli çerçeveleri taşır. Güvenlik amaçları için yerel VLAN'ı (etiketsiz kalan trafik) varsayılan VLAN 1'den farklı bir şeye ayarlamak kritik öneme sahiptir.
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# description Uplink_to_Core_Switch
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,99Note: The command `switchport trunk encapsulation dot1q` may not be required on newer switches that only support 802.1Q, but it is mandatory on older models that also supported ISL.
5. Configuring Voice VLANs
In environments with IP phones, a single port often supports both a PC and a phone. Cisco switches use a specialized feature called “Voice VLAN” to handle this via a mini-trunk.
Switch(config)# interface GigabitEthernet0/5
Switch(config-if)# description PC_and_Phone
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport voice vlan 20
Switch(config-if)# trust device cisco-phoneThis configuration places data traffic in VLAN 10 (untagged) and voice traffic in VLAN 20 (tagged), ensuring Quality of Service (QoS) separation.
6. Verification and Troubleshooting
Configuration is only half the job; verification ensures stability. Use the following commands to validate your setup.
Verify VLAN Database
Ensure your VLANs are active and named correctly.
Switch# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/11, Gi0/12...
10 DATA_NETWORK active Gi0/1, Gi0/2...
20 VOICE_NETWORK active Gi0/5
99 MANAGEMENT active Verify Interface Assignments
Check the administrative and operational mode of specific ports.
Switch# show interfaces switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Access Mode VLAN: 10 (DATA_NETWORK)
Trunking Native Mode VLAN: 1 (default)
...Verify Trunk Links
Confirm which ports are trunking and which VLANs are allowed across them.
Switch# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/24 on 802.1q trunking 99
Port Vlans allowed on trunk
Gi0/24 10,20,997. Security Best Practices: VLAN Hopping Mitigation
Default configurations are often insecure. Attackers can exploit Dynamic Trunking Protocol (DTP) to hop between VLANs. Secure your ports with these standard hardening steps:
- Disable DTP on Access Ports: By hard-coding `switchport mode access`, you prevent the port from negotiating a trunk link.
- Shutdown Unused Ports: Any port not in use should be administratively down and assigned to a “black hole” VLAN (a VLAN with no Layer 3 access).
- Disable DTP Globally (Optional but Recommended): Use `switchport nonegotiate` on trunk links to stop DTP frames.
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport nonegotiateÇözüm
Effective VLAN management is the bedrock of a stable network infrastructure. By strictly adhering to naming conventions, properly configuring trunk and access modes, and implementing security controls against VLAN hopping, network engineers ensure a scalable and secure environment. Regular auditing using verification commands is essential to maintaining configuration integrity over time.
Whatsapp+8613603031172
