Ethernet Temelleri Trunk Yerel Vlan

[Nizam-ı Alem]

ROHAN2 WORLD 1-120 TR TİPİ OFFICIAL YOHARA, BALATHOR VE AMON! 80. GÜNÜNDE! +10.000 ONLİNE! HİLE VE BOT %100 ENGELLİ HEMEN TIKLA!

Gövde Yerel VLAN​

Native VLAN nedir?​

Önceki dersten hatırlayacağınız üzere,gövde portları IEEE 802.1q VLAN etiketleriyle etiketlenen Ethernet çerçevelerini gönderir ve alırBunun ardındaki temel fikir, anahtarlar arasındaki tek bir fiziksel bağlantı üzerinden birden fazla VLAN'dan çerçeveleri taşıyabilmektir. Bu, bir gövdenin her iki ucunun da Şekil 1'de gösterildiği gibi her zaman etiketli çerçeveler alacağı anlamına gelir.
Ama her zaman mı? Ya yolda bir hub veya başka bir katman 1 cihazı varsa? Etiketsiz bir çerçeve bir şekilde gövde bağlantısına girerse ne olur? Yerel VLAN bu özel senaryoyu çözmek için tanıtıldı.

Yerel VLAN, gövde portu başına yapılandırılır , yerel olarak önemlidir ve anahtara şunu söyler - "bu porta etiketsiz bir veri alırsanız, yerel VLAN numarasının bir parçasıymış gibi iletin". Örneğin, gövdedeki yerel VLAN'ı 20 olarak yapılandırırsak, IEEE 802.1q başlığı olmayan veriler bu porta gelirse, VLAN 20'ye iletilir. Bunun bir örneğini Şekil 2'de görebilirsiniz. PC7 bir şekilde gövdeye bağlıdır ve etiketsiz çerçeveler göndermektedir. Bağlantının her iki tarafında alındığında, VLAN 20'ye (Yerel VLAN) iletilir.

Varsayılan olarak, Cisco anahtarlarındaki tüm trunk portlarının yerel VLAN'ı VLAN 1'e atanır ancak bu herhangi bir geçerli VLAN numarası olabilir.

Bu kavramın çok önemli bir açısı daha var. Anahtarlar yalnızca alınan etiketsiz verileri yerel VLAN'a koymakla kalmıyor , aynı zamanda verileri Yerel VLAN'a etiketsiz olarak gönderiyorlar . Şekil 3'teki örneğe bakın, VLAN 10'dan gelen çerçeveler 802.1q başlıklarıyla gövde boyunca taşınır, ancak VLAN20'den gelen çerçeveler etiketsiz olarak taşınır çünkü VLAN20 gövde portunun Yerel VLAN'ıdır. CDP, VTP ve DTP gibi tüm kontrol düzlemi mesajları da Yerel VLAN üzerinden, yani etiketsiz olarak gönderilir.

​

Trunk portunda Yerel VLAN'ı Yapılandırma ve Doğrulama​

Öncelikle show interface switchport komutunu kullanarak herhangi bir trunk portundaki operasyonel modu ve yerel VLAN'ı nasıl kontrol edebileceğimizi görelim .

[CODE title="sw"]SW2#show interface Gi0/1 switchport
Name: Gig0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none[/CODE]

Varsayılan olarak VLAN 1'in Native olarak yapılandırıldığını görebilirsiniz. Bunu başka bir değere değiştirelim. Bu, arayüz yapılandırma modunda switchport trunk native vlan komutu kullanılarak yapılır. Şunu her zaman aklınızda bulundurun:bu yapılandırma yerel olarak önemlidir ve gövde bağlantısının her iki tarafında da eşleşecek şekilde manuel olarak yapılandırılması gerekirAksi halde hatalı bir durum oluşur.

[CODE title="sw"]SW2#conf t
Enter configuration commands, one per line. End with CNTL/Z.

SW2(config)#interface GigabitEthernet 0/1
SW2(config-if)#switchport trunk ?
allowed Set allowed VLAN characteristics when interface is in trunking mode
native Set trunking native characteristics when interface is in trunking
mode

SW2(config-if)#switchport trunk native vlan ?
<1-4094> VLAN ID of the native VLAN when this port is in trunking mode

SW2(config-if)#switchport trunk native vlan 10
SW2(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console

SW2#show interface Gi0/1 switchport
Name: Gig0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 10 (USERS)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: All
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none[/CODE]
​

Yerel VLAN Uyuşmazlığı​

Arayüz Trunk yapılandırması yerel olarak önemlidir . Bu, bir switchport üzerindeki Trunk ayarlarının bağlantının diğer tarafındaki ayarlarla tam olarak eşleşmesi gerekmediği anlamına gelir. Bu nedenle, tek bir trunk bağlantısının bir tarafında yerel VLAN 10'u ve diğer tarafında VLAN 20'yi yapılandırabilirsiniz. Bu, Yerel VLAN uyumsuzluğu adı verilen tehlikeli bir hatalı duruma neden olur . Cisco'nun tescilli protokolü CDP bu yanlış yapılandırmayı algılayabilir ve aşağıda gösterildiği gibi hata mesajlarıyla raporlayabilir. Lütfen, bağlantıda CDP devre dışıysa, anahtarın bunu otomatik olarak algılamasının bir yolu olmadığını unutmayın.

[CODE title="sw"]SW2#
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (10), with SW1 GigabitEthernet0/1 (1).

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (10), with SW1 GigabitEthernet0/1 (1).

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (10), with SW1 GigabitEthernet0/1 (1).

%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (10), with SW1 GigabitEthernet0/1 (1).[/CODE]

Yerel VLAN uyumsuzluğu bazı önemli sorunlara ve güvenlik sorunlarına yol açabilir, örneğin:
​

• Yanlış yönlendirilmiş trafik - Native olarak yapılandırılmış VLAN'da kaynaklanan çerçeveler, gövde boyunca etiketsiz olarak gönderilir. Bağlantıda diğer tarafta alındıktan sonra, gövde ayarları her iki tarafta da eşleşmediğinden farklı bir VLAN'a yönlendirilirler.​
• VLAN atlama - kötü amaçlı trafik VLAN sınırlarını aşabilir.​

Trunk portunda izin verilen VLAN'lar​

Cisco anahtarlarında varsayılan olarak, tüm VLAN'lardan gelen çerçeveler gövde bağlantısı üzerinden taşınır. Ancak, tam olarak hangi VLAN numaralarının taşınmasına izin verildiğini belirtmenin bir yolu vardır. Sadece belirli VLAN'ları belirtmek ve tüm VLAN'lardan çerçeve göndermemek isteyeceğiniz birçok durum vardır. Örnek olarak şekil 4'ü ele alırsak, soldaki anahtarda 10, 20, 30 ve 40 olmak üzere dört VLAN bulunurken, sağdaki anahtarda 10, 20, 50 ve 60 VLAN'ları bulunur. Bu nedenle, gövde bağlantısı üzerinden muhtemelen sadece 10 ve 20 trafiğini göndermek istersiniz. Bu, switchport gövde izin verilen vlan özelliği kullanılarak yapılandırılabilir. Şekil 4'teki bağlantıyı sadece 10 ve 20 numaralı vlan'lardan gelen çerçeveleri taşıyacak şekilde yapılandıralım.

Öncelikle SW1 ve SW2 üzerinde kaç adet sanal LAN yapılandırıldığını kontrol edelim.

[CODE title="sw"]SW1#sh vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/1, Gig0/2
10 USERS active Fa0/2, Fa0/3, Fa0/4
20 SERVERS active Fa0/15, Fa0/16, Fa0/17
30 SALES active Fa0/8
40 MGMT active Fa0/18, Fa0/19
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active [/CODE]

[CODE title="sw"]SW2#sh vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/19
Fa0/22, Fa0/23, Fa0/24, Gig0/1
Gig0/2
10 USERS active Fa0/2, Fa0/3, Fa0/4
20 SERVERS active Fa0/12, Fa0/13, Fa0/14
50 IT active Fa0/15, Fa0/16, Fa0/17, Fa0/18
60 SENSORS active Fa0/20, Fa0/21
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active [/CODE]

SW1'deki show interface trunk çıktısına bakarsak , trunk'ta 1 - 1005 VLAN'larına izin verildiğini görüyoruz. Bu, hepsinin izin verildiği anlamına gelir.

[CODE title="sw"]SW1#sh int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1

Port Vlans allowed on trunk
Fa0/1 1-1005

Port Vlans allowed and active in management domain
Fa0/1 1,10,20,30,40

Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,20,30,40[/CODE]

Aynı durumu SW2'de de görmek mümkün.

[CODE title="sw"]SW2#sh int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1

Port Vlans allowed on trunk
Fa0/1 1-1005

Port Vlans allowed and active in management domain
Fa0/1 1,10,20,50,60

Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,20,50,60[/CODE]

Sadece 10 ve 20'nin izin verilmesini yapılandırmak istiyoruz. SW1 ve SW2'deki trunk bağlantısını yapılandıralım. Yapılandırma her iki anahtarda da aynıdır, bu yüzden sadece bir örneğe bakmamız gerekiyor.

[CODE title="sw"]SW2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW2(config)#interdace fa0/1
SW2(config-if)#switchport trunk ?
allowed Set allowed VLAN characteristics when interface is in trunking mode
native Set trunking native characteristics when interface is in trunking
mode

SW2(config-if)#switchport trunk allowed vlan ?
WORD VLAN IDs of the allowed VLANs when this port is in trunking mode
add add VLANs to the current list
all all VLANs
except all VLANs except the following
none no VLANs
remove remove VLANs from the current list

SW2(config-if)#switchport trunk allowed vlan 10,20
SW2(config-if)#end
SW2#
%SYS-5-CONFIG_I: Configured from console by console[/CODE]

Aynı yapılandırma her iki switch'e de uygulanır. Şimdi trunk portlarına bakalım.

[CODE title="sw"]SW2#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1

Port Vlans allowed on trunk
Fa0/1 10,20

Port Vlans allowed and active in management domain
Fa0/1 10,20

Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 10,20[/CODE]

Bu özelliği kullanmak, bir kuruluşa ait bir anahtarın başka bir harici anahtara bağlı olduğu senaryolarda çok yaygındır. Genellikle, bir VLAN'da veri alışverişi için bir anlaşma vardır, bu nedenle diğer tüm VLAN'ları filtrelemek istersiniz.
​

Özet​

• Gelen : Trunk portunda alınan etiketsiz çerçeveler, Yerel olarak yapılandırılmış VLAN'a iletilir.​
• Giden : Yerel olarak yapılandırılmış VLAN'dan gelen çerçeveler etiketsiz olarak iletilir.​
• DTP ve BPDU gibi kontrol düzlemi mesajları etiketsiz olarak gönderilir.​
• CDP ve VTP gibi kontrol düzlemi mesajları, Native VLAN 1 ise etiketlenmeden gönderilir, aksi takdirde VLAN1 ile etiketlenir.​
• Yerel VLAN, gövde portu başına yapılandırılır ve yerel olarak önemlidir . Bu nedenle, tek bir gövde bağlantısının her iki tarafında farklı VLAN numaraları yapılandırılabilir ve bu da yerel VLAN uyumsuzluğuna yol açabilir .​
• Yerel VLAN uyumsuzluğu trafiğin yanlış yönlendirilmesine yol açar ve bir güvenlik sorunudur .​
• İzin verilen VLAN'lar, switchport trunk allowed vlan komutuyla herhangi bir trunk portunda belirtilebilir .​

​

 

[Tolstoy]

Eline sağlık

 

[IMD]

Paylaşım için teşekkürler.

 

[veXor]

Teşekkürler.