Orta ölçekli ve kurumsal bir çok firma network al yapısında vlan’lar uygulamaktadır. Vlan’lar ile ayrılan networkler bir birleri ile haberleşemez ve vlan’lar arası routing yaparken maksimum koruma sağlanabilir.
Bu yazıda, fabrikam.com ağında Layer 2 bir switch üzerinde vlan’lar oluşturarak ağları bölmek ve trunk porta bağlı pfSense ile bu vlan’ları yönetmek anlatılmışır. Bu uygulama labaratuar ortamında kurulmuş ve test edilmiştir.Yazılanları bire bir kendi yapınızda uygulamanız durumunda, ciddi sorunlar yaşayabilirsiniz.
Dikkat: Bu yazıda layer2 switch nasıl çalışır, vlan nedir, trunk port nedir ve nasıl yapılır gibi teorik network bilgileri bulunmuyor. Eğer bu terimlerin ne olduğunu bilmiyorsanız detaylarını 19-20 Mayıs 2011 tarihlerinde Bilgi Güvenliği AKADEMİSİ tarafından düzenlenecek “Uygulamalı pfSense Güvenlik Duvarı” eğitime katılarak öğrenebilirsiniz. Eğitim adresi, http://www.bga.com.tr/pfsense-guvenlik-duvari-egitimi-19-20-mart-2011/
fabrikam.com Network Yapısı
Layer2 switch’de vlan database oluşturulur. Bu dökümanda uygulanan vlan id’leri, vlan10-vlan14 arasındadır.
Görüntüleyelim oluşturulan vlan’ları
FastEthernet’leri vlan üyesi yapalım. Swich’de çalıştırılacak komutlar,
laye2switch#configure terminal
laye2switch(config)#interface FastEthernet 1/0
laye2switch(config-if)#switchport access vlan 10
laye2switch(config-if)#no shutdown
laye2switch(config-if)#
*Mar 1 00:09:13.095: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
*Mar 1 00:09:14.095: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
Diğer FastEthernetlerde aynı komutlar ile istenilen vlanların üyesi yapılmalıdır.
Aynı vlan’da bulunan istemciler bir birleri ile haberleşebilecektir. Farklı vlan’lar ise haberleşemeyecektir. Trunk port oluşturup, pfSense ile farklı vlan’lar arası rouing ve vlan’ların internete çıkma gereksinimlerini yapalım.
Trunk Port Ayarı
laye2switch(config-if)#switchport mode trunk
laye2switch(config-if)#switchport trunk encapsulation dot1q
laye2switch(config-if)#no shutdown
*Mar 1 00:14:34.359: %DTP-5-TRUNKPORTON: Port Fa1/10 has become dot1q trunk
Bakalım trunk portumuza
laye2switch#show interfaces fastEthernet 1/10 switchport
Name: Fa1/10
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
……
pfSense Vlan Yapılandırması,
İstemcilerden trunk porta gelen trafik dot1q olarak pfSense e ulaşmaktadır. Bu paketi okuyup geri yanı dönebilmek için pfSense’de vlan gruplarını oluşturmamız gerekiyor.
Oluşturulan Vlan’lar artık birer subinterface. Network yapımıza göre vlan’lara ip verip iletişim kurmaya başlayabiliriz.
Vlanlar arası rouing yaparken ve vlan’dan gelen-giden paketleri filtreleme için firewall’dan gerekli kuralları yazmamız gerekiyor.
Vlan10’dan gelen istemciler, Vlan13 deki istemcilere ping atabilsin, dosya sistemine bağlabilsin vb.
Not:Lab. Ortamında tüm trafiğe izin verilmiştir.
Şimdi test aşamasına geçebiliriz,
Vlan10 da bulunan 10.0.0.1 bilgisayarından pfSense ile haberleşebiliyor muyum ? İnernet’e çıkabiliyormuyum ?
Vlan10’da bulunan 10.0.0.1 ip adresinin dışında, kimse vlan13 deki ağa erişemesin istiyorum.Bunun için firewall’dan kural oluşturup, diğer ip adreslerinin erişimlerini engelleyelim.
10.0.0.1 ip adresi vlan13 deki bir bilgisayara erişebilir durumda,
10.0.0.2 ip adresi vlan13 e erişmek istediğinde trafik engellendi.
