HACETTEPE ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR AĞLARI LABORATUVARI DENEY 2 Sanal Yerel Ağlar (Virtual LAN s - VLANs) ÖN BİLGİ Sanal Yerel Ağ (VLAN) Sanal yerel ağ (Virtual Local Area Network-VLAN), gerçek bir yerel ağ üzerindeki uç bilgisayar sistemlerinin mantıksal olarak gruplandırılması ve anahtarlar düzeyinde ilgili bağlantı kapılarının (ports) bu mantıksal gruplandırmaya ayarlanması yoluyla gerçekleştirilir. Bu yolla gerçekleştirilen sanal ağ, sanki (bir ucu yönlendiriciye bağlı) bağımsız bir fiziksel anahtara bağlı bilgisayarlardan oluşmuş bir alt ağ gibi davranır. Çizim 2.1. Geniş Gerçek bir Yerel Ağın Sanal Ağlara Bölünmesi Sanal ağlar, yerel ağda anahtar diye adlandırılan bağlantı gereçlerinin kullanılması ve bunların ve yönlendiricinin sanal ağ desteğine sahip olması durumunda mümkün olabilmektedir. Sanal ağ yaklaşımı ile, gerçek (fiziksel) yerel ağdaki yapıdan bağımsız olarak, sanki ağda tanımlanan sanal ağ kadar, herbiri yönlendiricide sonlanan fiziksel yerel ağ varmış gibi bir durum yaratılabilmektedir. Prof.Dr. Ali SAATÇİ (Mart 2010) 1
Sanal ağlar, bulunulan cografi konumlara, çalışma grubuna, kullanılan uygulamaya ya da protokole göre tanımlanabilmektedir. Geniş gerçek bir yerel ağın sanal yerel ağlara bölünerek kullanılmasının çeşitli olumlu yönleri bulunur. Fiziksel olarak aynı anahtara bağlı olmalarına karşın, değişik çalışma gruplarına ilişkin bilgisayarları: Güvenlik amacıyla birbirlerinden soyutlamak ya da yalıtmak; Yayın alanlarını (broadcast domains) sınırlayarak bağlantı sığalarını (kuşak genişliklerini) verimli kullanmak, Yerel ağ yönetimini, fiziksel bağlantılara dokunmadan esnek bir biçimde ele almak bunlardan kimileridir. Güvenlik Bağlantıların ortak eksenli kablo ya da yineleyici (hub) nitelikli gereçler üzerinden yapıldığı (anahtar kullanılmayan) Ethernet türü yerel ağlarda, iki bilgisayar arasındaki veri akışı, aynı anda, ağa bağlı tüm sistemlere (bilgisayarlara, yineleyici gereçlere) iletilmektedir. Bu, trafiği artırmanın yanı sıra, salt iki bilgisayarı ilgilendiren paketlerin ister istemez diğer bilgisayarlara da ulaşmasına neden olmakta ve sniffer/network analyzer olarak adlandırılan kimi uygulamalarla bunların içeriklerini inceleme olanağı bulunduğundan güvenlik sorunları oluşabilmektedir. Bağlantı gereci olarak anahtar kullanıldığında, yineleyicilerin tersine, çerçevelerin, diğer ilgisiz bilgisayarlara yayılmasının önüne geçilebilmektedir. Ancak anahtarlı mimarilerde de, bir bilgisayar sisteminden, anahtar ağacına bağlı diğer bilgisayarlara ileti göndermek hala mümkün olabilmekte, bu yolla, örneğin virüslerin kurumun tamamına ulaşması gerçekleşebilmektedir. Anahtarlar üzerindeki bilgisayar sistemleri sanal ağlara ayrıştırıldığında, bir sanal ağa ilişkin çerçeveler, anahtar tarafından, diğer sanal ağlara taşınmamaktadır. Sanal ağ yaklaşımı ile güvenlik sorunlarına daha esnek çözüm üretilebilmektedir. Yayın (broadcast) nitelikli çerçevelerin denetimi Yayın (broadcast) nitelikli (kaynak adres bitlerinin tümünün 1 olduğu) çerçeveler, Ethernet türü yerel ağların veri bağlantı (datalink) katmanlarında ARP (Address Resolution Protocol) gibi protokoller tarafından çok yoğun kullanılır. Sanal ağ uygulaması yapılamayan 2. düzey anahtarlama gereçlerinde, örneğin ARP paketleri bir bilgisayardan, o anahtara bağlı tüm diğer sistemlere, başka bir deyişle tüm diğer Prof.Dr. Ali SAATÇİ (Mart 2010) 2
anahtarlara ve bilgisayarlara aktarılır. Ağ üzerindeki gereç sayısının fazla olması durumunda yayın nitelikli çerçevelerin de katlanarak artmasına neden olur. İyi tasarlanmış bir ağ, kimi ölçütlere göre alt kesimlere ayrılmalıdır. Bunu yapmanın en esnek ve ekonomik yolu anahtarlar üzerinde sanal ağlar tanımlamaktır. Sanal ağ yaratmak, aslında, yayın alt alanları oluşturmak demektir. Zira, sanal ağı, yönlendirici ile sonlanan fiziksel bir yerel ağ olarak düşünmek mümkündür. Yönlendiriciler, yayın nitelikli çerçeveleri başka bir yerel ağa bağlı ayaklarına (kapılarına) iletmezler. Bu yolla ağ düzeyi iletilen yayın nitelikli çerçevelerin sayısı azaltılarak bağlantı sığaları daha verimli kullanılır. Esneklik Sanal yerel ağlar birden çok anahtarı kapsayabilir (Bkz. Çizim-2.1). Bu sayede anahtarlar üzerinde, fiziksel konumu neresi olursa olsun, bir sistemi istenen sanal ağa atama esnekliğine sahip olunur. Zaman içerisinde büyüyen bir sanal ağ, yeni oluşturulan sanal ağlara aktarılabilir. Bu işlem, anahtarın işletim sistemine ilişkin komutlarla gerçekleştirilen kapı yapılandırmalarıyla mümkün olmaktadır. Aynı işlemi, sanal ağ desteği kullanmadan yapmaya kalktığınızda fiziksel bağlantılarla oynama zorunluluğu ortaya çıkmakta ve yeni anahtar ihtiyacı da doğabilmektedir. Sanal Ağ Türleri İki tür sanal ağ tanımlanabilmektedir: Durgun (Static VLANs) ve Devingen (Dynamic VLANs) sanal ağlar: Durgun Sanal Ağlar: Anahtar bağlantı kapılarının hangi sanal ağa ilişkin olduğu, ağ yöneticisi tarafından, anahtarın yapılandırılması sırasında bir kez tanımlanır ve yönetici tarafından tekrar değiştirilmediği sürece her kapı atandığı sanal ağ içinde kalır 1. Devingen Sanal Ağlar: Devingen sanal ağlarda anahtar, herhangi bir kapısına bağlı bilgisayarı (örneğin MAC adresi ile) tanıyarak ilgili olduğu sanal ağa kendiliğinden atar. Ağ yönetim programları ile fiziksel adres (MAC), protokol ya da hatta uygulama tabanında devingen sanal ağ tanımlanabilmektedir. 1 Anahtar olarak adlandırılan gereç, aslında bir bilgisayar sistemidir. Bir işletim sistemi altında çalışır. Cisco anahtarları IOS adlı işletim sistemi altında çalışır. Anahtar bağlantı kapılarının hangi sanal ağa ilişkin olduğu, anahtara bir terminal (console ya da telnet) aracılığıyla bağlanılarak, bu işletim sisteminin komutlarıyla yapılandırma bağlamında gerçekleştirilir. Prof.Dr. Ali SAATÇİ (Mart 2010) 3
Örneğin, merkezi bir sanal ağ yönetim programına sistemdeki bilgisayarların fiziksel (MAC) adreslerinin girildiğini düşünelim. Bir bilgisayar, ağ içi bir anahtarın bir ucuna bağlandığında, sanal ağ yönetim veritabanında, fiziksel (MAC) adresi sorgulanarak elde edilen sanal ağ kimliği, anahtarın ilgili ucuna atanır. Eğer uca bağlı sistem değişirse, benzer yolla, ucun içinde yer aldığı sanal ağ kimliği de değişir. Başka bir deyişle, durgun sanal ağlarda, bir kapının (ona bağlı ucun) hangi sanal ağa ait olduğu, ilgili anahtarın ayarı (configuration) yapılırken belirlenir. Bilgi anahtarda saklanır ve yeni bir ayar yapılmadan bu bilgi değişmez. Başka bir deyişle, anahtara yeni bir uç bağlanacağı zaman, anahtarın ayarı yeniden yapılarak ilgili kapının ait olduğu sanal ağ bilgisi anahtara girilmek zorundadır. Devingen sanal ağlarda ise, bir ucun hangi sanal ağa ait olduğu bilgisi anahtarda tutulmaz. Anahtar, bu bilgiyi, bu amaçla öngörülmüş merkezi bir sunucuya, istemci bir uygulama aracılığıyla sorarak öğrenir. MAC adresi-sanal Ağ ilişki çizelgesi sunucuda tutulur. Yerel ağa yeni bir bilgisayar ekleneceği zaman ağ yöneticisi sunucuyu günler. Bir ucun hangi sanal ağa ait olduğu bilgisi sunucudan elde edildikten sonra, anahtarda bir ön-bellekte tutularak kullanılır. Ön-bellek dönem dönem sıfırlanır. Öğrenme süreci yeniden başlatılır. Bu yolla sunucuda tanımlı uçlar, herhangi bir girişim yapmaya gerek kalmaksızın anahtarlar arasında hareket edebilme yeteneği kazanır. Uç-sanal ağ ilişki bilgisinin hangi sunucudan alınacağı, anahtarın ayarı (yapılandırması) yapılırken anahtara işlenir. Özellikle hareketli dizüstü bilgisayarlar için ağ yöneticisinin yönetim ve yapılandırma (configuration) işleri azalır. Cisco gereçlerde, devingen sanal ağ kullanımı için VMPS (VLAN Management Policy Server) adlı uygulama, fiziksel (MAC) adreslerine karşılık gelen sanal ağ kimliği veri tabanı ve merkezi sanal ağ yönetim hizmetini sunmaktadır. Sanal Ağ İşlemleri Sanal ağlar, farklı anahtarlar üstünde de tanımlanabilir (switch fabric). Birbirlerine bağlı farklı anahtarlar arasında çerçeveler, etiketleme (frame tagging) adlı, özel çerçeve başlıkları kullanan bir yöntemle, ilgili sanal ağın ilgili ucuna aktarılır. Anahtar uçlarının/bağlantı kapılarının (ports) iki çalışma modu bulunur: Bunlar Tek Bağlantılı (Access link) ve Çok Bağlantılı (Trunk link) modlardır. Tek Bağlantılı Mod: Bu modda ilgili uç salt tek bir sanal ağa ilişkin olabilir. Uca, genelde bir bilgisayar sistemi bağlıdır. Bu modda çalışan uca bağlanan sistem, sanal Prof.Dr. Ali SAATÇİ (Mart 2010) 4
ağlar arası ilişkilerden ve fiziksel ağdan bağımsız olarak bir yayın grubuna bağlı olduğu varsayımıyla çalışır. Anahtar, bu modda çalışan bir sisteme göndermeden önce, çerçeve üzerindeki sanal ağ başlığını kaldırır. Tek bağlantılı modda çalışan bir uca bağlı sistemlerin gönderdiği çerçeveler, bir yönlendirici ya da başka bir 3. katman anahtar tarafından yönlendirilmediği sürece, ait olduğu sanal ağ dışındaki sistemlere aktarılmazlar. Çizim 2.2. IEEE 802.1Q Sanal Ağ Standartı Çok Bağlantılı Mod: Bu modda çalışan bir uç, birden çok sanal ağa ilişkin çerçeveleri taşıyabilir. Bu nedenle, anahtarlar arası, anahtardan yönlediriciye ya da bir sunucuya bağlantılar bu modda çalışan bir uç üzerinden yapılır. Çok bağlantılı moddaki uçlar genelde Fast/Gigabit Ethernet standartında çalışırlar. Çok bağlantılı moddaki uçlar, farklı sanal ağ çerçevelerini aynı fiziksel bağlantı üzerinden aktarabilmek (çoklama yapabilmek) için ya firmaya özel ya da standart çerçeve etiketleme protokolları kullanırlar. Bunlardan, örneğin Cisco ISL (Inter Switch Link) firmaya özel, IEEE802.1Q ise uluslararası bir standarttır. Çerçeve etiketleme (frame tagging) yönteminde, çerçevenin sanal ağ kimliğine, sanal ağ başlığı diye adlandırılan özel bir başlık içinde yer verilir. Anahtarlar, bu kimliğe göre çerçeveye hangi işlemin yapılması gerektiğini belirler (Bkz. Çizim 2.2). Prof.Dr. Ali SAATÇİ (Mart 2010) 5
Trunk DENEY ÇALIŞMALARI Console bağlantısı Trunk Çizim-2.3. Örnek Sanal Ağ Her bilgisayar sisteminde, Çizelge 2.1 de belirtilen kurma işlemlerini yapınız. DNS sunucu adresi olarak Asistan bilgisayarının adresini kullanınız. Bilgisayarınızı (Çizim 2.3 e göre), grubunuza ilişkin anahtara bağlayınız. Çizelge 2.1. Kurma Bilgileri Bilgisayar Adı IP Adresi Alt Ağ Maskesi B11 - B16 10.100.10.1-10.100.10.6 255.255.0.0 B21 - B26 10.100.20.1-10.100.20.6 255.255.0.0 B31 - B36 10.100.30.1-10.100.30.6 255.255.0.0 B41 - B46 10.100.40.1-10.100.40.6 255.255.0.0 Sanal Ağ Belirleme Bu bölümde, bilgisayarlarınızın durgun sanal ağ tanımlarını yapılmış bulacaksınız. Ağ üzerindeki (Çizim-2.3) bilgisayarlardan hangilerine erişebildiğinizi ping programı yardımıyla deneyiniz. Buradan bilgisayarınızın diger hangi bilgisayarlarla aynı sanal yerel ağ içinde yer aldığını belirleyiniz. Prof.Dr. Ali SAATÇİ (Mart 2010) 6
Trunk Console bağlantısı Trunk Çizim 2.4. Yeni Sanal Ağ Tanımları Anahtara Console üzerinden bağlantı yapma Anahtar adlı gereçlerin, ethernet nitelikli ayaklarının yanı sıra, yapılandırma (configuration) işlemlerinin, sıradan bir uç (dummy terminal) aracılığıyla yapılabilmesine olanak vermek üzere, RS232 standartında ardıl bir bağlantı uçları da bulunur. Deneyde, çalışma takımınıza ilişkin herhangi bir bilgisayarın ardıl kapısını, size sağlanan kablo aracılığıyla, anahtarın console kapısına bağlayınız. Bilgisayarı, anahtarın console kapısına sıradan bir uç gibi göstermeye yarayan minicom programını çalıştırıp anahtar üstünde sizden istenen yapılandırma işlemlerini gerçekleştiriniz. Çizelge 2.2. VLAN Anahtarları IP Tanımları Gereç Adı Sanal Ağ # IP Gereç Adı Sanal Ağ # IP Anahtar2 1 10.1.1.1 Anahtar4 1 10.1.1.3 Anahtar3 1 10.1.1.2 Anahtar5 1 10.1.1.4 Anahtara telnet (istemci) ile bağlantı yapma Bu bağlamda, anahtarların, console bağlantısı üzerinden, Çizelge 2.2 de verilen IP tanımları yapıldıktan sonra, bilgisayarlar üzerinde telnet istemci programını Prof.Dr. Ali SAATÇİ (Mart 2010) 7
çalıştırarak da anahtarların yapılandırma çalışmalarını yürütmek mümkündür. Zira, anahtarlar üstünde, bu amaçla, telnet sunucu programı çalışmaktadır. Durgun Sanal Ağ Tanımlarını Değiştirme Her grup (BX1-BX6), fiziksel olarak bağlı bulunduğu anahtar üzerinde, Çizim 2.4 te verilen biçimde kendi yeni durgun sanal ağ tanımlarını yapacaktır. Bunun sonrasında hangi bilgisayarlara erişebildiğini ping programı yardımıyla belirleyerek yapılan tanımların doğruluğunu sınayacaktır 2. Anahtarlarla ilgili yapılandırma (configuration) IOS komutları, deney gününden önce öğrenciler tarafından incelenecektir. Sanal ağ tanımlarını değiştirmek ve anahtarlar arası trunk nitelikli bağlantı kapılarının yapılandırılabilmesi için gerekli kimi IOS komutları ve kullanımları aşağıda örneklenmiştir: Yeni bir sanal ağ yaratma: Switch> enable Switch# vlan database Switch(vlan)# vlan <vlan numarası> [name <vlan adı>] Switch(vlan)# exit Switch# Bir ucun yaratılan hangi sanal ağa ait olduğunun belirtilmesi: Switch> enable Switch# configure terminal Switch(config)# interface fastethernet0/<port no> Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan <vlan numarası> Switch(config-if)# exit Switch(config)# Ctrl-Z Switch# Bir ucun çok bağlantılı (trunk) modda çalıştırılması: Switch> enable Switch# configure terminal Switch(config)# interface fastethernet0/<port no> Switch(config-if)# switchport mode trunk Switch(config-if)# exit Switch(config)# Ctrl-Z Switch# Bir sanal ağın hangi uçları içerdiğinin görüntülenmesi: Switch> enable Switch# show vlan 2 Bu işlemlerden önce, asistanınız, eski sanal ağ tanımlarını silmiş olmalıdır. Prof.Dr. Ali SAATÇİ (Mart 2010) 8
Kaynaklar http://www.cisco.com/en/us/docs/switches/wan/mgx/mgx_8850/software/mgx_r3/rpm/rpm_r2.1/install ation/guide/21appc.html http://www.cisco.com/en/us/products/sw/netmgtsw/ps533/products_configuration_example09186a00 80093dda.shtml http://www.cisco.com/en/us/docs/switches/lan/catalyst2900xl_3500xl/releasesa4/eesoftconfig/masctrn k.html http://www.cisco.com/en/us/docs/switches/lan/catalyst2900xl_3500xl/releasesa4/eesoftconfig/mascv mps.html Prof.Dr. Ali SAATÇİ (Mart 2010) 9