VLAN Yapılandırması: Ağ Segmentasyonu ile Güvenlik ve Performans

VLAN (Virtual Local Area Network — Sanal Yerel Alan Ağı), fiziksel ağ altyapısını mantıksal olarak birden fazla bağımsız ağa bölme teknolojisidir. VLAN'lar sayesinde aynı fiziksel switch üzerindeki cihazlar farklı broadcast domain'lere ayrılabilir; bu da hem güvenliği hem de ağ performansını önemli ölçüde artırır. Bu kapsamlı rehberde, VLAN'ın temel kavramlarını, türlerini, yapılandırma adımlarını ve güvenlik en iyi uygulamalarını, pratik Cisco ve HPE yapılandırma örnekleriyle birlikte ele alıyoruz.

VLAN Nedir ve Neden Gereklidir?

Geleneksel düz ağ mimarisinde (flat network), tüm cihazlar aynı broadcast domain'de bulunur. Bu durum, bir cihazın gönderdiği broadcast paketlerinin ağdaki tüm cihazlara ulaşması anlamına gelir. Küçük ağlarda sorun yaratmayan bu yapı, cihaz sayısı arttıkça ciddi performans ve güvenlik sorunlarına yol açar.

VLAN'ın Sağladığı Faydalar

• Broadcast trafiğini sınırlama: Her VLAN ayrı bir broadcast domain oluşturarak gereksiz broadcast trafiğini azaltır. 500 cihazlık bir ağda broadcast fırtınası (broadcast storm) ağı kullanılamaz hale getirebilir. VLAN'lar bu riski ortadan kaldırır.
• Güvenlik: Departmanlar veya cihaz grupları arasında mantıksal izolasyon sağlar. Finans departmanı verileri, yalnızca finans VLAN'ındaki cihazlardan erişilebilir. Misafir ağı kurumsal ağdan tamamen izole edilir.
• Performans: Broadcast domain'leri küçülterek ağ verimliliğini artırır. Her VLAN'ın trafiği diğer VLAN'ları etkilemez.
• Esneklik: Fiziksel konumdan bağımsız olarak mantıksal gruplar oluşturulabilir. Farklı katlardaki aynı departman çalışanları aynı VLAN'da olabilir.
• Sorun giderme kolaylığı: Ağ sorunları daha kolay izole edilir ve çözülür. Bir VLAN'daki sorun diğer VLAN'ları etkilemez.

VLAN Türleri

Farklı amaçlara hizmet eden birden fazla VLAN türü bulunmaktadır. Kurumsal ağ tasarımında bu türlerin doğru anlaşılması ve uygulanması kritik önem taşır.

Data VLAN (Veri VLAN'ı)

Kullanıcı trafiğini taşıyan standart VLAN türüdür. Bilgisayarlar, yazıcılar ve diğer iş istasyonları bu VLAN'a atanır. Genellikle departman veya fonksiyon bazlı oluşturulur.

Örnek veri VLAN planlaması:

• VLAN 10 — Yönetim (10.10.10.0/24)
• VLAN 20 — Finans (10.10.20.0/24)
• VLAN 30 — İnsan Kaynakları (10.10.30.0/24)
• VLAN 40 — Mühendislik (10.10.40.0/24)
• VLAN 50 — Satış ve Pazarlama (10.10.50.0/24)

Voice VLAN (Ses VLAN'ı)

VoIP trafiğini ayrı bir VLAN üzerinden taşımak için kullanılır. Ses trafiği gecikmeye ve jitter'a çok duyarlıdır; bu nedenle ayrı bir VLAN'da izole edilmesi ve QoS ile önceliklendirilmesi gerekir.

• QoS entegrasyonu: Voice VLAN trafiğine DSCP EF (46) değeri atanarak en yüksek öncelik verilir
• PoE entegrasyonu: IP telefonlar aynı portta hem voice VLAN hem de data VLAN taşıyabilir. Telefon voice VLAN'ına, telefona bağlı bilgisayar data VLAN'ına atanır
• Tipik adlandırma: VLAN 100 — Voice (10.10.100.0/24)

Management VLAN (Yönetim VLAN'ı)

Ağ cihazlarının (switch, router, firewall, erişim noktaları) yönetim arayüzlerine erişim için kullanılan VLAN'dır. Güvenlik açısından, yönetim trafiğinin kullanıcı trafiğinden izole edilmesi zorunludur.

• Erişim kontrolü: Management VLAN'a yalnızca yetkili ağ yöneticilerinin erişmesini sağlayın
• SSH zorunluluğu: Yönetim erişiminde Telnet yerine SSH kullanın
• VLAN 1'i kullanmayın: Varsayılan VLAN 1'i yönetim için kullanmayın; özel bir VLAN numarası atayın (ör: VLAN 99)

Native VLAN

Native VLAN, trunk portu üzerinden etiketlenmeden (untagged) geçen trafiğin ait olduğu VLAN'dır. Varsayılan olarak VLAN 1'dir ancak güvenlik amacıyla değiştirilmesi şiddetle önerilir.

• Native VLAN'ı VLAN 1'den farklı, kullanılmayan bir VLAN numarasına ayarlayın (ör: VLAN 999)
• Her iki trunk ucunda da aynı native VLAN tanımlanmalıdır; aksi halde native VLAN mismatch hatası oluşur
• Native VLAN'a hiçbir kullanıcı veya cihaz atamayın

Trunk Portları ve 802.1Q Etiketleme

Trunk portları, birden fazla VLAN trafiğini tek bir fiziksel bağlantı üzerinden taşıyan portlardır. Switch'ler arası bağlantılarda, switch-router arası bağlantılarda ve erişim noktası bağlantılarında trunk kullanılır.

802.1Q Etiketleme

IEEE 802.1Q, Ethernet çerçevesine 4 byte'lık bir VLAN etiketi ekleyerek her çerçevenin hangi VLAN'a ait olduğunu belirler. Bu etiket şu bilgileri içerir:

• TPID (Tag Protocol Identifier): 0x8100 değeri ile 802.1Q çerçevesi olduğunu belirtir
• Priority (PCP): 3 bit ile 8 öncelik seviyesi (QoS için kullanılır)
• DEI (Drop Eligible Indicator): 1 bit, tıkanıklık durumunda düşürülebilir paketleri belirtir
• VLAN ID (VID): 12 bit ile 1-4094 arasında VLAN numarası (0 ve 4095 ayrılmıştır)

Trunk Yapılandırma Örneği (Cisco IOS)

Aşağıda Cisco switch üzerinde trunk port yapılandırma örneği bulunmaktadır:

• Trunk modu belirleme: interface GigabitEthernet0/1 komutuyla porta girin, switchport mode trunk komutuyla trunk moduna alın
• İzin verilen VLAN'ları sınırlama: switchport trunk allowed vlan 10,20,30,100 komutuyla yalnızca gerekli VLAN'ların geçmesine izin verin. Tüm VLAN'lara izin vermek güvenlik riski oluşturur
• Native VLAN değiştirme: switchport trunk native vlan 999 komutuyla native VLAN'ı değiştirin

Trunk Yapılandırma Örneği (HPE Aruba)

HPE/Aruba switch'lerde trunk yapılandırması:

• Tagged (trunk) port belirleme: vlan 10 tagged A1 komutuyla VLAN 10'u port A1 üzerinde etiketli olarak tanımlayın
• Birden fazla VLAN ekleme: vlan 10,20,30,100 tagged A1 ile birden fazla VLAN'ı aynı porta atayın
• Native VLAN ayarlama: vlan 999 untagged A1 ile native VLAN'ı belirleyin

Inter-VLAN Routing (VLAN'lar Arası Yönlendirme)

VLAN'lar varsayılan olarak birbirinden izoledir; farklı VLAN'lardaki cihazlar iletişim kuramaz. VLAN'lar arasında iletişim gerektiğinde inter-VLAN routing yapılmalıdır. Bu, bir Layer 3 cihaz (router veya Layer 3 switch) gerektirir.

Inter-VLAN Routing Yöntemleri

1. Router-on-a-Stick: Tek bir fiziksel router arayüzü, alt arayüzler (subinterfaces) ile birden fazla VLAN'ı yönlendirir. Küçük ağlar için uygun ancak performans sınırlıdır. Her alt arayüze 802.1Q encapsulation ve IP adresi atanır.
2. Layer 3 Switch (SVI — Switch Virtual Interface): Kurumsal ağlarda en yaygın yöntemdir. Her VLAN için bir SVI oluşturulur ve IP adresi atanır. Donanım tabanlı yönlendirme sayesinde router-on-a-stick'e göre çok daha yüksek performans sunar. Cisco'da "ip routing" komutuyla Layer 3 yönlendirme aktifleştirilir.
3. Harici Firewall üzerinden yönlendirme: VLAN'lar arası trafik firewall üzerinden geçirilir. Her VLAN'ın trafiği güvenlik politikalarıyla denetlenir. En yüksek güvenlik seviyesini sağlar ancak firewall throughput'u darboğaz oluşturabilir.

SVI Yapılandırma Örneği (Cisco)

Cisco Layer 3 switch üzerinde SVI yapılandırması:

• ip routing komutuyla global yönlendirmeyi aktifleştirin
• interface vlan 10 komutuyla VLAN 10 SVI'ı oluşturun
• ip address 10.10.10.1 255.255.255.0 ile gateway IP adresini atayın
• no shutdown ile arayüzü aktifleştirin
• Bu işlemi her VLAN için tekrarlayın

VLAN Güvenlik En İyi Uygulamaları

VLAN'lar ağ segmentasyonu sağlasa da, doğru yapılandırılmadığında çeşitli güvenlik açıklarına karşı savunmasız kalabilir. Aşağıdaki güvenlik önlemlerini mutlaka uygulayın.

VLAN Hopping Saldırılarını Önleme

VLAN hopping, bir saldırganın bir VLAN'dan diğerine izinsiz olarak erişmesini sağlayan saldırı tekniğidir. İki temel yöntemi vardır:

1. Switch Spoofing: Saldırgan, cihazını trunk port olarak yapılandırarak tüm VLAN'lara erişmeye çalışır.
   • Önlem: Kullanılmayan portlarda DTP'yi (Dynamic Trunking Protocol) kapatın: switchport mode access ve switchport nonegotiate komutları
   • Yalnızca gerekli portları trunk olarak yapılandırın
2. Double Tagging: Saldırgan, çerçeveye çift 802.1Q etiketi ekleyerek hedef VLAN'a ulaşmaya çalışır.
   • Önlem: Native VLAN'ı VLAN 1'den değiştirin ve native VLAN'a hiçbir kullanıcı atamayın
   • Trunk portlarında vlan dot1q tag native komutuyla native VLAN trafiğini de etiketleyin

Port Security

Port security, switch portuna bağlanabilecek MAC adreslerini sınırlayarak yetkisiz cihaz bağlantısını önler.

• Statik MAC adresi: Porta bağlanmasına izin verilen MAC adreslerini manuel olarak tanımlayın
• Dinamik MAC limiti: Porta aynı anda bağlanabilecek maksimum MAC sayısını belirleyin (ör: 2)
• İhlal eylemi: Yetkisiz MAC algılandığında portu kapatma (shutdown), trafiği düşürme (restrict) veya yalnızca uyarı verme (protect) seçenekleri
• Sticky MAC: İlk öğrenilen MAC adreslerini otomatik olarak kalıcı hale getirir

DHCP Snooping

DHCP Snooping, ağda sahte DHCP sunucularını tespit edip engelleyen güvenlik özelliğidir. Saldırgan, sahte bir DHCP sunucusu çalıştırarak istemcilere yanlış ağ yapılandırması dağıtabilir ve trafiği üzerinden geçirebilir (man-in-the-middle).

• Trusted port: Gerçek DHCP sunucusunun bağlı olduğu portu trusted olarak işaretleyin
• Untrusted port: Tüm kullanıcı portlarını untrusted olarak bırakın. Bu portlardan gelen DHCP sunucu yanıtları engellenir
• Rate limiting: DHCP isteklerini saniyede belirli bir sayıyla sınırlayarak DHCP starvation saldırılarını önleyin

Dynamic ARP Inspection (DAI)

DAI, DHCP snooping veritabanını kullanarak sahte ARP paketlerini tespit edip engeller. ARP spoofing/poisoning saldırılarına karşı koruma sağlar.

Private VLAN (PVLAN)

Private VLAN, aynı VLAN içindeki portlar arasında izolasyon sağlar. Özellikle DMZ ve misafir ağları için kullanışlıdır.

• Isolated port: Diğer isolated portlarla ve community portlarla iletişim kuramaz; yalnızca promiscuous port ile iletişim kurabilir
• Community port: Aynı community'deki portlarla ve promiscuous port ile iletişim kurabilir
• Promiscuous port: Tüm portlarla iletişim kurabilir (genellikle gateway veya sunucu portu)

VLAN İzleme ve Sorun Giderme

VLAN yapılandırmasının doğru çalışmasını ve performans sorunlarının hızlı çözülmesini sağlamak için düzenli izleme gereklidir.

İzleme Araçları ve Komutları

• show vlan brief: Tüm VLAN'ları ve port atamalarını listeler
• show interfaces trunk: Trunk portlarını ve izin verilen VLAN'ları gösterir
• show mac address-table: MAC adres tablosunu VLAN bazında gösterir
• show spanning-tree vlan X: Belirli bir VLAN'ın STP durumunu gösterir
• SNMP izleme: Ağ izleme araçları (PRTG, Zabbix, Nagios) ile VLAN bazlı trafik ve port durumunu izleyin

Yaygın VLAN Sorunları ve Çözümleri

1. VLAN'a atanmamış port: Cihaz ağa bağlanamıyorsa, portun doğru VLAN'a atanıp atanmadığını kontrol edin
2. Native VLAN mismatch: Trunk portlarının her iki ucunda aynı native VLAN tanımlandığından emin olun
3. Trunk'ta VLAN eksikliği: Trunk portunda gerekli VLAN'ların allowed listesinde olduğunu doğrulayın
4. STP sorunları: Root bridge seçimini kontrol edin. İstenmeyen switch'in root olmasını önlemek için priority değerlerini doğru ayarlayın
5. Inter-VLAN routing çalışmıyor: SVI'ların doğru IP adresi ve subnet mask'e sahip olduğunu, no shutdown durumunda olduğunu ve ip routing'in aktif olduğunu kontrol edin

Kurumsal VLAN Tasarım Önerileri

Profesyonel bir VLAN tasarımı oluştururken aşağıdaki ilkeleri göz önünde bulundurun:

• VLAN 1'i kullanmayın: Varsayılan VLAN'ı hiçbir amaçla kullanmayın. Tüm portları özel VLAN'lara atayın.
• Tutarlı numaralandırma: Tüm lokasyonlarda aynı VLAN numaralandırma şemasını kullanın (ör: 10-serisi yönetim, 20-serisi kullanıcılar, 100-serisi ses)
• Kullanılmayan portları kapatın: Boş switch portlarını shutdown yapın ve kullanılmayan bir VLAN'a atayın (ör: VLAN 998 — BlackHole)
• Dokümantasyon: VLAN listesi, IP adresleme planı, port atamaları ve trunk bağlantılarını detaylı şekilde belgeleyin
• Broadcast domain boyutu: Bir VLAN'da 250'den fazla cihaz bulunmamasına dikkat edin. Gerekirse VLAN'ı alt VLAN'lara bölün

İzmir'de VLAN Yapılandırma ve Network Hizmetleri

Smyrna Bilgi Teknolojileri olarak İzmir'de 22+ yıllık deneyimimizle VLAN tasarımı, yapılandırması ve ağ segmentasyonu konusunda profesyonel hizmet sunuyoruz. Mevcut ağ altyapınızı analiz ediyor, güvenlik açıklarını tespit ediyor ve en iyi uygulamalara uygun VLAN mimarisi tasarlıyoruz. Ağ segmentasyonu ve VLAN yapılandırması için bizimle iletişime geçin.