Huawei cihazlarda VLAN (Virtual Local Area Network) yapılandırması, kurumsal ağ tasarımının temel taşlarından biridir. Özellikle Huawei switch ve router’larında VLAN mimarisi, hem performans hem de güvenlik açısından oldukça esnek ve güçlü bir yapı sunar. Son yıllarda Türkiye’de kamu kurumları, eğitim kurumları ve özel sektör projelerinde giderek daha fazla tercih edilmesiyle Huawei, ağ altyapısı tarafında yaygınlaşan bir marka haline gelmiştir.
VLAN sayesinde fiziksel olarak aynı switch üzerinde bulunan cihazlar, mantıksal olarak farklı ağlara ayrılabilir; böylece broadcast domain’ler izole edilir, ağ trafiği optimize edilir ve segmentasyon sağlanır. Bu yapı hem güvenliği arttırır hem de ağ yönetimini daha sürdürülebilir hale getirir.
Kurumsal ortamlarda departman bazlı ayrım (Muhasebe, IT, Misafir ağı vb.), VoIP trafiğinin ayrıştırılması veya yönetim trafiğinin izole edilmesi gibi senaryolarda VLAN kullanımı kritik öneme sahiptir. Huawei cihazlarda VLAN yapılandırması; access, trunk ve hybrid port tipleri, 802.1Q etiketleme mantığı ve VLAN ID yönetimi gibi kavramlarla birlikte ele alınmalıdır. Özellikle Huawei’nin VRP (Versatile Routing Platform) işletim sistemi üzerinde yapılan konfigürasyonlar; diğer üreticilerden bazı komut farklılıkları içerdiği için mantığın doğru anlaşılması önemlidir.
Huawei cihazlarda VLAN yapılandırması birden fazla yöntemle gerçekleştirilebilir. Huawei switch’lerde VLAN atamaları genel olarak dört farklı yöntemle yapılabilir: port bazlı, MAC adres bazlı, IP subnet bazlı ve Policy bazlı atama yöntemleri.
En yaygın kullanılan yöntem port bazlı VLAN atamasıdır. Bu yöntemde ilgili fiziksel port, belirlenen VLAN’a statik olarak atanır. Bunun dışında daha dinamik senaryolarda; cihazın MAC adresine göre belirleme, istemcinin IP subnet’ine göre VLAN atama ya da belirli kurallara dayalı policy bazlı VLAN atamaları da uygulanabilir.
Bu yöntemler sayesinde ağ yöneticileri, ihtiyaca göre esnek ve merkezi olarak yönetilebilir bir VLAN mimarisi oluşturulabilir.
Öncelikle Huawei Switch cihazımızda varolan VLAN’leri inceleyelim. Bunun için aşağıdaki komutu çalıştırabiliriz.
<HuseyinPala>display vlanHuawei switch’lerde varsayılan olarak yalnızca bir tane VLAN bulunur ve bu VLAN’ın VLAN ID değeri 1’dir. Cihaz ilk açıldığında tüm fiziksel portlar otomatik olarak VLAN 1’e bağlıdır.
VLAN oluşturmak için aşağııdaki komutları kullanabiliriz.
[HuseyinPala]vlan 100 --> Sadece VLAN 100 oluşturulur.
[HuseyinPala]vlan batch 100 200 --> VLAN 100 ve VLAN 200 oluşturulur.
[HuseyinPala]vlan batch 100 to 200 --> VLAN 100,101,102,103,... VLAN 200 e kadar oluşturulur. Oluşturduğumuz VLAN’a açıklama (description) eklemek için ilgili VLAN konfigürasyon moduna girdikten sonra aşağıdaki komutu kullanabiliriz. Bu sayede VLAN’ın hangi amaçla oluşturulduğu veya hangi departmana ait olduğu gibi bilgiler dokümantasyon açısından daha düzenli ve anlaşılır hâle gelir.
[HuseyinPala]vlan 10
[HuseyinPala-vlan10] description MUHASEBEBelirtilen VLAN ile ilgili detayları görmek için aşağıdaki komutu kullanabiliriz.
[HuseyinPala]display vlan 10Eğer yanlışlıkla bir VLAN oluşturduysak veya artık ihtiyaç duyulmayan bir VLAN’ı kaldırmak istiyorsak, ilgili VLAN’ı silmek için aşağıdaki komutu kullanabiliriz. Bu işlem sonrasında VLAN veritabanından kaldırılır ve o VLAN’a atanmış portlar varsayılan duruma döner.
[HuseyinPala]undo vlan 15Herhangi bir portu belirli bir VLAN’a atamak için ilgili interface konfigürasyon moduna girdikten sonra aşağıdaki komutu kullanabiliriz. Bu işlemle birlikte port, varsayılan VLAN’dan çıkarılarak tanımladığımız VLAN’a dahil edilir ve yalnızca o VLAN’a ait trafiği iletecek şekilde yapılandırılır.
[HuseyinPala]interface Ethernet0/0/1
[HuseyinPala-Ethernet0/0/1]port link-type access
[HuseyinPala-Ethernet0/0/1]port default vlan 100
[HuseyinPala-Ethernet0/0/1]quitSwitch’ler arasındaki bağlantılar genellikle trunk olarak yapılandırılır. Trunk portlar, birden fazla VLAN’a ait trafiğin aynı fiziksel bağlantı üzerinden taşınmasını sağlar.
Huawei cihazlarda varsayılan olarak trunk port üzerinden tüm VLAN trafiği otomatik olarak geçmez. Bu nedenle trunk port üzerinde hangi VLAN’ların taşınacağını ayrıca belirtmemiz gerekir. Aksi halde ilgili VLAN’a ait trafik karşı switch’e iletilmez ve iletişim sağlanamaz.
Bu yapı, gereksiz VLAN trafiğinin taşınmasını engelleyerek daha kontrollü ve güvenli bir ağ tasarımı oluşturulmasına yardımcı olur.
Aşağıdaki komutları kullanarak ilgili bir portu trunk olarak yapılandırabiliriz.
[HuseyinPala]interface Ethernet0/0/2
[HuseyinPala-Ethernet0/0/2]port link-type trunk
[HuseyinPala-Ethernet0/0/2]port trunk allow-pass vlan 10 20 30
[HuseyinPala-Ethernet0/0/2]port trunk allow-pass vlan all
[HuseyinPala-Ethernet0/0/2]quitBu adımlar tamamlandığında ilgili port, birden fazla VLAN’a ait trafiği 802.1Q etiketli (tagged) olarak taşıyabilecek şekilde yapılandırılmış olur.
Yapılandırma sonrası konfigürasyonu kaydetmek için aşağıdaki komutu kullanabiliriz.
<HuseyinPala>saveDaha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply