VLAN Kavramı ve LAN Problemleri

Merhabalar,
Bu yazida yeni baslayanlarimiz için Virtual Local Area Network – VLAN kavramina deginelim.

VLAN: Bir LAN networkü içerisinde L2 cihazlarda mantiksal olarak yeni LAN’lar olusturmaktir. Böyle tanimi verip kestirip atmayacagiz tabi :). VLAN kavraminin daha iyi anlasilmasi için neden ihtiyaç duyuldugunu anlamak gerekir.
Biraz internet kaynaklarini taradim, Sadece tanimla anlatan, somut betimlemelere yer veren bir sürü kaynak mevcut. Açikçasi teknik terimlerin çok disina çikilmasinin sonraki süreçlerde problem çikarabilecegini düsünüyorum.
LAN kavramina network topoloji tipleri konusundan az çok asinayiz. Tek bir ip agina sahip olan, L3 katman yönlendirmesine ihtiyaç duymadan L2 cihazlarla haberlesebilen network yapisi olarak düsünebiliriz. Genelde switch ve hub’ lardan kurdugumuz yapilar LAN networklerini olusturur. Birden çok LAN networkünün bir araya gelmesi ve haberlesebilmesi basit anlamda bir WAN networkünü olusturur.

Biraz eskilere gidelim ve LAN networklerinin sikintilari nelerdir görelim?

Ilk aklimiza gelen broadcast paketler. Bildiginiz gibi broadcast paketler L2 cihazlar tarafindan aktif tüm portlarindan gönderilmek üzere çogaltilir. LAN networklerindeki cihaz sayisi arttikça temel iletisim bilgilerini almak için yapilan sorgular ( ARP) ve ya standart olarak sistemlerin kullandiklari protokollerin gönderdigi broadcast bilgilendirme mesajlari trafiginizin büyük bir kismini olusturmaya baslar. Bu durum elbette bir noktaya kadar hos görülebilir. Standart iletisim canim ne olacak. Öyle elbette ta ki muzip bir kullanicinizin internet hizini arttirmak adina ofisteki switchine, switchten gelen baska bir kabloyu takana kadar :). Bu noktadan sonra broadcast storm’unu Katrina Kasirgasi’na dönüsmeden önce durdurmalisiniz :).

Ikinci bir problem L2 cihazlarinin güvenlik kontrollerinin düsük olmasi. LAN networklerinde L3 olarak tüm cihazlar ayni network altinda. Fakat topoloji içerisinde bazi cihazlara herkesin erismesinde sakincalar olabilir. Her ne kadar L2 cihazlardan bir kisim filtrelemeler yapabilse de L2 erisimin kisitlanmasi, özellikle broadcast iletisim kisitlanmasi pek mümkün degil.

Baska bir problem yönetilebilirlik. Tahmin edebileceginiz gibi bir yapi büyüdükçe içerisinde olusan sorunla artmaya ve çözüm süreçleri uzamaya baslar. Büyük bir LAN networkünde de herhangi bir basit problem içinden çikmasi zor bir kargasaya dönüsebilir. Üstte bahsettigimiz broadcast storm durumunu düsünün.

Bir baska problem genisleyebilirlik. Elimizdeki LAN networkü /24 bir ip araligina sahip olsun. En fazla ne kadar cihazimiz olabilir? Cevap:254 Peki bir tane daha eklenirse ne yapacagiz? Belki tek çözümümüz tüm cihazlarin ip networkünü degistirip /23 yapmak. Bu da tüm networkümüzün baglantisi bir süreligine kopacak demek oluyor.

Iste tüm bun problemlerin çözüm bulabilecegi mantiksal bir yapidir VLAN kavrami.
VLAN; En basit tabiri ile L2 basliginin önüne bir etiket eklenmesi ile LAN’i mantiksal olarak parçalara ayirmaktir. Bir nevi LAN içerisinde ötekilestirme yapmaktir :).

Vlan_Tag

Peki bu etiket nereden geldi?
Bu etiket VLAN kavramini gerçeklestirmek için standart Ethernet Frame’ine eklenek 802.1q basliginda bulunur. Zaten bildigimiz üzere tüm OSI modeli enkapsülasyon üzerinden çalisiyor. L2 basligina ek olarak 4 byte’lik bir 802.1q baslgi ekleniyor. Bu basligin içinde;
Type,Priority,Flag ve VLAN ID kisimlari bulunur. Etiket olarak bahsettigimiz kisim VLAN ID kismi.

Simdi VLAN kavrami bu problemlerin nasil önüne geçiyor bundan bahsedelim.

VLAN; Ilk büyük problemimiz broadcast trafikti. VLAN etiketleri L2 basliginin basina ekledigi için broadcast paketler sadece ayni VLAN’a ait portlardan geçis gerçeklestirebilir. Bu durumda VLAN’lara ayirdgimiz LAN’imiz daha küçük broadcast etki alanlarina sahip olmus olur. Bu durumda yayilacak broadcast paketler veya bir broadcast storm durumunda etkilenecek cihaz sayisi azalmis olur. VLAN ile L2 seviyesinde L3 cihaz kullanmadan broadcast etki alanlarini ayirmis oluyoruz.

VLAN’la rile LAN’imizin güvenligini de arttirmis oluruz. Networkümüz içerisinde her cihaz ayni tip veri göndermeyebilir ve verilerin kesinlikle birbirinden ayrilmasi gereken durumlar olabilir. Eskiden sadece L3 cihazlar ile networkleri ayirarak yapabilecegimiz bu islemi VLAN ile L2 cihazlarda da gerçeklestirebiliyoruz.

VLAN ile kendi LAN’imizi parçalara ayirdigimiz için yapilan genislemeler ve problemler sadece o VLAN içerisinde etkili olacaktir. Bu durumda networkümüzün genisleyebilirligi ve yönetilebilirligi artmisolur.

VLAN bu özellikleri itibari ile eski LAN yapisinin birçok problemini ortadan kaldirmis oluyor. Eski LAN yapisinda LAN ’lari konusturabilmek için birçok L3 cihaz gerekirken artik VLAN ile tek bir L3 cihaz üzerinden haberlesme saglanabiliyor.
Bu yazida paket detaylari ve 802.1q etiketinin özelliklerine, konfigürasyonlara deginmedim. Henüz hazirlik asamasinda yakinda geliyor 🙂

Musa AYDIN
musa.aydin@netoburus.com