VLAN Nedir?

Virtual LAN yani VLAN, yerel ağın sanal alanlara ayrıştırılması kavramıdır. OSI katmanları içerisinde ikinci katmanda yer almaktadır. IEEE tarafından onaylanmış olup, ethernet paket başlığı içerisinde IEEE 802.1Q  etiketi olarak bilinmektedir.

VLAN teknolojisi ile yerel bir ağ üzerinde bulunan cihazlar ve kaynaklar mantıksal olarak birbirinden izole olacak şekilde ayrıştırılır. Birbirlerinden izole hale gelen sanal ağ gruplarının her birisi kendisine özel broadcast domain oluşturur. Sanal alt ağ kurmanın en büyük avantajlarından biri de trafik içerisindeki broadcast paketlerin birbirleri ile çakışma olasılığının azaltılmasıdır. VLAN yapılandırma sonrasında her VLAN sadece kendi broadcast paketleri ile haberleşeceği için broadcast trafiği azaltılır ve bant genişliği de arttırılmış olur. Bu sayede ağ yapısında kullanılacak olan ek cihaz veya yatırımlardan tasarruf edilebilir. Ayrıca VLAN teknolojisini kullanarak ağı ayrı segmentlere ayırmak uç cihazların daha kolay yönetilebilmesine olanak tanır. Switch üzerinde ACL yapısı kullanarak veya Firewall üzerinde kural yazılarak ilgili VLAN’ların yönetimi kolaylaştırılabilir.

Broadcast paketlerin birbirleri ile çakışma olasılığı olan alanlara Collision Domain adı verilmektedir. Collision Domain sayısının fazla olması, daha az cihazın birbiri ile direkt iletişim kurması anlamına gelir. Böylece aynı zamanda her bir VLAN kendi içerisinde bir Broadcast Domain oluşturur. Ne kadar az cihaz birbirinden farklı fazla sayıda bölgeye ayrılırsa o kadar sağlıklı iletişim kurulabilir. VLAN kullanımı collision domain sayısını arttırır böylece trafikte oluşabilecek olan çakışma oranı azalır.

Her bir VLAN kendi içerisinde yayın yapabilmek için sadece kendi VLAN’ına ait bir paket başlığı ile veri gönderimi yapar. Bu durum VLAN etiketleme olarak adlandırılmaktadır. Böylece aynı VLAN içerisinde bulunmayan her cihaz, bu paketin kendisine ait olmadığını düşünerek bu paketi düşürür.

VLAN bilgisini içeren paket başlığı büyüklüğü 4 Byte olarak belirlenmiştir. Aynı ağ içerisinde kullanılabilir maksimum VLAN sayısı 4096’dır. VLAN paket başlığı içerisinde 12 bit boyutunda VLAN ID Header bulunmaktadır. VLAN paket başlıklarında etiketleme yöntemi “ISL” kullanarak da yapılabilir ancak ISL header 30 byte olması sebebi ile “802.1q” yapısı çok daha hızlı çalışmaktadır.

VLAN yapılandırması yaparken dikkat edilmesi gereken unsurlardan bir tanesi port durumudur. Portun access, trunk veya hybrid olması iletişime geçecek olan broadcast domain’lerin belirlenmesi anlamına gelmektedir.

• Access Link sadece tek bir VLAN’a ait olan bağlantıdır. Access Link aracılığı ile birbirine bağlanan iki cihaz, fiziksel networkten bağımsız olarak tek bir broadcast grubuna bağlı olduğu için birbirleriyle aynı VLAN üzerinden haberleşebilirler. Access link üzerindeki cihazların gönderdiği paketler, bir router ya da başka bir 3. katman cihazı tarafından yönlendirilmediği sürece kendi VLAN’ları dışındaki cihazlarla iletişim kuramamaktadırlar.

• Trunk Link ile veriler VLAN etiketinden bağımsız iletilmektedir. Böylece veriler bir VLAN içerisinden başka bir VLAN içerisine aktarılabilir. Birbirinden iki farklı VLAN haberleştirilmek isteniyorsa aralarında mutlaka Trunk Link kullanılmalıdır. Trunk Port “tagged” olarak yani paket başlığı etiketlenmiş olarak iletim sağlar. Bu durumda Paket başlığı içerisinde bulunan VLAN ID etiketi üzerine bu ID’yi önemsiz kılacağını belirten bir etiket, bir yama, bir sticker yapıştırıldığı düşünülebilir.

Ancak birbirinden farklı iki VLAN haberleşecek ise mutlaka bir router aracılığı ile Inter VLAN Routing yapılmalıdır. Böylece VLAN etiketleri paket başlığı üzerinde yapısal bozukluğa uğramadan mevcut şekilde bir Router’a gönderilir ve iletim mekanizmasını, adresleme kararını etikete bağlı olarak router verir. İletişim daha sağlıklı ve güvenli sağlanır.

• Hibrit bir bağlantı noktası birden fazla VLAN birbiri ile iletişime geçebilir. Hibrit port sayesinde tek bir port hem Access hem de Trunk gibi kullanılabilir.

Ek olarak bilinenin aksine switchlerde 2 adet default VLAN bulunur, bunlar VLAN1 ve VLAN1005’dir. Native VLAN, trafiği untagged taşır. Bir VLAN kurulmadan önce switch “VTP” veya “Vlan Transparent” modu açık olmalıdır. VTP Transparent mod açık durumdayken yalnızca cihazın trunk portundan VTP Advertisement bilgileri alınır.

Native VLAN trunk bağlantı noktasına atanmış olan ve trunk portlara gönderilen etiketsiz trafiği göndermek için kullanılır. Trunk port, herhangi bir VLAN’dan gelmeyen trafiği Native VLAN’a yönlendirir. Her trunk bir Native VLAN barındırır ve default olarak bu VLAN 1’dir. Native VLAN tüm cihazlar için eş olmalıdır, uyuşmazlık olması durumunda iletimde problemlere yol açacaktır.

Management VLAN ise cihazı yönetmek üzere yapılandırılmış herhangi bir VLAN olabilir. Eğer yönetim VLAN’ı olarak özel bir VLAN yapılandırılmamışsa Native’de olduğu gibi VLAN 1 yönetim VLAN’ı olarak hizmet verir.

VxLAN

Benzer bir yapıda çalışan ancak daha gelişmiş ve yeni bir teknoloji olan VxLAN ise 8 Byte paket başlığı boyutuna sahiptir. VxLAN teknolojisi ile birbirinden farklı 16 milyon VxLAN alanı oluşturulabilir. VLAN teknolojisinin tünellenmesi ile çalışmaktadır. Layer2 Ethernet paket başlığını, Layer4 UDP paket başlığı içerisinde kapsülleyerek hizmet sunulmasını sağlamaktadır. Böylelikle fiziksel ağ, sanal ağ ile birleşmektedir ve buluttaki veriler lokaldeymiş gibi kullanıma uygun hale gelmektedir. Ağdaki sanal bağlantılar VTEP adı verilen sanal tünellemeler ile oluşturulur. VTEP haberleşmeyi sağlamaktadır. Bu sayede trafik kontrol edilebilir ve iletişimde güvenli bir yol sağlanır. VxLAN yapısının daha iyi anlaşılabilmesi için Underlay ve Overlay ile ilgili yazmış olduğum yazıya profilimde bulunan SDN yazısı içerisinden ulaşabilirsiniz.