PfSense Vlan Trunking
-
Selamlar,
pfsense Vlan Trunk işlemini anlatan küçük bir yazı.Yazının kaynağı,
http://www.cehturkiye.com/index.php/2011/03/12/pfsense-vlan-trunking/pfsense-vlan-trunking.htmlpfSense Vlan Trunk
Dikkat: Bu yazıda layer2 switch nasıl çalışır, vlan nedir, trunk port nedir ve nasıl yapılır gibi teorik network bilgileri bulunmuyor. Eğer bu terimlerin ne olduğunu bilmiyorsanız detaylarını 19-20 Mayıs 2011 tarihlerinde Bilgi Güvenliği AKADEMİSİ tarafından düzenlenecek “Uygulamalı pfSense Güvenlik Duvarı” eğitimine katılarak öğrenebilirsiniz. Eğitim adresi, http://www.bga.com.tr/pfsense-guvenlik-duvari-egitimi-19-20-mart-2011/fabrikam.com Network Yapısı
Layer2 switch’de vlan database oluşturulur. Bu dökümanda uygulanan vlan id’leri, vlan10-vlan14 arasındadır.
Görüntüleyelim oluşturulan vlan’ları
FastEthernet’leri vlan üyesi yapalım. Swich'de çalıştırılacak komutlar,
laye2switch#configure terminal
laye2switch(config)#interface FastEthernet 1/0
laye2switch(config-if)#switchport access vlan 10
laye2switch(config-if)#no shutdown
laye2switch(config-if)#
*Mar 1 00:09:13.095: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
*Mar 1 00:09:14.095: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upDiğer FastEthernetlerde aynı komutlar ile istenilen vlanların üyesi yapılmalıdır.
Aynı vlan’da bulunan istemciler bir birleri ile haberleşebilecektir. Farklı vlan’lar ise haberleşemeyecektir. Trunk port oluşturup, pfSense ile farklı vlan’lar arası rouing ve vlan’ların internete çıkma gereksinimlerini yapalım.Trunk Port Ayarı
laye2switch(config-if)#switchport mode trunk
laye2switch(config-if)#switchport trunk encapsulation dot1q
laye2switch(config-if)#no shutdown
*Mar 1 00:14:34.359: %DTP-5-TRUNKPORTON: Port Fa1/10 has become dot1q trunkBakalım trunk portumuza
laye2switch#show interfaces fastEthernet 1/10 switchport
Name: Fa1/10
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
…...pfSense Vlan Yapılandırması,
İstemcilerden trunk porta gelen trafik dot1q olarak pfSense e ulaşmaktadır. Bu paketi okuyup geri yanı dönebilmek için pfSense’de vlan gruplarını oluşturmamız gerekiyor.
Oluşturulan Vlan’lar artık birer subinterface. Network yapımıza göre vlan’lara ip verip iletişim kurmaya başlayabiliriz.
Vlanlar arası rouing yaparken ve vlan’dan gelen-giden paketleri filtreleme için firewall’dan gerekli kuralları yazmamız gerekiyor.
Vlan10’dan gelen istemciler, Vlan13 deki istemcilere ping atabilsin, dosya sistemine bağlabilsin vb.
Not:Lab. Ortamında tüm trafiğe izin verilmiştir.
Şimdi test aşamasına geçebiliriz,
Vlan10 da bulunan 10.0.0.1 bilgisayarından pfSense ile haberleşebiliyor muyum ? İnernet’e çıkabiliyormuyum ?
Vlan10’da bulunan 10.0.0.1 ip adresinin dışında, kimse vlan13 deki ağa erişemesin istiyorum.Bunun için firewall’dan kural oluşturup, diğer ip adreslerinin erişimlerini engelleyelim.
10.0.0.1 ip adresi vlan13 deki bir bilgisayara erişebilir durumda,
10.0.0.2 ip adresi vlan13 e erişmek istediğinde trafik engellendi.
-
Yararli ve gayet aciklayici bir dokuman olmus…Elinize saglık..Ayrıca HP switch icinde configrasyonlarini eklerseniz daha yararli olur..
-
Yararli ve gayet aciklayici bir dokuman olmus…Elinize saglık..Ayrıca HP switch icinde configrasyonlarini eklerseniz daha yararli olur..
Önemli olan mantığı ve pfSense ile vlan'ların yönetimini anlamak.Switch değişir, komutlar değişir vs.
-
Ozan bey teşekkürler temel mantalite açısından çok yararlı bir yazı olmuş