PfSense Vlan Trunking



  • Selamlar,
    pfsense Vlan Trunk işlemini anlatan küçük bir yazı.Yazının kaynağı,
    http://www.cehturkiye.com/index.php/2011/03/12/pfsense-vlan-trunking/pfsense-vlan-trunking.html

    pfSense Vlan Trunk
    Dikkat: Bu yazıda layer2 switch nasıl çalışır, vlan nedir, trunk port nedir ve nasıl yapılır gibi teorik network bilgileri bulunmuyor. Eğer bu terimlerin ne olduğunu bilmiyorsanız detaylarını 19-20 Mayıs 2011 tarihlerinde Bilgi Güvenliği AKADEMİSİ tarafından düzenlenecek “Uygulamalı pfSense Güvenlik Duvarı” eğitimine katılarak öğrenebilirsiniz. Eğitim adresi, http://www.bga.com.tr/pfsense-guvenlik-duvari-egitimi-19-20-mart-2011/

    fabrikam.com Network Yapısı

    Layer2 switch’de vlan database oluşturulur. Bu dökümanda uygulanan vlan id’leri, vlan10-vlan14 arasındadır.

    Görüntüleyelim oluşturulan vlan’ları

    FastEthernet’leri vlan üyesi yapalım. Swich'de çalıştırılacak komutlar,

    laye2switch#configure terminal
    laye2switch(config)#interface FastEthernet 1/0
    laye2switch(config-if)#switchport access vlan 10
    laye2switch(config-if)#no shutdown
    laye2switch(config-if)#
    *Mar 1 00:09:13.095: %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up
    *Mar 1 00:09:14.095: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

    Diğer FastEthernetlerde aynı komutlar ile istenilen vlanların üyesi yapılmalıdır.
    Aynı vlan’da bulunan istemciler bir birleri ile haberleşebilecektir. Farklı vlan’lar ise haberleşemeyecektir. Trunk port oluşturup, pfSense ile farklı vlan’lar arası rouing ve vlan’ların internete çıkma gereksinimlerini yapalım.

    Trunk Port Ayarı
    laye2switch(config-if)#switchport mode trunk
    laye2switch(config-if)#switchport trunk encapsulation dot1q
    laye2switch(config-if)#no shutdown
    *Mar 1 00:14:34.359: %DTP-5-TRUNKPORTON: Port Fa1/10 has become dot1q trunk

    Bakalım trunk portumuza

    laye2switch#show interfaces fastEthernet 1/10 switchport
    Name: Fa1/10
    Switchport: Enabled
    Administrative Mode: trunk
    Operational Mode: trunk
    Administrative Trunking Encapsulation: dot1q
    Operational Trunking Encapsulation: dot1q
    …...

    pfSense Vlan Yapılandırması,
    İstemcilerden trunk porta gelen trafik dot1q olarak pfSense e ulaşmaktadır. Bu paketi okuyup geri yanı dönebilmek için pfSense’de vlan gruplarını oluşturmamız gerekiyor.

    Oluşturulan Vlan’lar artık birer subinterface. Network yapımıza göre vlan’lara ip verip iletişim kurmaya başlayabiliriz.

    Vlanlar arası rouing yaparken ve vlan’dan gelen-giden paketleri filtreleme için firewall’dan gerekli kuralları yazmamız gerekiyor.

    Vlan10’dan gelen istemciler, Vlan13 deki istemcilere ping atabilsin, dosya sistemine bağlabilsin vb.
    Not:Lab. Ortamında tüm trafiğe izin verilmiştir.

    Şimdi test aşamasına geçebiliriz,
    Vlan10 da bulunan 10.0.0.1 bilgisayarından pfSense ile haberleşebiliyor muyum ? İnernet’e çıkabiliyormuyum ?

    Vlan10’da bulunan 10.0.0.1 ip adresinin dışında, kimse vlan13 deki ağa erişemesin istiyorum.Bunun için firewall’dan kural oluşturup, diğer ip adreslerinin erişimlerini engelleyelim.

    10.0.0.1 ip adresi vlan13 deki bir bilgisayara erişebilir durumda,

    10.0.0.2 ip adresi vlan13 e erişmek istediğinde trafik engellendi.



  • Yararli ve gayet aciklayici bir dokuman olmus…Elinize saglık..Ayrıca HP switch icinde configrasyonlarini eklerseniz daha yararli olur..



  • @nemesis01:

    Yararli ve gayet aciklayici bir dokuman olmus…Elinize saglık..Ayrıca HP switch icinde configrasyonlarini eklerseniz daha yararli olur..

    Önemli olan mantığı ve pfSense ile vlan'ların yönetimini anlamak.Switch değişir, komutlar değişir vs.



  • Ozan bey teşekkürler temel mantalite açısından çok yararlı bir yazı olmuş


Locked