VLAN (Virtual Local Area Network) ile Ağ Segmentasyonu
Fiziksel switch'leri mantıksal ağlara bölerek yayın trafiğini azaltan ve ağ güvenliğini önemli ölçüde artıran VLAN teknolojisi.
Genel Bakış
VLAN (Sanal Yerel Ağ), tek bir fiziksel ağ anahtarını (switch) yazılımsal olarak birden fazla bağımsız alt ağa bölme işlemidir. Böylece, aynı donanım üzerinde çalışan farklı departmanların (Muhasebe, İK, Misafir) ağları birbirinden izole edilir.
Sorun
Geleneksel, düz bir ağ (Flat Network) topolojisinde, bir cihaz ağa "Broadcast" (yayın) mesajı gönderdiğinde (örneğin ARP isteği veya DHCP keşfi), bu paket ağdaki tüm cihazlara ulaşır. Ağdaki cihaz sayısı arttıkça "Broadcast Storm" (yayın fırtınası) oluşur ve ağın performansı çöker. Ayrıca, güvenlik açısından misafir bir kullanıcının muhasebe sunucusuna ağ seviyesinde doğrudan erişebilmesi büyük bir risktir.
Çözüm: IEEE 802.1Q Standartı
Cihazları VLAN'lar ile bölerek bu sorunlar çözülür. Muhasebe PC'si ile İK PC'si aynı switch'e bağlı olsa bile, farklı VLAN'larda iseler birbirlerine yayın paketi gönderemezler.
Cisco Switch Örnek Konfigürasyon:
Switch(config)# vlan 10
Switch(config-vlan)# name MUHASEBE
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Teknik Detaylar
VLAN'lar arası iletişim kurmak istendiğinde bir Router veya Layer 3 Switch'e ihtiyaç duyulur (Inter-VLAN Routing). Switch'ler arası bağlantılarda birden fazla VLAN trafiğini tek bir kablo üzerinden taşımak için "Trunk Port" kullanılır. Çerçevelerin (Frames) hangi VLAN'a ait olduğunu belirtmek için Ethernet başlığına 4 bytelık 802.1Q etiketi (Tag) eklenir.
Sonuç
VLAN'lar, ağ yöneticilerine kablolama veya fiziksel yerleşim kısıtlamaları olmaksızın esnek bir şekilde ağ tasarlama imkanı sunar. Güvenlik, performans ve yönetim kolaylığı açısından modern yerel ağ (LAN) tasarımlarının temel taşıdır.