Cisco Switchler ile Protected Port ve Private VLAN Konfigürasyonu

Aug 5th, 2008

Aynı broadcast domainde bulunan iki sunucudan bir tanesinin kontrolü yabancı biri tarafından ele geçirilmesi (hacklenmeyi daha kibar tarif edemezdim valla :=) durumunda, bu sunucu diğer sunucuya L2 atakları yapma şansını elde eder. Ayrıca artık minimum 100Mb’lik bir hız ile diğer sunucuya saldırma şansını da elde etmiştir.

Buna çözüm her sunucuyu ayrı bir vlan koymak olabilir. Bu sayede sunucular farklı broadcast domainde olacaklarından birbirlerine L2 atak yapamazlar ve routerda gereken ACL’leri yazarak gereken diğer önlemleri de alabilirsiniz. Ancak bu yöntem yönetimi daha zorlaştıracak ve IP kaybını artıracak bir çözümdür.

Bunun yerine protected port veya private vlan özelliklerini kullanabilirsiniz.

Protected port olarak belirlenmiş olan bir porttaki istemci diğer protected port olarak belirlenmiş bir istemci ile unicast, multicast ve broadcast trafiği ile haberleşme yapamaz. Yani aralarında hiç bir trafik oluşturulamaz. Protected port olarak belirlenmemiş portlara ise normal olarak erişebilirler.

Switch’in uplink portu ve herkesin ortak servis alması gereken portlar protected yapılmaz.

Proctected port konfigürasyonu şu şekilde yapılır:

Switch# configure terminal
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport protected

Ancak protected port uygulaması bir birimin birbirleri ile haberleşmesi gereken iki sunucusu varsa çözüm olmaz. Örnek olarak bir web sunucusu birde veri tabanı sunucusunuz olduğunu düşünelim. Bu iki sunucu haberleşsin ama switche bağlı diğer sunucular ile haberleşmesinler isterseniz Private VLAN konfigürasyonu yapmanız gerekir.

Daha önce Private VLAN konfigürasyonu üzerine bir doküman hazırlamıştım. Hazırladığım dokümanda 4 şirket olduğu düşünülmüştür. A ve B isimli şirketler sadece gateway ile haberleşecek şekilde, ABC ve XYZ şirketleri ise 2 sunucuya sahipler, kendi sunucuları ve gateway ile haberleşebilecek şekilde düşünülmüştür.

Private VLAN konfigürasyonu için bahsettiğim dokümanı aşağıdaki linkten temin edebilirsiniz.

http://web.itu.edu.tr/akingok
http://gokhanakin.net

Herkese kolay gelsin.

Gökhan AKIN

Tags:
  1. cospar
    Dec 11th, 2008 at 17:32
    Reply | Quote | #1

    Cisco CCNA 1 kurunu tamamladım. Ancak yurtdışında eğitim alıyorum ve bazı konuları anlamakta güçlük çekiyorum. Şayet bu konuda daha fazla bilgi paylaşımında bulunursanız sevinirim. Başarılar.