Cisco Switch VLAN, Inter-VLAN Routing ve Port Security Yapılandırması

Kurumsal ağ altyapılarında ağ trafiğini organize etmek, performansı artırmak ve güvenliği sağlamak için Layer 2 (Katman 2) düzeyinde doğru yapılandırmalar hayati önem taşır. Bu rehberde, Cisco Catalyst switch’ler üzerinde VLAN (Sanal Yerel Alan Ağı) oluşturma, Inter-VLAN Routing (VLAN’lar Arası Yönlendirme) kurulumu ve port düzeyinde güvenlik (Port Security) yapılandırmasını adım adım gerçekleştireceğiz.

1. VLAN Oluşturma ve Arayüz Atama

VLAN’lar, yerel ağları mantıksal olarak küçük yayın (broadcast) etki alanlarına böler. Bu hem performansı artırır hem de departmanlar arası izolasyon sağlar.

VLAN Tanımlama

Switch üzerinde yönetim ve muhasebe departmanları için iki farklı VLAN oluşturalım:

Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Yonetim
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name Muhasebe
Switch(config-vlan)# exit

Access (Erişim) Port Yapılandırması

FastEthernet 0/1 portunu Yönetim (VLAN 10) grubuna, FastEthernet 0/2 portunu ise Muhasebe (VLAN 20) grubuna dahil edelim:

Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

Switch(config)# interface fastEthernet 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20
Switch(config-if)# exit

Trunk (Taşıyıcı) Port Yapılandırması

Switch’in yönlendiriciye (router) veya başka bir switch’e bağlandığı GigabitEthernet 0/1 portunu, tüm VLAN trafiklerini taşıyabilmesi için trunk moduna alalım:

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20
Switch(config-if)# exit

2. Inter-VLAN Routing (Router-on-a-Stick)

Farklı VLAN’lardaki cihazların birbirleriyle haberleşebilmesi için bir Layer 3 (yönlendirici) cihazına ihtiyaç vardır. En yaygın yöntemlerden biri tek bir fiziksel arayüzü alt arayüzlere (sub-interface) bölerek yapılan Router-on-a-Stick yapılandırmasıdır.

Router Yapılandırması

Router’ın Switch’e bağlı olan GigabitEthernet 0/0 arayüzü altında alt arayüzler oluşturalım:

Router# configure terminal
Router(config)# interface gigabitEthernet 0/0
Router(config-if)# no shutdown
Router(config-if)# exit

! VLAN 10 Alt Arayüz Yapılandırması
Router(config)# interface gigabitEthernet 0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 192.168.10.1 255.255.255.0
Router(config-subif)# exit

! VLAN 20 Alt Arayüz Yapılandırması
Router(config)# interface gigabitEthernet 0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 192.168.20.1 255.255.255.0
Router(config-subif)# exit

3. Switch Port Security (Port Güvenliği)

Fiziksel switch portlarına yetkisiz cihazların (örneğin yabancı bir laptop) takılmasını engellemek için Port Security özelliği kullanılır.

Temel Port Security Aktifleştirme

FastEthernet 0/1 portunda güvenliği aktif edelim ve porta en fazla 1 adet MAC adresi bağlanabilmesini isteyelim:

Switch(config)# interface fastEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1

MAC Adresi Sabitleme (Sticky MAC)

Porta takılan ilk cihazın MAC adresini otomatik olarak öğrenip çalışan konfigürasyona kalıcı olarak yazmasını sağlayalım:

Switch(config-if)# switchport port-security mac-address sticky

İhlal Durumu (Violation) Belirleme

Eğer izin verilen cihaz dışında farklı bir MAC adresine sahip cihaz porta bağlanırsa switch’in ne tepki vereceğini belirliyoruz:

• Shutdown (Varsayılan): Portu tamamen kapatır (Err-Disabled durumuna alır) ve log üretir.
• Restrict: Portu açık tutar, yetkisiz trafiği engeller ve SNMP logu gönderir.
• Protect: Portu açık tutar, yetkisiz trafiği sessizce engeller (log üretmez).

Biz en güvenli yöntem olan Shutdown modunu seçelim:

Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# exit

Cisco CLI Sorun Giderme ve Durum Komutları

Yaptığınız yapılandırmaların durumunu kontrol etmek için aşağıdaki show komutlarını kullanabilirsiniz:

! VLAN bilgilerini ve aktif portları görme
Switch# show vlan brief

! Trunk portların durumunu inceleme
Switch# show interfaces trunk

! Port Security durumunu genel olarak listeleme
Switch# show port-security

! Belirli bir portun güvenlik detaylarını inceleme
Switch# show port-security interface fastEthernet 0/1

💡 En İyi Pratik (Best Practice): Güvenlik için switch üzerinde kullanılmayan tüm portları mutlaka tek tek kapatın (shutdown) ve bunları kullanılmayan pasif bir VLAN’a (örneğin VLAN 999 - Blackhole) atayın.