VLAN etiketleme

KARINCA çift etiketlenmiş VLAN aktarımını (QinQ)  ve gelen paketlerin daha sonra tanımlanmasını sağlamak için etiketlenmesini desteklemektedir.

Çift etiketlenmiş (QinQ) paket desteği

KARINCA çift etiketlenmiş VLAN ile (QinQ) paket aktarımını destekler. Çift etiketlenmiş paketler toplanıp bir arayüzden çıkarılabilir ya da normal şekilde aktarılabilir.

Aşağıdaki sistem genelinde geçerli ayarlar, QinQ paketleri için yapılabilir:

• TPID, servis kimlik etiketini (S-Tag), kullanıcı kimlik etiketini ve port damgalama etiketini tanımlamak için kullanılabilen ilave VLAN etiketleri eklenmesini sağlar.
• Etiket biçimlendirmesi   (harici S / dahili C, ya da  harici C /dahili S) ağ tarafında kullanılarak; çıkan paketlerdeki etiket düzeninin ayarlanması sağlanır.
• Filtreleme ve yük dengelemede, VLAN etiketlerine göre kontrol sağlanacak ise, hem S hem de C etiketine bakılabilir. Ancak her iki etikete göre aynı anda filtreleme uygulanamaz.

VLAN başlığına göre filtreleme

VLAN başlıklarına göre filtreleme kullanıldığında, olası bir senaryo sistem seçeneği olarak S etiketine göre filtreleme seçilmişken, gelen paketlerin sadece C etiketine sahip tek VLAN bilgili bir yapıda olmasıdır.

Bu durumda, S etiketi olmayan paket filtreyle eşleşmez. Eğer filtreye göre paket geçişi sağlanması bekleniyorsa, eşleşme olmadığından paket yutulur. Eğer filtre harici olarak seçilmişse diğer filtrelere göre kararlar uygulanabilir.

Port P Etiketleri, global P etiketlerine göre filtreleme

P etiketlerine göre yapılan ayarlarda, bireysel portlar, global ayarlara göre önceliklidir.

Böylece,  eğer gelen bir pakette tek VLAN etiketi varsa ancak sistem tarafından normal bir C etiketi yerine, bir P etiketi eklenmiş ise  ve geliş portunda ‘P etiketine göre filtrelenme’ seçeneği aktifse, herhangi bir VLAN filtresi, bu paketteki P etiketine sadık kalarak çalışacaktır.

Arayüz etiketleme

Paketler trafik gelirken, daha sonra tanımlanmak amacıyla etiketlenebilir. Bu işlem tipik olarak, birden fazla trafiğin toplandığı ve tek çıkış noktasından iletilecek, yük dengelemesine gönderilecek ya da bir güvenlik aracına aktarılacak  trafik için, paketler cihaza geldiğinde yapılır.

Etiketleme, tekil bir TPID nin VLAN başlığına eklenmesi ile yapılır. Angora Networks bu başlığı, port etiketi ya da P-Tag olarak adlandırır. (Not: Bu terim başka markalı ürünlerde farklı anlamlarda kullanılabilir.)

Her giriş arayüzü başlıkta kullanacağı kendine özgü VLAN IDyi tanımlayabilmeli, böylelikle farklı portların trafikleri ayrıştırılabilmelidir. Ayrıca, birden fazla giriş portunun aynı VLAN ID yi kullanmasına izin verilebilir. Özellikle aktif pasif çalışan cihazlara aynı yerden gelen trafiği kopyalamak için gerekli olacaktır.

Arayüz etiketlemeyi yapılandırmak, için aşağıdaki seçenekler kullanılır:

• C-Tag, S-Tag ve P-Tag TPID leri: Sistem genelinde ayarlanarak, VLAN başlığındaki C- C-Tag, S-Tag ve P-Tag ı tanımlamak için kullanılacak TPID ler belirtilir. 
• Gelen (Ingress) P-Tag: Port ayarıdır. P-tag olarak o portta eklenecek VLAN ID tanımlanır (Boş bırakılırsa etiket eklenmez).
• Giden  (Egress) Etiketleme: Port ayarıdır. Mevcut etiketi korumak (Preserve existing), P-Tag eklemek (Push P-Tag) ve En dış etiketi çıkarmak (Pop outer) seçeneklerini içerir.
• P-Tag a göre filtreleme: Port ayarıdır. Gelen trafikte filtreleme ve  yük dengeleme içim VLAN başlığında P-Tag kontrolü yapılması gerektiğini işaret eder. Bu port için sistem genelinde geçerli olarn S-Tag veya paketteki C-Tag e göre öncelik verilir.

Gelen  P-Tag ve giden etiketleme işlemleri, doğru etiket operasyonun sağlanması için koordineli olarak yapılandırılmalıdır. Özellikle, gelen P-Tag seçeneği olan bir giriş portu, trafiği sadece, P-Tag Ekleme seçeneği olan bir çıkış arayüzüne göndermelidir. Aynı durumda, P-Tag Ekleme seçeneği olan bir çıkış arayüzü sadece gelen P-Tag seçeneği olan bir giriş portundan trafik almalıdır.

Aslında bu durum etiketlerle çalışın ya da çalışmayın tüm gelen ve giden portların karşılıklı tutarlı olması gerekliliğine güzel bir örnektir. Farklı portlar etiketleme kullanmayabilir, önemli olan akış boyunca tutarlılık sağlanmasıdır.

Arayüz etiketleme kullanımı örneği

Sıklıkla karşılaşılan bir etiketleme senaryosu, farklı portlardan gelen trafiğin toplanması, birleştirilmiş bu trafik toplamının, IPS benzeri kablo gibi çalışan bir güvenlik cihazına gönderilmesi (ya da yük dengeleme ile birden fazla cihaza) ve güvenlik cihazının geçmesine izin verdiği trafiğin geri alınıp, P-Tag kullanarak orjinal trafiğin başka eylemler için tanımlanmasıdır.

Aşağıdaki şekil bu senaryo için trafik akışını göstermektedir. VLAN etiketleme için gerekli işlemler gösterilmiştir Bu yapı için gereken yapılandırma şekilin alt tarafında VLAN etiketleme yapılandırması bölümünde detaylı olarak anlatılmıştır.

Şekil 1 – Toplanan trafiğin etiketlenmesi, harici bir cihaza gönderilmesi, ve gelen cihazın ağa geri aktarılmak üzere etiketlerin sökülmesi

VLAN etiketleme yapılandırması

Aşağıdaki prosedür, yukarıdaki şekilde tanımlanan akışın yapılandırılmasını anlatmaktadır. Değerleri kendi yapınıza uygun şekilde güncelleyerek kullanabilirsiniz.

1.   VLAN başlığına eklenecek global bir P-Tag TPID  belirleyin:

a)  Şasiye tıklayın ve VLAN sekmesini seçin.

b)  VLAN başlığındaki C-Tag, S-Tag, ve P-Tag için TPID belirleyin. Bazı ID lerin kullanımı farklı sistemler için rezerve edilmiş olabilir. Bunu göz önünde bulundurarak seçiminizi yapın. Örneğin yoğunlukl aVID 0, öncelik etiketli paketler için, VID 1, yönetim VLAN ı için kullanılmaktadır.

Şekil 2 – TPID (P-Tag) tanımlanması

2.  Her gelen trafik arayüzü (1, 2, ve 3) için farklı bir gelen P-tag etiketi (33, 34, 35) tanımlayın:

a)  1 numaralı arayüze tıklayarak seçin, daha sonra <Shift> tuşuna basılı tutarak 2 ve 3 numaralı portları seçin.

b)  Üç arayüz de yan yana sıralanacaktır. VLAN sekmesine tıklayın.

c)  Ingress P-Tag alanına, her arayüz için P-Tag değerlerini girin. Örneğin  33, 34, ve 35.

Şekil 3 – Gelen arayüz için Ingress P-Tag değeri girin

3.  Gelen trafiği birleştirin ve gideceği arayüz veya yük dengeleme grubuna yönlendirin.

a)  1 numaralı arayüze tıklayarak seçin, daha sonra <Shift> tuşuna basılı tutarak 2 ve 3 numaralı portları seçin.

b)  Seçili portlardan herhangi birini 4 numaralı porta sürükleyin. Bu şekilde 1-3 numaralı giriş portları için trafik toplanacak ve 4 numaralı oırttan çıkış sağlanacaktır.

Şekil 4 – Gelen trafik portlarındaki trafiği birleştirin (1, 2, ve 3) ve iletilecek cihaz portuna gönderin (4).

4.  Analiz cihazına bağlı olan çıkış portunda (4), çıkış etiletllemesi seçeneğini  (Egress tagging) P-Tag ekleme (Push P-Tag) olarak değiştirin.

a)  4 numaralı portu seçin ve VLAN sekmesine gidin.

b)  Egress tagging menüsünden , Push P-Tag. seçeneğini işaretleyin .

Şekil 5 – Egress Tagging menüsünden Push P-Tag seçin

Birleşmiş trafik çıkış portundan gönderilecek ve gönderildiği cihzdaki analiz sonrası geri alınacaktır.

5.  Dönen trafiğin alınacağı başka bir giriş arayüzünde (5),  P-Tag a göre filtreleme (Filter on P-Tag) seçeneğini işaretleyin.

a)  5 numaralı porta tıklayarak seçin ve VLAN sekmesine geçin.

b)  Filter on P-Tag seçeneğini aktif hale getirin.

Şekil 6 – P-Tag a göre filtreleme (Filter on P-Tag) seçeneğini, çıkış portunda işaretleyin

6.  VLAN ID ye göre trafik ayırmak için kullanılacak filtreyi içeren eşleşmeyi, orjinal paketlerin uygun portlardan geri dönmesini sağlayacak şekilde uygulayın. Filtre uygulanan trafiği uygun çıkş portlarından networke geri döndürün (6, 7, 8 numaralı portlar)

a)  5 numaralı portu 6 numaralı porta sürükleyin ve yeni bir eşleşme yaratın.

b)  Yeni eşleşmenin üzerine tıklayıp,  Define new filter seçeneğine tıklayın. .

c)  Filtre için uygun bir isim girin , örneğin “VID 33”.

d)  VLAN tag için, Match seçenekini bulun ve değer olarak 33 girin. Diğer seçeneklerin tamamını varsayılan değerlerde bırakın

Şekil 7 – VLAN etiketi için filtre tanımlama

e)  Save changes butonuna tıklayın.

f)   5 → 6 port eşleşmesi seçiliyken, filtre listesinden yeni yarattığınız filtreyi(“VID 33”) Gerekli (Required) olarak işaretleyin

g)  a-g arası adımları 5→7 ve 5→8 portları arasında farklı VLAN ID ler için (34 ve 35) için tekrarlayın ve oluşturulan filtreleri Gerekli (Required) olarak işaretleyin.

Şekil 8 – Cihazdan dönen trafiğin portunda (5) trafiği son hedefine göndermek üzere aktarılacak portlara doğru  (6, 7, 8) uygun filtre eşleşmelerini yapın

7.  Son çıkış arayüzlerinde (6, 7, 8), Çıkış Etiketlemesi (Egress Tagging) seçeneğini en dışdakini çıkarma  (Pop outer) olarak ayarlayın. Böylece giriş aşamasında eklenen ilave P-Tag çıkarılacak ve paket orjinal haline dönerek bir sonraki cihaza aktarılacaktır.

a)  6 numaralı portu seçin ve <Shift> tuşuna basılı tutarken 7 ve 8 numaralı portları seçin. Bu portlar trafiğin sonraki hedefine doğru giden portlar olmalıdır.

b)  VLAN sekmesini seçin .

c)  Üç port için, Egress tagging bölümünden Pop outer seçenekine tıklayın.

Şekil 9 – Son çıkış portlarında (6, 7, 8) Pop outer seçeneğini

8.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Yukarıdaki bahsedilen işlemleri, aşağıda listelenen CLI komut seti ile de uygulayabilirsiniz:

CONTROLLER>set tag tpid P 0x9001

CONTROLLER> set map 1 2 3 to 4

CONTROLLER> set tag ingress 1 to 3 on 33

CONTROLLER> set port 4 togPortStamp on

CONTROLLER> set filter f33 any vlan 33

CONTROLLER> set map 5 to 6 require f33

CONTROLLER> set filter f34 any vlan 34

CONTROLLER> set map 5 to 7 require f34

CONTROLLER> set filter f35 any vlan 35

CONTROLLER> set map 5 to 8 require f35

CONTROLLER> set port 5 filterOnVlan on

CONTROLLER> set port 6 popEgressTag on

CONTROLLER> set port 7 popEgressTag on

CONTROLLER> set port 8 popEgressTag on

CONTROLLER> commit