CCTV için VLAN yapılandırması, IP kameraları yetkisiz erişime karşı korumak ve ayrıca güvenlik kamera sistemini IP ağına bağlı diğer bilgisayarlardan ve cihazlardan ayırmak için çok önemlidir.
Cisco, Netgear, HP, Dell, Dlink vb. 2. katman ağ anahtarlarınız varsa, bunlar CCTV sisteminizde kullanılmak üzere kolayca yapılandırılabilir.
VLAN nedir
VLAN, sanal gruplar oluşturarak ağları segmentlemek için kullanılan bir teknolojidir.
Sanal Yerel Alan Ağı anlamına gelir ve yayın trafiği kontrolüne izin vermek ve aynı zamanda izinsiz erişime engel olmak için güvenlik erişim düzeyini arttırmak üzere sanal gruplar oluşturmak için ağ anahtarlarında sıklıkla kullanılır .
Bir anahtarda VLAN oluşturmak ve bunları belirli anahtar bağlantı noktalarına ilişkilendirmek mümkündür . Aynı grup bağlantı noktasına (VLAN) bağlı bilgisayarlar ve IP kameralar gibi aygıtlar ağda iletişim kurabilir.
VLAN Trafik Ayrımı
Aynı anahtara bağlı bilgisayarlar ve CCTV kameraları olan bir senaryoda ,yayın trafiğini (broadcast) ayırmak için VLAN’lar oluşturmak mümkündür .
Aşağıdaki şema, portlarına IP CCTV kameraları ve bilgisayarlar bağlı olan bir ağ anahtarının örneğini göstermektedir. VLAN’ların farklı adlar, IP adres aralığı ve renkler tarafından oluşturulduğunu ve temsil edildiğini unutmayın.
BT ortamında ağ yöneticileri, sayıları ve renkleri VLAN’ları adlandırmak için kullanır. Yukarıdaki resimde farklı grupları temsil etmek için sırasıyla mavi ve yeşil rengi kullanan VLAN 10 ve VLAN 20’yi görebilirsiniz .
VLAN Güvenliği
VLAN, gruplara belirli anahtar portları atayarak ağdaki güvenliği artırabilir. Bir adamın dizüstü bilgisayarının Blue VLAN’daki1 numaralı bağlantı noktasına bağlı olduğu ve 3. bağlantı noktasındaki PC2 ile iletişim kurduğu aşağıdaki resme bakın .
Bir saldırgan, dizüstü bilgisayarını bağlamak ve ağı hacklemek için IP kameranın kablosunu port 4’ten çıkarır ve kendi bilgisayarına takar. Güvenlik kamerasını hacklemek için Yeşil VLAN’a bağlanıyor ancak ağın geri kalanına erişemiyor.
Aynı prensip şirket çalışanı için de geçerlidir, farklı bir VLAN’a bağlı olduğu için güvenlik kamerasına erişimi olamaz.
VLAN Tag’ları (Etiket) Nasıl Çalışır?
Bir anahtar trafiği kontrol edebilmek için , her bir porta giren veya çıkan çerçeveleri işaretlemek için bir Tag (Etiket) kullanır.
Anahtar portu 1 veya 3’e gelen çerçeveler (frame) VLAN 10’un bir parçası olarak etiketlenir ve port 2 veya 4’e gelen çerçeveler VLAN 20’nin bir parçası olarak etiketlenir .
Tag, switch markasına bağlı olarak farklı olabilir, ancak çoğu üretici tarafından kullanılan 802.1Q adında bir evrensel TAG standardı vardır .
Aşağıdaki resme bakınız. Çerçeveler IP kameradan anahtara geçtiğinde etiketlenirler, bu etiketler anahtarı terk etmeden önce çıkarılır.
Evrensel 802.1Q standardına göre etiket alanları:
KAYNAK: Paket Kaynak Adresi 48 bit MAC Adres)
DESTINATION: Paket Hedef Adresi
TYPE & LEN: Tip ve boyut
VERİ: Paketin içerdiği veriler
FRAME CHECK: Çerçeve doğrulama alanı
Tag’lenmiş yani etiketlenmiş çerçeve aşağıda görünmektedir.
Anahtarlar Arası iletişim
İki anahtarı bağlarken , tüm VLAN’ların trafiğinin geçmesine izin verecek “Trunk Port ” veya ” Tagged Port ” olarak adlandırılan özel bir port kullanmak gerekir . Böylece 802.1Q TAG’leri olan çerçeveler bu bağlantı noktasından geçecektir.
Bazı üreticilerin farklı VLAN portlar isimlendirmeleri var. Cisco belgelerine göre anahtarları üzerinde etiketli trafiğin akacağı portlar ” Trunk port ” olarak adlandırılırken, Netgear, HP ve Dell gibi diğer üreticiler ” Tagged yani Etiketli Bağlantı Noktası “terimini kullanırlar, ancak her durumda 802.1Q ETİKETLER kullanırlar .
Artık IP güvenlik kameraları ve bilgisayarlar, ilk anahtardan ikinci anahtara trafik gönderebilir ve yayın ve güvenliği hala kontrol altında tutarlar.
İlk anahtar, güvenlik kamerasından gelen çerçeveleri etiketleyebilir ve gövdeden (etiketli bağlantı noktaları) ikinci anahtara taşıyabilir.
VLAN Yapılandırması İçin Anahtar Seçimi
VLAN yapılandırması için katman 2 yönetilebilir anahtarları kullanmak gereklidir .
Her üreticinin, CLI (komut satırı arayüzü) veya Web Arayüzü kullanarak VLAN’ları oluşturmanın ve yönetmenin farklı bir yolu vardır . Ancak her durumda kurulum oldukça benzerdir ve VLAN’ları oluşturmak ve yapılandırmak çok kolaydır.
CCTV için VLAN yapılandırması örneği
3 IP kamerası ve 1 NVR bulunan VLAN 20 ve 4 Masaüstü PC bulunan VLAN 10 dan oluşan bir CCTV kamera sistemine bir göz atalım .
Bu küçük CCTV projesinde, VLAN’lar, şirket yayın ağı trafiğini IP kamera yayın ağ trafiğinden ayırır. Diyagrama bakınız.
Bu CCTV VLAN yapılandırmasında masaüstü kullanıcıları IP kameralara veya NVR’ye erişemeyecektir. Yani güvenlik sisteminiz korunuyor.
Böylece, CCTV için VLAN yapılandırmasını görebildiğiniz gibi , sisteminizi hackerlardan ve davetsiz misafirlerden koruyabilmeniz çok önemlidir.
Cisco Anahtarında VLAN Oluşturma
Hızlı bir örnek olarak, 8 portlu Cisco anahtarında bir VLAN yapılandırması görelim. Model, CLI kullanılarak yapılandırılacak olan Catalyst 2960 PD’dir:
USB&Seri Çevirici
Konsol kablosu, Cisco Switch’lerde kullanılan özel bir kablodu ve seri USB çevirici ile bilgisayarınıza bağlayabilirsiniz. Aşağıda solda bir USB-Seri çevirici sağda Cisco konsol kablosu görülmektedir.
Aşağıdaki şekilde bilgisayarın USB portu ile Anahtarın Konsol portu arasındaki bağlantı gösterilmiştir. Arada USB-Seri çevirici görülmektedir.
VLAN’ları oluşturmak ve yapılandırmak için bir CLI kullanılacaktır.
CLI Yapılandırması İçin Gerekli Bir Yazılım
Seri arayüz adaptörünün USB bağlantısı yapıldıktan sonra, CLI komutları için kullanılacak olan yazılımı kurmanız gerekir. Çoğunluka putty denilen yazılım kullanılır . https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html adresinden indirebilirsiniz.
Windows Seri Bağlantı Noktası Yapılandırması
Yazılım yapılandırması oldukça basittir, sadece Windows’un USB adaptörü için hangi com portunu kullandığını kontrol etmeniz yeterlidir , COM ve LPT portunu kontrol etmek için sadece Windows Aygıt Yöneticisini açın. Aşağıdaki resme bakınız.
Putty Yapılandırma
Putty seri port yapılandırması , Windows’daki verilerle eşleşmelidir , bu durumda COM5, Speed 9600, Data bitleri 8, stop bitleri 1 ve Parite Yok.
” Open ” butonuna tıkladıktan sonra yapılandırma doğruysa , CLI’yi görürsünüz.
CLI Kullanarak VLAN Oluşturma
Bir CLI kullanarak VLAN oluşturmak çok basittir. Aşağıdaki adımları izleyin: önce enable yazarak ayrıcalıklı moda geçiş yapın.
1. VLAN 10 oluşturun
CLI’yı açın ve konfigürasyon moduna girmek, VLAN 10’u oluşturmak ve ona “computers-bilgisayarlar ” adını vermek için aşağıdaki komutları gerçekleştirin .
Switch#
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#name computers
2. Portları VLAN 10’a atayın
VLAN’ı oluşturduktan sonra portları atamanın zamanı geldi. Konfigürasyon moduna girin (conf t) 1’den 4’e kadar port aralığını seçin ve VLAN 10’a bağlayın .
Switch#
Switch#config t
Switch(config)#interface range fa0/1 - 4
Switch(config-if-range)#switchport access vlan 10
3. VLAN 20’yi oluşturun
Aynı sıradaki basit komutları yürütün. Sadece konfigürasyon moduna geçin, VLAN 20’yi oluşturun ve ona ” cameras-kameralar ” adını verin .
Switch#
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#name cameras
4. Portları VLAN 20’ye atayın
VLAN 20 oluşturuldu, şimdi sadece anahtarın yapılandırma modunda olduğundan emin olun (conf t) 5 ile 8 arasındaki port aralığını seçin ve VLAN 20’ye atayın .
Switch#
Switch#config t
Switch(config)#interface range fa0/5 - 8
Switch(config-if-range)#switchport access vlan 20
5. VLAN’ların doğru oluşturulduğunu doğrulayın.
Şimdi VLAN’ların oluşturulup oluşturulmadığını ve bağlantı noktalarının atandığını kontrol etme zamanı. Sadece yapılandırma modundan çıkın ve aşağıdaki komutu kullanın:
Switch#(config)#exit
Switch#show vlan
Sonuç ile aşağıdaki resmi karşılaştırın. VLAN 1o ve 20’nin doğru adlarıyla oluşturulduğunu ve portların atanmış olduğunu görmek mümkündür.
6. Yapılandırmayı kaydet
Yaptığınız yapılandırmayı kaydetmeyi unutmayın. Aşağıdaki komuta bakın.
Switch#copy running-config startup-config
learncctv.com sitesinden uyarlanmıştır.
Merhaba hocam,
Peki vlan’ları yapılandırdık. Ama bazı bilgisayarların( örneğin yöneticilerin) kameralara erişmesini istedik. Bu durumda ACL mi kullanmak gerekir?
Evet VLAN access list kullanmak gerekiyor.