Bir önceki makalemde Autonomous bir AP in konfigürasyonunu yaptık. Bu makalemde ise, LWAPP Image a sahip LAP (Light Access Point) i WLC (Wireless Lan Controller) üzerinden yöneteceğiz.

LAP ler, aptal cihazlardır. Üzerlerinde konfigürasyon bulundurmazlar. Tüm konfigürasyonu WLC dan alırlar. Bunlarda IOS yerine, LWAPP (Lightweight Access Point Protocol) image bulunur.  WLC lar ise tüm LAP leri bir noktadan yönetime imkan sunan bir controller dır. Bunun yanı sıra Load Balance, Security, Roaming  ve bunun gibi birçok noktada yönetimi ve denetimi sağlayan cihazlardır. Cisco WLC ailesinde birçok çözüm vardır. Bunlardan kısaca bahsetmek gerekirse;

Cisco 500 Series Wireless Express Mobility Controllers:

Küçük şirketler için kullanıma uygun cihazlardır. WLC ailesini en ucuz olanıdır. 6 AP i kontrol edebilir. Bu cihazlar sadece 521 AP serisi ile çalışır. Aynı şekilde 521 AP lerde sadece WLC 500 serisi ile çalışabiliyor.

 

Standalone WLC

 

2100 Series Wireless LAN Controller :

 

2100 serisi WLC lar, Küçük ve orta büyüklü şirketler için uygundur.

2100 Series Controllers	# of Access Points Supported
Cisco 2106	6
Cisco 2112	12
Cisco 2125	25

Yukarı model tablosunu görüyorsunuz. Bu cihazlar box olarak satılır Yani 25 adet AP destekleyen bir cihaz alındığında, tekrar bir 25 AP ihtiyaç olduğunda tekrar bir cihaz daha almanız gerekir. 2100 serisi voice trafiği ve data trafiğinin yoğun olmadığı küçük ve orta büyüklükteki firmalar için uygundur.

 

4400 Series Wireless LAN Controller

Part Number	Product Name
AIR-WLC4402-12-K9	4400 Series WLAN Controller for up to 12 Cisco access points
AIR-WLC4402-25-K9	4400 Series WLAN Controller for up to 25 Cisco access points
AIR-WLC4402-50-K9	4400 Series WLAN Controller for up to 50 Cisco access points
AIR-WLC4404-100-K9	4400 Series WLAN Controller for up to 100 Cisco access points

Bu cihazlar maksimum 100 AP e kadar destekler. Büyük şirketler için uygundur ve yoğun data ve voice kullanımı tarafında performansı yüksek cihazlardır.

Cisco 5500 Series Wireless Controllers :

 

5500 serisi Cisco ‘ nın WLC tarafında en güncel üründür. Bu ürün Wireless N tarafında çok başarılı cihazlardır. Ben bu seriyi daha tecrübe edemedim. 5500 Serisi çok yeni bir ürün. Bu cihaz 250 AP e kadar destekliyor. Diğer WLC a aksini bu cihazlarda WPLUS lisansı satın alınarak desteklediği AP sayısı artırılabiliyor.

 

Part Number	Product Name	SMARTnet 8x5xNBD
AIR-CT5508-12-K9	5500 Series Wireless Controller for up to 12 Cisco access points	CON-SNT-CT0812
AIR-CT5508-25-K9	5500 Series Wireless Controller for up to 25 Cisco access points	CON-SNT-CT0825
AIR-CT5508-50-K9	5500 Series Wireless Controller for up to 50 Cisco access points	CON-SNT-CT0850
AIR-CT5508-100-K9	5500 Series Wireless Controller for up to 100 Cisco access points	CON-SNT-CT08100
AIR-CT5508-250-K9	5500 Series Wireless Controller for up to 250 Cisco access points	CON-SNT-CT08250

Cisco Catalyst 6500 Series/7600 Series Wireless Services Module (WiSM) :

6500 ve 7600 serisi kasalar için olan modüllerdir. Bu modüller ISP tarafındaki çözümler için uygundur. Modül başına 300 AP destekler.

Cisco Wireless LAN Controller Module :

 

Cisco ISR 2800, 3800 series ve Cisco 3700 serisi router lar için olan modül.

.

Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers :

 

3750 Serisi Integrated WLC ise, Hem bir Multilayer Switch hemde bir WLC dır. Bu cihazlar firmanın ihtiyacına gore belirlenebilir. Örneğin firmanın Multilayer bir switch ve aynı zamanda WLC a ihtiyacı var ise bu cihazlar önerilebilir.

Part Number	Product Name	Minimum Software Required
WS-C3750G-24WS-S25	Cisco Catalyst 3750G Integrated Wireless LAN Controller with support for up to 25 Cisco Aironet access points	• IOS Software: 12.2(25)FZ • Wireless Controller: Cisco Unified Wireless Network Software Release 4.0
WS-C3750G-24WS-S50	Cisco Catalyst 3750G Integrated Wireless LAN Controller with support for up to 50 Cisco Aironet access points	• IOS Software: 12.2(25)FZ • Wireless Controller: Cisco Unified Wireless Network Software Release 4.0

25 ve 50 AP destekleyen 2 modeli var. Bu cihazlarda stacking özelliği kullanılarak Birden fazla cihazı yedekli çalıştırılabiliyor.

 

Cisco WLC ürünleri tarafında giriş seviyesinde bilgiler vermeye çalıştım. Daha detaylı bilgiler için data sheet lerini inceleyebilirsiniz. Tüm bu WLC ailesi aynı işletim sistemini (versiyonlar farklı olabilir) kullanır. Bunlarda IOS bulunmaz ve CLI tarafı çok farklıdır. AireOS adlandırılan işletim sistemini kullanırlar.

Biz WLC 526 konfigürasyonu yapacağız ve LAP 521 bu WLC da yöneteceğiz. Bu arada, Cisco AP ve LAP olarak iki model olarak bulunur. AP lere LWAPP image yükleyerek LAP haline getirebiliyoruz. Aynı şekilde bir LAP (IOS yüklenerek) Autonomous mode a çevirebiliyor.

İlk once WLC 526 nın ilk konfigürasyonu yapalım. CLI tarafına veya Web Arayüzünden yapabilirsiniz. Ben CLI tarafındaki wizard ı kullanarak step-by-step konfigürasyonunu yapacağım.

System Name [Cisco_a7:68:80]: WLC526

User Name password ü belirliyoruz.

Enter Administrative User Name (24 characters max): admin

Enter Administrative Password (24 characters max): ******

Re-enter Administrative Password                 : ******

Cihaza Ip veriyoruz

Management Interface IP Address: 192.194.196.90

Management Interface Netmask: 255.255.255.0

Management Interface Default Router: 192.194.196.1

Management Interface VLAN Identifier (0 = untagged):

Hangi interface den yöneteceğimizi belirliyoruz.

Management Interface Port Num [1 to 2]: 1

Management Interface DHCP Server IP Address: 192.194.196.1

AP manager ip adresi. AP nin WLC a join olabilmesi için gereklidir.

AP Manager Interface IP Address: 192.194.196.91

 

AP-Manager is on Management subnet, using same values

AP Manager Interface DHCP Server (192.194.196.1):

 

Virtual Gateway IP Address: 1.1.1.1

Birden fazla WLC var ise aynı groupta toplamanız gerekir.

Mobility/RF Group Name: test

 

Enable Symmetric Mobility Tunneling [yes][NO]: no

 

SSID oluşturuyoruz.

Network Name (SSID): WLCtest

Allow Static IP Addresses [YES][no]: no

Radius ayarları için no diyorum

Configure a RADIUS Server now? [YES][no]: no

Warning! The default WLAN security policy requires a RADIUS server.

Please see documentation for more details.

Ülke Kodunu belirtiyorum

Enter Country Code list (enter ‘help’ for a list of countries) [US]: TR

 

Enable 802.11b Network [YES][no]: no

Enable Auto-RF [YES][no]: yes

 

Configure a NTP server now? [YES][no]: no

Configure the system time now? [YES][no]: yes

Saat ayarlarını yapıyorum

Enter the date in MM/DD/YY format: 07/03/09

Enter the time in HH:MM:SS format: 10:19:11

Yaptığım ayarları kaydediyorum Cihaz Reboot olacaktır.

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

 

Configuration saved!

Resetting system with new configuration…

 

Evet ilk konfigürasyonu yaptık. Buradan yaptığımız tüm ayarları daha sonra web arayüzü üzerinden değiştirebilirsiniz.

 

Bir Lwapp image bulunan AP boot ettiğinde, broadcast paketleri yollayarak WLC ı bulmaya çalışır. Bunun iki yöntemi var. Birincisi ortamda DHCP server bulanacak yada DNS server olacak. LAP, dhcp den ip aldığında controller ile aynı network te ise otomatik olarak bulur ve controller a join olur. LAP tarafında herhangi bir konfigürasyon yapmıyoruz. Cihaz boot ettiğinde discovery paketleri yollar ve bu iki şartı yerine getirebiliyorsak controller ı bulur ve join olur. Join olduktan sonra AP, controller dan güncel image ı yükler. Şimdi bir Lwapp Image yüklü bir AP nin image update imi yaptıktan sonra olan loglarını ekliyorum.

 

%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0 assigned DHCP address 192.194.196.54, mask 255.255.255.0, hostname AP001c.5844.6e4a
Translating "CISCO-LWAPP-CONTROLLER"…domain server (195.175.39.39)
%LWAPP-3-CLIENTEVENTLOG: Did not get vendor specific options from DHCP.
%LWAPP-3-CLIENTEVENTLOG: Did not get log server settings from DHCP.
%LWAPP-3-CLIENTEVENTLOG: Performing DNS resolution for CISCO-LWAPP-CONTROLLER
%LWAPP-3-CLIENTERRORLOG: DNS Name Lookup: could not resolve CISCO-LWAPP-CONTROLLER
%LWAPP-5-CHANGED: LWAPP changed state to JOIN
%LINK-5-CHANGED: Interface Dot11Radio0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to down
%LWAPP-5-CHANGED: LWAPP changed state to CFG
%LWAPP-5-CHANGED: LWAPP changed state to DOWN
%LWAPP-5-CHANGED: LWAPP changed state to UP
%LWAPP-3-CLIENTEVENTLOG: AP has joined controller WLC526
%WIDS-6-ENABLED: IDS Signature is loaded and enabled

İlk once DHCP den ip almış daha sonra dns den CISCO-LWAPP-CONTROLLER ı çözmeye çalışmış. Lokal bir dns kullanmadığım için ve A kaydını açmadığım için çözememiş ve daha sonra IP den çözmüş ve WLC526 ya join olmuş. Lokal DNS tarafında ise CISCO-LWAPP-CONTROLLER adında bir A kaydı açıp bizim WLC u gösterseydik isimden çözecekti. Eğer yapıda DHCP ve DNS var ise ikiside kullanılabilir ama bu yapıda DNS server şart değil. AP ve WLC lokalde olduğu için problem olmadı. Eğer şube ve merkez yapınız var ise ve merkezde WLC – şb lerde AP ler olsaydı, DNS tarafından çözülmesi uygun olurdu. WAN tarafındaki yapıdan makelenin ilerleyen bölümlerinde  bahsedeceğim.

 https://192.194.196.90/ logon olduktan sonra Welcome Screen i görüyorsunuz. 6 AP destekliyor. Software version 4.2.61.0. Access Point Summary de WLC ye join olan AP yi görüyorsunuz. Ben test amaçlı 1 adet AP kullandım. Şu an interface down durumda.

İlk once AP ye isim atayıp lokasyon bilgilerini gireceğiz. İsterseniz static ip de atayabilirsiniz.

Advanced tabında AP ye grup atayabilir ve PoE ayarlarını yapabilirsiniz. Eğer AP, PoE kullanılarak enerjisi veriliyor ise buradan ayarlarını yapmanız gerekir.

Inventory, AP modeli, seri no vs hakkınfa bilgi aldığımız yerdir. Hybrid Remote Edge Access Point (H-REAP) protokolünü desteklemiyor.

Interface leri görüyorsunuz. Biz bu bölümde farklı bir interface yaratıp bu interface e SSID bind edeceğiz. Böylece LAN tarafını ve Guest tarafını ayıracağız. New diyoruz

Interface in adını guest olarak atadık daha sonra ip ve hangi vlan a üye olacağını atıyoruz ve en son Port Number dan hangi interface de olacağı atıyoruz. Ben Port Number :1 olarak atadım.

Interface imiz oluştu. Şimdi SSID tarafına geçelim.

İlk konfigürasyonu yaptığımızda WLCtest adında bir SSID oluşturmuştuk. Onu editleyip wpa şifresi atayacağız.

Interface olarak  management ı atadık. Bu bizim LAN tarafında kullanacağımız interface olacak.

Security kısmında WPA+WPA2 yi seçip PSK (Pre-Shared Key) atıyoruz.

LAN de static ip ile gelen network e dahil olmaması için DHCP Addr. Assignment ı gerekli kıldım. Apply ı seçip bitiriyoruz.

Şimdi misafirler için yeni bir SSID oluşturacağız. New dedikten sonra isim atıyoruz.

Bu sefer interface tarafında oluşturduğunuz guest interface ini seçiyoruz.

Şifresini belirliyoruz.

Şu anda 2 SSID oluşturduk. Şimdi AP nin wireless interface ini up durumuna getireceğiz.

AP Enable durumda fakat Status olarak down gözüküyor. Bunu ayarlamadan önde WLAN override hakkında bilgi vermek isterim. Bu özelliği kullanarak AP bazlı SSID yayını yapabiliyoruz. Yani 1. AP x ssid sini yayınlasın ama y ssid sini yanınlamasın. 2. Ap tüm ssid leri yayınlasın gibi.

802.11b/g yi enable edip G support da enable ediyoruz.

 

AP up duruma geçti ve artık SSID lerin yayınını görebilirsiniz. Buradaki konfigürasyonda 2 vlan var. Guest network ü 20. Vlan a atadık. Burada 20. Vlan da bir gateway var ise yani misafirler için olan ayrı bir adsl modem olabilir. Bu vlan dan ve misafirlere için ayrılmış gateway den çıkacaktır. Burada dikkat edilmesi gereken WLC u bağlı olduğu portu trunk olarak atamaktır. Trunk olarak atandığında, vlan tagları içerin paketler ilgili vlan a erişecektir.

Swith tarafında yapmanız gereken, WLC un olduğu portu trunk olarak atamaktır;

Switch(config-if)#switchport mode trunk

Bu porttan gelen ve vlan id leri ile tag lanan paketler ilgili vlan ile görüşecektir.

WLC tarafında, 2 SSID oluşturup bunları VLAN lara atadık. Böylece Misafir ve LAN ümüzü ayırdık ve böylece güvenliği bir nebze olsun sağlamış olduk. Benim kullandığım WLC 526 nın firmware ı biraz eski şimdi onu upgrade edip ne gibi yeni özellikler geldiğine bakacağız.

Upgrade için Cisco Configuration Assistant (CCA) kullandım. Bununla WLC ı rahatlıkla konfigürasyonunu yapabilirsiniz. Resimde CCA ile upgrade olurken görüyorsunuz.

Upgrade olduktan sonra en büyük yenilik desteklediği AP sayısı olarak söylenebilir. 6 AP destekliyordu fakat 5.2.193.0 versiyonuna geçince 12 AP destekledi ve ayrıca birçok yenilik geldi. Örneğin DHCP server desteği yoktu şu anda bu versiyon ile destek geldi.

 

WLC tarafında anlatacaklarım bu kadar. Makaleyi bitirmeden önce Wireless tarafındaki diğer çözümlerede değinmek isterim.

Cisco ‘ nun merkezi yönetimi sağlayan diğer bir ürünü WLSE (Wireless Lan Solution Engine) dir. Bu ürün WLC ların aksine Autonomous mode da olan AP ( IOS Based) leri yönetir. WLSE de, AP ler bağımsız çalışır ve WLSE down olduğunda AP ler görevine devam eder. WLC da durum böyle değildir. Makalenin başında da belirttiğim gibi dump cihazlardır ve WLC dan konfigürasyonlarını alırlar ve herhangi bir paket geldiğinde direkt olarak WLC e iletirlir. WLSE fonksiyon olarak, WLC kadar kapsamlı değildir. WLSE kullanarak belirli saatlerde konfig değişikli yapabilir, merkezi olarak IOS upgrade e gidilebilir ve merkezi olarak AP lerin konfigürasyonları ile oynayabilirsiniz. WLC da ise sürekli AP leri denetler. Örnek olarak; Bir AP down olduğunda diğer AP lerin güç değerleri ile oynayarak ölü noktaları kapsamaya çalışır. Ayrıca Roaming tarafında çok başarılıdır. Bir AP e kaldırabileceğinden fazla data yük biner ise diğer AP ile load balancing yapar …gibi. Bunu WLC da otomatik olarak yapabilirsiniz. WLSE ise bu dengeyi kuramaz. Onun için yönetim konusunda WLC lar daha başarılıdır. WCS (Wireless Control System) ise WLC ları yöneten bir aplikasyondur. Software olarak Server 2003 veya Red Hat üzerine kurulabiliyor. WCS (Wireless Control System), WLC 526 yı desteklemiyor. WLC – WLC ları yönetir – WLC ise AP leri yönetir. Son olarak Location Appliance tan bahsetmek isterim. Bu cihazlar RFID tag lerden topladıkları verilere göre lokasyon belirler. RFID tag konusunda Cisco AeroScout ile çalışıyor. Bunun için belirli kriterleri var. Örneğin lokasyon hesaplayabilmesi için en az 3 AP kesişmesi gerekir gibi.

Bu makalemde WLC ürün ailesi hakkında giriş seviyesinde bilgileri verip Multi-SSID konfigürasyonu yaparak network ü böldük. WLC çok geniş bir konu ve kapsamlı bir cihaz. Son olarak H-REAP (Hybrid Remote Edge Access Point) protokolünden bahsetmek isterin. Bu protokolü kullanarak şubelerde bulunan AP leri WLC da yönetebiliyoruz. H-REAP geniş bir konu ve bu konu hakkında ilerde makale yazmak isterim. Benim kullandığım WLC 526 nın H-REAP desteği yok daha doğrusu H-REAP ı AP desteklemiyor. WLC 526 sınırlı konfigürasyon yapabileceğimiz bir ürün.  Bir sonraki makalemde görüşmek üzere.

 

Murat GÜÇLÜ

Makaleye başlarken amacım Cisco Access point ürün ailesini hakkında bir makale yazmaktı. Makaleye başladıktan sonra anladım ki benim yazmaktan hoşlanmadığım bir makale olacaktı ve onun için konfigürasyon tarafını yazmak istedim. Bu makalede yine Cisco AP ürün ailesinden kısaca bahsedeceğim ve seri hallinde Cisco tarafında Wireless çözümleri hakkında bilgi vereceğim.  İlk makalede stand-alone (bağımsız) bir AP i konfigüre edeceğiz. İlerleyen makalelerde, merkezi yönetim sağlayan Wireless Lan Controller (WLC) ürün gamı ve konfigürasyonu hakkında bilgiler verip Wireless Lan Solution Engine (WLSE) ve Wireless Control Sytem (WCS) hakkında kısa bilgiler vereceğim.

 

Benim şu anda kullandığım AP, 1130 serisi. Bu AP genelde ofis ortamları için kullanıma uygun, şık görünüşlü bir cihaz. Üzerinde 3.0 DBI omnidirectional entegre anten bulunmaktadır.  802.11af protokolünü destekler; (PoE) ethernetten enerji verilebilir.

Tüm Cisco AP lerde varsayılan password olarak; user: cisco pass: Cisco olarak gelir ve dhcp den ip alır.

 

 

AP ‘ nin ip sini yazdığımızdaki gelen ekran görüntüsü. Buradan Logları, Interface durumlarını kontrol edebilirsiniz.

 

 

Express setup kısmından hostname ve IP değiştirilebilir ve AP ‘ nin rolünü atayabilirsiniz. Express Security kısmında ise SSID oluşturabilir. Buradan WPA-PSK ayarlarını yapamıyoruz ben ilk önce wpa ayarlarını yapıp daha sonra SSID oluşturacağım.

Bu ayarları oluşturmadan önce şifreleme algoritmaları hakkında genel bir bilgi vermek isterim.

WEP (Wired Equivalent Privacy) IEEE 802.11 tarafından Eylül 1999 da onaylandı. 2001 senesi başlarında WEP’ in kullandığı algoritmada ciddi güvenlik açıkları tespit edildi ve saniyeler içinde kırılabiliyor hale geldi. Günümüzde WEP kullanmak, Wireless ‘ tarafında şifre koymamak ile eşdeğerdir. Bu güvenlik açıkları tespit edildikten sonra IEEE 802.11i (WPA ve WPA2) yi geliştirdi. 2003 yılında WPA (Wi-Fi Protected Access), WEP in yerini aldı. Bir sene sonra  WPA2 geliştirildi. WPA2 ilk çıktığında donamımsal upgrade gerektiriyordu. İlk başlarda çok yaygın olarak WPA2 kullanılamadı fakat günümüzde artık her wireless cihazın ve kartların wpa2 desteği var.  PSK (Preshared key) kullanılarak en güvenli yapı WPA2 dir. Eğer enterprise tarafında AP ler kullanılıyorsa 802.1x tarafına yönelinebilir, zira günümüzde WPA da Rainbow Table lar kullanılarak kırılabiliyor.  Eğer komplike ve uzun bir parola (63 Karakter gibi) belirlenirse, hacking süresi günler hatta bazen aylar mertebesine çıkabiliyor.

Biz bunları bildiğimiz için WPA2 kullanacağız.

 

WPA için kullanacağımız algoritmayı seçiyoruz. AES, WPA2 de desteklenir. TKIP ise WPA da. Apply deyip kaydediyoruz.

SSID kısmında isim yazıp hangi interface e atayacağımızı belirliyoruz. Biz EMEA bölgesindeyiz ve ETSI standartlarını kullanırız. Bu standartlara göre 802.11a nın ülkemizde kullanımı yasal değildir.

Sayfanın altına gidip  Key Management ayarlıyoruz. Burada Mandatory ve WPA yı seçiyoruz. İsterseniz sadece WPA2 yi aktif kılabilirsiniz. WPA yı seçerseniz, client ın wireless adaptörü wpa2 desteği var ise wpa2 olarak bağlanır. Yoksa WPAv1 olarak bağlanır. En güçlü algoritma her zaman önceliklidir.

Bu ayarları seçtikten sonra apply ediyoruz.

Daha sonra sayfanın el altına Infrastructure SSID ayarlarını yapıyoruz. SSID miz beacon paketlerinde brodcast olacaktır. SSID yi broadcast etmemek artık çok güvenli bir uygulama değil. Birtakım tool lar sayesinde artık çok rahatlıkla SSID broadcast edilmese bile görülebiliyor.

Apply edip, ayarlarımızı kaydediyoruz.

Fabrika ayarlarında cihazın Radio Interface leri kapalı gelir. Radio0 interface i 802.11b/g yi, Radio1 interface i  802.11a yı temsil eder. Network interfaces menüsünden 802.11g ye gelip interface i enable ediyoruz.

Role In the Network: Burada bazı seçenekler görüyorsunuz.  Biz Access point olarak seçtik. Peki bu cihazın Ethernet ile alakalı bir sıkıntısı olduğunda ne olacak? Örneğin kablosal bir problem bu AP e bağlı olan clientlar data göndermeye devam edecektir fakat kaynağına ulaşamayacağı için paketlerde kayıplara neden olur. Birde kullanılan protokol UDP ise paket kayıpları takip edilemeyecektir. Birçok kişi Access point rolünde bırakır. Peki diğer opsiyonlar ne işe yarıyor;

Access Point (Fallback to Radio Shutdown) : FastEthernet down olursa radio interface ini kapatır.

Access Point (Fallback to Repeater) : FastEthernet down olursa ve cihazın kapsama alanında başka bir AP (Radio ayarları aynı ise) var ise cihaz tekrarlayıcı (Repeater Mode) olarak görev yapar.

Repeater: Burada ise cihaz başka bir AP den aldığı sinyali tekrarlar. Önerilen mode değildir, çünkü tüm yük Root AP nin üzerinde olur ve Repeater mode daki cihaz sadece dataları alıp Root a iletir. Repater mode, kablonun gidemediği lokasyonlar için kullanılması uygundur.

Diğer rolleri ilerleyen makalelerde anlatacağım.

 

Data Rates bölümü. Ben burada Best Throughput seçtim.

 

Kanal ayarlarını yaptığımız yer.  Default ayarlarda tüm kanallar seçili gelir ve en az enterferans a uğrayan kanalı seçmeye çalışır. Bir network yapısında, switch, router veya AP olabilir. Bir protokol var ise ve auto kelimesi geçiyor ise, bu çoğunlukla bir güvenlik açığı veya önerilen bir uygulama değildir.  Buradaki ayar içinde bu geçerlidr. Cisco bunun Auto da bırakılmasını önermez. Doğru uygulama, site survey yapıldığında en az çakışan veya cihazın kesişmediği kanalı seçmektir. Non-Overlapping channels, 1,6 ve 11 dir. Buradaki uygulamada 1,6 ve 11 kanallarını seçip auto da bıraktık. Cihazın çalışacağı lokasyon hakkında bilgimiz yok ise uygulanabilir.

Sayfanın en altından Apply dediğimizde bir uyarı belirtiyor. Burada 802.11b clientların bağlantısının önleneceğini uyarıyor. Performans açısından doğru olanda budur. 802.11b client bağlandığında, protection mode a geçer ve cihazın data rate oranlarında düşüşler yaşanır ve bu da dolaylı olarak performanıs ciddi bir şekilde etkiler. Bu Cisco ya özel bir durum değildir. Herhangi bir 802.11g ye B client a bağlandığında bu durum gerçekleşir.   Ok diyoruz.

Wireless tarafındaki ayarlarımız bitti. Şu anda SSID miz yayın yapıyor. Son olarak cihaza ulaşımı daha güvenli hale getireceğiz.

 

Default password ü değiştiriyoruz.

 

Cihazın tarih ayarlarını yapıyoruz. Burası loglamaları analiz ederken önemlidir çünkü tarih yanlış ise ne zaman olduğunu tespit edemezsiniz.

Telnet i kapatıp. SSH ı açıyoruz.

 

HTTP yi kapatıp, HTTPS etkin kılıyoruz.

Stand Alone AP mizin ayarlarını yaptık. Cisco AP lerde 2 çeşittir. AP ve LAP (Light Access Point). LAP cihazlar, WLC ile yönetilebilir ve dump cihazlardır. Cihazda LWAPP image bulunur ve tüm konfigürasyon bilgilerini WLC  dan alır. Bir sonraki makalede WLC lar hakkında bahsedeceğim.  Bu makalemde Kablosuz ağlar ve standartları hakkında genel bilgiler ve Cisco AP konfigürasyonunu anlatmaya çalıştım. Aslında kablosuz ağların geçmişi eskiye dayanır.  Bu makaleyi yazarken çok fazla teknik bilgilere girmemeye çalıştım ama okurken de fark ettim ki yazıya dökmek istediğim birçok konu eksik kaldı. Umarım ilerleyen bölümlerde kablosuz ağlar hakkında bir makale yazabilirim.

Makaleyi bitirmedin Cisco AP ürün ailesi hakkında biraz bilgi vermek isterim; 1130 serisi bir AP ile konfigürasyon yaptık. Bu modelin bir üstü 1140 serisidir. Bu cihazlar piyasada çok yeni olup stand-alone versiyonları daha bulunmamaktadır. LAP olarak sadece WLC ile yönetilebilir. Wireless N destekler. 1200 serisinden, 1231 AP ler Haziran 2009 da End-of-Sale oldu bunun bir üst model 1242 AP lerdir. Metal kasa oldukları için depo gibi alanlarda kullanıma uygundur. 1131 cihazlara göre daha sıcağa dayanıklıdır. Voice uygulamalarında performans ı 1100 sersine göre daha iyidir. 1242 lere harici anten takılabiliyor ve bu modellerin entegre antenli modeli yok. 1252 AP ise, Cisco nun ilk çıkardığı N destekli cihazdır. 1200 serisi gibi dış ortamlara daha dayanıklı ve güçlü bir cihazdır. Outdoor olarak 1300 serisi olan 1310 AP ler, hem entegre anten (13 dbi) hemde harici anten takılabilir olan modelleri vardır. İlerleyen makalelerde 1310 ile Root – Non-Root konfigürasyon örneğini yapıp iki binayı birbirine wireless olarak bağlayacağız. Onun için Outdoor tarafındaki çözümlerden fazla bahsetmeyeceğim.

 

Son olarak yaptığımız konfigürasyonun CLI tarafındaki çıktısını yolluyorum. Bir sonraki makalede görüşmek üzere.

 

Murat GÜÇLÜ

ap#sh u
Building configuration…

 

Current configuration : 3619 bytes
!
! Last configuration change at 11:52:18 +0300 Thu Jul 2 2009 by cisco
! NVRAM config last updated at 11:52:18 +0300 Thu Jul 2 2009 by cisco
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$IM/K$AnLobiTIjamvYzdmxQRHR1
!
no aaa new-model
clock timezone +0300 3
ip domain name muratguclu.com
!
!
dot11 ssid Test
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 101F5B4A5142445C545D7A
power inline negotiation prestandard source
!
username admin privilege 15 password 7 135445415F5952
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!       
ssid Test
!
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel least-congested 2412 2437 2462
station-role root
world-mode dot11d country TR indoor bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
no ip http server
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!        
line con 0
line vty 0 4
login local
!
end

Murat GÜÇLÜ

Bu makalemde PIX/ASA lar üzerinde ASDM (Adaptive Security Device Manager) ile remote vpn client bağlantı konfigürasyonunu anlatmaya çalışacağım. Bu makalede uyguladığım konfigürasyon ASA version 7.2 üzerinde test edilmiştir.

Benim oluşturduğum senaryo; bir merkez ofisimiz var diyelim. Uzak kullanıcılar buradaki bir uygulamaya veya veritabanına bağlantı kurulması isteniliyor.  Buradaki en uygun çözüm VPN olur çünkü doğru algoritmalar kullanıldığında güvenlidir. Kullanıcılar VPN yaparak lokal network e ulaşabilir ve istediği uygulamayı sanki merkez ofiste çalışıyor gibi kullanabilir. Aynı zaman Uzak Masaüstü uygulamalarında da Remote VPN yapılabilir.

Network diyagramı görüyorsunuz. Buradaki topolojiyi kullanacağız. VPN hakkında portalımızda yeterince makale var bende VPN hakkında (Hashing, Encryption vs) detay vermeyerek sadece VPN konfigurasyonu tarafını ve konfigurasyon tarafında yaşayabileceğiniz problemleri anlatmaya çalışacağım.

Test aşamasında kullandığım yazılımlar ve cihazlar:

ASDM 5.2

Cisco VPN Client 4.8.01.0300

ASA 5505 with version 7.2

Cisco 877-K9 ADSL (Bridge Mode)

ASDM i pc nize yükleyebilir veya browser üzerinden cihaz ip si ile çalıştırabilirsiniz. Varsayılan cihazın ip si 192.168.1.0/24 bloğundadır ve  Ethernet 0/0 wan portu ve Ethernet  0/1-0/7 portları lan portu olarak geçer.

ASDM ile cihaza bağlanıyoruz. Wizards menüsünden VPN wizard I seçiyorum.

Remote Access VPN I seçiyoyorum. Tunnel interface outside olarak seçili kalıyor.

Cisco VPN Client için konfigurasyonu yapacağım dilerseniz Windows üzerinde de de vpn client atanabilir.

Ortak bir anahtar belirliyorum ve Tunnel için grubu yazıyorum.

Local Database de kimlik doğrulamasını yapacağım. Eğer sizin kullandığınız AAA/Radius server var ise kimlik doğrulama tarafını AAA/Radius yapabilir.

Lokal user için kullanıcı adı ve password belirliyorum.

VPN kullanıcıları için pool atıyorum. Burada kullanış ve logları takip açısından sizin lokal network ünüzden ayrı bir bloktan ip dağıtmak daha uygundur.

DNS ayarlarını belirliyoruz. Ben boş bırakıyorum böylece dns leri inherit (miras) alacak yani cihaz üzerindeki dns ayarlarını kullanacak.

Burada PHASE 1 encryption metodlarını belirliyoruz. Ben DES – MD5 ve Diffie Hellman Group 2 seçtim. DES – MD5 algoritması güçlü encryption metodları değildir. Kullandığım ASA 5505 üzerinde Encryption Lisansı olmadığı için bu algoritmaları seçtim. Tavsiyem 3DES ile AES 128, 192… seçebilirsiniz.

PHASE 1 Encryption metodundan VPN Client geçemiyor ise algoritmaları kontrol etmek gerekir. Örneğin, Cisco VPN Client DES – SHA desteklemiyor. Uyguladığınız algoritmayı desteklemiyor ise, ASDM e aşağıdaki loglar düşer:

Group = Muhasebe, IP = 88.xx.xx.xx, Error: Unable to remove PeerTblEntry

Group = Muhasebe, IP = 88.xx.xx.xx Removing peer from peer table failed, no match!

PHASE 2 Encryption metodlarını belirliyoruz. Bu sefer PHASE 1 den geçer fakat PHASE 2 ye takılırsa aşağıdaki loglar düşer :

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, PHASE 1 COMPLETED

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, All IPSec SA proposals found unacceptable!
Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, QM FSM error (P2 struct &0×132hde0, mess id 0xsdsf01z86c)!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Removing peer from correlator table failed, no match!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Session disconnected. Session Type: IPSec, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatc

IP = 88.xx.xx.xx, Received encrypted packet with no matching SA, dropping

Eğer network ünüzde VPN Client ın sadece belirli makineye ve makinelere erişmesini sağlamak istiyor iseniz, Lokal network ünüzden saklamanız gerekir. Onu da buradan yapıyoruz. Burada belirlediğiniz bir ip veya grubu ekleyebilirsiniz. Ben VPN Client ın tüm network e erişmesini istediğim için boş bırakıyorum. En alttaki checkbox “ Enable Split Runneling” ise önemlidir;

Oradaki checkbox işaretli olmaz ise, VPN Client ‘ın tüm paketleri tunnel üzerinden vpn gateway e gider ve VPN Client internete remote gatewayden çıkar. Disable olması hız açısından uygun değildir çünkü VPN Client ın tüm paketleri, tunnel üzerinden gittiğinden client yapmak veya çalıştırmak istediği uygulamada yavaşlık söz konusu olabilir ayrıca VPN Client lokal network üne ulaşamaz. Onun için Split tunneling enable olması bant genişliği açısından uygundur fakat güvenlik için uygun değildir

Split Tunneling kullanılmamasının avantajı, tüm trafik ASA ya yönleneceği için, cihaz üzerindeki güvenlik politikalarına ve filtrelerini kullanır. Ayrıca tüm trafik tunnel üzerinden encrypt edildiği için daha güvenlidir. Split Tunneling kullanıldığında internet trafiği encrypt edilmez ve sniffer veya benzeri bir software yardımı ile 3. şahıslar tarafından vpn bağlantı bilgileri  görülebilir ve şirket network ünüze ulaşılabilir.

Yapınıza ve amacınıza göre karar verebilirsiniz. Makalede her iki konfigürasyon tarafına değiniyor olacağım.

Aşağıda Split Tunneling etkin olmayan (disable)  için network diyagramını ekliyorum.

Wizard ile yaptığımız konfigürasyonu özetini görüyorsunuz.

VPN Client için Dynamic Nat  kuralı ekliyoruz.

Enable traffic between….. checkbox ını seçiyoruz. Buradaki seçenek ile aynı interface üzerinde 2 veya daha fazla client arasındaki trafiği aktifleştirmiş oluyoruz.

Şimdi Client tarafındaki yapılandırmayı inceleyelim;

Cisco VPN Client kurduktan sonra. New diyerek yeni bir profil oluşturacağız.

Bağlantıya bir isim veriyoruz. Host kısmına  VPN gateway in IP si yazıp oluşturduğumuz grubun ismini ve şifresini yazıyoruz.

Connect dedikten sonra, VPN Client PHASE1 ve PHASE2 den geçerse; Username ve Password gireceğimiz bir pencere açılır. Buradaki bilgileri girdikten sonra Connected olarak bağlantığı başarılı bir şekilde görülür. Cisco VPN Client üzerinde encryption algoritmalarını belirlemiyoruz. VPN Client otomatik olarak algoritmaları algılar ve bağlantı kurmaya çalışır.

Ayarlarımızı kontrol edelim:

Whatismyip.com dan kontrol ettiğim gibi şu anda split tunneling aktif değil ve Client Remote gateway den internete çıkıyor. Split Tunneling için kural oluşturacağız.

VPN – Group Policy üzerinden oluşturduğumuz grubu editliyoruz.

Client Configuration sekmesinden, Split Tunnel Network list e gelip manage I seçiyoruz.

Burada bir Split Tunneling kuralı yazılmış bunu editleyip veya yeni bir kural yazabiliriz. Ben yeni bir kural yazıyorum. ADD menüsünden ACL seçiyorum ve bir isim atıyorum.

Daha sonra yine ADD menüsünden ACE I seçiyorum ve bir permit (izin) kuralı yazıyorum. Buradaki yazılan network VPN Client ın lokal network ü. OK i seçip save ettikten sonra

Split Tunnel Network List menüsünden oluşturduğum kuralın seçili olduğunu kontrol ediyorum.

Tekrar kontrol ettiğimde VPN Client kendi gateway in çıktığını ve lokal network e eriştiğini kontrol ediyorum.

Bu makalemde ASA 5505 üzerinde Cisco VPN Client konfigürasyonunu anlatmaya çalıştım. Umarım yararlı olmuştur.

Kaynaklar:

http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_configuration_examples_list.html

Murat GÜÇLÜ

Birden fazla switch barındıran yapılarda broadcast paketlerinin tüm network üzerinde dolaşması, mesela bir ARP mesajını switchler paketi aldığı port dışındaki tüm portlara aktaracağı içinbütün networkü dolaşmış olacaklardır. Broadcast paketleri illaki vardır, olmazsa olmaz. Nitekim güvenlik unsuru olarak ta düşünebiliriz Şirketinize misafir olarak gelen X kullanıcısı internet erişimi için networkünüze dahil olduğunda tüm networke sızma şansı olabilir. Elbet bir yerlerde açık bırakmış olabilirsiniz.

Gelelim VLAN’a, sayesinde networkümüzü birbirinden bağımsız segmentlere ayırma imkanı sağlayarak, riskleri önleme, karmaşıklığı ortadan kaldırma ve problem çözme konusunda bizlere büyük ölçüde fayda sağlamaktadır. Network yapımıza hiyerarşi kazandırma yönünden elimizin altında bulunan en yararlı araçlardan birisi haline gelmiştir.

Vlan yaratılan bir switchte hostlar tarafından gönderilen broadcast paketleri sadece aynı vlana dahil olan portlara gönderilir. Bu yüzdendir ki her VLAN kendi içerisinde bir broadcast domaindir. Bu özellik sayesinde kaynağı bilinmeyen unicast paketlerde sınırlanmış olurlar.

Layer3 bir cihaz ile VLAN’lar arası yönlendirme yapılana kadar farklı VLAN’lar birbirleri ile haberleşmeyecektir. Yani buda demektir ki farklı VLAN’ların konuşabilmesi için kesinlikle VLAN roting işlemi yapılması gerekmektedir. “VLAN arası yönlendirme yapıyorsak ne gerek vardı VLAN oluşturmaya?” diyenler için söylüyorum, ayrı VLAN’lar konuşuyor olsalar bile broadcast paketleri sadece aynı VLAN’a dahil olan portlarda gerçekleşecektir. Konfigurasyondan önce birde şunu ekleyeyim, Per-Vlan Spanning Tree sayesinde Loopları önlemiş oluyoruz. Tabi her VLAN bu denetimi kendi içerisinde yaptığı için LOOP felaketinden hem tüm switch etkilenmiyor hemde LOOP’un oluştuğu kaynağın tespiti daha çabuk yapılmış oluyor.

Basitçe VLAN nasıl yaratılır?

· VTP modun ayarı

· Vlan yaratılması

· Vlanı kullanacak interface (arayüzün) belirlenmesi

· İki switch arası 802.1Q trunk ayarının yapılması

Yapımızın 2 farklı switchten oluştuğunu varsayalım,

Switch1 Konfigurasyonu

1) Önce VTP modumuzu server yapacağız

2) VLAN’ımızı yaratacağız

3) Fa0/11 ve fa0/12 olarak switch1 üzerinde bulunan portlarımızı oluşturduğumuz VLAN’a ekleyeceğiz.

Switch2 Konfigurasyonu

1) VTP modumuzu Transparent yapalım

2) Switch2 üzerinde bulunan fa0/13 portunu yaratmış olduğumuz VLAN’a ekleyeceğiz ve Trunk sayesinde 2 switch arası VLAN’ı haberleştireceğiz.

İlk işlemimiz ile başlayalım

Switch1’e bağlantı kuruyoruz ve enable moda düşüyoruz.

Daha sonra alışkanlık olsun diye söylüyorum show vlan komutu ile Switch üzerindeki VLAN tablomuza şöyle bir göz atıyoruz.

Daha sonra VTP mod ayarımız için Config mode’a geçiş yapıyoruz.

SW1# configure terminal

SW1(config)# vtp mode server

Şimdi VLAN’ımızı yaratalım.

SW1(config)#vlan 2 (Bu komutu yazdığınızda VLAN’ınız yaratılmış olacaktır)

SW1(config-vlan)#name teknik (name boşluk VLAN’ımıza atayacağımız isim. Ben Teknik yaptım)

Aşağıda fa0/11 portunun ayarını yaparken switchport access vlan 2 demekle, fa0/12 portunun yaratmış olduğum vlan 2 üzerinden haberleşeceğini yani kısacası artık bu portun vlan 2’nin üyesi olacağını belirtmiş oluyorum.

SW1(config-vlan)#interface fa0/11

SW1(config-if)#switchport access vlan 2

Unutmayın ki interface fa0/11’de PC1 vardı aynı şekilde birde Switch1’e fa0/12 portundanbağlı olan PC2 var. Aralık vermeden fa0/12 portu içinde aynı komutları yazıyoruz.

SW1(config-vlan)#interface fa0/12

SW1(config-if)#switchport access vlan 2

SW1(config-if)#     (ctrl+z) tuşlarını kullanarak enable mode dönelim ve VLAN’lara göz atalım

SW1#show vlan

Evet gördüğünüz gibi switch1 üzerinde vlan 2 yarattık teknik ismini verdik ve fa0/11, fa0/12 portunu, vlan 2 içerisine dahil etmiş olduk. Zor bir şey yok.

Şimdi geçelim Switch 2 yani diğer switch’imize;

Bu switch’te ise PC3 ün bağlı olduğu fa0/13 portunu vlan 2 içerisine al diyeceğiz.

SW2# configure terminal

SW2(config)#vtp mode transparent

SW2(config)#interface fa0/13

SW2(config-if)#switchport access vlan 2

Bu komutu yazdığımız ve enter’a bastığımızda switch bize kendi üzerinde vlan 2 olmadığını ve bizim için yarattığını söyleyecektir. Ancak switchler arası Trunk portları henüz ayarlamadığımız için şu an fiziksel olarak 2 switch’te de ayrı (vlan 2) bulunmaktadır.

Evet 2. Switch’teki işimizde neredeyse bitti sayılır, burada ne yaptık yukarıdaki komutlardan anlatayım. Switch 2’nin vtp mode’unu transparent olarak ayarladık. Fa0/13 ara yüzünü vlan 2 içerisine dahil ettik.

Şimdi gelelim 2 switch arası Trunk ayarlarına.

Ben, Switch 1 ve 2 üzerindeki Trunk portlarımı fa0/24 olarak belirledim. Ayarlarına gelecek olursak.

SW1# configure terminal

SW1(config)# interface fa0/24

SW1(config-if)#switchport mode trunk

Bu sayede Switch 1 üzerindeki fa0/24 portu her zaman Trunk yapacak demektir.

Gelin kontrol edelim,

Ctrl+z yapıp enable moda gelelim

SW1#  show interface trunk yazalım ve enter’a basalım

PC1 PC2 ve PC3 arası ping attığınızda sistemin çalıştığını göreceksiniz.

Kısaca Trunk Haberleşme komutlarına değinmek istiyorum,

Trunk bildiğiniz gibi VLAN’ların iki farklı switch arasında haberleşmesini sağlayan yapıydı peki komutları girerken nelere dikkat etmeliyiz.

Switchport mode komutları	Anlamı
access	Hiçbirşekilde trunk yapma (Allways don’t Trunk)
Trunk	Her zaman Trunk yap (Allways Trunk)
dynamic desirable	Karşı port Trunk onayı vermişse bunu algıladıktan sonra trunk yapar. Access onayı vermişse işlem yapmaz.
dynamic auto	Karşı portta Access onayını görmüş olsa bile bunu algılar fakat işlem yapmaz

Switchler arası trunk ayarlarınızı yaparken tablodaki komutlar hep aklınızda kalsın. İyi çalışmalar dileğiyle.

Mustafa VANGÖL

Cisco cihazlar, grafiksel bir arayüze, bir wizarda sahip olmaması nedeniyle bir çok sistemci – networkcü tarafından soğuk bakılan cihazlardır. Oysa ki her şey dışarıdan bakıldığı gibi zor olmamak da ve yapılandırmanın bir ucundan başlandığı zaman çok kolay olunduğu görülmektedir.

Yapılandırılması tammen komut ile olduğu için ve her bir ayar içinde birden fazla komut kullanıldığı için unutma şansımız %100 diyebiliriz. Bu düşünülerek bizlere yardımcı olacak ve en çok kullanacağımız komut ? (soruişareti) dir. Bilmediğimiz bir çok komut satırında veya komutun satır başlarında soru işaretine bastığımız zaman gerekli koşturulucak ,girilecek komutun listesinin bilgisi bizlere gösterilmektedir.

Yapılandırmaya başlamadan önce vermek istediğim bir başka ip ucu ise TAB tuşu kullanımıdır.. Bu tuşu kullanarak girmek istediğimiz bir komutun ilk iki veya aynı karakterler ile başlıyorsa eğer komutun ismine göre üç veya dördüncü karakterini yazıp, TAB tuşunu kullanırsak komutumuz otomatik olarak kendiliğinden tamamlanacaktır. Örnek olarak user moddan Privileged (Enable Mod) geçecğimiz zaman satırımıza direk Enable yazmamıza gerek kalmadan En yazıp, TAB tuşumuza basarsak ENABLE komutumuz otomatik olarak tamamlanacaktır.

Cisco cihazlar hakkında bilinmesi gereken en önemli iki ipucunu verdikden sonra bu cihazların yapılandırılmasının hiçte zor olmadığını ve sandığımız gibi soğuk cihazlar olmadığını göreceğiz. Makalemizin sonunda yapabilecek olduğumuz işlemler bir CİSCO router’a

· İsim vermek

· Routarımıza Parola tanımlamak

· Routerımıza vermiş olduğumuz parolamızı GİZLEMEK

· Uzakta bulunan Routerimiza TELNET üzerinden ulaşmak

· İnterface’lerimize IP tanımlamak

· Routerlarımıza DESCIRIPTION (Girişine mesaj) tanımlamak

· Yapmış olduğumuz ayarlarımızı KAYDETMEK

Router>

Kullanıcı modu olup Router üzerinde ki yapılandırmaları sadece görmemize yardımcı olmaktadır. Herhangi bir yapılandırma yapmamız mevcut değildir.

Router#

Privileged mode (özel mod). Routerımızın yapılandırmasını görebilir ve yapılandırailceğimiz bölümdür.

Router(config)#

Global configuration mode

Router(config-if)#

Interface mode

Router(config-subif)#

Subinterface mode

Router(config-line)#

Line mode

Router(config-router)#

Routerumuzu yapılandırabileceğimiz moddur.

Her bölümün kendine öz yapılandırma komutları vardır. Routerımız üzerinde bulunan bütün komutları, istediğimiz modlarda koşturacağımız bilgisi yanlıştır. Doğru yazmış olduğumuz bir komutu, yanlış bir modda (bölüm) altında çalıştırmaya kalkarsak bunu belirten bir hata mesajı ile karşılaşacağız.

User (kullanıcı) moddan Privilege (enable) modda yükselmek için user mod içerisinde en yazıp tab tuşuna basmamız veya direk olarak enable yazıp bir üst moda geçmemiz mümkündür.

Enable mod içerisinden, Global Configured (Routerimizi yapılandırma) Moduna yükseltmek için ise configure terminal (con t) yazmamız yeterlidir.

Routerimızın sahip olduğu bölümleri merdiven olarak tanımlarsak eğer, normal hayatta belki merdivenleri iki iki çıkabiliriz ama bir router üzerinde mod atlayacağımız zaman sırasıyla modları takip etmemiz gerekecektir. Örnek verirsek Kullanıcı modundan, Global Konfigürasyon moduna gidebilmek için Enable moda girmemiz kaçınılmaz bir şarttır.

Routerimizin Konfigürasyon modunda Routerımıza isim vermek için hostname router ismi yazmamız yeterlidir. Vereceğimiz bu isim routerimizin bulunmuş olduğu şubenin ismi (Ank Sb. Kastamonu Şb, İstanbul Sb) Gibi isimler seçebiliriz. Resim dörtde görüldüğü üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

Routerimiza Parola belirlemek için Enable mod içerisinde enable password belirlediğimiz parolamız (FAKAONLINE.COM belirlemiş olduğum paolam) yazıp enterlamamız yeterlidir.

Resim 5 de belirtilen komutumuzu koşturdukdan sonra artık Enable moda (routerimizi yapılandırma bölümü) geçmek istediğimiz zaman bizden parola istemektedir. Üç sefer yanlış girme hakkımız olup, parolamızı yanlış girdiğimiz zaman bizleri kullanıcı moduna geri göndermektedir.

Eğer parolamızı secret (gizli) hale getirmezsek enble mod içerisinde show runnig-config komutu koşturulduğu zaman ayarlamış olduğumuz yapılandırmamız ile birlikte bizlere parolamızı da göstermektedir.

Parolamızı gizlemek için yapılandırma bölümü içerisinde enable secret parolamız (PASSWORDFAKA belirlemiş olduğum gizli parolamdır) yazmamız yeterlidir.

NOT : Burada belirlemiş olduğumuz parolamız daha önceden belirlemiş olduğumuz parolamızdan farklı olmak zorundadır ve burada belirlemiş olduğumuz parolamız daha baskın olup diğer parolamızı devre dışı bırakacaktır.

Parolamızı gizledikten sonra yapılandırmamıza baktığımıza parolamızın algoritmasını bizlere göstermektedir.

Uzakta bulunan subelerimizde ki routerlarımızı veya bir destek firmasıysak müsterilerimizin routerlarını merkezden, iş yerimizden yapılandırmamız gerekebilir. Uzakta yönetebilmemiz için gerekli olan servis Windows işletim sistemimizde bulunan Telnet servisimizdir. Command Promtdan routerimizin dış bacağına telnet attığımız zaman gerekli yapılandırmaları yapabiliriz. Yalnız bu işlemi yapabilmemiz için routerimiza bir parola vermemiz zounludur. Aksi takdirde routerimiza giriş yapamamaktayız. Servisin hazır olmadığını belirten bir uyarı mesajı ile karşılaşmamız kesindir.

Routerımızın telnetine parola verebilmek için Konfigurasyon modundan line vty 0 4 komutunu koşturarak bağlantı yapılandırma (config-line) moduna geçiş yapıyoruz.  Bu bölüm altında koşturacak olduğumuz komut ise password belirlemiş olduğunuz parolamız (fakaonline.com benim belirlemiş olduğum telnet parolasıdır) girerek telnet şifremizi belirleyebliyoruz.

Telnet parolası belirledikten sonra artık uzakda ki bir lokasyondan bu lookasyon ister şirketimiz, ister routerimiza bağlı bulunan br merkrzimi, subemiz olmaksızıb routırımızı yapılandırabiliyoruz.

User mod içerisindeyken show ip interface brief (ip adreslerini göster) komutumuzu kullanarak routerımıza tanımlamış olduğumuz ip adreslerini görebiliriz.

Serial İnterface      : Routerimizin dış bacağına bağlı bulunan interfacemizdir.

Ethernet                   : Routerimizin iç bacağıdır. Bazı routerlarda Fast ethernet olarak geçmektedir.

İnterfacelerimizin sonunda bulunan rakamlar ise serial0, ethernet0, ethernet1 vb. routerımızın sahip olduğu serial veya ethernet giriş sayısını belirlemektedir. Routerımızın sahip olmuş olduğu özelliklere göre serial interface sayısı arttırılmaktadır.

Örnek verecek olursak Cisco 2800 model Router üzerinde default olarak bir adet serial interface gelmektedir ve sadece bir subeyi bağlayabiliriz. İleride bu routerimiza başka bir şubemizi daha bağlamak istediğimiz zaman yeni bir serial interface alıp üzerine montajını yaptıkdan sonra gerekli ayarlamadan sonra ikinci ve hatta 3ncü şubelerimizi bu routerimiz üzerinden birbirlerine bağlamamız mümkündür. Alacak olduğumuz Routerimizı tamamen şirketimizin yapısına ve ileriye yönelik açılacak olan şube sayımıza göre belirlememiz ileride oluşabilcek problemlere karşı çözüm olacaktır.

Routerimiz üzerinde bulunan  interfacemize ip tanımlamak için sıraıyla izlenmesi gereken yol

· İnterface ethernet 0 (sıfır ethernet numaramızdır). Routerımız üzerinde bulunan 0 (sıfır) nolu interfacemizin içerisine giriyoruz.

Not : Bazı routerlarda ethernet interface yerine fastethernet olarak geçmektedir. Komutumuzu da sahip olduğumuz router özelliğine göre fastethernet0-1-2 olarak değiştirmemiz gerekecektir.

· İp addres <routerimizin sahip olacağı ip> <network maskı> girip enter tuşuna basıyoruz

· No shutdown komutu ile Ethernet0 nolu interfacemizi aktif hale getiriyoruz. Aktif hale geldikten sonra bağlantıları doğru yapıldıysa eğer interfacemizin up (çalışır) durumda olduğunu belirten otomatik bir mesaj alacağız.

· Exit komutuyla ethernet0 interfacemizin içerisinden çıkıyoruz.

Serial interfacemizide aynı mantık ile yapılandırıyoruz..

Yapılandırmamız dan sonra interfacelerimize vermiş olduğumuz ip leri tekrardan görebiliriz. Protokol olarak herhangi bir bağlantı yapmadığımız için serial interfacemiz bölümünde protokol down (kapalı), ethernet bölümü altında ise protokol up (çalışır durumda) olduğunu görebiliyoruz. Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır.

Protokolün ne olduğunu anlatmamız gerkirse eğer bir başka router ile bağlantı türüdür.

Cisco cihazlar üzerinde yapılacak olan bağlantı türleri yukarıda bulunan resimde gözükmektedir. Bu protokol yapılandırmalarını diğer makalelerimizde değineceğiz.

Routerimiz üzerinde çalışan Protokol tiplerini görmek için ise show protokols komutunu koşturmamız yeterlidir. Yukarıda belirttiğim gibi, bu resimde demiş olduğumuz açıklamayı onaylamaktadır ve Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır

Telnet ile routerimiza uzaktan bağlandığımız zaman hangi şubede ki veya hangi müşterimizin routerina bağlandığımızı görmek, yanlış bir routeri yapılandırmayı önlemek için routerimizin girişine başlık koyabiliriz. Bu başlığı koymak için routerimizin konfigürasyon modunda banner motd ŞUBE ISMI komutunu koşturmamız yeterlidir.

Routermiza başlık belirledikten sonra Routerimiz her yapılandırmak üzere içine girdiğimizde bizleri bu başlık karşılayacaktır.

Routerimizin içine girdiğimiz zaman belirlemiş olduğumuz başlıkları ethernet portlarımıza da belirleyebiliyoruz. İsim verecek olduğumuz ethernetimizin içine girdikten sonra desciription ethertnetimizin bağlı bulunduğu departman ismi ni yazmamız yeterlidir.

Routerlarımız üzerinde bu kadar ayarı yaptıkdan sonra yapmış olduğumuz ayarlar routerimiz üzerinde bulunan NWRAM veya Routerımızın özelliğine göre FLASH belleğine kaydedilmektedir. Ayarlarımızı kaydetmek için Enable mod içerisinde copy runnig-config startup-config komutunu koşturduğumuz zaman Routerimizin açılışına bu bilgilerimiz kaydedilmektedir.

· Routerimiz üzerinde bulunan NWRAM imizin, Flash Belleğimizin yeterli olmadığı zamanlarda,

· Routerimizin açılışını hızlandırmak istediğimiz zamanlarda

· Veya yapmış olduğumuz yapılandırmaların bir yedeğini almak istediğimiz zamanlarda

Copy runnig-config tftp tftp server ip adresi komutunu koşturduğumuz zaman routerimiz üzerinde bulunan ve yapılandırmış olduğumuz bütün yapılandırmalar otomatik olarak belirlemiş oluğumuz TFTP serverimiza kaydedilecektir.

Bu teftp serverimiz server işletim sistemine sahip olması zorunlu değildir. Cisco cihazlarımız için TFTP server olarak belirlemiş olduğumuz makinenin üzerine TFTP server yazılım programını yüklememiz ve Routerimiza direk olarak bağlı olması, programımızın çalışır durumda olması yeterlidir.

Örnek TFTP server yazılımları WinAgentTftp, TFTPSrvc2001 , TFTPServer1-1-980730 vb. 3rd Party programları Windows XP yüklü bir makine üzerine yüklesek bile TFTP server olarak kullanabiliriz.

Görüldüğü üzere Cisco Cihazları yapılandırılması hiçde zor olmayan ve sektör içerisinde bulunacaksak eğer bir gün muhakkak karşımıza çıkacak olan yapmış olduğu işlerde kendini kanıtlamış ürünlerdir.

Yapılandırmaları modellerine göre farklılık göstersede, mantığı geçmişten beri hep aynıdır. Bilemediğimiz yerde sormuş olduğumuz soru işareti komutu olduğu sürece çıkacak her yeni routeri yapılandırmamız çok kolaydır.

Fatih KARAALİOĞLU

Günümüzde internet erişimi gerek son kullanıcılar için gerek her büyüklükde ki şirketler için vazgeçilmez kaynaklardan birisidir. İnternete erişmenin çok farklı çeşitleri vardır. Bu erişim yolları ev kullanıcıları ve küçük işletmeler için çok da karmaşık sahip olduğumuz network yapısı büyüdükçe ve karışık bir hal almaya başladıkça internete erişim metodları da bu ölçüde büyümekde ve dizayn şeklimize göre farklılıklar göstermektedir.

Yapımız büyüdükçe gerek güvenliğimiz için, gerekse yönetimini üstlenmiş olduğumuz network içerisinde ne olup bittiğinden haberdar olmak için ve hatta bazen üye olmuş olduğumuz kurum, kuruluş ve denetim yerlerinin istemiş oldukları kriterleri sağlamak içn bir takım firewall ürünlerine ihtiyaç duyabiliriz.

Bu makalemizde şube yapısı bulunan bir şirket için internet erişim yollarını açıklamaya özen gösterecek ve sahip olduğumuz ürünler çerçevesinde minimum maaliyet ile internet erişimini şirket yapımıza nasıl uygularız, nasıl güvenliğimizi sağlarızı konuşacağız. Makalemizin Ana konusu olan Access Listler (erişim listeleri) ile bir Cisco routeri firewall olarak yapılandırmadan önce konumuzla ilgili olan network ürünlerinden bahsetmemiz gerekirse.

Firewall         : Yapımızın ihtiyacı doğrultusunda gerek donanımsal gerekse yazılımsal olarak kullanabileceğimiz; Local ağımızla İnternet ağı arasında güvenli bir şekilde iletişim kurmamıza yardımcı olan, istenmeyen istekleri önleyen ve kullanmış olduğumuz ürünün özelliğine göre daha bir çok özelleştirilmiş tanım yapabileceğimiz ürünlerdir.

Router           : Günümüzde bu cihazlar gerek LAN yapımız içerisinde bulunan ve iki farklı Network ID’ sine sahip bilgisayarın bir biri ile iletişimde bulunmaları için, gerekse LAN yapımızdan dışarıya çıkmamız gerektiği zaman kullanmamız gereken ve Türkçe karşılığı olarak YÖNLENDİRİCİ olarak bilinen cihazlardır.

Bir router için bilmemiz gereken iki temel kural vardır. Bunlar

Router üzerinde kesinlikle ama kesinlikle bir GW bulunmamalıdır. (Yazılımsal routerlar için verilmiş bir açıklamadır.)

Routerlar Broadcast geçirmeyen ürünlerdir.

Firewall’lar ve Routerlar için bilinmesi gereken en önemli tek ortak nokta client bilgisayarlar; gerek yönlendirme için, gerekse güvenlik için Gateway (Ağ Geçidi) olarak bu ürünleri görmek zorundadırlar.

Not : Ortada özel bir durum yok ise eğer misal olarak bir Isa Server Proxy server olarak yapılandırıldıysa eğer Gw olarak Isa serveri görmeye veya işletim sistemimizin komut satırında gerekli yönlendirme bilgileri client bilgisayarımıza öğretildiyse client bilgisayarın GW olarak bu ürünleri görmelerine gerek yoktur.

Yazımızın ilerleyen kısmında bu yapılandırmalardan bahsedeceğimizi belirtip GW leri neden kullanacağımızı örnek ile açıklayacak olursak 192.168.0.5/24 ip adresine sahip bir bilgisayar 192.168.0.6 /24 numaralı bir bilgisayar ile görüşmek istediği zaman Network ID leri aynı olduğu zaman ki /24 olduğu için her iki bilgisayarda aynı Network içerisinde olduğu anlamına gelmektedir bu iki bilgisayar bir birleri ile görüşmek istediği zaman üzerlerinde ki GW bakmaksızın gerekli hesaplamaları yaparak hedef bilgisayar ile iletişimde bulunmaktadırlar. Ama 192.168.0.5/24 ip adresine sahip bir bilgisayarımız 192.168.1.6/24 numaralı br bilgisayara gitmek istediği zaman sahip olduğu Network ID si kendisi ile aynı olmadığı için paketi kendi networkü içerisinde aramayacak ve isteği üzerinde tanımlı olan ağ geçidine yani Gateway gönderecek ve bu Gateway üzerinde tanımlı olan gerekli yönlendirme protokoleri var ise eğer ve bağlantımız da bir propblem yoksa hedef bilgisayar ile iletişimde buluna bilecektir. Gateway konusunda bilinmesi gereken en önemli nokta ise bir bilgisayarın sahip olmuş olduğu GW mutlaka ama mutlaka kendi networkünün içerisinde olmak zorundadır.

Konumuz ile ilgili bu genel bilgileri verdikten sonra yazımıza devam edebiliriz.

Mevcut yapımızdan bahsetmemiz gerekirse.

Her iki şubemiz içerisinde Cisco 1700 serisi Routerlarımız bulunmakta ve bir birlerine point-to-point olarak bağlı durumdadırlar.

Fakaonline şirketinin içerisinde bulunan bütün client bilgisayarlar 10.10.10.X Havuzu içerisindeler ve GW olarak da Solmaz Holding şirketi ile sürekli bağlantı içerisnde olan Cisco 1700 serisi Routerin Fasteth0 olan 10.10.10.54 numaralı ip adresini görmektedirler. Fakaonline Şirketinin internet erişimini karşılamak için bir adet ADSL modem networke dahil ediliyor ve IP adresi olarak da 10.10.10.2 ip adresine sahipdir. Yalnız bura da ki problem Gw olarak Routeri gören bilgisayarlar internete nasıl çıkacaklardır?

Bunun için bir çok çözüm vardır ve bizler bu makalede sırasıyla çözümleri konuşacak ve en yararlı olanı network yapımıza uygulayacağız.

İlk çözüm olarak bütün client bilgisayarlarımızın Netvork kartlarına alternatif bir ip tanımlar gibi alternatif bir Gw tanımlayarak çözüm bulabliriz. Bu alternaif Gw tanımlaması işlemimiz için en kolay olanıdır ve data kayıplarının olma ihtimali düşünülerse eğer pek fazla tavsiye edilmeyen bir çözümdür.

İkinci çözüm olarak; Netorkümüz içerisinde bulunan bütün client bilgisayarlarımızın Default Gw’ lerini 1700 serisi olan Cisco Routerimizin FastEth0 Portunu değil, Adsl Modemimizin sabit ipsini göstereceğiz ve Adsl Modemimiz üzerinde bir statik routing protokolü girerek ki;

Destination Ip Address     : Gitmek istediği networkü yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Ip (10.10.20.0) bloğunu yazıyoruz.

Subnet Mask                        : Gitmek istediği networkün subnet Mask’ını  yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Subnet mask 24 BIT lık bir maskdır ve 255.255.255.0 olarak yazıyoruz.

Gateway                               : Hangi routeri kullanarak Solmaz Holding’in networküne gideceğini belirliyoruz. Solmaz Holding Networkü ile iletişimde olan Routerimizin sahip olduğu Cisco Routerin  FastEth0’ ın ip (10.10.10.54) adresini yazıyoruz.

Ve bu girmiş olduğumuz statik rout’ dan sonra bütün bilgisayarlarımız Gw olarak ADSL modemimizi görecek ve internete çıkacaklar, Solmaz holdinge gitmek istediği zaman ise modemimiz Cisco Routerimiza Rout (yönlendirme) yapacak.

Bu şekilde yapacak olduğumuz bir yapılandırmanın bizlere sağlayacağı dezavantaj ise ADSL modemler Rout (yönlendirme) yapmak için dizayn edilmiş Network ürünleri değillerdir. ADSL modemlerimizin yapılış amaçları NAT yapmak ve internet erişimini sağlamak olduğu için, ve Cisco gibi kendini kanıtlamış routerlara göre çok çabuk down olma ihtimali düşünülerse eğer kullanım amacı dizaynı nı yapan sistemciye göre değişmektedir.

Bir diğer çözüme geçmemiz gerekirse Windows İşletim sistemimiz üzerinde girecek olduğumuz statik route kaydıdır. Komutumuzu açıklarsak eğer.

Route add Makinemize bir statik route eklemek için kullanırız. Komutumuzun devamında olan ilk 0.0.0.0 (gidilecek yer bilinmiyorsa) bilgisayarımızın gitmek istediği yeri, mask 0.0.0.0 (gidilecek networkün subnet maskı) gidilecek yerin subnet maskı bilinmiyorsa eğer, 10.10.10.2 ADSL modemimizin ip adresini yazıyoruz Metric olarak 1 seçiyoruz. Bu kayıt girildiği zaman oluşacak olan işlemden bahsetmemiz gerekirse bilinmeyen bütün kayıtlar modem üzerinden geçiyor ve sonuçta her ADSL modem Gw olarak Turk Telekomu gördüğü için cevabın karşılığı varsa eğer internet erişimi sağlanıyor. Gw olarak da biz Solmaz Holding networkünü (10.10.20.X) bildiğimiz için Routerimiz üzerinden karşı networkümüz ile iletişimimiz sağlanıyor.

Bu girmiş olduğumuz kayıt, kaydın girilmiş olduğu bilgisayar her reset atıldığında unutulacaktır. Çözüm olarak bu kaydı bir scrip haline getirip, internet erişimi vermek istediğimiz bilgisayarın başlangıcına koymak ve her açıldığında komutumuzun yeni baştan otomatik olarak çalışmasını sağlayabiliriz..

Veya komutumuza route add bölümünden hemen sonra –p (persistent (kesintisiz, sürekli) olarak yazarız ve bizler bu kaydı manuel olarak silene kadar çalışmasını sağlayabliriz.

Bilgisayarımız üzerinde girilen kaytları route print komutu ile görebiliriz. Girmiş olduğumuz Persistent Route (sürekli yönlendirme) en aşağıda ki satırda görünmektedir.

Bilgisayarımıza girmiş olduğumuz statik route kayıtlarını route delete komutu ile girilen yönlendirmenin devamını yazarak silebiliriz.

Yukarıda vermiş olduğumuz iki çözüm önerisine göre bu şekilde girilecek olan statik route kaydı en akıllıca olanı gibi gözükmektedir. İnternet erişimi vermek istediğimiz bilgisayarlara bu scribi uygularsak eğer, internet erişimini vermiş, fakat internet erişimleri için Networkümüzde herhangi bir  güvenlik önlemi uygulayamamış olacağız.

Şirket networkümüz üzerinde internet erişimini güvenli bir şekilde sağlamak ve yukarıda sunmuş olduğumuz internet erişim çözümlerine bir yenisini daha eklemek için Isa serverimizi ekleyebilir ve İsa serverimizi Proxy Server olarak yapılandırarak hem client makinelerimizin Isa üzerinden gerekli kısıtlamalar yapılarak web kaynaklarına erişmesini, kayıtların tutulmasını ve hatta gerekli Network tanımlamaları yapılırsa Solmaz Holding Networkünün dahi Fakaonline networkü içerisinde bulunan internet erişimi ile Web kaynaklarına erişmesini sağlayabiliriz.

Yalnız yapılacak olan bu yatırım ortalama olarak Windows 2003 Yazılımı, Isa server Yazılım lisansı ve yapılanırılacak olan bilgisayarın fiyatı ile birlikte ortalama olarak 3000 USD gibi bir fiyatı bulmaktadır.

Isa Serverin bizlere sağlayacağı yararlar düşünülürse eğer bu fiyatın çok da fazla olmadığını bilmekteyiz ama her şirket yapısı için bu çözüm pekde yanaşılır bir fiyat değildir. Isa server yerine Linux’un sağladığı daha ucuz yollu Proxy server çeşitleri veya yazılımlarıda Networkümüze dahil edilebilinir.

Ve biz son dizayn çeşidimize geçiyoruz. Mevcut yapımızı hiç bir değişiklik yapmadan Cisco Router üzerinden İnternet kaynaklarına erişimi sağlayacağız. Yazımızın başında olduğu gib Fakaonline networkü içerisinde bulunan bütün makineler Gw olarak Cisco 1700 Serisi Routerin FastEth0 bacağına yani 10.10.10.54 ip adresini görmektedirler. Routerimizin diğer bacağı Serial0 ile Solmaz Holding ile görüşmek üzere Telekom alt yapısına bakmaktadırlar.

Routerimizin Enable Mode içerisindeyken sh ip route diyerek mevcut route tablosunu görebiliyoruz. Yukarıda ki resimden de anlaşılacağı gibi ADSL modemimiz ile ilgili herhangi bir iletişim kaydı olmadığı için internet erişimi sağlanamamaktadır.

Routerimizin yapılandırma modu olan config mod içerisine geçerek bir statik route (yönlendirme) kaydı giriyoruz. Bu kaydımız Windows işletim sisteminde girmiş olduğumuz route add komutuyla hemen hemen aynıdır. Girmiş olduğumuz komut ip route 0.0.0.0 (gidilecek olan network bilinmiyorsa) ikinci olan 0.0.0.0 ise gidilecek olan networkün subnet maskı bilinmiyorsa 10.10.10.2 numaralı ip (modemimize) adresine yönlendir.

Girmiş olduğumuz bu kayıtsan sonra routerimiz üzerinden internet erişimine çıkışımız sağlanmış olmaktadır. Routerimiz Solmaz Holding networkünü biliyor ve Modemimize yönlendirme yapmadan Serial 0 bacağından karşı networke route (yönlendirme) yapmakta ve herhangi bir internet sayfasının ip adresini bilmediği için de modemimize soruyor ve modemimiz ise Gw olarak TurkTelekomun kendisine bakan bacağını gördüğü için internet erişimini sağlamış oluyor.

Kayıt girildikten sonra tekrardan enable mode içerisinde sh ip route komutunu yazdığımız zaman en aşağıda olan Sub Zero kaydını ki Cisco mataryellerinde hedefi bilinmeyen paketleri yönlendirmek için girilen kayıt olarak geçer ve S* olarak ifade edilmektedir görebiliyoruz.

Artık networkümüzün yapısına hiçbir müdahale etmeden sadece Gw olarak Cisco Routerimizi gören bütün bilgisayarların bu kayıt sayesinde internete erişimlerini sağlamaktayız.

Routerların asıl amaçlarını yazımızın başında da belirttiğimiz gibi sadece bir noktadan bir noktaya yönlendirme yapmaktır. Bizler sub zero kaydı girerek bir noktadan bir çok nokta olan internete route etmeyi başardık. Ve bilindiği üzere Cisco routerlar üzerinde güvenlik için kullanılan Accest Listler (erişim listeleri) mevcutudur ve girilen kayıtlar neticesinde bir yerden bir yere gider iken gelen paketin, gidecek paketin, nereden hangi yol üzerinden hangi iletişim protokolünü kullanarak yönlendireceğini veya kısıtlayacağını belirlememize, networkümüzün güvenlini sağlamamıza yardımcı olan komutlar vardır. Bizler bu komutları kullanarak Bir Cisco Routerimizi; bir Cisco PİX, ASA veya bir başka donanımsal veya yazılımsal bir Firewall olarak yapılandıramasakda basit anlamda bir Cisco Routeri Firewall olarak yapılandırabileceğiz.

Accest Listleri basit anlamda anlatmamız gerekirse, yazılma çeşitlerine göre Standart ve Extended olarak ikiye ayırabiliriz.

Standart Acces listler uygulanan ip pakelerinin tüm prtokoller için geçerli olup, uygulanmak istenen adresin kaynağına (source) bakılarak engelleme yapılır.

Extended Acces listler ise uygulanan ip paketlerinin protokol (port) bazlı (sadece web erişim portuna 80 , telnet portuna 23, Rdp portuna 3389, FTP Portuna 21 vb. ) engelleme yapılmak için uygulanır ve hedefe (destination) en yakın yere uygulanmaktadır.

Yukarıda ki resimde de görüldüğü gibi default olarak hiç bir router üzerinde herhangi bir access List uygulanmamıştır ve yapılandırmalar neticesinde bütün yönlendirmelere izin vermektedir.

Şimdi Adım adım bir routerimizin üzerinden geçen internet erişimlerini, IP bazlı engelleyelim.

Bu yapılandırmada bilmemiz gereken en önemli nokta bu accest listler ile ne bir Cisco Pix gibi geniş çaplı bir Firewall nede bir ISA server gibi içerik engelleyici (web filteri, içerik engelleme, Url yönlendirme vb.) işlemleri yapmamız mümkün değildir.

Yapacağımız Accest Listler ile bir donanımsal Firewall’ a sahip olduğumuzu düşünelim ve yazılımsal bir Firewall olan Isa server ile routerimiz üzerinde ki Firewall’ı kıyaslayalım.

Isa Server bir Yazılımsal Firewall dır ve network içersinde bulunan kullanıcıları, eğer Domain yapısına üye olarak yapılandırıldıysa isim bazlı engelleme dahi yapabilmektedir. Routerimiz ise Osi katmanları çerçevesinde Layer 1-2 ve 3 ncü katmanında çalıştığı için ve OSI katmanları içerisinde sadece IP ce mac adreslerini tanıdığı için sadece ama sadece IP ve Port bazlı engelleme yapabilmektedir.

Isa Serverimiz Yazılımsal olduğu için içerik engelleme konusunda web sayfaları üzerinde bulunan istenmeyen içerikleri tanımakta, bilmekte ve bu sayede istenmyen dosya uzantılarını bildiği için içeriğini engellemektedir, Routerimiz ise gene Osi katmanlarının 1,2 ve 3 ncü katmanında çalıştığı için bu içerik engellemeyi tanımadığı için yapamayacaktır.

Kısacası Isa serverin yapmış olduğu gibi Osi katmanlarında bulunan Layer 4-5-6 ve 7 nci katmana çıkmadan IP ve Port bazlı bütün engellemeleri yapabileceğiz. Zaten Cisco Pix, Asa dahi bu şekilde çalışmakda olup Osi nin diğer katmanları ile ilgili diğer engellmeler yapılmak istenildiği zaman Websense gibi yazılımsal bir program ile bütünleşik çalışarak Firewall hizmetini sunmaktadır.

Bu kısa bilgiyi verip Accest Listler ile çok fazla şeyler beklememeniz konusunda gerekli uyarıyı yaptıkdan sonra Cisco Routerimizi Firewall olarak yapılandırmamıza başlayabiliriz.

İlk olarak routerimizin yaplandırma bölümü olan Config Mod içerisinde access-list diyoruz ve komutun devamını bilmediğimizi düşünerek soru işaretine basıyoruz.

Çıkan menüde kullanabileceğimiz komutlar karşımıza çıkmaktadır. Biz port bazlı engelleme yapacağımız için Extended accesst list kullanacağız ve access listlerin kullanmış olduğu numarayı bizlere göstermektedir. 100 ile 199 arasında herhangi bir access list numarasını kendimize belirliyoruz. Bu bölümü daha kolay açıklamak için Isa server üzerinde kural oluşturduğumuz zaman kuralımıza vermiş olduğumuz isme benzetebiliriz.

Komutumuzun devamına 101 diyerek tekrardan komutun devamı için soru işareti ile ihtimalleri soruyoruz. Yapmak istediğimiz Access List engelleme olacağı için deny diyerek komutumuzu (kuralımızı) yazmaya devam ediyoruz.

TCP bazlı bir engelleme yapacağımızı belirtiyoruz. Komutumuzun devamına gerekli olan TCP yazıp soru işareti ile tekrardan komutumuzun devamını yazmaya devam ediyoruz.

Sıra geldi kimi engelleyeceğiz. Engellenecek olan kaynak bilgisayarı belirtiyoruz. Sadece tek bir Host’u (bilgisayarı) engelleyeceğim için host yazarak devam ediyorum.

Diğer kural yazımı ile bilgi vermem gerekirse eğer A.B.C.D olarak yazılı olanı kullanırsam eğer kaynak bilgisayarın ip adresini yazıp subnet maskı Wild Card Mask (mevcut subnetin tam tersi yazılımı ile kullanmam gerekecekti ki yani subnetin 0 rakamlarının 1 ler rakamı grubu ile yer değişmesi sonucu oluşacak olan subnet maskını yazmam gerekecekti.)

Örnek :

Subnet mask : 255.0.0.0 Wild Card Mask : 0.255.255.255

Subnet mask : 255.255.0.0 Wild Card Mask : 0.0.255.255

Subnet mask : 255.255.255.0 Wild Card Mask : 0.0.0.255

Subnet mask : 255.255.128.0 Wild Card Mask : 0.0.127.255

Veya any dersem eğer ileride uygulayacak olduğum bu Accest Listi, uygulayacak olan interfacemin bağlı olduğu bütün bilgisayarları kapsayacağını belirtecektim.

Komutumuza Host diyerek devam ediyorum. Tek bir bilgisayarı engelleyeceğim.

Engellemeyi uygulayacak olduğumuz hostun sahip olduğu ip adresini (10.10.10.112 numaralı ip adresine sahip bilgisayara kısıtlama uygulayacağım) yazdıktan sonra tekrardan soru işaretini yazarak devamında gelecek olan soruyu soruyorum ve nereye giderken engelleneceğini soruyor bizere. Cevabımız any (herhangi bir yere giderken, web erişimini kısıtlayacağım için herhangi bir yere diyerek her yeri kısıtlıyorum)

Bu bölümde eğer belirli web sayfalarının kısıtlanmasını istiyorsak, gerekli sayfaların ip adreslerini A.B.C.D cinsinden olarak Wild Card mask girerek uygulayabiliriz. Tabi burada da şöyle bir problem ortaya çıkmaktadır. Örnek olarak bizler google nin 66 bloklu ip adresinden sahip olduğu bölümü yazarsak, google web sayfası birden fazla ip adresine sahip olduğu için diğer ip bloğun dan hostumuzun isteğine cevap verecetir. Veya şöyle bir seçenek varmı diye soranlar olursa eğer; Isa server için bir çok web sayfasında bulunan URL listeler bu accesst listler içinde IP bazlı olarak varmıdır? Şayet ben görmedim J

Yazmış olduğumuz kural bir extended access list olduğu için port bazlı yapılandırmış oluyoruz ve port numarasını girebilmek için eq yazarak port numarası yazmak üzere komutumuza devam ediyoruz.

Eğer yasaklamak istediğimiz protokolün kullanmış olduğu port numarasını biliyorsak direk olarak yazabiliriz, şayet bilmiyorsak daha önceden yaptığımız gibi soru işareti sorarak kullana bileceğimiz port isimlerini bizlere göstermektedir. Bizler web erişimini yasaklayacağımız için 80 portunu yazıyoruz. 80 numaralı www (web erişim portu) listenin en altlarındadır. Güncel port numaralarını http://www.iana.org/assignments/port-numbers adresini ziyaret ederek öğrenebilirsiniz.

Ve sonunda kuralımızı yazmayı tamamlamış bulunmaktayız. Yazmış olduğumuz kuralımızı açıklayacak olursak eğer.

Access-list 101 extended bir erişim kuralı olduunu yani port veya protokol bazlı engelleme veya izin verebileceğimizi, deny bu access listin bir yasak kuralı olduğunu, engellemenin TCP protokolü ile yapılacaını host 10.10.10.112 ise bu yasak kuralının bu ip adresine sahip bilgisayara uygulanacağını, any herhangi bir yani bütün hedeflere uygulanacağını eq 80 ise web erişimleri için olduğunu bizlere söylemektedir.

NOT : Access listleri yazmasını biliyorsak eğer yukarıda ki resimde ki gibi direk komutu yazabiliriz. Ben makale yazımını konuyu açıklayarak yaptığım için her bölüm için soru işareti girerek yazmayı uygun gördüm.

Bizler bu accest listi yazdık ama henüz uygulamadık. Access listler ile bilinmesi gereken iki ana kural vardır ve bunların birincisi

Hazırlanan bütün access listler muhakkak bir interfaceye ki kuralın standart veya extended olma özellğiine göre hedefin destination (hedef) bölümüne veya source (kaynak) ‘ ın en yakın yerine uygulanmalıdır.

İkincisi ise bir accesst list yazılmadan önce bir router üzerinde bulunan bütün yönlendirmeler çerçeveside girilen kayıtları gerçekleştirmekteydi. Bizler access listleri yazıp uyguladık dan sonra artık yönlendirmenin haricinde güvenlik için access listlere de bakılması konusunda istemeden de olsa bir kural girmiş olduk. Bunun da açılımı biz access listimize herhangi bir permit (izin kuralı) yazmak ise eğer ilgili hostun sadece web erişimini yasaklamış olmuyor router üzerinden geçen bütün yönlendirmelerin yasaklanmış olduğunu belirtiyoruz. Ve routerimiz üzerinde daha önceden uyguladığımız kuralların işlemine devam edebilmesi için bir izin kuralı yazmamız şarttır.

Yazmış olduğumuz yeni access list bir önceki access listimiz deki gibi aynı grubdan (101) ve izin kuralıdır. Her hangibir yerden herhangibir yere giderken izin verilmiştir.

Routerimizin enable modunda iken uygulanan access listleri sh run komutu ile görebiliyoruz. Yukarıda belirtmiş olduğumuz izin kuralını biraz daha açıklamak gerekirse. Routerimiz ilk satırda gerekli host için web erişimini yasakladı. 10.10.10.112 ip numaralı bilgisayar web erişimine gideceği için bu kurala takılacak ve web kaynaklarına erişemeyecek. Pekala network içerisinde bulunan diğer makineler 10.10.10.112 ip adresi haricinde ki diğer makinelere bu kural uygulanacak mı? Elbette ki hayır. Onun için yukarıdan aşağıya doğru uygulanan kurallar sırasıyla kontrol edilecek. Biz ikinci satırda yazmış olduğumuz izin kuralını yazmasaydık eğer routerimiz access listleri uygulamadan önce ki gibi geçişe izin vermeyecek, gerekli işlemin, yönlendirmenin amacı bilinmediği için access listlerin tabi özelliği olan implicit deny güvenlik için bilmediğim eyleme izin vermedim, yok ettim kuralını uygulayacaktı. Bunu daha iyi anlamak için Isa nın default rule’ sini göz önüne getirin ve en alt bölümde olması gereken bütün erişimlerin yasaklandığı kuralına benzetebiliriz.

Isa Serverden örnek vermişken eğer bizler birden fazla izin kuralı yazsaydık Isa serverin Up (kuralı bir üstteki kuralın üstüne almak) down (kuralı bir önceki kuralın altına almak ) gibi bir kolaylığı Routerimizin Access listlerin de yoktur. Bu şekilde kuralımıza örnek olarak bir başka hostuda engellemek istersek eğer ilk önce permit kuralını sileceğiz, daha sonra ilgili host için deny kuralını yazacağız ve tekrardan paketlerin implicit deny kuralına mağruz kalıp yok edilmemeleri için bir permit (izin) kuralı yazacağız veya routerimizin üzerinde bulunan sh run komutu ile access listleri bir yazı düzenleyicisinin (word vb.) içine alıp gerekli düzenlemeleri yapıp tekrardan routerimizin içine kopyalayacağız.

Yazımızın daha önce ki bölümünde access listlerin çalışabilmesi için muhakkak bir interfacesine uygulanması gerektiğini belirtmiştik. Routerimizin uygulanması gereken interfacesi sub zero kaydının (yönlendirmenin) olduğu fast eth0 network kartıdır. FastEth0 Networkünün içerisine girp yazmış olduğumuz access listin uygulanması için ip access-group 101 (oluşturduğumuz extended access listin numarasını) yazıyoruz ve  network kartımızın girişine uyguluyoruz.

Access Listin uygulanması ile birlikte routerimiz 10.10.10.112 hostu için 80 portunu kullanan web erişimini yasaklamaktadır ve bu ip adresine sahip hostumuz artık 80 portu üzerinden web kaynaklarına erişemiyor ama 21 numaralı protokolü kullanan FTP hizmetini yukarıda görüldüğü gibi hizmete sunmaktadır. Eğer biz FTP prokolünüde yasaklamak istersek eğer permit (izin) kuralımızın hemen üzerinde olmak şartıyla

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 80

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 21

Router(config)#access-list 101 permit ip any any yazıp uygulamamız gerekecek.

Bu işlemden sonra host makinenemiz hem FTP hemde Web erişimini gerçekleştiremeyecek ama bu seferde pop3 (25 numaralı protokol), smtp (110), RDP (3389) gibi protokolleri kullanabilecekitir.

İhtiyacımıza göre bu protokolleri tek tek yasaklayabiliriz. Yasaklamadığımız bütün protokoller haricinde kalan protokoller ise en alt satırda bulunan permit kuralına tabi tutularak izin verilecektir.

Networkümüz içerisinde bulunan diğer bilgisayarların internet erişimlerini kontrol ettiğimiz de ise 10.10.10.113 numaralı ip adresine sahip bilgisayarın herhangi bir yasaklama kuralına takılmadan web ve diğer kaynaklara erişimde bulunduğunu görebilmekteyiz.

Standart Access Listlere geçmeden önce Extended Access Listlerin kullanım amaçlarını toparlayacak olursak Extended Access Listler Port ve Protokol bazlı kural uygulamamıza imkan tanıyan ve uygulanma yeri olarak kaynağa en yakın yere uygulanan access listlerdir. Bu kaideye göre yazmış olduğumuz access listi biz kaynağımıza (fakaonline networkü içerisinde bulunan ve web erişimini yasaklamış olduğumuz bilgisayardır) en yakın yere (routerimizin kaynak bilgisayarın iletişim kurmuş olduğu en yakın yeri olan FastEth0 portu) uyguladık.

Standart Access Listler ise engellenmek istenen bilgisayarın,networkün iletişimde kulunmak istediği bütün protokol ve portlar için geçerli olup hedefe en yakın yere uygulanan access listlerdir. Yukarıda ki resime göre yazacak olduğumuz standart Access List örneği Solmaz Holding Network’ü içerisinde bulunan 10.10.20.100 ip adresine sahip bilgisayarın, Fakaonline networkü ile iletişimde bulunmasını istemiyoruz ve bu bilgisayar için yazmış olduğumuz standart access listi hedefe yani Solmaz Holding networkü içerisinde bulunan 10.10.20.100 ip adresli bilgisayarın bizim networkümüz ile iletişimde bulunan en yakın yer olan Fakaonline Networkü içerisinde bulunan Cisco Routerimizin Serial0 İnterfacesine uygulayacağız.

Standart Access listler 1ile 99 numarasına sahip oldukları için bu numaralar arasında bir numara veriyoruz. Daha önceden belirttiğimiz gibi Isa server daki kural yazımı çin vermiş olduğumuz kural ismine benzetebiliriz. 5 numarasını uygun gördüm ve kuralımızın devamında engelleme kuralı (deny) olduğunu belirttim ve engellenecek olan bilgisayarı bu sefer wild card maskıni girerek uyguladım. Eğer wild vard mask uygulamasaydım kuralımızı access-list 5 deny host 10.10.20.100 olarak yazabilirdim.

Bu access listi kaynağa yani engellenmek istenen makinenin, korumak istediğiimiz makine-network ile iletişimde bulunduğu en yakın yer olan Routerimiz üzerinde ki Serial İnterfacemize uyguluyoruz.

Bu kuraldan sonra artık Solmaz Holding Networkü içerisinde bulunan 10.10.20.100 ip numaralı bilgisayar fakaonline networkü ile görüşemeyecektir. Eğer biz Solmaz holding networkünün tamamının fakaonline networkü ile görüşmesini istemeseydik veya Solmaz holding içerisinde gerekli VLAN tanımlamaları yapılmış olsaydaı gerekli networkü engellemek için 10.10.20.0 0.0.0.255 olarak yazıp solmaz holding içerisinde bulunan bütün networkü yasaklamış olacaktık.

Yukarıda ki access listleri itiyacınız doğrultusunda doğru bir şekilde yapılandırırsak eğer şirket bütçemize ek bir maaliyet çıkartmadan bir Firewall’a sahip olmamız kaçınılmaz gibi gözükmektedir.

Fakat bu yapılandırma sırasında bizlere en çok sıkıntı yaşatacak olan kısım IP numaralarını tanımlama ve bu tanımlama sırasında oluşacak olan karışıklıkdır. Yazımızın başlarında Routerlar OSI katmanları çerçevesinde Layer 1,2 ve 3 ncü katmanında çalıştıkları için isim çözümlemesi yapamayacaklarını söylemiştik. Eğer daha önceden Routerimizi sistemimiz içerisinde var olan bir DNS serveri tanıtırsak bu problemi de ortadan kaldırmış olacağız ve artık isim bazlı kısıtlamada yapabilecek duruma gelmiş olacağız.

Eğer ortamımız içerisinde bir DNS server yok ise eğer yukarıda ki resimde görüldüğü gibi routerimiz isim çözümlemesini gerçekleştiremeyecektir.

Routerimiz IP adresi olarak 10.10.10.2 numaralı bilgisayarı tanımakta ve bu bilgisayar ile ileşimde bulunmaktadır. Yukarıda ki resimde görüldüğü gibi routerimiz host bilgisayarımız ile PING yolu ile ileişimde bulunabilmektedir.

Biz bu bilgisayarın kullanıcısının ismini biliyorsak ve manuel olarak bu bilgisayarı kullanan kişinin ismini Routerimiza yukarıda ki resimde bulunan komutdaki gibi tanımlama (ip host bilgisayar kullanıcısının isimi kullanmış olduğu blgisayarın ip numarası) yaparsak routerimiz artık bu bilgisayarı isim bazlı olarak çözümleme yapacaktır. Bu komutumuzuda Client bilgisayarlarımızın lmhost bölümüne girmiş olduğumuz manuel kayıtlara benzetebiliriz.

Girmiş olduğumuz kayıtdan sonra görüldüğü gibi artık routerimiz isim yolu ile bilgisayara ulaşmaktadır.

Girmiş olduğumuz bu kaydı access list yazaraken de kullanmakta ve komut yazımında bizlere kolaylık sağlamaktadır.

Fatih KARAALİOGLU

Merhabalar arkadaşlar. Bir arkadaşımın bana Cisco 877 ADSL router konfigürasyonu varmı elinde diye sorunca bende bunun bir makalesini hazırlamak lazım dedim ve aşağıdaki makaleyi hazırladım.

Ever chazımızı resimde görüyoruz. Bu cihaz Cisco firması tarafından küçük ve orta ölçekli firmaların kullanımı için üretmiş olduğu bir cihaz. Aslında bunlar bir seri şeklinde üretildiler. Örnek olarak 877 ADSL için 878 GHDSL için vs. Biz Cisco 877’yi inceleyeceğiz.

Cisco 870 Serisi Modelleri

New Model	WAN	LAN	WLAN Option	Old Model
Cisco 871	10/100 Fast Ethernet	4-port managed switch	Yes	Cisco 831
Cisco 876	Asymmetric DSL (ADSL) over ISDN	4-port managed switch	Yes	Cisco 836
Cisco 877	ADSL over basic telephone service	4-port managed switch	Yes	Cisco 837
Cisco 878	Symmetrical High-Data-Rate DSL (G.SHDSL) (4-wire)	4-port managed switch	Yes	Cisco 828

Bu cihazın temel özelliklerini yukarıdaki tabloda da görebilirsiniz.

Cihazın donanımsal özelliklerinin yanısıra bir de IOS yazılımının özellikleri mevcuttur. Onları da aşağıdaki tabloda görebilirsiniz.

Features	Advanced Security Software Image (Default Image)	Advanced IP Services Cisco IOS Software Image	Advanced Enterprise Cisco IOS Software Image (ISDN Backup) on Cisco 876 Only
Enhanced Security	Yes	Yes	Yes
VLAN/802.1q Trunking	-	Yes	Yes
DMVPN	-	Yes	Yes
GETVPN	-	Yes	Yes
Routing Protocols (Open Shortest Path First [OSPF], Enhanced Interior Gateway Routing Protocol [EIGRP], and Border Gateway Protocol [BGP])	-	Yes	Yes
Advanced QoS Features Like Class-Based Classification/Marking using DSCP, Class-Based Weighted Random Early Detection (CBWRED), Network-Based Address Recognition (NBAR), Link Fragmentation and Interleaving (LFI), Resource Reservation Protocol (RSVP), Priority and Custom Queuing	-	Yes	Yes
Multicast Features	-	Yes	Yes
ISDN Backup	-	-	Yes
Intelligent Protection Switching (IPS)/Intrusion Detection System (IDS)	-	Yes	Yes
NAC	-	Yes	Yes

Çok daha fazla detaylı bilgi almak isteyen arkadaşlarımız varsa aşağıdaki linkte yer alan Soru ve Cevaplar köşesini okuyabilirler.

http://www.cisco.com/en/US/products/hw/routers/ps380/products_qanda_item0900aecd8028a982.shtml

Evet cihazın temel özelliklerini kısaca gözden geçirdiğimize göre artık yavaş yavaş konfigürasyona başlayabiliriz. Cihazın konfigürasyonunu iki şekilde gerçekleştirebiliriz.

1)internet explorerda adres çubuğuna https://cihazip yazıp cihaza bağlanarak. Standart IP 10.0.0.1 olarak gelir bu cihazlarda.

2)Hyper Terminal hizmetini kullanarak da bağlanabiliriz. Hyper Terminal ile bağlandığınızda ve bu yapıda konfigürasyon yapmak isterseniz  eğer komut satırını ve cisco komutlarını iyi bilmeniz gerekiyor.

Ancak unutulmaması gereken bir nokta var ki çok önemli. O da Bölgesel Dil ayarlarının İngilizce olarak ayarlanmasıdır.

İkinci önemli bir nokta da Java uygulamasının sistemimizde yüklü olması gerekmektedir. Eğer Java’yı indirme şansınız yoksa ürünün CD’sinde Java programı vardır ordan da kurabiliriz.

Evet ilk işlemimize geliyoruz artık. Ben cihazın konfigürasyonunu http arayüzünü kullanarak yapacağım. Bana daha kolay geliyor. Çünkü Cisco komutlarının komut satırından yürütülmesi konusunda çok iyi değilim. İnternet explorer sayfamızdaki adres kısmına gerekli IP bilgilerini giriyorum.

IP girişini yaptıktan sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

Benim işletim sistemin Windows Vista olduğu için ben bu emsajı alıyorum. Ancak Windows XP üzerinde bu mesajı almadım. Burada “Continue to this website (not recommended)” seçiyorum ve diğer aşamaya geçiyorum.

Yukarıdaki şekilde de  gördüğümüz gibi karşımıza cihaza ulaşabilmemiz için bir kullanıcı adı ve şifre girişinin yapılmasını istiyor. Burda kullanıcı adımı ve şifremi giriyorum. Default konfigürasyonda bu değerler yoktur. Ben daha önceden cihaza giriş yaptım ve kullanıcı adı ve şifre tanımlaması yaptım o yüzden bana bunu soruyor.

Kullanıcı adı ve şifre girişini gerçekleştirdikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

Yukarıdaki şekilde Cisco SDM Express (Csico Security Device Manager Express) yükleniyor. Bu SDM bizim cihazı konfigüre ederken kullanacağımız arayüzdür. Yükleme işlemi bittikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

Evet yukarıdaki şekilde de gördüğünüz gibi SDM yüklemesi yapılıyor ve cihaz konfigüre edilmek üzere hazır hale getiriliyor. SDM yüklemesi tamamlandıktan sonra karşımıza cihazın son durumunu gösteren aşağıdaki şekil gelecektir.

Evet artık konfigürasyona başlayabiliriz. Daha önce de bahsetmiştim. Hani girişte bana cihaza girerken bir kullanıcı adı ve şifre sormuştu. İşte o kullanıcı adı ve şifrenin nasıl oluşturulduğuna bakalım.

Yukarıdaki şekile baktığımız zaman sağ tarafta bir sütun var ve orada “Tasks” kısmını görmekteyiz. Biz oradan cihaz üzerinde yapacağımız ayarların kısa yollarını kullanacağız.

Basic Configuration’a tıkladığımızda yukarıdaki şekildeki gördüğümüz orta kesimdeki yapı karşımıza çıkacaktır. Burda cihaza bağlanırken kullanacağımız kullanıcı adı şifrelerini belirliyoruz. Görüldüğü gibi ben bir adet kullanıcı hesabını şifresi ile birlikte oluşturdum ve cihaza bağlanırken de o kullanıcı adı ve şifresini kullandım. Ayrıca orda Hostname kısmından cihaza bir isim tanımlayabiliriz. Domian Name kısmından da cihazın hangi domaine ait olduğunu tanımlayabiliriz.

Tasks kısmındaki görevlerimizden ikincisine yani LAN kısmına gçiyoruz. Bu kısımda cihazımıza bir IP tanımlaması yapacağız. Şekilde de görüldüğü gibi cihazımıza 10.0.0.1 IP’sini veriyorum.

IP’mizi de cihazımıza verdikten sonra diğer aşamaya geçebiliriz.

Bu aşamada yani Internet (WAN) konfigürasyonu kısmında Türk Telekom yada ADSL hizmetini aldığımız firmanın bize vermiş olduğu değerleri ilgili yerlere giriyoruz. Encapsulation,VPI (8) ve VCI (35) değerlerini uygun yerlerine giriyoruz. En alt tarafta bulunan Authentication (kimlik doğrulama) kısmında kullanıcı adımızı ve şifremizi doğru bir şekilde giriyoruz.

Şimdi sıra geldi diğer kısma. Eğer networkümüzde bir DHCP server yoksa ve IP dağıtımını Cisco 877 üzerinden yaptırmak istiyorsak bunun için cihaz üzerindeki DHCP servisini yapılandırmamız gerekiyor. Bunun için Tasks kısmından DHCP sekmesine tıklıyoruz ve karşımıza aşağıdaki DHCP yapılandırma penceresi geliyor.

Şkeilde de görüldüğü gibi cihazımızın üzerindeki DHCP servisini aktif hale getiriyoruz. Bunun için “Enable DHCP server on the LAN interface (Vlan1)” işaretliyoruz ve devam ediyoruz. Şimdi sıra IP havuzunun başlangıç ve bitiş aralıklarının tanımlanmasında yani IP havuzunun oluştulması diyebiliriz. Ben başlangıç IP olarak 10.0.0.201 ve bitiş IP olarak da 10.0.0.254 aralığını verdim. Benim burda bu kadar azIP tanımlamamın sebebi cihazı koymuş olduğum firmada sabit ve 20 PC olmasıdır. Siz bu aralığı kendi firmanızdaki PC sayınıza göre büyütebilir yada küçültebilirsiniz. Diğer aşamada DNS ayarlarımız mevcut. Burda da birinci ve ikinci DNS IP’lerini tanımlıyoruz.

Bu müşterimizin bizden bir isteği daha vardı o da evinden işyerindeki servera bağlanıp arasıra kontrol etmek istiyordu. Bunun için 3389 nolu portu içerdeki servera yönlendirmem gerekiyordu yani NAT yapacağız.

Şekilde de görüldüğü gibi Add butonuna basıp gerekli girişleri yapıp 3389 nolu portu içerdeki serverıma (10.0.0.200) yönlendiriyorum. Bu girşi de yaptıktan sonra yetkili kişi dışarıdan işyerindeki servera bağlanıp gerekli işlemlerini yapabilecektir. Aşağıdaki şekilde 3389 nolu portun içerideki servera nasıl yönlendirildiğini görmekteyiz.

Private IP address dediği serverımızın IP adresidir. Public address kısmında ise IP address of WAN seçiyoruz. Eğer bu servera dışarıdan belli ve sabir bir IP adresinden bağlanmayı isteseydik bu sefer New IP Address seçip oraya real IP’yi yazmamız gerekecekti. Mesela firmadaki yetkili kişinin real IP’si atıyorum 88.1.2.3 olsun. Bu IP’yi biz oraya girersek sadece o IP’den gelen istekleri içerideki servera gönderecekti.

Routing kısmında ise Dialer0 enable halde karşımıza çıkıyor. Bunun sebebi ise WAN ayarlarımızı yapmamızdır. Komut satırındaki karşılığı aşağıdaki gibidir.

ip route 0.0.0.0 0.0.0.0 Dialer0

Bu kısmı çok iyi öğrenmek lazım. Neden derseniz burada yapacağımız yanlış yönlendirme bizim internete çıkışımızı engelleyebilecektir. Ki daha önce bu cihaz ilk karşıma geldiği zaman ben buraları yanlış yaptığım için internet erişimini bir türlü sağlayamamıştım. Ancak deneme yanılma yöntemi ve forumlardan aldığım yardımlarla yanlışımı buldum ve olayı çözmüş oldum.

Şimdi de güvenlik kısmına bir bakalım neler var?

Güvenlik (Security) kısmında 3 seçeneğimiz var.

1)Güvenlik riskleri içeren  bazı yapıların devre dışı bırakılması.

2)Router / Network üzerinde güvenliği arttıracak olan servislerin aktif hale getirilmesi.

3)Şifrelerle ilgili güvenliğin sağlanması.

Ve en altta Router’ın saat ayarları ile ilgili kısmımız mevcut. Eğer isterseniz cihazınızın saati ile local pc’nin saat ayarlarını eşitleyebilirsiniz.

Bütün bunları yaptıktan sonra artık yapmış olduğumuz ayarları cihazımızın kafasına yazalım ki unutmasın. Bunun için de aşağıdaki şekilde görünen kısa yolları kullanabiliriz.

Reset to Factory Default: Eğer buna tıklarsanız ve onaylarsanız herşeyi başa almış olursunuz. Cihazın bütün ayarları ilk aşamaya geri döner.

Apply Changes: Bu kısımda ise yapmış olduğumuz ayarları kabul ediyoruz ve onaylıyoruz.

Discard Changes: Buna basarsak yapmış olduğumuz ayarları kabul etmediğimizi ve uygulanmamasını istiyoruz demektir.

Evet hepsini yaptık şimdi bir de test edelim bakalım konfigürasyonumuz çalışıyormu. İlk olarak internet erişimimizi kontrol edelim. Adres çubuğuna www.cozumpark.com yazıyorum ve sonucuna bakalım.

Evet görüldüğü gibi sitelerim açılıyor.

Şimdi uzak masaüstünü bir deneyelim. Bunu içinde aşağıdaki adımları takip ediyorum.

İlk önce uzak masaüstü bağlantısını açıyorum ve gerekli IP’yi giriyorum.

Ve karşıma aşağıdaki serverımın kullanıcı adı ve şifre giriş penceresi geliyor. Kullanıcı adımı ve şifremi giriyorum ve artık serverımda istediğim işlemleri gerçkleştirebilirim.

Başka bir makalede görüşmek üzere. Umarım bu makalemiz ile sizlere yardımcı olabiliriz.

Mümin ÇİÇEK

Merhabalar arkadaşlar.

Bu sefer de değişik bir cisco ürünü olan Cisco ASA 5510 üzerinde biraz çalışacağız. Temel olarak yapacağımız işlemler;

1)İnternet trafiği bu cihaz üzerinden geçecek,

2)Güvenlik sağlanacak,

3)Uzak masa bağlantısı için gerekli ayarlamalar yapılacak,

4)Firma içerisinde kullanılan bir uygulamaya dışarıdan erişebilmek için gerekli olan ayarlar ve izinler tanımlanacaktır.

Şirketimizde 1 adet ADSL modem mevcuttur. Biz internet erişimini bu ADSL modem ile sağlayacağız ancak bütün trafik ASA üzerinden geçecektir. Bu durumda ADSL modem üzerinde de birkaç yönlendirme yapmamız gerekecektir. Onları da makalemizin devamında anlatacağım.

Cisco ASA nedir ne değildir? Bu cihaz ile neler yapılabilir? Öncelikle bunları bir inceleyelim;

Cihazımız yukarıdaki resimlerde görüldüğü gibidir. Kendisi ve modülleri ile birlikte.

-ASA = Adaptive Security Appliance demektir.

-Küçük,orta ve büyük ölçekli işletmelere gelişmiş seviyede güvenlik ve network servisleri verebilen bir cihazdır.

-Bu servisleri yönetmek ve uygulamak basittir. İster komut satırından isterseniz de cihazla birlikte gelen ve Cisco ASDM (Adaptive Security Device Manager) olarak adlandırılan program ile görsel olarak da cihazın konfigürasyonunu basit ve hızlı bir şekilde yapabilirsiniz.

-Yüksek seviyede firewall ve VPN (Virtual Private Network) hizmetlerini sağlayabilir.

-Değişik modülleri mevcuttur ve bu modülleri satın alarak sisteminizi daha da güvenli hale getirebilirsiniz.

Cisco ASA 5510’unun temel özellikleri aşağıdaki tabloda görüldüğü gibidir.

Feature	Description
Firewall throughput	Up to 300 Mbps
Concurrent threat mitigation throughput (firewall + IPS services)	· Up to 150 Mbps with AIP-SSM-10 · Up to 300 Mbps with AIP-SSM-20
VPN throughput	Up to 170 Mbps
Concurrent sessions	50,000/130,000*
IPsec VPN peers	250
SSL VPN peer license levels**	10, 25, 50, 100, or 250
Security contexts	Up to 5***
Interfaces	3 Fast Ethernet + 1 management port; 5 Fast Ethernet ports*
Virtual interfaces (VLANs)	10; 25*
High availability	Not supported; Active/Active, Active/Standby*

Cihaz hakkında bu kadar  bilgi verdikten sonra artık yavaş yavaş konfigürasyonumuza başlayabiliriz. Ancak daha detaylı bilgi almak isterseniz aşağıdaki adrese bir gözatmanızı tavsiye ederim;

http://www.cisco.com/en/US/products/ps6120/products_data_sheet0900aecd802930c5.html

ilk olarak cihazımıza bağlantı sağlamamız gerekiyor.Bunu için cihazı düzgün bir şekilde sistem entegre etmemiz gerekiyor. ilk olarak modemden gelen kablomuzu outside (dışbacak) olarak belirlediğimiz Ethernet arayüzüne takıyoruz. Daha sonra inside (içbacak yada LAN) olarak tanımladığımız arayüze de kablomuzu takıyoruz. Eğer konsoldan girişler gerçekleştireceksek konsol kablosunu da serverımızın yada konfigürasyonu yaparken kullanacağımız makinanın com portuna takıyoruz ve hyper terminalden de bunu kullanarak konfigürasyon yapabiliriz. Bunların hepsini yağtığımızı farzefiyorum ve artık ilk adıma geçiyorum. Ben ASDM kullanacağım.ilk önce Cisco ASA’ya   bağlantıyı gerçekleştiriyorum.

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bağlantıyı sağlamak için IP,kullancı adı ve şifre girişini gerçekleştirip OK tuşuna bastıktan sonra cihaza bağlantı sağlanıyor. Daha sonra karşımıza aşağıdaki gibi bir pencere çıkıcak. Bu pencere Cisco ASA’nın ana penceresi ve bizim ilk göreceğimiz pencere burasıdır.

Yukarıdaki resimde de görüldüğü gibi cihazımız hakkında detaylı bir bilgi bulunmaktadır.

Device information: Bu kısımda aygıt ile ilgili bilgiler mevcuttur. Üzerindeki yazılımlar ve versiyonları hakkında bilgiler var.

Interface Status: Bu bölümde ise cihaz üzerinde yer alan entegre edilmiş Ethernet arayüzleri hakkına bilgileri görebiliriz. Down yada Up olup olmadıklarını burdan görebiliriz.Benim konfigürasyonumda inside ve outside up durumda ancak management (yönetim için ayrılan Ethernet arayüzü) down durumda görünüyor.

VPN Tunnels: Bu kısımda ise VPN bağlantıları hakkında bilgileri alabiliriz. Ben VPN yapmadığım için hiçbir bilgi göremiyoruz.

System Resources Status: Cisco ASA üzerindeki CPU ve RAM değerleri hakkında bilgiler vermektedir.

Traffic Status: ASA üzerinden geçen trafik hakkında bilgi veriliyor.

Ve en alt kısımda da cihazın sistem loglarını görebilirsiniz.

Evet cihazımıza bağlandık ve artık yavaş yavaş yapmak istediğimiz ayarları yapmaya sıra geldi. Bunun için ben Wizard (en kolayı bu) kullanıcam ancak makalemin devamında Wizard kullanmadan da bütün bu ayarların nasıl yapıldığını anlatacağım.

Yukarıdaki şekilde de görüldüğü gibi Anamenü’deki Wizards altında bulunan Startup Wizard’a tıklıyoruz ve işlemlerimize devam ediyoruz. Karşımıza aşağıdaki gibi Wizard başlangıcı gelecek.

Burada karşımıza iki seçenek  geliyor. Bunlardan birincisi “Modify Existing configuration” ve “Reset configuration to factory defaults”. Cihazın üzerinde default gelen bir konfigürasyon mevcut zaten biz bunu seçerek konfigürasyonumuza devam ediyoruz. Ancak bir sorun olursa ve fabrikasyona dönmek isterseniz ikinci seçeneği seçip cihazı resetleyebilirsiniz. Devam ettiğimizde karşımıza aşağıdaki şekil gelecek.

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bir isim veriyoruz. Ben “muminasa” dedim ve domain name kısmına da “cozumpark” dedim. Default değerleri bırakırsanız ASA Host Name “ciscoasa” ve domain kısmı da “yourdomain.com” şeklinde kalır.Sadece tanımlamak amacıyla bu işlemi gerçekleştiriyoruz ve diğer adımımıza geçiyoruz.

Yukarıdaki şekilde de görüldüğü gibi bu kısımda cihazımıza ait olan Outside seçimini yapıyoruz. Yani ADSL modemden gelecek olan kablonun takılacağı bacağı seçiyoruz.Ben Ethernet0/0’I dışbacak (outside) olarak tanımlıyorum ve gerekli IP bilgilerini giriyorum.Bu kısımda üç seçenek mevcut.

1)PPPoE kullan                      2)DHCP kullan                       3)Ve bizim tanımladığımız IP’yi kullan

Arayüzleri ayarladıktan sonra durum aşağıdaki gibi olacaktır.

Diğer adımımıza geçtiğimizde karşımıza yönlendirme bilgileri gelecekti ve bizden bir yönlendirme girip girmeyeceğimizi soracaktır. Ben static olarak bir yönlendirme girdim. Daha sonra da bu girişler gerçekleştirilebilir.

Evet burada dışa bacağımızı seçiyorum ve 0.0.0.0 0.0.0.0 olan yani içeriden nerden gelirse gelsin 192.168.0.1 üzerinden çıkışını gerçekleştiren yönlendirmeyi static olarak giriyorum.

Ve wizard ile son aşamamız olan kısma geliyoruz. Aşağıdaki şekilde de görüldüğü gibi Wizard ile yaptıklarımızın bir özetini bize sunuyor ve “Finish” butonuna basıp Wizard ile olan konfigürasyon yolculuğumuzu başarıyla bitirmiş oluyoruz.

Şimdi sıra geldi artık cihazımızla ilgili ayarları wizard kullanmadan yapmaya ve makalemizin başlangıcında tanımladığımız yapıyı oluşturmaya. Bunun için Cisco ASA’ya ilk bağlandığımızda karşımıza çıkan ana menüyü hatırlıyoruz herhalde. O pencerede olan menüleri kullanarak ayarlarımızı yapacağız.

Yukarıda da gördüğümüz gibi Home,Configuration,Monitoring,Back,Forward,Packet Tracer,Refresh,Save ve Help menülerini açan kısayol tuşlarımız mevcut. Biz bunları kullanarak ayarlarımızı yapacağımız menülere ulaşacağız.

İlk aşamamız Configuration olacaktır. Configurationa tıklıyoruz ve karşımıza aşağıdaki pencere çıkacaktır.

Sol kanattaki kısımlara bakarsak karşımıza aşağıdaki seçenekler çıkıyor;

1)interfaces: arayüzler hakkında bilgileri içerir.

2)Security Policy: kuralları oluşturacağımız kısım.

3)NAT: nat olayını gerçekleştireceğimiz bölüm.

4)VPN: vpn ayarlarını yapabileceğimiz arayüz.

5)CSD Manager:cisco secure desktop ile ilgili birim.

6)Routing: yönlendirmelerimizi yapabileceğimiz kısımdır.

7)Global Objects

8)Properties: aygıtla ilgili manuel olarak konfigürasyon yapabileceğimiz birimler burada mevcuttur.

Arayüzleri ve Configuration altında bulunan ksımları kısaca inceledikten sonra artık onların yapılandırmasına başlama vakti gelmiştir.

İlk olarak Security Policy ayarlarına bir bakalım. Burda içeriden ve dışarıdan gelicek olan isteklere karşı bazı güvenlik politikaları ve kuralları tanımlayacağız.Yeni bir kural oluşturmak için aşağıdaki gibi hareket etmemiz gerekiyor.

Şekil 2

Yukarıdaki birinci şekilde gördüğümüz gibi Access Rules tabında iken “+Add”’e basarsak karşımıza şekil 2’deki kural oluşturma penceresi gelecektir.

Burada yapacağımız ilk işlem Source (kaynak) adresin belirlenmesi var. Ben burada Any seçip devam ediyorum. Action kısmında ise kuralımızın Permit (izin) kuralı mı yoksa Deny (yasaklama) kuralı mı olduğunu tanımlıyorum. Ben izin vereceğim için Permit seçiyorum. Daha sonra Destination (Hedef) belirlemem gerekiyor. Bu kuralı oluşturmaktaki amacım dışarıdan içerideki server uzak masa üstü ile bağlantıyı sağlamaktır. Dolayısıyle 3389 nolu portu içerideki 10.0.0.200 nolu IP’ye sahip olan servera yönlendiriyorum. Zaten Rule Flow Diagram kısmına bakarsak kuralımızın uygun oluğunu görüyoruz. Evet ilk kuralımızı tanımladık.

Eğer ikinci bir kural tanımlamak istiyorsanız artık +Add tuşuna basmanıza gerek yok. Yapmanız gereken tek bir iş var oda daha önce tanımladığımız kurallardan birisine sağ tıklıyoruz ve Copy diyoruz. Bu işlemi yaptıktan sonra sadece kural üzerindeki bazı yerleri değiştirmemiz gerekiyor. Aşağıdaki şekildeki gibi kuralımızı yeniden düzenleyebiliriz.

Ilk önce Copy diyoruz. Şekil 1’de görüldüğü gibi. Daha sonra Şekil 2’deki gibi kuralımızı Paste ediyoruz ve değiştirmelerimizi yapıyoruz. Hepsini yaptıktan sonra OK dediğimizde yeni bir kural tanımlamış oluyoruz.

Bütün kurallarımızı bu şekilde tanımlayabiliriz.

Şekil 1

Şekil 2

Evet şimdi sıra geldi diğer servislerimizi yapılandırmaya. Ilk olarak DHCP servisinin yapılandırılmasını gerçekleştiricez. Makalemin başlarında da söylediğim gibi herşeyi Wizard ile yapayacağız demiştim. Şimdi Wizard kullanmadan DHCP servisini yapılandıracağız.

Bunun için Configuration altında Properties kısmına gidiyoruz. Karşımıza aşağıdaki gibi bir pencre gelecektir.

Bu kısımda yapacağımız işlemlere gelince. İlk once DHCP server seçimimizi yapıyoruz. Ardından sağ tarafta açılan pencerede “inside” seçiyoruz. Bunu seçmemizin sebebi DHCP servisini içeriye dönük bir hizmet olarak kullanacağımızdır. Edit tıklayıp değerleri görebiliriz. Seçimimizi yaptıktan sonra artık DHCP ile ilgili seçenekleri ayarlamaya geliyor sıra. DNS Server,Wins Server,Domain Name ve kiralama sürelerinin girişlerini gerçekleştirdikten sonra Apply’a basıyoruz ve ayarlarımızı Flash’a gönderiyoruz. DHCP servisimizi de aktif hale getirdik. Artık içerideki bilgisayarlarımıza cihazımız IP dağıtabilir.

Sıra geldi cihazımızın üzerinde kullanıcı tanımlamalarına. Bunu neden yapıyoruz? Dışarıdan ve içeriden güvenliği arttırmak. Benim burda kullanıcıları oluşturmamın sebebi; şirket içinde kullanılan bir uygulamaya kullanıcılar dışarıdan herhangi bir yerden erişirken şifre sorması içindir.Bunun için Properties altında Device Administration altındaki User Accounts kısmını kullanacağız.

Şekil 1

Şekil 1’de görüldüğü gibi cihazımıza eklemiş olduğum kullanıcıları görmekteyiz. Yeni bir kullanıcı eklemek istediğimizde ise Add butonuna basmamız yeterlidir. Daha sonra karşımıza aşağıdaki gibi bir pencere gelicek ve bu kısımda gerekli bilgilerin girilmesi gerekecektir.

Yukarıda da gördüğümüz gibi kullanıcı adını ve şifresini giriyoruz.

Evet kullanıcılarımızı da ekledik.

En son aşama ise yapmış olduğumuz bütün bu ayarların kaydedilmesidir. Bunun için iki seçeneğimiz var.

1)Ana pencerede bulunan menu çubuğundaki Save butonunu kullanmaktır.

2)File menüsündeki Save Running Configuration to Flash demektir.

Yukarıdaki işlemi de yaptıktan sonra artık bütün ayarlarımız Flash’a yazılmış oldu.

Şimdi sıra ADSL modem üzerindeki yönlendirmeye. Modem üzerinde de içeriden gelicek olan bütün isteklerin modemin IP’ni gateway olaraktanımlayan yönlendirme kuralını da modemin Routing kısmında static olarak  girişini gerçekleştiriyoruz ve işimiz tamamlanmış oluyor.

Artık serverımıza ve uygulamamıza dışarıdan bağlanmayı deneyebiliriz.Bunun için Remote Desktop Conneciton kullanacağız.

Gerekli bilgileri girdikten sonra Connect diyoruz.

Şifre girişinin gerçekleştirilmesi.

Web tabanlı olarak çalışan uygulamıza erişmek için ise internet explorer adres çubuğunda  http://212.25.25.25 yazım Enter tuşuna bastığımızda karşımıza ilk önce daha önce Cisco ASA üzerinde tanımlamış olduğumuz kullanıcı adı ve şifre giriş penceresi gelecektir.

Kullanıcı adımızı ve şifremizi giriyoruz.

Cisco ASA’nın sormuş olduğu kullanıcı adı ve şifresi doğru ise bizi doğruca içeride kullandığımız programın kullanıcı adı ve şifre giriş pencresi karşılayacaktır.

Kullanıcı adı ve şifre doğru ise artık programda çalışabiliriz.

Evet geldik makalemizin sonuna. Daha bir sürü özelliği var ancak bu kadarını hazırlayabildim. Öğrendikçe sizlerle paylaşmaya devam edicem.

Bütün yukarıdaki yaptıklarımıza ek olarak cihaz üzerinde;

1)Monitoring yapabilirsiniz

2)IP’leri izleyebilirsiniz

3)Banner ekleyebilirsiniz

4)URL Filtering yapabilirsiniz

5)Cihazınızın otomatik olarak güncel kalmasını sağlayabilirsiniz

Bir sürü özelliği var hepsini incelemek uzun sürerdi. Ancak dediğim gibi öğrendikçe sizlerle paylaşacağım.

Teşekkürler.

Mümin ÇİÇEK

Merhabalar arkadaşlar. Bu makalemizde sizlerle Cisco firmasının üretmiş olduğu ve piyasada güvenlik amaçlı kullandığımız cihazlardan birisi olan Cisco PIX 501 konfigürasyonunu ele alıcaz.

Bildiğimiz gibi dünya üzerindeki network alt yapısının %85’e yakın bir kısmı Cisco firmasının üretmiş olduğu network cihazları sayesinde iletişim kurmaktadır. Kurumsal anlamda da ele alırsak Cisco aynı başarısını sürdürmektedir.

Cisco PIX ile neler yapabiliriz?

Cisco PIX küçük işletmeler için enterprise sınıfında güvenlik hizmeti verebilen bir cihazdır. Broadband olarak tanımladığımız özellikle ADSL internet erişiminin kullanıldığı işletmelerde sürekli açık olucak şekilde güvenliği sağlayan bir cihazdır.

Adaptive Security Algorithm (ASA) tabanlı durumsal güvenlik taraması yapabilir.

Önceden tanımlanmış 100’ün üzerinde uygulama,servis ve protokolü erişim kontrolünde kullanabilir.

IKE/IPSec standartlarına uygun bir şekilde güvenli bir uzak bağlantı olan Virtual Private Network (VPN) yapısını oluşturabilirsiniz.

55’in üzerinde network tabanlı saldırılara karşı önlemler alınabilir.

Üzerinden geçen WEB trafiğini temel yada ana hatlarıyla yada ek bir üçüncü parti yazılımla filtrelemeye tabi tutabilirsiniz (URL filtering).

Kendi üzerinde gelen etegre edilmiş switch özelliği ile tek bir bağlantıyı birden fazla kişinin kullanımına açabilirsiniz.

Cisco PIX donanımsal ve yazılımsal olarak nelere sahiptir?

Aşağıdaki resimde de görüldüğü gibi küçük ama işlevleri iyi olan görevini sizin verdiğiniz talimaltlarla katı bir şekilde yerine getiren bir kutu olarak karşınıza çıkıcaktır.

Harici bir güç ünitesine sahiptir. Dışarıdan bir kablo ile beslenir.

133 MHz bir CPU’ya sahiptir.

16 MB RAM ve 8 MB flash RAM’e sahiptir.

Bağlantılarda dış bacak (outside) olarak kullanılacak 1 tane 10/100 Mbps Ethernet arayüzüne sahiptir. (port 0). Üzerinde 4 adet de 10/100 Mbps port vardır. Bunları da LAN bağlantılarında kullanıcaz.

Konfigürasyonlarımızı üzerinde gelen seri konsoldan da gerçekleştirebiliriz.

Her cihazda olduğu gibi ön panelde ışıklarımız mevcut.

PIX firewall V 6.1 yazılımı destekler.

Konfigürasyonu basitleştirmek için üzerinde basit bir konfigürasyon vardır.

Cisco PIX Device Manager (PDM) vardır ve web tabanlı konfigürasyon da gerçekleştirilebilir. Ancak Java yüklü olmalı. Ben www.java.com ‘dan en son versiyonu indirdim kurdum ve sorunsuz bir şekilde konfigürasyonumu yaptım.

Sınırlı ve sınırsız lisanslama ile kullanıcılarınızın durumunu belirleyebilirsiniz. 50 kullanıcılı bir lisans paketi alabilirsiniz. Yada sınırsız bir lisans alıp limitlere takılmazsınız.

Inernal bir DHCP server vardır. DHCP server lisanslama ile bağlantılı bir şilde çalışır. 10 kullanıcılı bir lisans aldıysanız DHCP 32 adres dağıtıcaktır. Eğer 50 kullanıcılı aldıysanız 128 adres dağıtılıcak ve sınırsız lisans alırsanız da 256 ip dağıtımı gerçekleştirebilir.

10 tane Remote Access ve site-to-site VPN bağlantısına izin verir.

Bu kadar tanıtım yeter. Artık yavaş yavaş konfigürasyonumuza geçelim. Ilk once firewallımız firmamızda nereye koyucaz bununla ilgili bir karar vermemis gerekiyor. Bunun için de aşağıdaki resimde de görüldüğü gibi tamamen organizasyonumuzun yapısına bağlı kalarak bir firewallımızı nereye koyacağımıza karar verebiliriz.

Ben firewallımı aşağıdaki gibi yerleştirdim.

Cisco PIX 501’in konfigürasyonunu iki farklı şekilde yapabilrisiniz. Bunlardan birincisi komut girişi gerçekleştirerek ve ikincisi ise web arayüzünü yada cihaz ile birlikte gelen program sayesinde yapabilrisiniz. Biz Web arayüzünden gerçekleştiricez. Bunun için öncelikle https://192.168.1.1 adresinden cihaza web tarayıcımız ile bağlanmamız lazım. Cihaza bağlandıktan sonra karşımıza aşağıdaki pencere gelicektir.

Bu kısımda karşımıza çıkan sertifika yüklenmesi ile ilgili kısımda YES diyoruz ve diğer aşamaya geçiyoruz. Bu pencerenin karşımıza çıkmasının nedeni Cisco PIX’in web arayüzünün “https” tabanlı çalışmasıdır. Burda YES dedikten sonra karşımıza artık cihazın ana menüsü diyebileceğimiz pencere gelecektir.

Yukarıdaki arayüzde cihaz ile ilgili temel bilgiler mevcut. Aygıt durumu,VPN durumu,Sistem kaynak durumu ve Ethernet arayüzlerle ilgili bilgiler görülmektedir. Bunlara ek olarak birde cihaz üzerindeki trafik hakkında da temel bilgiler sunmaktadır.

Şimdi temel konfigürasyona bir bakalım ve cihazın sunacağı hizmetleri adım adım ayarlayalım. Bütün bu ayarları arayüzden yapabildiğimiz gibi aynı şekilde konsoldan cihaza bağlanarak da yapabiliriz ancak konsoldan konfigürasyon yapabilmek için iyi bir cisco’cu olmak lazım. Ayrıca komutlarını bilmek ve uygun bir şekilde girişini gerçekleştirmek gerekir. Makalenin sonunda komut satırından yapılmış bir konfigürasyon örneği vericem onu inceleyebilirsiniz.

Cisco cihazı ile birlikte gelen Cisco Pix Device Manager yazılımındaki Wizard’I kullanarak temel Cisco Pix konfigürasyonumuzu gerçekleştiricez. Bunun için Menü çubuğunda bulunan Wizards tabında bulunan Startup Wizard’I kullanıcaz. Ayrıca orda VPN Wizard da mevcut. VPN konfigürasyonunuzu da basit ve hızlı bir şekilde sağlayabilirsiniz.

Konfigürasyon için wizardın seçilmesi ve devam edilmesi.

Daha sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

Yukarıdaki pencerede cihazımızla ilgili isimlendirme ve cihaza girişte bizden isteyeceği şifreleri tanımlıyoruz. Ilk aşamada cihaza girişte bizden hiçbir şekilde şifre istemez default değerler boştur. Ancak cihazımızın güvenliğini sağlamak için buraya şifre girmemiz gerekiyor. Yok benim cihazıma kimse girmez deyip buraları boş bırakmayın mutlaka bir şifre girin. Isimlendirmesini de istediğiniz gibi verebilirsiniz. Bütün bunları tamamladıktan sonra diğer adıma geçiyoruz.

Bu kısımda da cihazımızın dış bacak (outside) yani ADSL modeme bağlı olan arayüzünün konfigürasyonunu yapıyoruz. Speed (hız) seçimini gerçekleştiriyoruz.

IP Adresi kısmında cihazımızın dış bacağına (outside) gelicek ip bilgisini tanımlamamız gerekiyor. Burda 3 farklı seçim mevcut ve bize en uygun olanı tercih etmemiz gerekir.

1)Use PPPoE: burda adsl modemimizin çalışma modunu bridge olarak ayarlayıp Cisco PIX’in PPPoE gibi kullanabiliriz ve modemle işimiz olmaz artık.

2)Use DHCP: cihazımızın dış bacağına gelicek olan ip’nin DHCP tarafından atanmasını istiyorsak bu seçimi kullanabiliriz. Ancak modem üzerindeki DHCP aktif olamalı.

3)Static IP Address: bu kısımda da biz cihazımıza static (manuel) bir IP girişi gerçekleiştiriyoruz. Ayrıca bu arayüzün ağ maskesi ve ağ geçidini de tanımlıyoruz ki erişimi gerçekleştirebilsin.

Bu kısıdamki ayarları da tamamladıktan sonra diğer adıma geçebiliriz.

Bu adımda da iç kısma (inside) IP dağıtımı gerçekleştiricek olan DHCP servisini configure edicez.

Başlangıç ve bitiş adreslerini tanımlayarak DHCP adres havuzunu oluşturuyoruz. Dikkat ederseniz 129 ile bitiyor. Bizim şuan ki cihazımız 50 kullanıcı lisanslı ve ben ordaki değerleri değiştirsem bile örnek olarak başlangıç ip 192.168.1.2 ve bitiş ip’si 192.168.1.200 dersem sistem otomatik olarak bitiş ip’ni 129’a geri çekecektir. Havuzu tanımladıktan sonra artık DHCP’nin istemcilere dağıtacağı seçenekleri girmemiz gerekiyor. Bu seçeneklerimiz de DNS bilgisi,WINS bilgisi,Alan adı ve kiralama süresi bilgileridir.

Artık iç kısımdaki istemcilerimize IP dağıtıcak servisimiz de hazır hale geldi veartık konfigürasyonumuz daha doğrusu wizard ile işimiz bitti. Diğer aşamalarda artık diğer tanımlamalarımızı yapıcaz. NAT olayının gerçekleştirilmesi vs. Kural tanımlamalarımıza baktığımızda ilk aşamada bütün trafik açık durumda.

Özel kurallar oluşturmak için yine wizardları kullanabiliriz. Bunun için karşımızda bulunan pencereden (yukarıdaki pencereden bakabilirsiniz) Access Rules,AAA (authentication, authorization, or accounting) ve Filter Rules kullanabiliriz. Bunlara ek olarak Translation Rules,VPN,Hosts/Networks ve System Properties kısımları da mevcuttur.

Örnek olarak biz firma dışından içerideki servera bağlanmak için gerekli olan 3389 nolu port yönlendirmesi için bir kural tanımlıcaz. Bunun için Access Rules kısmındayken yada Menü çubuğunda yer alan Rules tabından ekleyebiliriz. Karşımıza aşağıdaki pencere çıkıcaktır.

Yukarıdaki pencerede öncelikle kurala izin mi vericez yoksa kısıtlayacakmıyız ona karar veriyoruz. Daha sonra Source (kaynak)Host/Network kısmından bağlantının nerden geleceğini tanımlıyoruz. Dış bacaktan (outside) 0.0.0.0 seçili hangi IP’den gelirse gelsin. Ve daha sonra sağ tarafta bulunan Destination (hedef) Host/Network kısmında içerideki serverımızın bilgilerini giriyoruz. Burda ben 192.168.1.100 IP’sine sahip olan serverıma gidiş için bir kural tanımladım. Protokol yada servis kısmında ise kullanılan protokolü ve hedef portu seçiyoruz. TCP ve 3389 olarak bunları da tanımlıyoruz. Daha sonra OK deyip çıkıyoruz. Ve cihazımızın son haline bir bakalım.

Şekilde de görüldüğü gibi kuralımız tanımlanmış durumda. Birde Translation Rules kısmına bakalım.

Daha sonra yapacağımız ise bütün bu ayarları kaydetmemiz lazım.

Menü çubuğunda bulunan “Save” butonuna basabiliriz yada File menüsünde bulunan “Save Running Configuration to Flash” deyip yapmış olduğumuz ayarları kaydediyoruz ve çıkıyoruz.

Bütün bunları yaptıktan sonra artık sıra dışarıdan bağlanmaya geliyor. Remote Desktop Connection’u açıyoruz.

IP adresini yazdıktan sonra Windows Vista karşımıza bir uyarı mesajı çıkarıyor.

Bu durumda “YES” deyip burayı da geçiyoruz ve karşımıza bağlandığımız serverın logon penceresi geliyor. Kullanıcı adınızı ve şifresini girdikten sonra artık işyerinizdeki serverınızda gezinmeye başlayabilirsiniz.

Konsoldan gerçekleştirilmiş bir konfigürasyon örneği:

Building configuration…

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname cakmak

domain-name cakmak

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list RDPout_IN permit tcp any interface outside eq 3389

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 10.0.0.10 255.255.255.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.100 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0

access-group RDPout_IN in interface outside

route outside 0.0.0.0 0.0.0.0 10.0.0.2 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.129 inside

dhcpd dns 192.168.1.1 10.0.0.2

dhcpd wins 192.168.1.1 10.0.0.2

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

Cryptochecksum:4ae129693b4aefbb830ba53b2498a2c5

: end

[OK]

Kaynakça:

1)Cisco Systems internet sayfası (resimler için kullandım)

2)Cihazın fiziksel ve yazılımsal özellikleri için cihazla birlikte gelen kullanım ve konfigürasyon klavuzunu kullandım.

3)Çözümpark (www.cozumpark.com) ‘daki arkadaşların yardımları.

Mümin ÇİÇEK

Pratikte ağ topolojimizi cihazları farklı fiziksel switchlere bağlayarak ta kurabiliriz.Bu durumda oluşturduğumuz subnet’leri birbirleri ile görüştürebilmek için router’ımızda switch sayısı kadar ara yüz olmalıdır. Buda hem fazla switch kullandığımız hem de router’a fazla interface takmamız gerektiğinden maliyeti arttıracaktır.VLAN yapısı burada devreye girmektedir.

VLan yapılandırırken bazı kavramlar karşımıza çıkmaktadır ve önce bunlardan bahsedelim.

Broadcast Domain

Broadcast domain’i aynı IP subnetinde (ağında) herhangi bir bilgisayarın yada diğer cihazların router a uğramak zorunda olmadan birbirlerine veri transferi yapabildikleri bir mantıksal network(ağ) segmentidir. Vlan yapılandırması ile broadcast domain’nini küçültürüz.

Trunk

Burada kullanılan anlamıyla trunk, 2 switch arasında yada switch ile router arasında çoklu Vlan trafiğini bir protokol ile (VTP) taşıyan hattır.Başka bir deyişle aynı hat -kablo- üzerinde çok sayıda Vlan ın haberleşebilmesini saglayan yapıdır. Bir hattan fazla vlan bilgisini geçirebilmek için çokça kullanılan IEEE 802.1Q yada ISL protokollerinden birini kullanabiliriz.ISL, Cisco’ya özel bir protokoldur.

VTP -Vlan Trunking Protocol-

VTP, Vlan ekleme,silme,yönetme konusunda kullanılan protokoldür ve yönetimsel eforu oldukça hafifletmektedir. VTP bilgilerinin switchler üzerinde bulunan aynı VTP domainlerine taşınması ile her VLAN ın her switchte oluşturulmasına gerek kalmaz.Vlan bilgileri (VTP advertisements) ISL , 802.1Q, IEEE 802.10 yada LANE trunk hatlarından yollanır.

Şimdi Vlan’lar arası yönlendirmenin (routing) nasıl çalıştığından bahsedelim.

Farklı Vlan’lardaki ağ cihazları router’ın yönlendirmesi olmadan birbirleri ile görüşemezler. SwitchA da bulunan Vlan 10 daki A ve B istemcisinin switchB de bulunan Vlan20 deki C istemcisi ile görüşmesi için bir yönlendirici gerekmektedir. Alttaki şekillerde ise Vlan lar yine bir trunk hattı üzerinden görüşüyor.

Sağdaki şekilde router ın bir fiziksel ethernet interface i üzerinde 2 tane alt interface oluşturarak trunk hattı üzerinden vlan 10 ve 20 nin kullanımına sunulmalıdır. Böylece router, vlan 10 den gelen ve vlan 20 ye gitmesi gereken paketi routing table ına bakarak uygun alt interface inden gönderebilir.

Başarılı bir vlan yapısı için Vlan trunking protocol düzgün yapılandırılmalıdır. VTP ile vlan lar için ; switchlerin hangi modda çalışacağını , hangi domain’e üye olduklarını, pruning’in açık yada kapalı olma durumunu yapılandırırız. Aynı domain içindeki VTP bilgilerinin switch’ler arasında kopyalanacağını unutmamak gerekir.

Pruning, switch’lere gelen ve alakasız yerlere giden trafiği keserek bant genişliğini daha efektif kullanmamızı sağlar.

Şekle bakacak olursak SW1’ ve SW4 e bağlı RED isimli vlan ı görmekteyiz. Alttaki bilgisayar broadcast paketlerini SW1 e gönderdiğinde SW1 görüldüğü gibi bu broadcast’ her yere ulaştırır. Halbuki sadece SW1 ve SW4 ün ışında port’ları RED isimli Vlan’a üye olan switch yoktur. Varsayılanda kapalı olan VTP Prunning server modda çalışan switch’te açılırsa alakasız trafik engellenmiş olur.Aşağıdaki şekilde görülebilir.

Yönetimsel amaçlı kullandığımız VLAN 1 in trafiği pruning tabi değildir !

Vlan 10 , Vlan 20 ve Vlan 30 dan oluşan konfigürasyonumuza geçebiliriz. Yapımızda; bir router , 2 switch ve 3 faklı vlan da bulanan 3 adet test cihazım (test amaçlı router kullanıyorum) bulunmaktadır.

172.19.20.0 / 24 bloğunu kullanacağız. Öncelikle bloğu parçalayarak vlan’lara tahsis edelim.

Vlan 10 da 11 istemcim olsun. 172.19.20.0 / 28 subnetini kullanırsam yeterli miktarda ip elde ederim. Vlan 10 için ağ geçiti (gateway) 172.19.20.14 /28 ip si olabilir.

Vlan 20 de 3 istemcim olsun. 172.19.20.16 / 29 subnetini kullanırsam sorun olmayacaktır. Vlan 20 için ağ geçitim 172.19.20.22 / 29 ip’si olabilir.

Vlan 30 de 1 istemcim olsun. 172.19.20.24 / 32 sunbetini kullanabilirim. Vlan 30 için ağ geçitim 172.19.20.26 / 32 ip si olabilir.

Test amacıyla kullanacağım routerlara isimlerini ve ip lerini vererek başlayalım.

R1 vlan 10 da bulunmaktadır

R2 vlan 20 de bulunmaktadır

R3 vlan 30 da bulunmaktadır.

R1 172.19.20.1 / 28 ipsini kullanıyor.

R2 172.19.20.17 / 29 ipsini kullanıyor.

R3 172.19.20.25 / 32 ipsini kullanıyor.

R1 isimli router’ın ismini ve ip sini yapılandırdık.

R2 isimli router’ın ismini ve ipsini yapılandırdık.

R3 isimli router’ın da ismini ve ip’sini yapılandırdık. Şimdi bu 3 router’ın bağlı bulunduğu SW1 e geçerek ismini verelim ve komşularını görüntüleyelim.

Client modunda çalışacak olan switch e ismini -SW1- verdik ve komşularını görüntüledik.Burada üstte görünen switch ileride SW0 olacak olan switch’tir. İlgili portlarından test amaçlı olarak kullanacağımız router lara bağlı olduğunu görebiliriz. Artık server modda çalışacak ve ismi SW0 olacak olan switch e geçerek vlan yapımızı oluşturalım.

İlgili vlan larımızı SW0 da oluşturduk. SW0 server modunda çalışmakta ve domain adımız CISCO olarak yapılandırılmıştır. Vlan larımızı görüntülemek istersek #show vlan komutunu kullanabiliriz.

Show komutunun çıktısı üstteki şekildedir. Bu bilgilerin diğer switch e taşınabilmesi için onda da ilgili ayarlarımızı yapmalıyız. Client modda olduğunu , domain bilgisini SW1 de yapılandırmalıyız. Bunları orada yapılandırmak yetmeyecektir. Trunk hatlarını belirlememiz ve yapılandırmamız gerekmektedir. SW0 in her iki interface’i , SW1 in ise SW0 a bakan interface i trunk olmalıdır. Ardından SW1 e SW0 dan bilgilerin gittiğini görebiliriz. Şimdilik SW0 ile SW1 in birbirlerine bakan interfacelerini trunk moduna alalım daha vlan lar arası haberleşmeyi sağlayacak R0 ı devreye alacağız. Öncelikle SW0 da ve SW1 de komşulara bakalım ve hangi interface i seçeceğim karmaşasından kurtulalım.

SW1’de de komşulara bakalım. Burada henüz R0’ı göremiyorum çünkü yapılandırmadım.

SW0’ın komşuları da görünmektedir.

Üstteki resimlerden bakacak olursak SW1’in 0/1 no lu portundan SW0 a bağlı olduğunu görebiliriz dolayısıyla burada trunk çalışacaktır.

Yine SW0 in SW1 e giden 0/2 no lu interface inde trunk çalışmalıdır.

Trunk portlarını yapılandırdık. (SW1 in R0 a giden interface’i de trunk portudur ileride yapılandıracağız)

SW1 e CISCO domainde olduğunu ve client modda olduğunu söyleyelim ve ardından Vlan bilgilerini görüntüleyelim.

Artık SW1 de vlanlarımızı görebiliriz. Yine #show vlan komutu işimizi görecektir. Bu komutu her iki switch te çalıştırıp çıktılarını inceleyelim.

SW1 de;

SW0 da ;

Görüldüğü gibi SW0 dan SW1 vlan bilgilerimiz geçmiştir. Şimdi de Her iki switch te VTP yapısına bakalım. Bunun için #show vtp status komutunu kullanacağız.

SW0 da;

SW1 de;

Her iki switch deki vtp durumu üstteki gibidir.

Şimdi sıra SW1 de test cihazlarımı vlan lara dahil etmeye ve ilgili portları access port olarak belirlemeye geldi. SW1 de test cihazlarımıza giden port lar erişim portları olmalıdır. SW1 in komşularına bakarsanız 0/4 , 0/8 ve 0/11 nolu portarının erişim portaları olması gerektiğini görebilirsiniz. 0/4 portu vlan 10 a , 0/8 no lu portu vlan 20 ye, 0/11 no lu portu vlan 30 a dahil edelim.

İlgili portaları ilgili vlan lara atadık ve erişim portları olduğunu belirledik. Henüz birbirleri ile görüşemeyecekler. Çünkü her üç test cihazımızda farklı ağlarda bulunmaktadır. O halde R0’ı yapılandırabiliriz. R0’ın SW0 a bakan fiziksel interface’i üzerinde 3 adet alt interface açacağız ve iplerini daha önce belirlediğimiz gibi vereceğiz. Encapsulation’ı da belirleyeceğiz. Ne tür encapsulation yöntemleri kullanılabileceğini başta belirtmiştik. Burada dot1Q kullanacağız. Yapılandırmaya geçelim.

R0’ın yapılandırması

Görüldüğü gibidir. SW0’da artık R0 a bakan portu trunk’a alabiliriz.

SW0’da R0 a giden taraf ta trunk’a alınmıştır. Artık vlan’larımız birbirleri ile görüşebilir.Burada senaryomuza özel bir durumu açıklamak gerekebilir. Senaryoya bağlı kalarak uygularsanız R0′da vlan’larımızdaki test amaçlı kullandığımız routerlara ping atabilirsiniz buda vlan yapımızın başarılı olduğunu gösterir.Ama test amaçlı kullandığımız R1,R2,R3 den şu halleri ile birbirlerine ping atamazsınız. Çünkü herhangi bir routing protokolü yapılandırmadık!!!

Barış AYDOĞMUŞOĞLU