Kategori arşivi: Cisco

Cisco Wireless Lan Controller

Bir önceki makalemde Autonomous bir AP in konfigürasyonunu yaptık. Bu makalemde ise, LWAPP Image a sahip LAP (Light Access Point) i WLC (Wireless Lan Controller) üzerinden yöneteceğiz.

LAP ler, aptal cihazlardır. Üzerlerinde konfigürasyon bulundurmazlar. Tüm konfigürasyonu WLC dan alırlar. Bunlarda IOS yerine, LWAPP (Lightweight Access Point Protocol) image bulunur.  WLC lar ise tüm LAP leri bir noktadan yönetime imkan sunan bir controller dır. Bunun yanı sıra Load Balance, Security, Roaming  ve bunun gibi birçok noktada yönetimi ve denetimi sağlayan cihazlardır. Cisco WLC ailesinde birçok çözüm vardır. Bunlardan kısaca bahsetmek gerekirse;

image001

Cisco 500 Series Wireless Express Mobility Controllers:

Küçük şirketler için kullanıma uygun cihazlardır. WLC ailesini en ucuz olanıdır. 6 AP i kontrol edebilir. Bu cihazlar sadece 521 AP serisi ile çalışır. Aynı şekilde 521 AP lerde sadece WLC 500 serisi ile çalışabiliyor.

 

Standalone WLC

 image002

2100 Series Wireless LAN Controller :

 

2100 serisi WLC lar, Küçük ve orta büyüklü şirketler için uygundur.

2100 Series Controllers

# of Access Points Supported

Cisco 2106

6

Cisco 2112

12

Cisco 2125

25

Yukarı model tablosunu görüyorsunuz. Bu cihazlar box olarak satılır Yani 25 adet AP destekleyen bir cihaz alındığında, tekrar bir 25 AP ihtiyaç olduğunda tekrar bir cihaz daha almanız gerekir. 2100 serisi voice trafiği ve data trafiğinin yoğun olmadığı küçük ve orta büyüklükteki firmalar için uygundur.

 

image003

4400 Series Wireless LAN Controller

Part Number

Product Name

AIR-WLC4402-12-K9

4400 Series WLAN Controller for up to 12 Cisco access points

AIR-WLC4402-25-K9

4400 Series WLAN Controller for up to 25 Cisco access points

AIR-WLC4402-50-K9

4400 Series WLAN Controller for up to 50 Cisco access points

AIR-WLC4404-100-K9

4400 Series WLAN Controller for up to 100 Cisco access points

Bu cihazlar maksimum 100 AP e kadar destekler. Büyük şirketler için uygundur ve yoğun data ve voice kullanımı tarafında performansı yüksek cihazlardır.

image004

Cisco 5500 Series Wireless Controllers :

 

5500 serisi Cisco ‘ nın WLC tarafında en güncel üründür. Bu ürün Wireless N tarafında çok başarılı cihazlardır. Ben bu seriyi daha tecrübe edemedim. 5500 Serisi çok yeni bir ürün. Bu cihaz 250 AP e kadar destekliyor. Diğer WLC a aksini bu cihazlarda WPLUS lisansı satın alınarak desteklediği AP sayısı artırılabiliyor.

 

Part Number

Product Name

SMARTnet 8x5xNBD

AIR-CT5508-12-K9

5500 Series Wireless Controller for up to 12 Cisco access points

CON-SNT-CT0812

AIR-CT5508-25-K9

5500 Series Wireless Controller for up to 25 Cisco access points

CON-SNT-CT0825

AIR-CT5508-50-K9

5500 Series Wireless Controller for up to 50 Cisco access points

CON-SNT-CT0850

AIR-CT5508-100-K9

5500 Series Wireless Controller for up to 100 Cisco access points

CON-SNT-CT08100

AIR-CT5508-250-K9

5500 Series Wireless Controller for up to 250 Cisco access points

CON-SNT-CT08250

image005

Cisco Catalyst 6500 Series/7600 Series Wireless Services Module (WiSM) :

6500 ve 7600 serisi kasalar için olan modüllerdir. Bu modüller ISP tarafındaki çözümler için uygundur. Modül başına 300 AP destekler.

Cisco Wireless LAN Controller Module :

 

image006

Cisco ISR 2800, 3800 series ve Cisco 3700 serisi router lar için olan modül.

.

image007

Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers :

 

3750 Serisi Integrated WLC ise, Hem bir Multilayer Switch hemde bir WLC dır. Bu cihazlar firmanın ihtiyacına gore belirlenebilir. Örneğin firmanın Multilayer bir switch ve aynı zamanda WLC a ihtiyacı var ise bu cihazlar önerilebilir.

Part Number

Product Name

Minimum Software Required

WS-C3750G-24WS-S25

Cisco Catalyst 3750G Integrated Wireless LAN Controller with support for up to 25 Cisco Aironet access points

• IOS Software: 12.2(25)FZ

• Wireless Controller: Cisco Unified Wireless Network Software Release 4.0

WS-C3750G-24WS-S50

Cisco Catalyst 3750G Integrated Wireless LAN Controller with support for up to 50 Cisco Aironet access points

• IOS Software: 12.2(25)FZ

• Wireless Controller: Cisco Unified Wireless Network Software Release 4.0

25 ve 50 AP destekleyen 2 modeli var. Bu cihazlarda stacking özelliği kullanılarak Birden fazla cihazı yedekli çalıştırılabiliyor.

 

Cisco WLC ürünleri tarafında giriş seviyesinde bilgiler vermeye çalıştım. Daha detaylı bilgiler için data sheet lerini inceleyebilirsiniz. Tüm bu WLC ailesi aynı işletim sistemini (versiyonlar farklı olabilir) kullanır. Bunlarda IOS bulunmaz ve CLI tarafı çok farklıdır. AireOS adlandırılan işletim sistemini kullanırlar.

Biz WLC 526 konfigürasyonu yapacağız ve LAP 521 bu WLC da yöneteceğiz. Bu arada, Cisco AP ve LAP olarak iki model olarak bulunur. AP lere LWAPP image yükleyerek LAP haline getirebiliyoruz. Aynı şekilde bir LAP (IOS yüklenerek) Autonomous mode a çevirebiliyor.

İlk once WLC 526 nın ilk konfigürasyonu yapalım. CLI tarafına veya Web Arayüzünden yapabilirsiniz. Ben CLI tarafındaki wizard ı kullanarak step-by-step konfigürasyonunu yapacağım.

System Name [Cisco_a7:68:80]: WLC526

User Name password ü belirliyoruz.

Enter Administrative User Name (24 characters max): admin

Enter Administrative Password (24 characters max): ******

Re-enter Administrative Password                 : ******

Cihaza Ip veriyoruz

Management Interface IP Address: 192.194.196.90

Management Interface Netmask: 255.255.255.0

Management Interface Default Router: 192.194.196.1

Management Interface VLAN Identifier (0 = untagged):

Hangi interface den yöneteceğimizi belirliyoruz.

Management Interface Port Num [1 to 2]: 1

Management Interface DHCP Server IP Address: 192.194.196.1

AP manager ip adresi. AP nin WLC a join olabilmesi için gereklidir.

AP Manager Interface IP Address: 192.194.196.91

 

AP-Manager is on Management subnet, using same values

AP Manager Interface DHCP Server (192.194.196.1):

 

Virtual Gateway IP Address: 1.1.1.1

Birden fazla WLC var ise aynı groupta toplamanız gerekir.

Mobility/RF Group Name: test

 

Enable Symmetric Mobility Tunneling [yes][NO]: no

 

SSID oluşturuyoruz.

Network Name (SSID): WLCtest

Allow Static IP Addresses [YES][no]: no

Radius ayarları için no diyorum

Configure a RADIUS Server now? [YES][no]: no

Warning! The default WLAN security policy requires a RADIUS server.

Please see documentation for more details.

Ülke Kodunu belirtiyorum

Enter Country Code list (enter ‘help’ for a list of countries) [US]: TR

 

Enable 802.11b Network [YES][no]: no

Enable Auto-RF [YES][no]: yes

 

Configure a NTP server now? [YES][no]: no

Configure the system time now? [YES][no]: yes

Saat ayarlarını yapıyorum

Enter the date in MM/DD/YY format: 07/03/09

Enter the time in HH:MM:SS format: 10:19:11

Yaptığım ayarları kaydediyorum Cihaz Reboot olacaktır.

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

 

Configuration saved!

Resetting system with new configuration…

 

Evet ilk konfigürasyonu yaptık. Buradan yaptığımız tüm ayarları daha sonra web arayüzü üzerinden değiştirebilirsiniz.

 

Bir Lwapp image bulunan AP boot ettiğinde, broadcast paketleri yollayarak WLC ı bulmaya çalışır. Bunun iki yöntemi var. Birincisi ortamda DHCP server bulanacak yada DNS server olacak. LAP, dhcp den ip aldığında controller ile aynı network te ise otomatik olarak bulur ve controller a join olur. LAP tarafında herhangi bir konfigürasyon yapmıyoruz. Cihaz boot ettiğinde discovery paketleri yollar ve bu iki şartı yerine getirebiliyorsak controller ı bulur ve join olur. Join olduktan sonra AP, controller dan güncel image ı yükler. Şimdi bir Lwapp Image yüklü bir AP nin image update imi yaptıktan sonra olan loglarını ekliyorum.

 

%DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0 assigned DHCP address 192.194.196.54, mask 255.255.255.0, hostname AP001c.5844.6e4a
Translating "CISCO-LWAPP-CONTROLLER"…domain server (195.175.39.39)
%LWAPP-3-CLIENTEVENTLOG: Did not get vendor specific options from DHCP.
%LWAPP-3-CLIENTEVENTLOG: Did not get log server settings from DHCP.
%LWAPP-3-CLIENTEVENTLOG: Performing DNS resolution for CISCO-LWAPP-CONTROLLER
%LWAPP-3-CLIENTERRORLOG: DNS Name Lookup: could not resolve CISCO-LWAPP-CONTROLLER
%LWAPP-5-CHANGED: LWAPP changed state to JOIN
%LINK-5-CHANGED: Interface Dot11Radio0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Dot11Radio0, changed state to down
%LWAPP-5-CHANGED: LWAPP changed state to CFG
%LWAPP-5-CHANGED: LWAPP changed state to DOWN
%LWAPP-5-CHANGED: LWAPP changed state to UP
%LWAPP-3-CLIENTEVENTLOG: AP has joined controller WLC526
%WIDS-6-ENABLED: IDS Signature is loaded and enabled

İlk once DHCP den ip almış daha sonra dns den CISCO-LWAPP-CONTROLLER ı çözmeye çalışmış. Lokal bir dns kullanmadığım için ve A kaydını açmadığım için çözememiş ve daha sonra IP den çözmüş ve WLC526 ya join olmuş. Lokal DNS tarafında ise CISCO-LWAPP-CONTROLLER adında bir A kaydı açıp bizim WLC u gösterseydik isimden çözecekti. Eğer yapıda DHCP ve DNS var ise ikiside kullanılabilir ama bu yapıda DNS server şart değil. AP ve WLC lokalde olduğu için problem olmadı. Eğer şube ve merkez yapınız var ise ve merkezde WLC – şb lerde AP ler olsaydı, DNS tarafından çözülmesi uygun olurdu. WAN tarafındaki yapıdan makelenin ilerleyen bölümlerinde  bahsedeceğim.

image008

 https://192.194.196.90/ logon olduktan sonra Welcome Screen i görüyorsunuz. 6 AP destekliyor. Software version 4.2.61.0. Access Point Summary de WLC ye join olan AP yi görüyorsunuz. Ben test amaçlı 1 adet AP kullandım. Şu an interface down durumda.

image009

İlk once AP ye isim atayıp lokasyon bilgilerini gireceğiz. İsterseniz static ip de atayabilirsiniz.

image010

Advanced tabında AP ye grup atayabilir ve PoE ayarlarını yapabilirsiniz. Eğer AP, PoE kullanılarak enerjisi veriliyor ise buradan ayarlarını yapmanız gerekir.

image011

Inventory, AP modeli, seri no vs hakkınfa bilgi aldığımız yerdir. Hybrid Remote Edge Access Point (H-REAP) protokolünü desteklemiyor.

image012

Interface leri görüyorsunuz. Biz bu bölümde farklı bir interface yaratıp bu interface e SSID bind edeceğiz. Böylece LAN tarafını ve Guest tarafını ayıracağız. New diyoruz

image013

Interface in adını guest olarak atadık daha sonra ip ve hangi vlan a üye olacağını atıyoruz ve en son Port Number dan hangi interface de olacağı atıyoruz. Ben Port Number :1 olarak atadım.

image014

Interface imiz oluştu. Şimdi SSID tarafına geçelim.

image015

İlk konfigürasyonu yaptığımızda WLCtest adında bir SSID oluşturmuştuk. Onu editleyip wpa şifresi atayacağız.

image016

Interface olarak  management ı atadık. Bu bizim LAN tarafında kullanacağımız interface olacak.

image017

Security kısmında WPA+WPA2 yi seçip PSK (Pre-Shared Key) atıyoruz.

image018

LAN de static ip ile gelen network e dahil olmaması için DHCP Addr. Assignment ı gerekli kıldım. Apply ı seçip bitiriyoruz.

image019

Şimdi misafirler için yeni bir SSID oluşturacağız. New dedikten sonra isim atıyoruz.

image020

Bu sefer interface tarafında oluşturduğunuz guest interface ini seçiyoruz.

image021

Şifresini belirliyoruz.

image022

Şu anda 2 SSID oluşturduk. Şimdi AP nin wireless interface ini up durumuna getireceğiz.

image023

AP Enable durumda fakat Status olarak down gözüküyor. Bunu ayarlamadan önde WLAN override hakkında bilgi vermek isterim. Bu özelliği kullanarak AP bazlı SSID yayını yapabiliyoruz. Yani 1. AP x ssid sini yayınlasın ama y ssid sini yanınlamasın. 2. Ap tüm ssid leri yayınlasın gibi.

image024

802.11b/g yi enable edip G support da enable ediyoruz.

image025

 

AP up duruma geçti ve artık SSID lerin yayınını görebilirsiniz. Buradaki konfigürasyonda 2 vlan var. Guest network ü 20. Vlan a atadık. Burada 20. Vlan da bir gateway var ise yani misafirler için olan ayrı bir adsl modem olabilir. Bu vlan dan ve misafirlere için ayrılmış gateway den çıkacaktır. Burada dikkat edilmesi gereken WLC u bağlı olduğu portu trunk olarak atamaktır. Trunk olarak atandığında, vlan tagları içerin paketler ilgili vlan a erişecektir.

Swith tarafında yapmanız gereken, WLC un olduğu portu trunk olarak atamaktır;

Switch(config-if)#switchport mode trunk

Bu porttan gelen ve vlan id leri ile tag lanan paketler ilgili vlan ile görüşecektir.

WLC tarafında, 2 SSID oluşturup bunları VLAN lara atadık. Böylece Misafir ve LAN ümüzü ayırdık ve böylece güvenliği bir nebze olsun sağlamış olduk. Benim kullandığım WLC 526 nın firmware ı biraz eski şimdi onu upgrade edip ne gibi yeni özellikler geldiğine bakacağız.

image026

Upgrade için Cisco Configuration Assistant (CCA) kullandım. Bununla WLC ı rahatlıkla konfigürasyonunu yapabilirsiniz. Resimde CCA ile upgrade olurken görüyorsunuz.

image027

Upgrade olduktan sonra en büyük yenilik desteklediği AP sayısı olarak söylenebilir. 6 AP destekliyordu fakat 5.2.193.0 versiyonuna geçince 12 AP destekledi ve ayrıca birçok yenilik geldi. Örneğin DHCP server desteği yoktu şu anda bu versiyon ile destek geldi.

 

WLC tarafında anlatacaklarım bu kadar. Makaleyi bitirmeden önce Wireless tarafındaki diğer çözümlerede değinmek isterim.

Cisco ‘ nun merkezi yönetimi sağlayan diğer bir ürünü WLSE (Wireless Lan Solution Engine) dir. Bu ürün WLC ların aksine Autonomous mode da olan AP ( IOS Based) leri yönetir. WLSE de, AP ler bağımsız çalışır ve WLSE down olduğunda AP ler görevine devam eder. WLC da durum böyle değildir. Makalenin başında da belirttiğim gibi dump cihazlardır ve WLC dan konfigürasyonlarını alırlar ve herhangi bir paket geldiğinde direkt olarak WLC e iletirlir. WLSE fonksiyon olarak, WLC kadar kapsamlı değildir. WLSE kullanarak belirli saatlerde konfig değişikli yapabilir, merkezi olarak IOS upgrade e gidilebilir ve merkezi olarak AP lerin konfigürasyonları ile oynayabilirsiniz. WLC da ise sürekli AP leri denetler. Örnek olarak; Bir AP down olduğunda diğer AP lerin güç değerleri ile oynayarak ölü noktaları kapsamaya çalışır. Ayrıca Roaming tarafında çok başarılıdır. Bir AP e kaldırabileceğinden fazla data yük biner ise diğer AP ile load balancing yapar …gibi. Bunu WLC da otomatik olarak yapabilirsiniz. WLSE ise bu dengeyi kuramaz. Onun için yönetim konusunda WLC lar daha başarılıdır. WCS (Wireless Control System) ise WLC ları yöneten bir aplikasyondur. Software olarak Server 2003 veya Red Hat üzerine kurulabiliyor. WCS (Wireless Control System), WLC 526 yı desteklemiyor. WLC – WLC ları yönetir – WLC ise AP leri yönetir. Son olarak Location Appliance tan bahsetmek isterim. Bu cihazlar RFID tag lerden topladıkları verilere göre lokasyon belirler. RFID tag konusunda Cisco AeroScout ile çalışıyor. Bunun için belirli kriterleri var. Örneğin lokasyon hesaplayabilmesi için en az 3 AP kesişmesi gerekir gibi.

Bu makalemde WLC ürün ailesi hakkında giriş seviyesinde bilgileri verip Multi-SSID konfigürasyonu yaparak network ü böldük. WLC çok geniş bir konu ve kapsamlı bir cihaz. Son olarak H-REAP (Hybrid Remote Edge Access Point) protokolünden bahsetmek isterin. Bu protokolü kullanarak şubelerde bulunan AP leri WLC da yönetebiliyoruz. H-REAP geniş bir konu ve bu konu hakkında ilerde makale yazmak isterim. Benim kullandığım WLC 526 nın H-REAP desteği yok daha doğrusu H-REAP ı AP desteklemiyor. WLC 526 sınırlı konfigürasyon yapabileceğimiz bir ürün.  Bir sonraki makalemde görüşmek üzere.

 

Murat GÜÇLÜ

Cisco Access Point Kurulumu

 

Makaleye başlarken amacım Cisco Access point ürün ailesini hakkında bir makale yazmaktı. Makaleye başladıktan sonra anladım ki benim yazmaktan hoşlanmadığım bir makale olacaktı ve onun için konfigürasyon tarafını yazmak istedim. Bu makalede yine Cisco AP ürün ailesinden kısaca bahsedeceğim ve seri hallinde Cisco tarafında Wireless çözümleri hakkında bilgi vereceğim.  İlk makalede stand-alone (bağımsız) bir AP i konfigüre edeceğiz. İlerleyen makalelerde, merkezi yönetim sağlayan Wireless Lan Controller (WLC) ürün gamı ve konfigürasyonu hakkında bilgiler verip Wireless Lan Solution Engine (WLSE) ve Wireless Control Sytem (WCS) hakkında kısa bilgiler vereceğim.

 

image001

Benim şu anda kullandığım AP, 1130 serisi. Bu AP genelde ofis ortamları için kullanıma uygun, şık görünüşlü bir cihaz. Üzerinde 3.0 DBI omnidirectional entegre anten bulunmaktadır.  802.11af protokolünü destekler; (PoE) ethernetten enerji verilebilir.

Tüm Cisco AP lerde varsayılan password olarak; user: cisco pass: Cisco olarak gelir ve dhcp den ip alır.

 

image002

 

AP ‘ nin ip sini yazdığımızdaki gelen ekran görüntüsü. Buradan Logları, Interface durumlarını kontrol edebilirsiniz.

 

image003

 

Express setup kısmından hostname ve IP değiştirilebilir ve AP ‘ nin rolünü atayabilirsiniz. Express Security kısmında ise SSID oluşturabilir. Buradan WPA-PSK ayarlarını yapamıyoruz ben ilk önce wpa ayarlarını yapıp daha sonra SSID oluşturacağım.

Bu ayarları oluşturmadan önce şifreleme algoritmaları hakkında genel bir bilgi vermek isterim.

WEP (Wired Equivalent Privacy) IEEE 802.11 tarafından Eylül 1999 da onaylandı. 2001 senesi başlarında WEP’ in kullandığı algoritmada ciddi güvenlik açıkları tespit edildi ve saniyeler içinde kırılabiliyor hale geldi. Günümüzde WEP kullanmak, Wireless ‘ tarafında şifre koymamak ile eşdeğerdir. Bu güvenlik açıkları tespit edildikten sonra IEEE 802.11i (WPA ve WPA2) yi geliştirdi. 2003 yılında WPA (Wi-Fi Protected Access), WEP in yerini aldı. Bir sene sonra  WPA2 geliştirildi. WPA2 ilk çıktığında donamımsal upgrade gerektiriyordu. İlk başlarda çok yaygın olarak WPA2 kullanılamadı fakat günümüzde artık her wireless cihazın ve kartların wpa2 desteği var.  PSK (Preshared key) kullanılarak en güvenli yapı WPA2 dir. Eğer enterprise tarafında AP ler kullanılıyorsa 802.1x tarafına yönelinebilir, zira günümüzde WPA da Rainbow Table lar kullanılarak kırılabiliyor.  Eğer komplike ve uzun bir parola (63 Karakter gibi) belirlenirse, hacking süresi günler hatta bazen aylar mertebesine çıkabiliyor.

Biz bunları bildiğimiz için WPA2 kullanacağız.

image004

 

WPA için kullanacağımız algoritmayı seçiyoruz. AES, WPA2 de desteklenir. TKIP ise WPA da. Apply deyip kaydediyoruz.

image005

SSID kısmında isim yazıp hangi interface e atayacağımızı belirliyoruz. Biz EMEA bölgesindeyiz ve ETSI standartlarını kullanırız. Bu standartlara göre 802.11a nın ülkemizde kullanımı yasal değildir.

image006

Sayfanın altına gidip  Key Management ayarlıyoruz. Burada Mandatory ve WPA yı seçiyoruz. İsterseniz sadece WPA2 yi aktif kılabilirsiniz. WPA yı seçerseniz, client ın wireless adaptörü wpa2 desteği var ise wpa2 olarak bağlanır. Yoksa WPAv1 olarak bağlanır. En güçlü algoritma her zaman önceliklidir.

Bu ayarları seçtikten sonra apply ediyoruz.

image007

Daha sonra sayfanın el altına Infrastructure SSID ayarlarını yapıyoruz. SSID miz beacon paketlerinde brodcast olacaktır. SSID yi broadcast etmemek artık çok güvenli bir uygulama değil. Birtakım tool lar sayesinde artık çok rahatlıkla SSID broadcast edilmese bile görülebiliyor.

Apply edip, ayarlarımızı kaydediyoruz.

image008

Fabrika ayarlarında cihazın Radio Interface leri kapalı gelir. Radio0 interface i 802.11b/g yi, Radio1 interface i  802.11a yı temsil eder. Network interfaces menüsünden 802.11g ye gelip interface i enable ediyoruz.

Role In the Network: Burada bazı seçenekler görüyorsunuz.  Biz Access point olarak seçtik. Peki bu cihazın Ethernet ile alakalı bir sıkıntısı olduğunda ne olacak? Örneğin kablosal bir problem bu AP e bağlı olan clientlar data göndermeye devam edecektir fakat kaynağına ulaşamayacağı için paketlerde kayıplara neden olur. Birde kullanılan protokol UDP ise paket kayıpları takip edilemeyecektir. Birçok kişi Access point rolünde bırakır. Peki diğer opsiyonlar ne işe yarıyor;

Access Point (Fallback to Radio Shutdown) : FastEthernet down olursa radio interface ini kapatır.

Access Point (Fallback to Repeater) : FastEthernet down olursa ve cihazın kapsama alanında başka bir AP (Radio ayarları aynı ise) var ise cihaz tekrarlayıcı (Repeater Mode) olarak görev yapar.

Repeater: Burada ise cihaz başka bir AP den aldığı sinyali tekrarlar. Önerilen mode değildir, çünkü tüm yük Root AP nin üzerinde olur ve Repeater mode daki cihaz sadece dataları alıp Root a iletir. Repater mode, kablonun gidemediği lokasyonlar için kullanılması uygundur.

Diğer rolleri ilerleyen makalelerde anlatacağım.

image009

 

Data Rates bölümü. Ben burada Best Throughput seçtim.

image010

 

Kanal ayarlarını yaptığımız yer.  Default ayarlarda tüm kanallar seçili gelir ve en az enterferans a uğrayan kanalı seçmeye çalışır. Bir network yapısında, switch, router veya AP olabilir. Bir protokol var ise ve auto kelimesi geçiyor ise, bu çoğunlukla bir güvenlik açığı veya önerilen bir uygulama değildir.  Buradaki ayar içinde bu geçerlidr. Cisco bunun Auto da bırakılmasını önermez. Doğru uygulama, site survey yapıldığında en az çakışan veya cihazın kesişmediği kanalı seçmektir. Non-Overlapping channels, 1,6 ve 11 dir. Buradaki uygulamada 1,6 ve 11 kanallarını seçip auto da bıraktık. Cihazın çalışacağı lokasyon hakkında bilgimiz yok ise uygulanabilir.

image011

Sayfanın en altından Apply dediğimizde bir uyarı belirtiyor. Burada 802.11b clientların bağlantısının önleneceğini uyarıyor. Performans açısından doğru olanda budur. 802.11b client bağlandığında, protection mode a geçer ve cihazın data rate oranlarında düşüşler yaşanır ve bu da dolaylı olarak performanıs ciddi bir şekilde etkiler. Bu Cisco ya özel bir durum değildir. Herhangi bir 802.11g ye B client a bağlandığında bu durum gerçekleşir.   Ok diyoruz.

Wireless tarafındaki ayarlarımız bitti. Şu anda SSID miz yayın yapıyor. Son olarak cihaza ulaşımı daha güvenli hale getireceğiz.

image012

 

Default password ü değiştiriyoruz.

 

image013

Cihazın tarih ayarlarını yapıyoruz. Burası loglamaları analiz ederken önemlidir çünkü tarih yanlış ise ne zaman olduğunu tespit edemezsiniz.

image014

Telnet i kapatıp. SSH ı açıyoruz.

image015

 

HTTP yi kapatıp, HTTPS etkin kılıyoruz.

Stand Alone AP mizin ayarlarını yaptık. Cisco AP lerde 2 çeşittir. AP ve LAP (Light Access Point). LAP cihazlar, WLC ile yönetilebilir ve dump cihazlardır. Cihazda LWAPP image bulunur ve tüm konfigürasyon bilgilerini WLC  dan alır. Bir sonraki makalede WLC lar hakkında bahsedeceğim.  Bu makalemde Kablosuz ağlar ve standartları hakkında genel bilgiler ve Cisco AP konfigürasyonunu anlatmaya çalıştım. Aslında kablosuz ağların geçmişi eskiye dayanır.  Bu makaleyi yazarken çok fazla teknik bilgilere girmemeye çalıştım ama okurken de fark ettim ki yazıya dökmek istediğim birçok konu eksik kaldı. Umarım ilerleyen bölümlerde kablosuz ağlar hakkında bir makale yazabilirim.

Makaleyi bitirmedin Cisco AP ürün ailesi hakkında biraz bilgi vermek isterim; 1130 serisi bir AP ile konfigürasyon yaptık. Bu modelin bir üstü 1140 serisidir. Bu cihazlar piyasada çok yeni olup stand-alone versiyonları daha bulunmamaktadır. LAP olarak sadece WLC ile yönetilebilir. Wireless N destekler. 1200 serisinden, 1231 AP ler Haziran 2009 da End-of-Sale oldu bunun bir üst model 1242 AP lerdir. Metal kasa oldukları için depo gibi alanlarda kullanıma uygundur. 1131 cihazlara göre daha sıcağa dayanıklıdır. Voice uygulamalarında performans ı 1100 sersine göre daha iyidir. 1242 lere harici anten takılabiliyor ve bu modellerin entegre antenli modeli yok. 1252 AP ise, Cisco nun ilk çıkardığı N destekli cihazdır. 1200 serisi gibi dış ortamlara daha dayanıklı ve güçlü bir cihazdır. Outdoor olarak 1300 serisi olan 1310 AP ler, hem entegre anten (13 dbi) hemde harici anten takılabilir olan modelleri vardır. İlerleyen makalelerde 1310 ile Root – Non-Root konfigürasyon örneğini yapıp iki binayı birbirine wireless olarak bağlayacağız. Onun için Outdoor tarafındaki çözümlerden fazla bahsetmeyeceğim.

 

Son olarak yaptığımız konfigürasyonun CLI tarafındaki çıktısını yolluyorum. Bir sonraki makalede görüşmek üzere.

 

Murat GÜÇLÜ

ap#sh u
Building configuration…

 

Current configuration : 3619 bytes
!
! Last configuration change at 11:52:18 +0300 Thu Jul 2 2009 by cisco
! NVRAM config last updated at 11:52:18 +0300 Thu Jul 2 2009 by cisco
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$IM/K$AnLobiTIjamvYzdmxQRHR1
!
no aaa new-model
clock timezone +0300 3
ip domain name muratguclu.com
!
!
dot11 ssid Test
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 101F5B4A5142445C545D7A
power inline negotiation prestandard source
!
username admin privilege 15 password 7 135445415F5952
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm tkip
!       
ssid Test
!
speed  basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
channel least-congested 2412 2437 2462
station-role root
world-mode dot11d country TR indoor bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp client-id FastEthernet0
no ip route-cache
!
no ip http server
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
bridge 1 route ip
!        
line con 0
line vty 0 4
login local
!
end

Murat GÜÇLÜ

VLAN Temel Konfigurasyonu – 2 (VTP Domain yapılandırmaları)

İlk makalemizde VLAN Temel Konfigürasyonundan bahsetmiş ve sizlere 2 switch arasındaki VLAN haberleşmesi için gerekli olan konfigürasyonu sunmuştum. Bu yazımda ise 2 veya daha fazla switch arasında VTP domain oluşturulmasını ele alacağım.

Kullandıklarım,

1 adet Layer2 veya Layer3 switch (VTP Server modda çalışacak)

4 adet Catalyst 2950 Switch

4 adet Server

Topolojimi bir bina içerisinde her biri için farklı serverların kullanıldığı 4 farklı Departmanı ele alarak oluşturuyorum.  Yapı itibariyle 5 katlı olan bu binamızda en üst katı sistem odası olarak ayırdım. Geri kalan katların yerleşimine müdürümüz karar verdi böylece 4.kat Muhasebe 3. kat Finans 2. kat Satış 1. kat Güvenlik departmanı olarak belirlendi. Böyle bir yapı için bizden istenen her departmanın kendine ait bir switchi ve kendisine ait bir VLAN’a sahip olması yönündeydi. Bu aşamada içinizi rahatlatacağım, her katta farklı switch ve VLAN’lar olmasına rağmen, siz ileride bir gün her hangibir departmandaki kullanıcıyı farklı departmanın olduğu bir katta çalıştırsanız bile kullanıcının PC’sini o katta bulunan switch üzerinden kendi çalıştığı departmana ait VLAN’a dahil edebilirsiniz. Böylelikle kullanıcı Fiziksel olarak farklı bir departmanda bulunsa bile network kablosu, daha önceki kullandığı VLAN’a dahil olan porta takılı olacağı için çalışmakta olduğu departmandaki kullanıcı PC’lerinden gelen Broadcast paketlerinden etkilenmeyecek hatta bu PC’lere erişemeyecektir. Yani biz istemediğimiz sürece sadece kendi dahil olduğu VLAN içerisinde haberleşecektir.

clip_image002

Şimdi konumuza geri dönelim farklı serverların olduğu en üst kattaki sistem odamıza 1 adet 3560 Layer 2 ve diğer tüm katlara Catalyst 2950 24 portluk switch koydum sırasıyla gidecek olursak;

I) Sistem odasındaki 3560 L2 switch’in VTP modunun server yapılması, VTP Domain adı ve şifresinin belirlenmesi, departmanlar için VLAN’ların oluşturulması, Switch üzerindeki “diğer switchlere VLAN bilgisini dağıtacak olan” Trunk portunun yapılandırılması.

II) Diğer katlardaki 2950 switchlerin VTP modunun Client yapılması, VLAN ve VTP Domain bilgisini iletecek olan trunk portunun yapılandırılması.

Şimdi VTP modu server olarak yapılandıracağım. Belli bir düzende gitmek ve karmaşıklığı azaltmak için konfiurasyona en üst kattan başlıyorum.

Bildiğimiz gibi standartta tüm switchler server modda gelmektedir bunun için biz 3560 L2 switch dışındaki tüm Catalyst 2950 switchlerin VTP modunu client olarak yapılandıracağımızı unutmayalım.

1) 3560 L2 Switch VTP Domain Ayarlarının yapılması,

Önce switchimize diğer switchlerin fiziksel bağlantısını yapmadan önce notebook yada bilgisayar ortamından konsol yardımı ile switchimize bağlanıyoruz.

clip_image004

Gördüğünüz gibi bir alışkanlık olarak ilk önce hostname komutu ile switch’imize 3560L2 ismini verdim. Şimdi VTP Domain ayarlarına geçelim. Switchimizin adını değiştirdikten sonra kaldığımız yerden devam ediyoruz.

3560L2(config)#vtp mode server

Device mode already VTP SERVER.

3560L2(config)#vtp domain cozumpark

Changing VTP domain name from NULL to cozumpark

3560L2(config)#vtp password cozumpark

Setting device VLAN database password to cozumpark

3560L2(config)#wri mem

Building configuration…

[OK]

Yukarıda gördüğünüz gibi konfigürasyon modundayken

vtp mode server” komutu ile switchin VTP modunu server yaptık. Daha sonra

vtp domain cozumpark” komutu ile switch üzerinde cozumpark domainimizi oluşturduk

vtp password cozumpark” komutu ile switch üzerinde kurduğumuz cozumpark domainine cozumpark diye parola verdik.

Şimdi diğer switchlerin VTP domain ile haberleştirecek olan Trunk portunu belirleyip ve ayarlarını yapalım;

3560 L2 switch üzerinde 2 adet Gigabit Ethernet portu mevcut ben hızdan kazanmak için Gigabit Ethernet 0/1 arayüzünü Trunkport olacak şekilde ayarlıyorum. Şimdi;

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface gigabitEthernet 0/1

3560L2(config-if)#switchport mode trunk

3560L2#(config-if)#description Trunk Porttur

Şimdi açıklayarak anlatmak istiyorum Konfigurasyon moda girerek VTP Server modda çalışan switchimizin Trunk yapmasını istediğimiz Gigabit Ethernet 0/1 portunun switchport mode trunk olacak şekilde aynı isimli komutla ayarlamış olduk. Daha sonra description Trunk Porttur diyerek bu porta ait içerik bilgisi yazmış olduk. Bu sayede show running-config komutunu yazdığımızda karşımıza çıkacak olan arayüz listesinde Gigabit Port altında açıklamasını görmüş olacağız.

!

interface GigabitEthernet0/1

description Trunk Porttur

switchport mode trunk

!

gibi.

Bu kısıma kadar herşey anlaşılır sanırım. Şimdi gelelim 4-3-2 ve 1. katlardaki 2950 switchlerimizin yapılandırılmasına. Bu ayarlar tüm client switchlerimiz için aynı olacaktır.

Öncelikle switch’imizi açıyoruz ve

Switch>en

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#hostname Muhasebe

Muhasebe(config)#vtp mode client

Setting device to VTP CLIENT mode.

Muhasebe(config)#vtp domain cozumpark

Changing VTP domain name from NULL to cozumpark

Muhasebe(config)#vtp password cozumpark

Setting device VLAN database password to cozumpark

Muhasebe(config)#interface fa0/24

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

Muhasebe(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Muhasebe#wri mem

Building configuration…

[OK]

Muhasebe#

Şunu belirtmek istiyorum ilk olarak switch’e bağlanıp hostname komutu ile switchin adını muhasebe olarak değiştirdim. Daha sonra Konfigürasyon modundayken vtp mode client yazarak switchimizi client moda alıyoruz. Client olarak VTP Domainine dahil olmasını istediğimiz bu switchimizi, server switchimize yazdığımız komutların birebir aynısını yazıyoruz. Aslında ben bu aşamayı bluetooth’ta iki telefonun birbirini görmesi için yaptığımız işleme benzetiyorum.

Şimdi unutmadan ufak bir işlemimiz kaldı client switchlerde Trunk port iki tane olmak zorunda yani bu konfigürasyonunu yapmış olduğumuz switchin 24. portunu trunk yapmıştık şimdi de 23. portunu da Trunk yapıp diğer client switch ile haberleşebilmesi için yapılandıracağız.

Muhasebe(config)#interface fa0/23

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

Bu yapıda client switch’ler üzerindeki tüm 24. portlar alıcı, 23.Trunk portları ise bir sonraki client switche aktarıcı olarak yapılandırdım.

clip_image006

Yukarıda gördüğünüz yapıyı bir program aracılığı ile çizdim ancak site kuralları gereği ismini vermek istemiyorum. Görüdüğünüz gibi en üst katta, içerisinde 4 adet server ve ana switchimiz olan Cisco 3560’ın bulunduğu sistem odası ve alt katlarda herbirine 5 desktop pcnin bağlı olduğu VTP client modda çalışacak olan Cisco 2950 switchlerimizi yerleştirdim. Kısaca nasıl bağlandıklarından bahsedeyim Server ve Desktop PC’ler standart Category5 veya Category6 kablo ile Switchlerin portlarına bağlanır. Ana switch olan 3560 ile 4.kattaki 2950 switch arasındaki Trunk portlarını cat5 kablo ile birleştirdim isterseniz cross-over kabloyla da bağlayabilirsiniz. Son olarak 4. kat ve 1. kat arasında bulunan tüm 2950 switchler arası cross-over kablo ile bağladım.

Evet, şu ana kadar yaptığımız tüm işlemler ile aktif cihazları yani switchleri 1 server ve 4 client switch olacak şekilde VTP domain yapısına aldık. Bu sayede server switch olan 3560 üzerinde VLAN oluşturduğumuzda client olan switchler bundan haberdar olacak ve client switch üzerinde portları VLAN’a atamak dışında bir işlem yapmamıza gerek kalmayacak. Şimdi yapacağımız işlemler bu yapının amacımıza uygun hale getirilmesini sağlayacak.

Server switch olan 3560 üzerinde Muhasebe, Finans, Pazarlama ve Güvenlik VLAN’larımızı yaratalım.

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#vlan 2

3560L2(config-vlan)#name Muhasebe

3560L2(config-vlan)#exit

3560L2(config)#vlan 3

3560L2(config-vlan)#name Finans

3560L2(config-vlan)#exit

3560L2(config)#vlan 4

3560L2(config-vlan)#name Pazarlama

3560L2(config-vlan)#exit

3560L2(config)#vlan 5

3560L2(config-vlan)#name Guvenlik

3560L2(config-vlan)#exit

3560L2(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

3560L2#wri mem

Building configuration…

[OK]

Şimdi show vlan komutu ile vlan tablomuzu görelim.

clip_image008

Şimdi artık VTP Domainimiz aktif olduğu için hangi switch’te show vlan yazarsanız yazın bu listeyi aynı şekilde göreceksiniz. Yani 3560 üzerinde yeni bir VLAN yaratılması ve silinmesi durumunda güncel bilgi VTP Domain yoluyla diğer switchlere de aktarılacaktır.

Bu yapıda sistem odamızda bulunan serverlarımızı yarattığımız VLAN’ların üyesi yapalım. Serverlarımız networke bağlı olduğu 3560 switch üzerinde olduğu için bu switch üzerinde aşağıdaki işlemleri yapmalıyız,

3560L2> en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface fa0/1

3560L2(config-if)#switchport access vlan 2

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/2

3560L2(config-if)#switchport access vlan 3

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/3

3560L2(config-if)#switchport access vlan 4

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/4

3560L2(config-if)#switchport access vlan 5

3560L2(config-if)#no shutdown

3560L2(config-if)#

Gördüğünüz gibi 1 den 4’e kadar olan tüm interface yani arayüzlerin konfigurasyonuna girip iletişimlerini

Arayüz                      VLAN ID

(fa0/1                   ->            VLAN 2) Muhasebe

(fa0/2                   ->            VLAN 3) Finans

(fa0/3                   ->            VLAN 4) Pazarlama

(fa0/4                   ->            VLAN 5) Güvenlik

Bu aşamada ana switchimize bağlı olan tüm serverlar kendilerine ait VLAN’ların üyesi oldular.

Tüm serverların DHCP ile IP dağıtacak şekilde konfigure edildiğini farzedin, merak etmeyin artık serverlarınız aynı switche bağlı olmasına rağmen farklı VLAN’lara üye oldukları için DHCP sorgulamaları sadece kendi VLAN’ları içerisinde gerçekleşecektir. Biz istemedikçe farklı VLAN’lar birbirleri ile haberleşmeyeceklerdir.

Şimdi en alt kata inerek Güvenlik departmanındaki 1 adet Client PC’mizi 2950 client switchimizin 1.portuna bağlayalım ve Güvenlik VLAN’ı yani VLAN 5’e dahil edelim sonrada VLAN 5’e dahil olan GVN-DC’den IP almasını sağlayalım.

Guvenlik>en

Guvenlik#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Guvenlik(config)#interface fa0/1

Guvenlik(config-if)#switchport access vlan 5

Guvenlik(config-if)#no shutdown

Guvenlik(config-if)#exit

Guvenlik(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Guvenlik#wri mem

Building configuration…

[OK]

Guvenlik#

İşte oldu, Güvenlik departmanındaki PC’mizi 2950 Client modda çalışan switchimizin 1. portuna taktık ve sonrasında bu portun ayarlarına girip, switchport access vlan 5 yazarak, bu port üzerine hangi PC’yi takarsak takalım artık bu portun VLAN 5 üzerinden haberleşecek şekilde ayarlamış olduk. Dolayısıyle siz VLAN 5’e dahil olan GVN-DC’niz üzerinde DHCP yapılandırması yaptıysanız ve bu VLAN’a sonradan dahil olacak client pclerin IP konfigurasyonu otomatik alacak şekilde yapılandırıldıysa, GVN-DC üzerinden yani DHCP üzerinden IP almaya başlayacaklardır ve bu durumdan switch üzerinde bulunan diğer VLAN’lar etkilenmeyeceklerdir. Bunun mantığında (Her VLAN kendi kendine broadcast domaindir) sözü yatmaktadır.

Arkadaşlar ne yazık ki makalemin sonuna gelmek zorundayım. Konfigurasyonu Tek server switch, tek client switch, tek server, tek client pc yapılandıracak şekilde anlattım. Tüm topolojiyi etkin kullanabilmeniz için client switch yapılandırmasını diğer switchlere de uygulayarak yapabilir ve diğer tüm pc’lerin bağlanacağı switchler üzerindeki ara yüzleri, üyesi yapmak istediğiniz VLAN’lana dahil ederek yapabilirsiniz.

Hepinize iyi çalışmalar diyorum.

Saygılarımla

Mustafa VANGÖL

PIX/ASA Uzerinde ASDM ile Cisco VPN Client Konfigurasyonu

Bu makalemde PIX/ASA lar üzerinde ASDM (Adaptive Security Device Manager) ile remote vpn client bağlantı konfigürasyonunu anlatmaya çalışacağım. Bu makalede uyguladığım konfigürasyon ASA version 7.2 üzerinde test edilmiştir.

Benim oluşturduğum senaryo; bir merkez ofisimiz var diyelim. Uzak kullanıcılar buradaki bir uygulamaya veya veritabanına bağlantı kurulması isteniliyor.  Buradaki en uygun çözüm VPN olur çünkü doğru algoritmalar kullanıldığında güvenlidir. Kullanıcılar VPN yaparak lokal network e ulaşabilir ve istediği uygulamayı sanki merkez ofiste çalışıyor gibi kullanabilir. Aynı zaman Uzak Masaüstü uygulamalarında da Remote VPN yapılabilir.

image001

Network diyagramı görüyorsunuz. Buradaki topolojiyi kullanacağız. VPN hakkında portalımızda yeterince makale var bende VPN hakkında (Hashing, Encryption vs) detay vermeyerek sadece VPN konfigurasyonu tarafını ve konfigurasyon tarafında yaşayabileceğiniz problemleri anlatmaya çalışacağım.

Test aşamasında kullandığım yazılımlar ve cihazlar:

ASDM 5.2

Cisco VPN Client 4.8.01.0300

ASA 5505 with version 7.2

Cisco 877-K9 ADSL (Bridge Mode)

ASDM i pc nize yükleyebilir veya browser üzerinden cihaz ip si ile çalıştırabilirsiniz. Varsayılan cihazın ip si 192.168.1.0/24 bloğundadır ve  Ethernet 0/0 wan portu ve Ethernet  0/1-0/7 portları lan portu olarak geçer.

image002

ASDM ile cihaza bağlanıyoruz. Wizards menüsünden VPN wizard I seçiyorum.

image003

Remote Access VPN I seçiyoyorum. Tunnel interface outside olarak seçili kalıyor.

image004

Cisco VPN Client için konfigurasyonu yapacağım dilerseniz Windows üzerinde de de vpn client atanabilir.

image005

Ortak bir anahtar belirliyorum ve Tunnel için grubu yazıyorum.

image006

Local Database de kimlik doğrulamasını yapacağım. Eğer sizin kullandığınız AAA/Radius server var ise kimlik doğrulama tarafını AAA/Radius yapabilir.

image007

Lokal user için kullanıcı adı ve password belirliyorum.

image008

VPN kullanıcıları için pool atıyorum. Burada kullanış ve logları takip açısından sizin lokal network ünüzden ayrı bir bloktan ip dağıtmak daha uygundur.

image009

DNS ayarlarını belirliyoruz. Ben boş bırakıyorum böylece dns leri inherit (miras) alacak yani cihaz üzerindeki dns ayarlarını kullanacak.

image010

Burada PHASE 1 encryption metodlarını belirliyoruz. Ben DES – MD5 ve Diffie Hellman Group 2 seçtim. DES – MD5 algoritması güçlü encryption metodları değildir. Kullandığım ASA 5505 üzerinde Encryption Lisansı olmadığı için bu algoritmaları seçtim. Tavsiyem 3DES ile AES 128, 192… seçebilirsiniz.

PHASE 1 Encryption metodundan VPN Client geçemiyor ise algoritmaları kontrol etmek gerekir. Örneğin, Cisco VPN Client DES – SHA desteklemiyor. Uyguladığınız algoritmayı desteklemiyor ise, ASDM e aşağıdaki loglar düşer:

Group = Muhasebe, IP = 88.xx.xx.xx, Error: Unable to remove PeerTblEntry

Group = Muhasebe, IP = 88.xx.xx.xx Removing peer from peer table failed, no match!

image011

PHASE 2 Encryption metodlarını belirliyoruz. Bu sefer PHASE 1 den geçer fakat PHASE 2 ye takılırsa aşağıdaki loglar düşer :

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, PHASE 1 COMPLETED

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, All IPSec SA proposals found unacceptable!
Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, QM FSM error (P2 struct &0×132hde0, mess id 0xsdsf01z86c)!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Removing peer from correlator table failed, no match!

Group = Muhasebe, Username = murat, IP = 88.xx.xx.xx, Session disconnected. Session Type: IPSec, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatc

IP = 88.xx.xx.xx, Received encrypted packet with no matching SA, dropping

image012

Eğer network ünüzde VPN Client ın sadece belirli makineye ve makinelere erişmesini sağlamak istiyor iseniz, Lokal network ünüzden saklamanız gerekir. Onu da buradan yapıyoruz. Burada belirlediğiniz bir ip veya grubu ekleyebilirsiniz. Ben VPN Client ın tüm network e erişmesini istediğim için boş bırakıyorum. En alttaki checkbox “ Enable Split Runneling” ise önemlidir;

Oradaki checkbox işaretli olmaz ise, VPN Client ‘ın tüm paketleri tunnel üzerinden vpn gateway e gider ve VPN Client internete remote gatewayden çıkar. Disable olması hız açısından uygun değildir çünkü VPN Client ın tüm paketleri, tunnel üzerinden gittiğinden client yapmak veya çalıştırmak istediği uygulamada yavaşlık söz konusu olabilir ayrıca VPN Client lokal network üne ulaşamaz. Onun için Split tunneling enable olması bant genişliği açısından uygundur fakat güvenlik için uygun değildir

Split Tunneling kullanılmamasının avantajı, tüm trafik ASA ya yönleneceği için, cihaz üzerindeki güvenlik politikalarına ve filtrelerini kullanır. Ayrıca tüm trafik tunnel üzerinden encrypt edildiği için daha güvenlidir. Split Tunneling kullanıldığında internet trafiği encrypt edilmez ve sniffer veya benzeri bir software yardımı ile 3. şahıslar tarafından vpn bağlantı bilgileri  görülebilir ve şirket network ünüze ulaşılabilir.

Yapınıza ve amacınıza göre karar verebilirsiniz. Makalede her iki konfigürasyon tarafına değiniyor olacağım.

Aşağıda Split Tunneling etkin olmayan (disable)  için network diyagramını ekliyorum.

image013

image014

Wizard ile yaptığımız konfigürasyonu özetini görüyorsunuz.

image015

VPN Client için Dynamic Nat  kuralı ekliyoruz.

image016

Enable traffic between….. checkbox ını seçiyoruz. Buradaki seçenek ile aynı interface üzerinde 2 veya daha fazla client arasındaki trafiği aktifleştirmiş oluyoruz.

Şimdi Client tarafındaki yapılandırmayı inceleyelim;

image017

Cisco VPN Client kurduktan sonra. New diyerek yeni bir profil oluşturacağız.

image018

Bağlantıya bir isim veriyoruz. Host kısmına  VPN gateway in IP si yazıp oluşturduğumuz grubun ismini ve şifresini yazıyoruz.

image019

Connect dedikten sonra, VPN Client PHASE1 ve PHASE2 den geçerse; Username ve Password gireceğimiz bir pencere açılır. Buradaki bilgileri girdikten sonra Connected olarak bağlantığı başarılı bir şekilde görülür. Cisco VPN Client üzerinde encryption algoritmalarını belirlemiyoruz. VPN Client otomatik olarak algoritmaları algılar ve bağlantı kurmaya çalışır.

Ayarlarımızı kontrol edelim:

image020

Whatismyip.com dan kontrol ettiğim gibi şu anda split tunneling aktif değil ve Client Remote gateway den internete çıkıyor. Split Tunneling için kural oluşturacağız.

image021

VPN – Group Policy üzerinden oluşturduğumuz grubu editliyoruz.

image022

Client Configuration sekmesinden, Split Tunnel Network list e gelip manage I seçiyoruz.

image023

Burada bir Split Tunneling kuralı yazılmış bunu editleyip veya yeni bir kural yazabiliriz. Ben yeni bir kural yazıyorum. ADD menüsünden ACL seçiyorum ve bir isim atıyorum.

image024

Daha sonra yine ADD menüsünden ACE I seçiyorum ve bir permit (izin) kuralı yazıyorum. Buradaki yazılan network VPN Client ın lokal network ü. OK i seçip save ettikten sonra

image025

Split Tunnel Network List menüsünden oluşturduğum kuralın seçili olduğunu kontrol ediyorum.

image026

Tekrar kontrol ettiğimde VPN Client kendi gateway in çıktığını ve lokal network e eriştiğini kontrol ediyorum.

Bu makalemde ASA 5505 üzerinde Cisco VPN Client konfigürasyonunu anlatmaya çalıştım. Umarım yararlı olmuştur.

Kaynaklar:

http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_configuration_examples_list.html

Murat GÜÇLÜ

VLAN Temel Konfigurasyonu

Birden fazla switch barındıran yapılarda broadcast paketlerinin tüm network üzerinde dolaşması, mesela bir ARP mesajını switchler paketi aldığı port dışındaki tüm portlara aktaracağı içinbütün networkü dolaşmış olacaklardır. Broadcast paketleri illaki vardır, olmazsa olmaz. Nitekim güvenlik unsuru olarak ta düşünebiliriz Şirketinize misafir olarak gelen X kullanıcısı internet erişimi için networkünüze dahil olduğunda tüm networke sızma şansı olabilir. Elbet bir yerlerde açık bırakmış olabilirsiniz.

Gelelim VLAN’a, sayesinde networkümüzü birbirinden bağımsız segmentlere ayırma imkanı sağlayarak, riskleri önleme, karmaşıklığı ortadan kaldırma ve problem çözme konusunda bizlere büyük ölçüde fayda sağlamaktadır. Network yapımıza hiyerarşi kazandırma yönünden elimizin altında bulunan en yararlı araçlardan birisi haline gelmiştir.

Vlan yaratılan bir switchte hostlar tarafından gönderilen broadcast paketleri sadece aynı vlana dahil olan portlara gönderilir. Bu yüzdendir ki her VLAN kendi içerisinde bir broadcast domaindir. Bu özellik sayesinde kaynağı bilinmeyen unicast paketlerde sınırlanmış olurlar.

Layer3 bir cihaz ile VLAN’lar arası yönlendirme yapılana kadar farklı VLAN’lar birbirleri ile haberleşmeyecektir. Yani buda demektir ki farklı VLAN’ların konuşabilmesi için kesinlikle VLAN roting işlemi yapılması gerekmektedir. “VLAN arası yönlendirme yapıyorsak ne gerek vardı VLAN oluşturmaya?” diyenler için söylüyorum, ayrı VLAN’lar konuşuyor olsalar bile broadcast paketleri sadece aynı VLAN’a dahil olan portlarda gerçekleşecektir. Konfigurasyondan önce birde şunu ekleyeyim, Per-Vlan Spanning Tree sayesinde Loopları önlemiş oluyoruz. Tabi her VLAN bu denetimi kendi içerisinde yaptığı için LOOP felaketinden hem tüm switch etkilenmiyor hemde LOOP’un oluştuğu kaynağın tespiti daha çabuk yapılmış oluyor.

Basitçe VLAN nasıl yaratılır?

· VTP modun ayarı

· Vlan yaratılması

· Vlanı kullanacak interface (arayüzün) belirlenmesi

· İki switch arası 802.1Q trunk ayarının yapılması

Yapımızın 2 farklı switchten oluştuğunu varsayalım,

image001

Switch1 Konfigurasyonu

1) Önce VTP modumuzu server yapacağız

2) VLAN’ımızı yaratacağız

3) Fa0/11 ve fa0/12 olarak switch1 üzerinde bulunan portlarımızı oluşturduğumuz VLAN’a ekleyeceğiz.

Switch2 Konfigurasyonu

1) VTP modumuzu Transparent yapalım

2) Switch2 üzerinde bulunan fa0/13 portunu yaratmış olduğumuz VLAN’a ekleyeceğiz ve Trunk sayesinde 2 switch arası VLAN’ı haberleştireceğiz.

İlk işlemimiz ile başlayalım

Switch1’e bağlantı kuruyoruz ve enable moda düşüyoruz.

Daha sonra alışkanlık olsun diye söylüyorum show vlan komutu ile Switch üzerindeki VLAN tablomuza şöyle bir göz atıyoruz.

image002

Daha sonra VTP mod ayarımız için Config mode’a geçiş yapıyoruz.

SW1# configure terminal

SW1(config)# vtp mode server

Şimdi VLAN’ımızı yaratalım.

SW1(config)#vlan 2 (Bu komutu yazdığınızda VLAN’ınız yaratılmış olacaktır)

SW1(config-vlan)#name teknik (name boşluk VLAN’ımıza atayacağımız isim. Ben Teknik yaptım)

Aşağıda fa0/11 portunun ayarını yaparken switchport access vlan 2 demekle, fa0/12 portunun yaratmış olduğum vlan 2 üzerinden haberleşeceğini yani kısacası artık bu portun vlan 2’nin üyesi olacağını belirtmiş oluyorum.

SW1(config-vlan)#interface fa0/11

SW1(config-if)#switchport access vlan 2

Unutmayın ki interface fa0/11’de PC1 vardı aynı şekilde birde Switch1’e fa0/12 portundanbağlı olan PC2 var. Aralık vermeden fa0/12 portu içinde aynı komutları yazıyoruz.

SW1(config-vlan)#interface fa0/12

SW1(config-if)#switchport access vlan 2

SW1(config-if)#     (ctrl+z) tuşlarını kullanarak enable mode dönelim ve VLAN’lara göz atalım

SW1#show vlan

image003

Evet gördüğünüz gibi switch1 üzerinde vlan 2 yarattık teknik ismini verdik ve fa0/11, fa0/12 portunu, vlan 2 içerisine dahil etmiş olduk. Zor bir şey yok.

Şimdi geçelim Switch 2 yani diğer switch’imize;

Bu switch’te ise PC3 ün bağlı olduğu fa0/13 portunu vlan 2 içerisine al diyeceğiz.

SW2# configure terminal

SW2(config)#vtp mode transparent

SW2(config)#interface fa0/13

SW2(config-if)#switchport access vlan 2

Bu komutu yazdığımız ve enter’a bastığımızda switch bize kendi üzerinde vlan 2 olmadığını ve bizim için yarattığını söyleyecektir. Ancak switchler arası Trunk portları henüz ayarlamadığımız için şu an fiziksel olarak 2 switch’te de ayrı (vlan 2) bulunmaktadır.

Evet 2. Switch’teki işimizde neredeyse bitti sayılır, burada ne yaptık yukarıdaki komutlardan anlatayım. Switch 2’nin vtp mode’unu transparent olarak ayarladık. Fa0/13 ara yüzünü vlan 2 içerisine dahil ettik.

Şimdi gelelim 2 switch arası Trunk ayarlarına.

Ben, Switch 1 ve 2 üzerindeki Trunk portlarımı fa0/24 olarak belirledim. Ayarlarına gelecek olursak.

SW1# configure terminal

SW1(config)# interface fa0/24

SW1(config-if)#switchport mode trunk

Bu sayede Switch 1 üzerindeki fa0/24 portu her zaman Trunk yapacak demektir.

Gelin kontrol edelim,

Ctrl+z yapıp enable moda gelelim

SW1#  show interface trunk yazalım ve enter’a basalım

image004

PC1 PC2 ve PC3 arası ping attığınızda sistemin çalıştığını göreceksiniz.

Kısaca Trunk Haberleşme komutlarına değinmek istiyorum,

Trunk bildiğiniz gibi VLAN’ların iki farklı switch arasında haberleşmesini sağlayan yapıydı peki komutları girerken nelere dikkat etmeliyiz.

Switchport mode komutları

Anlamı

access

Hiçbirşekilde trunk yapma (Allways don’t Trunk)

Trunk

Her zaman Trunk yap (Allways Trunk)

dynamic desirable

Karşı port Trunk onayı vermişse bunu algıladıktan sonra trunk yapar. Access onayı vermişse işlem yapmaz.

dynamic auto

Karşı portta Access onayını görmüş olsa bile bunu algılar fakat işlem yapmaz

Switchler arası trunk ayarlarınızı yaparken tablodaki komutlar hep aklınızda kalsın. İyi çalışmalar dileğiyle.

Mustafa VANGÖL

Basit Router Konfigurasyonu

Cisco cihazlar, grafiksel bir arayüze, bir wizarda sahip olmaması nedeniyle bir çok sistemci – networkcü tarafından soğuk bakılan cihazlardır. Oysa ki her şey dışarıdan bakıldığı gibi zor olmamak da ve yapılandırmanın bir ucundan başlandığı zaman çok kolay olunduğu görülmektedir.

image001

Yapılandırılması tammen komut ile olduğu için ve her bir ayar içinde birden fazla komut kullanıldığı için unutma şansımız %100 diyebiliriz. Bu düşünülerek bizlere yardımcı olacak ve en çok kullanacağımız komut ? (soruişareti) dir. Bilmediğimiz bir çok komut satırında veya komutun satır başlarında soru işaretine bastığımız zaman gerekli koşturulucak ,girilecek komutun listesinin bilgisi bizlere gösterilmektedir.

Yapılandırmaya başlamadan önce vermek istediğim bir başka ip ucu ise TAB tuşu kullanımıdır.. Bu tuşu kullanarak girmek istediğimiz bir komutun ilk iki veya aynı karakterler ile başlıyorsa eğer komutun ismine göre üç veya dördüncü karakterini yazıp, TAB tuşunu kullanırsak komutumuz otomatik olarak kendiliğinden tamamlanacaktır. Örnek olarak user moddan Privileged (Enable Mod) geçecğimiz zaman satırımıza direk Enable yazmamıza gerek kalmadan En yazıp, TAB tuşumuza basarsak ENABLE komutumuz otomatik olarak tamamlanacaktır.

Cisco cihazlar hakkında bilinmesi gereken en önemli iki ipucunu verdikden sonra bu cihazların yapılandırılmasının hiçte zor olmadığını ve sandığımız gibi soğuk cihazlar olmadığını göreceğiz. Makalemizin sonunda yapabilecek olduğumuz işlemler bir CİSCO router’a

· İsim vermek

· Routarımıza Parola tanımlamak

· Routerımıza vermiş olduğumuz parolamızı GİZLEMEK

· Uzakta bulunan Routerimiza TELNET üzerinden ulaşmak

· İnterface’lerimize IP tanımlamak

· Routerlarımıza DESCIRIPTION (Girişine mesaj) tanımlamak

· Yapmış olduğumuz ayarlarımızı KAYDETMEK

Router>

Kullanıcı modu olup Router üzerinde ki yapılandırmaları sadece görmemize yardımcı olmaktadır. Herhangi bir yapılandırma yapmamız mevcut değildir.

Router#

Privileged mode (özel mod). Routerımızın yapılandırmasını görebilir ve yapılandırailceğimiz bölümdür.

Router(config)#

Global configuration mode

Router(config-if)#

Interface mode

Router(config-subif)#

Subinterface mode

Router(config-line)#

Line mode

Router(config-router)#

Routerumuzu yapılandırabileceğimiz moddur.

Her bölümün kendine öz yapılandırma komutları vardır. Routerımız üzerinde bulunan bütün komutları, istediğimiz modlarda koşturacağımız bilgisi yanlıştır. Doğru yazmış olduğumuz bir komutu, yanlış bir modda (bölüm) altında çalıştırmaya kalkarsak bunu belirten bir hata mesajı ile karşılaşacağız.

image002

User (kullanıcı) moddan Privilege (enable) modda yükselmek için user mod içerisinde en yazıp tab tuşuna basmamız veya direk olarak enable yazıp bir üst moda geçmemiz mümkündür.

image003

Enable mod içerisinden, Global Configured (Routerimizi yapılandırma) Moduna yükseltmek için ise configure terminal (con t) yazmamız yeterlidir.

Routerimızın sahip olduğu bölümleri merdiven olarak tanımlarsak eğer, normal hayatta belki merdivenleri iki iki çıkabiliriz ama bir router üzerinde mod atlayacağımız zaman sırasıyla modları takip etmemiz gerekecektir. Örnek verirsek Kullanıcı modundan, Global Konfigürasyon moduna gidebilmek için Enable moda girmemiz kaçınılmaz bir şarttır.

image004

Routerimizin Konfigürasyon modunda Routerımıza isim vermek için hostname router ismi yazmamız yeterlidir. Vereceğimiz bu isim routerimizin bulunmuş olduğu şubenin ismi (Ank Sb. Kastamonu Şb, İstanbul Sb) Gibi isimler seçebiliriz. Resim dörtde görüldüğü üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

image005

Routerimiza Parola belirlemek için Enable mod içerisinde enable password belirlediğimiz parolamız (FAKAONLINE.COM belirlemiş olduğum paolam) yazıp enterlamamız yeterlidir.

image006

Resim 5 de belirtilen komutumuzu koşturdukdan sonra artık Enable moda (routerimizi yapılandırma bölümü) geçmek istediğimiz zaman bizden parola istemektedir. Üç sefer yanlış girme hakkımız olup, parolamızı yanlış girdiğimiz zaman bizleri kullanıcı moduna geri göndermektedir.

image007

Eğer parolamızı secret (gizli) hale getirmezsek enble mod içerisinde show runnig-config komutu koşturulduğu zaman ayarlamış olduğumuz yapılandırmamız ile birlikte bizlere parolamızı da göstermektedir.

image008

Parolamızı gizlemek için yapılandırma bölümü içerisinde enable secret parolamız (PASSWORDFAKA belirlemiş olduğum gizli parolamdır) yazmamız yeterlidir.

NOT : Burada belirlemiş olduğumuz parolamız daha önceden belirlemiş olduğumuz parolamızdan farklı olmak zorundadır ve burada belirlemiş olduğumuz parolamız daha baskın olup diğer parolamızı devre dışı bırakacaktır.

image009

Parolamızı gizledikten sonra yapılandırmamıza baktığımıza parolamızın algoritmasını bizlere göstermektedir.

image010

Uzakta bulunan subelerimizde ki routerlarımızı veya bir destek firmasıysak müsterilerimizin routerlarını merkezden, iş yerimizden yapılandırmamız gerekebilir. Uzakta yönetebilmemiz için gerekli olan servis Windows işletim sistemimizde bulunan Telnet servisimizdir. Command Promtdan routerimizin dış bacağına telnet attığımız zaman gerekli yapılandırmaları yapabiliriz. Yalnız bu işlemi yapabilmemiz için routerimiza bir parola vermemiz zounludur. Aksi takdirde routerimiza giriş yapamamaktayız. Servisin hazır olmadığını belirten bir uyarı mesajı ile karşılaşmamız kesindir.

image011

Routerımızın telnetine parola verebilmek için Konfigurasyon modundan line vty 0 4 komutunu koşturarak bağlantı yapılandırma (config-line) moduna geçiş yapıyoruz.  Bu bölüm altında koşturacak olduğumuz komut ise password belirlemiş olduğunuz parolamız (fakaonline.com benim belirlemiş olduğum telnet parolasıdır) girerek telnet şifremizi belirleyebliyoruz.

image012

Telnet parolası belirledikten sonra artık uzakda ki bir lokasyondan bu lookasyon ister şirketimiz, ister routerimiza bağlı bulunan br merkrzimi, subemiz olmaksızıb routırımızı yapılandırabiliyoruz.

image013

User mod içerisindeyken show ip interface brief (ip adreslerini göster) komutumuzu kullanarak routerımıza tanımlamış olduğumuz ip adreslerini görebiliriz.

Serial İnterface      : Routerimizin dış bacağına bağlı bulunan interfacemizdir.

Ethernet                   : Routerimizin iç bacağıdır. Bazı routerlarda Fast ethernet olarak geçmektedir.

İnterfacelerimizin sonunda bulunan rakamlar ise serial0, ethernet0, ethernet1 vb. routerımızın sahip olduğu serial veya ethernet giriş sayısını belirlemektedir. Routerımızın sahip olmuş olduğu özelliklere göre serial interface sayısı arttırılmaktadır.

Örnek verecek olursak Cisco 2800 model Router üzerinde default olarak bir adet serial interface gelmektedir ve sadece bir subeyi bağlayabiliriz. İleride bu routerimiza başka bir şubemizi daha bağlamak istediğimiz zaman yeni bir serial interface alıp üzerine montajını yaptıkdan sonra gerekli ayarlamadan sonra ikinci ve hatta 3ncü şubelerimizi bu routerimiz üzerinden birbirlerine bağlamamız mümkündür. Alacak olduğumuz Routerimizı tamamen şirketimizin yapısına ve ileriye yönelik açılacak olan şube sayımıza göre belirlememiz ileride oluşabilcek problemlere karşı çözüm olacaktır.

image014

Routerimiz üzerinde bulunan  interfacemize ip tanımlamak için sıraıyla izlenmesi gereken yol

· İnterface ethernet 0 (sıfır ethernet numaramızdır). Routerımız üzerinde bulunan 0 (sıfır) nolu interfacemizin içerisine giriyoruz.

Not : Bazı routerlarda ethernet interface yerine fastethernet olarak geçmektedir. Komutumuzu da sahip olduğumuz router özelliğine göre fastethernet0-1-2 olarak değiştirmemiz gerekecektir.

· İp addres <routerimizin sahip olacağı ip> <network maskı> girip enter tuşuna basıyoruz

· No shutdown komutu ile Ethernet0 nolu interfacemizi aktif hale getiriyoruz. Aktif hale geldikten sonra bağlantıları doğru yapıldıysa eğer interfacemizin up (çalışır) durumda olduğunu belirten otomatik bir mesaj alacağız.

· Exit komutuyla ethernet0 interfacemizin içerisinden çıkıyoruz.

image015

Serial interfacemizide aynı mantık ile yapılandırıyoruz..

image016

Yapılandırmamız dan sonra interfacelerimize vermiş olduğumuz ip leri tekrardan görebiliriz. Protokol olarak herhangi bir bağlantı yapmadığımız için serial interfacemiz bölümünde protokol down (kapalı), ethernet bölümü altında ise protokol up (çalışır durumda) olduğunu görebiliyoruz. Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır.

Protokolün ne olduğunu anlatmamız gerkirse eğer bir başka router ile bağlantı türüdür.

image017

Cisco cihazlar üzerinde yapılacak olan bağlantı türleri yukarıda bulunan resimde gözükmektedir. Bu protokol yapılandırmalarını diğer makalelerimizde değineceğiz.

image018

Routerimiz üzerinde çalışan Protokol tiplerini görmek için ise show protokols komutunu koşturmamız yeterlidir. Yukarıda belirttiğim gibi, bu resimde demiş olduğumuz açıklamayı onaylamaktadır ve Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır

image019

Telnet ile routerimiza uzaktan bağlandığımız zaman hangi şubede ki veya hangi müşterimizin routerina bağlandığımızı görmek, yanlış bir routeri yapılandırmayı önlemek için routerimizin girişine başlık koyabiliriz. Bu başlığı koymak için routerimizin konfigürasyon modunda banner motd ŞUBE ISMI komutunu koşturmamız yeterlidir.

image020

Routermiza başlık belirledikten sonra Routerimiz her yapılandırmak üzere içine girdiğimizde bizleri bu başlık karşılayacaktır.

image021

Routerimizin içine girdiğimiz zaman belirlemiş olduğumuz başlıkları ethernet portlarımıza da belirleyebiliyoruz. İsim verecek olduğumuz ethernetimizin içine girdikten sonra desciription ethertnetimizin bağlı bulunduğu departman ismi ni yazmamız yeterlidir.

image022

Routerlarımız üzerinde bu kadar ayarı yaptıkdan sonra yapmış olduğumuz ayarlar routerimiz üzerinde bulunan NWRAM veya Routerımızın özelliğine göre FLASH belleğine kaydedilmektedir. Ayarlarımızı kaydetmek için Enable mod içerisinde copy runnig-config startup-config komutunu koşturduğumuz zaman Routerimizin açılışına bu bilgilerimiz kaydedilmektedir.

image023

· Routerimiz üzerinde bulunan NWRAM imizin, Flash Belleğimizin yeterli olmadığı zamanlarda,

· Routerimizin açılışını hızlandırmak istediğimiz zamanlarda

· Veya yapmış olduğumuz yapılandırmaların bir yedeğini almak istediğimiz zamanlarda

Copy runnig-config tftp tftp server ip adresi komutunu koşturduğumuz zaman routerimiz üzerinde bulunan ve yapılandırmış olduğumuz bütün yapılandırmalar otomatik olarak belirlemiş oluğumuz TFTP serverimiza kaydedilecektir.

Bu teftp serverimiz server işletim sistemine sahip olması zorunlu değildir. Cisco cihazlarımız için TFTP server olarak belirlemiş olduğumuz makinenin üzerine TFTP server yazılım programını yüklememiz ve Routerimiza direk olarak bağlı olması, programımızın çalışır durumda olması yeterlidir.

Örnek TFTP server yazılımları WinAgentTftp, TFTPSrvc2001 , TFTPServer1-1-980730 vb. 3rd Party programları Windows XP yüklü bir makine üzerine yüklesek bile TFTP server olarak kullanabiliriz.

Görüldüğü üzere Cisco Cihazları yapılandırılması hiçde zor olmayan ve sektör içerisinde bulunacaksak eğer bir gün muhakkak karşımıza çıkacak olan yapmış olduğu işlerde kendini kanıtlamış ürünlerdir.

Yapılandırmaları modellerine göre farklılık göstersede, mantığı geçmişten beri hep aynıdır. Bilemediğimiz yerde sormuş olduğumuz soru işareti komutu olduğu sürece çıkacak her yeni routeri yapılandırmamız çok kolaydır.

Fatih KARAALİOĞLU

Cisco Routerlarımızı FIREWALL Olarak Yapılandırmak (Access List)

Günümüzde internet erişimi gerek son kullanıcılar için gerek her büyüklükde ki şirketler için vazgeçilmez kaynaklardan birisidir. İnternete erişmenin çok farklı çeşitleri vardır. Bu erişim yolları ev kullanıcıları ve küçük işletmeler için çok da karmaşık sahip olduğumuz network yapısı büyüdükçe ve karışık bir hal almaya başladıkça internete erişim metodları da bu ölçüde büyümekde ve dizayn şeklimize göre farklılıklar göstermektedir.

Yapımız büyüdükçe gerek güvenliğimiz için, gerekse yönetimini üstlenmiş olduğumuz network içerisinde ne olup bittiğinden haberdar olmak için ve hatta bazen üye olmuş olduğumuz kurum, kuruluş ve denetim yerlerinin istemiş oldukları kriterleri sağlamak içn bir takım firewall ürünlerine ihtiyaç duyabiliriz.

Bu makalemizde şube yapısı bulunan bir şirket için internet erişim yollarını açıklamaya özen gösterecek ve sahip olduğumuz ürünler çerçevesinde minimum maaliyet ile internet erişimini şirket yapımıza nasıl uygularız, nasıl güvenliğimizi sağlarızı konuşacağız. Makalemizin Ana konusu olan Access Listler (erişim listeleri) ile bir Cisco routeri firewall olarak yapılandırmadan önce konumuzla ilgili olan network ürünlerinden bahsetmemiz gerekirse.

Firewall         : Yapımızın ihtiyacı doğrultusunda gerek donanımsal gerekse yazılımsal olarak kullanabileceğimiz; Local ağımızla İnternet ağı arasında güvenli bir şekilde iletişim kurmamıza yardımcı olan, istenmeyen istekleri önleyen ve kullanmış olduğumuz ürünün özelliğine göre daha bir çok özelleştirilmiş tanım yapabileceğimiz ürünlerdir.

Router           : Günümüzde bu cihazlar gerek LAN yapımız içerisinde bulunan ve iki farklı Network ID’ sine sahip bilgisayarın bir biri ile iletişimde bulunmaları için, gerekse LAN yapımızdan dışarıya çıkmamız gerektiği zaman kullanmamız gereken ve Türkçe karşılığı olarak YÖNLENDİRİCİ olarak bilinen cihazlardır.

Bir router için bilmemiz gereken iki temel kural vardır. Bunlar

Router üzerinde kesinlikle ama kesinlikle bir GW bulunmamalıdır. (Yazılımsal routerlar için verilmiş bir açıklamadır.)

Routerlar Broadcast geçirmeyen ürünlerdir.

Firewall’lar ve Routerlar için bilinmesi gereken en önemli tek ortak nokta client bilgisayarlar; gerek yönlendirme için, gerekse güvenlik için Gateway (Ağ Geçidi) olarak bu ürünleri görmek zorundadırlar.

Not : Ortada özel bir durum yok ise eğer misal olarak bir Isa Server Proxy server olarak yapılandırıldıysa eğer Gw olarak Isa serveri görmeye veya işletim sistemimizin komut satırında gerekli yönlendirme bilgileri client bilgisayarımıza öğretildiyse client bilgisayarın GW olarak bu ürünleri görmelerine gerek yoktur.

Yazımızın ilerleyen kısmında bu yapılandırmalardan bahsedeceğimizi belirtip GW leri neden kullanacağımızı örnek ile açıklayacak olursak 192.168.0.5/24 ip adresine sahip bir bilgisayar 192.168.0.6 /24 numaralı bir bilgisayar ile görüşmek istediği zaman Network ID leri aynı olduğu zaman ki /24 olduğu için her iki bilgisayarda aynı Network içerisinde olduğu anlamına gelmektedir bu iki bilgisayar bir birleri ile görüşmek istediği zaman üzerlerinde ki GW bakmaksızın gerekli hesaplamaları yaparak hedef bilgisayar ile iletişimde bulunmaktadırlar. Ama 192.168.0.5/24 ip adresine sahip bir bilgisayarımız 192.168.1.6/24 numaralı br bilgisayara gitmek istediği zaman sahip olduğu Network ID si kendisi ile aynı olmadığı için paketi kendi networkü içerisinde aramayacak ve isteği üzerinde tanımlı olan ağ geçidine yani Gateway gönderecek ve bu Gateway üzerinde tanımlı olan gerekli yönlendirme protokoleri var ise eğer ve bağlantımız da bir propblem yoksa hedef bilgisayar ile iletişimde buluna bilecektir. Gateway konusunda bilinmesi gereken en önemli nokta ise bir bilgisayarın sahip olmuş olduğu GW mutlaka ama mutlaka kendi networkünün içerisinde olmak zorundadır.

Konumuz ile ilgili bu genel bilgileri verdikten sonra yazımıza devam edebiliriz.

image001

Mevcut yapımızdan bahsetmemiz gerekirse.

Her iki şubemiz içerisinde Cisco 1700 serisi Routerlarımız bulunmakta ve bir birlerine point-to-point olarak bağlı durumdadırlar.

Fakaonline şirketinin içerisinde bulunan bütün client bilgisayarlar 10.10.10.X Havuzu içerisindeler ve GW olarak da Solmaz Holding şirketi ile sürekli bağlantı içerisnde olan Cisco 1700 serisi Routerin Fasteth0 olan 10.10.10.54 numaralı ip adresini görmektedirler. Fakaonline Şirketinin internet erişimini karşılamak için bir adet ADSL modem networke dahil ediliyor ve IP adresi olarak da 10.10.10.2 ip adresine sahipdir. Yalnız bura da ki problem Gw olarak Routeri gören bilgisayarlar internete nasıl çıkacaklardır?

Bunun için bir çok çözüm vardır ve bizler bu makalede sırasıyla çözümleri konuşacak ve en yararlı olanı network yapımıza uygulayacağız.

image002

İlk çözüm olarak bütün client bilgisayarlarımızın Netvork kartlarına alternatif bir ip tanımlar gibi alternatif bir Gw tanımlayarak çözüm bulabliriz. Bu alternaif Gw tanımlaması işlemimiz için en kolay olanıdır ve data kayıplarının olma ihtimali düşünülerse eğer pek fazla tavsiye edilmeyen bir çözümdür.

image003

İkinci çözüm olarak; Netorkümüz içerisinde bulunan bütün client bilgisayarlarımızın Default Gw’ lerini 1700 serisi olan Cisco Routerimizin FastEth0 Portunu değil, Adsl Modemimizin sabit ipsini göstereceğiz ve Adsl Modemimiz üzerinde bir statik routing protokolü girerek ki;

Destination Ip Address     : Gitmek istediği networkü yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Ip (10.10.20.0) bloğunu yazıyoruz.

Subnet Mask                        : Gitmek istediği networkün subnet Mask’ını  yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Subnet mask 24 BIT lık bir maskdır ve 255.255.255.0 olarak yazıyoruz.

Gateway                               : Hangi routeri kullanarak Solmaz Holding’in networküne gideceğini belirliyoruz. Solmaz Holding Networkü ile iletişimde olan Routerimizin sahip olduğu Cisco Routerin  FastEth0’ ın ip (10.10.10.54) adresini yazıyoruz.

Ve bu girmiş olduğumuz statik rout’ dan sonra bütün bilgisayarlarımız Gw olarak ADSL modemimizi görecek ve internete çıkacaklar, Solmaz holdinge gitmek istediği zaman ise modemimiz Cisco Routerimiza Rout (yönlendirme) yapacak.

Bu şekilde yapacak olduğumuz bir yapılandırmanın bizlere sağlayacağı dezavantaj ise ADSL modemler Rout (yönlendirme) yapmak için dizayn edilmiş Network ürünleri değillerdir. ADSL modemlerimizin yapılış amaçları NAT yapmak ve internet erişimini sağlamak olduğu için, ve Cisco gibi kendini kanıtlamış routerlara göre çok çabuk down olma ihtimali düşünülerse eğer kullanım amacı dizaynı nı yapan sistemciye göre değişmektedir.

image004

Bir diğer çözüme geçmemiz gerekirse Windows İşletim sistemimiz üzerinde girecek olduğumuz statik route kaydıdır. Komutumuzu açıklarsak eğer.

Route add Makinemize bir statik route eklemek için kullanırız. Komutumuzun devamında olan ilk 0.0.0.0 (gidilecek yer bilinmiyorsa) bilgisayarımızın gitmek istediği yeri, mask 0.0.0.0 (gidilecek networkün subnet maskı) gidilecek yerin subnet maskı bilinmiyorsa eğer, 10.10.10.2 ADSL modemimizin ip adresini yazıyoruz Metric olarak 1 seçiyoruz. Bu kayıt girildiği zaman oluşacak olan işlemden bahsetmemiz gerekirse bilinmeyen bütün kayıtlar modem üzerinden geçiyor ve sonuçta her ADSL modem Gw olarak Turk Telekomu gördüğü için cevabın karşılığı varsa eğer internet erişimi sağlanıyor. Gw olarak da biz Solmaz Holding networkünü (10.10.20.X) bildiğimiz için Routerimiz üzerinden karşı networkümüz ile iletişimimiz sağlanıyor.

Bu girmiş olduğumuz kayıt, kaydın girilmiş olduğu bilgisayar her reset atıldığında unutulacaktır. Çözüm olarak bu kaydı bir scrip haline getirip, internet erişimi vermek istediğimiz bilgisayarın başlangıcına koymak ve her açıldığında komutumuzun yeni baştan otomatik olarak çalışmasını sağlayabiliriz..

image005

Veya komutumuza route add bölümünden hemen sonra –p (persistent (kesintisiz, sürekli) olarak yazarız ve bizler bu kaydı manuel olarak silene kadar çalışmasını sağlayabliriz.

image006

Bilgisayarımız üzerinde girilen kaytları route print komutu ile görebiliriz. Girmiş olduğumuz Persistent Route (sürekli yönlendirme) en aşağıda ki satırda görünmektedir.

image007

Bilgisayarımıza girmiş olduğumuz statik route kayıtlarını route delete komutu ile girilen yönlendirmenin devamını yazarak silebiliriz.

Yukarıda vermiş olduğumuz iki çözüm önerisine göre bu şekilde girilecek olan statik route kaydı en akıllıca olanı gibi gözükmektedir. İnternet erişimi vermek istediğimiz bilgisayarlara bu scribi uygularsak eğer, internet erişimini vermiş, fakat internet erişimleri için Networkümüzde herhangi bir  güvenlik önlemi uygulayamamış olacağız.

image008

Şirket networkümüz üzerinde internet erişimini güvenli bir şekilde sağlamak ve yukarıda sunmuş olduğumuz internet erişim çözümlerine bir yenisini daha eklemek için Isa serverimizi ekleyebilir ve İsa serverimizi Proxy Server olarak yapılandırarak hem client makinelerimizin Isa üzerinden gerekli kısıtlamalar yapılarak web kaynaklarına erişmesini, kayıtların tutulmasını ve hatta gerekli Network tanımlamaları yapılırsa Solmaz Holding Networkünün dahi Fakaonline networkü içerisinde bulunan internet erişimi ile Web kaynaklarına erişmesini sağlayabiliriz.

Yalnız yapılacak olan bu yatırım ortalama olarak Windows 2003 Yazılımı, Isa server Yazılım lisansı ve yapılanırılacak olan bilgisayarın fiyatı ile birlikte ortalama olarak 3000 USD gibi bir fiyatı bulmaktadır.

Isa Serverin bizlere sağlayacağı yararlar düşünülürse eğer bu fiyatın çok da fazla olmadığını bilmekteyiz ama her şirket yapısı için bu çözüm pekde yanaşılır bir fiyat değildir. Isa server yerine Linux’un sağladığı daha ucuz yollu Proxy server çeşitleri veya yazılımlarıda Networkümüze dahil edilebilinir.

image009

Ve biz son dizayn çeşidimize geçiyoruz. Mevcut yapımızı hiç bir değişiklik yapmadan Cisco Router üzerinden İnternet kaynaklarına erişimi sağlayacağız. Yazımızın başında olduğu gib Fakaonline networkü içerisinde bulunan bütün makineler Gw olarak Cisco 1700 Serisi Routerin FastEth0 bacağına yani 10.10.10.54 ip adresini görmektedirler. Routerimizin diğer bacağı Serial0 ile Solmaz Holding ile görüşmek üzere Telekom alt yapısına bakmaktadırlar.

image010

Routerimizin Enable Mode içerisindeyken sh ip route diyerek mevcut route tablosunu görebiliyoruz. Yukarıda ki resimden de anlaşılacağı gibi ADSL modemimiz ile ilgili herhangi bir iletişim kaydı olmadığı için internet erişimi sağlanamamaktadır.

image011

Routerimizin yapılandırma modu olan config mod içerisine geçerek bir statik route (yönlendirme) kaydı giriyoruz. Bu kaydımız Windows işletim sisteminde girmiş olduğumuz route add komutuyla hemen hemen aynıdır. Girmiş olduğumuz komut ip route 0.0.0.0 (gidilecek olan network bilinmiyorsa) ikinci olan 0.0.0.0 ise gidilecek olan networkün subnet maskı bilinmiyorsa 10.10.10.2 numaralı ip (modemimize) adresine yönlendir.

Girmiş olduğumuz bu kayıtsan sonra routerimiz üzerinden internet erişimine çıkışımız sağlanmış olmaktadır. Routerimiz Solmaz Holding networkünü biliyor ve Modemimize yönlendirme yapmadan Serial 0 bacağından karşı networke route (yönlendirme) yapmakta ve herhangi bir internet sayfasının ip adresini bilmediği için de modemimize soruyor ve modemimiz ise Gw olarak TurkTelekomun kendisine bakan bacağını gördüğü için internet erişimini sağlamış oluyor.

Kayıt girildikten sonra tekrardan enable mode içerisinde sh ip route komutunu yazdığımız zaman en aşağıda olan Sub Zero kaydını ki Cisco mataryellerinde hedefi bilinmeyen paketleri yönlendirmek için girilen kayıt olarak geçer ve S* olarak ifade edilmektedir görebiliyoruz.

Artık networkümüzün yapısına hiçbir müdahale etmeden sadece Gw olarak Cisco Routerimizi gören bütün bilgisayarların bu kayıt sayesinde internete erişimlerini sağlamaktayız.

Routerların asıl amaçlarını yazımızın başında da belirttiğimiz gibi sadece bir noktadan bir noktaya yönlendirme yapmaktır. Bizler sub zero kaydı girerek bir noktadan bir çok nokta olan internete route etmeyi başardık. Ve bilindiği üzere Cisco routerlar üzerinde güvenlik için kullanılan Accest Listler (erişim listeleri) mevcutudur ve girilen kayıtlar neticesinde bir yerden bir yere gider iken gelen paketin, gidecek paketin, nereden hangi yol üzerinden hangi iletişim protokolünü kullanarak yönlendireceğini veya kısıtlayacağını belirlememize, networkümüzün güvenlini sağlamamıza yardımcı olan komutlar vardır. Bizler bu komutları kullanarak Bir Cisco Routerimizi; bir Cisco PİX, ASA veya bir başka donanımsal veya yazılımsal bir Firewall olarak yapılandıramasakda basit anlamda bir Cisco Routeri Firewall olarak yapılandırabileceğiz.

Accest Listleri basit anlamda anlatmamız gerekirse, yazılma çeşitlerine göre Standart ve Extended olarak ikiye ayırabiliriz.

Standart Acces listler uygulanan ip pakelerinin tüm prtokoller için geçerli olup, uygulanmak istenen adresin kaynağına (source) bakılarak engelleme yapılır.

Extended Acces listler ise uygulanan ip paketlerinin protokol (port) bazlı (sadece web erişim portuna 80 , telnet portuna 23, Rdp portuna 3389, FTP Portuna 21 vb. ) engelleme yapılmak için uygulanır ve hedefe (destination) en yakın yere uygulanmaktadır.

image012

Yukarıda ki resimde de görüldüğü gibi default olarak hiç bir router üzerinde herhangi bir access List uygulanmamıştır ve yapılandırmalar neticesinde bütün yönlendirmelere izin vermektedir.

Şimdi Adım adım bir routerimizin üzerinden geçen internet erişimlerini, IP bazlı engelleyelim.

Bu yapılandırmada bilmemiz gereken en önemli nokta bu accest listler ile ne bir Cisco Pix gibi geniş çaplı bir Firewall nede bir ISA server gibi içerik engelleyici (web filteri, içerik engelleme, Url yönlendirme vb.) işlemleri yapmamız mümkün değildir.

Yapacağımız Accest Listler ile bir donanımsal Firewall’ a sahip olduğumuzu düşünelim ve yazılımsal bir Firewall olan Isa server ile routerimiz üzerinde ki Firewall’ı kıyaslayalım.

Isa Server bir Yazılımsal Firewall dır ve network içersinde bulunan kullanıcıları, eğer Domain yapısına üye olarak yapılandırıldıysa isim bazlı engelleme dahi yapabilmektedir. Routerimiz ise Osi katmanları çerçevesinde Layer 1-2 ve 3 ncü katmanında çalıştığı için ve OSI katmanları içerisinde sadece IP ce mac adreslerini tanıdığı için sadece ama sadece IP ve Port bazlı engelleme yapabilmektedir.

Isa Serverimiz Yazılımsal olduğu için içerik engelleme konusunda web sayfaları üzerinde bulunan istenmeyen içerikleri tanımakta, bilmekte ve bu sayede istenmyen dosya uzantılarını bildiği için içeriğini engellemektedir, Routerimiz ise gene Osi katmanlarının 1,2 ve 3 ncü katmanında çalıştığı için bu içerik engellemeyi tanımadığı için yapamayacaktır.

Kısacası Isa serverin yapmış olduğu gibi Osi katmanlarında bulunan Layer 4-5-6 ve 7 nci katmana çıkmadan IP ve Port bazlı bütün engellemeleri yapabileceğiz. Zaten Cisco Pix, Asa dahi bu şekilde çalışmakda olup Osi nin diğer katmanları ile ilgili diğer engellmeler yapılmak istenildiği zaman Websense gibi yazılımsal bir program ile bütünleşik çalışarak Firewall hizmetini sunmaktadır.

Bu kısa bilgiyi verip Accest Listler ile çok fazla şeyler beklememeniz konusunda gerekli uyarıyı yaptıkdan sonra Cisco Routerimizi Firewall olarak yapılandırmamıza başlayabiliriz.

image013

İlk olarak routerimizin yaplandırma bölümü olan Config Mod içerisinde access-list diyoruz ve komutun devamını bilmediğimizi düşünerek soru işaretine basıyoruz.

Çıkan menüde kullanabileceğimiz komutlar karşımıza çıkmaktadır. Biz port bazlı engelleme yapacağımız için Extended accesst list kullanacağız ve access listlerin kullanmış olduğu numarayı bizlere göstermektedir. 100 ile 199 arasında herhangi bir access list numarasını kendimize belirliyoruz. Bu bölümü daha kolay açıklamak için Isa server üzerinde kural oluşturduğumuz zaman kuralımıza vermiş olduğumuz isme benzetebiliriz.

image014

Komutumuzun devamına 101 diyerek tekrardan komutun devamı için soru işareti ile ihtimalleri soruyoruz. Yapmak istediğimiz Access List engelleme olacağı için deny diyerek komutumuzu (kuralımızı) yazmaya devam ediyoruz.

image015

TCP bazlı bir engelleme yapacağımızı belirtiyoruz. Komutumuzun devamına gerekli olan TCP yazıp soru işareti ile tekrardan komutumuzun devamını yazmaya devam ediyoruz.

image016

Sıra geldi kimi engelleyeceğiz. Engellenecek olan kaynak bilgisayarı belirtiyoruz. Sadece tek bir Host’u (bilgisayarı) engelleyeceğim için host yazarak devam ediyorum.

Diğer kural yazımı ile bilgi vermem gerekirse eğer A.B.C.D olarak yazılı olanı kullanırsam eğer kaynak bilgisayarın ip adresini yazıp subnet maskı Wild Card Mask (mevcut subnetin tam tersi yazılımı ile kullanmam gerekecekti ki yani subnetin 0 rakamlarının 1 ler rakamı grubu ile yer değişmesi sonucu oluşacak olan subnet maskını yazmam gerekecekti.)

Örnek :

Subnet mask : 255.0.0.0 Wild Card Mask : 0.255.255.255

Subnet mask : 255.255.0.0 Wild Card Mask : 0.0.255.255

Subnet mask : 255.255.255.0 Wild Card Mask : 0.0.0.255

Subnet mask : 255.255.128.0 Wild Card Mask : 0.0.127.255

Veya any dersem eğer ileride uygulayacak olduğum bu Accest Listi, uygulayacak olan interfacemin bağlı olduğu bütün bilgisayarları kapsayacağını belirtecektim.

Komutumuza Host diyerek devam ediyorum. Tek bir bilgisayarı engelleyeceğim.

image017

Engellemeyi uygulayacak olduğumuz hostun sahip olduğu ip adresini (10.10.10.112 numaralı ip adresine sahip bilgisayara kısıtlama uygulayacağım) yazdıktan sonra tekrardan soru işaretini yazarak devamında gelecek olan soruyu soruyorum ve nereye giderken engelleneceğini soruyor bizere. Cevabımız any (herhangi bir yere giderken, web erişimini kısıtlayacağım için herhangi bir yere diyerek her yeri kısıtlıyorum)

Bu bölümde eğer belirli web sayfalarının kısıtlanmasını istiyorsak, gerekli sayfaların ip adreslerini A.B.C.D cinsinden olarak Wild Card mask girerek uygulayabiliriz. Tabi burada da şöyle bir problem ortaya çıkmaktadır. Örnek olarak bizler google nin 66 bloklu ip adresinden sahip olduğu bölümü yazarsak, google web sayfası birden fazla ip adresine sahip olduğu için diğer ip bloğun dan hostumuzun isteğine cevap verecetir. Veya şöyle bir seçenek varmı diye soranlar olursa eğer; Isa server için bir çok web sayfasında bulunan URL listeler bu accesst listler içinde IP bazlı olarak varmıdır? Şayet ben görmedim J

image018

Yazmış olduğumuz kural bir extended access list olduğu için port bazlı yapılandırmış oluyoruz ve port numarasını girebilmek için eq yazarak port numarası yazmak üzere komutumuza devam ediyoruz.

image019

Eğer yasaklamak istediğimiz protokolün kullanmış olduğu port numarasını biliyorsak direk olarak yazabiliriz, şayet bilmiyorsak daha önceden yaptığımız gibi soru işareti sorarak kullana bileceğimiz port isimlerini bizlere göstermektedir. Bizler web erişimini yasaklayacağımız için 80 portunu yazıyoruz. 80 numaralı www (web erişim portu) listenin en altlarındadır. Güncel port numaralarını http://www.iana.org/assignments/port-numbers adresini ziyaret ederek öğrenebilirsiniz.

image020

Ve sonunda kuralımızı yazmayı tamamlamış bulunmaktayız. Yazmış olduğumuz kuralımızı açıklayacak olursak eğer.

Access-list 101 extended bir erişim kuralı olduunu yani port veya protokol bazlı engelleme veya izin verebileceğimizi, deny bu access listin bir yasak kuralı olduğunu, engellemenin TCP protokolü ile yapılacaını host 10.10.10.112 ise bu yasak kuralının bu ip adresine sahip bilgisayara uygulanacağını, any herhangi bir yani bütün hedeflere uygulanacağını eq 80 ise web erişimleri için olduğunu bizlere söylemektedir.

NOT : Access listleri yazmasını biliyorsak eğer yukarıda ki resimde ki gibi direk komutu yazabiliriz. Ben makale yazımını konuyu açıklayarak yaptığım için her bölüm için soru işareti girerek yazmayı uygun gördüm.

Bizler bu accest listi yazdık ama henüz uygulamadık. Access listler ile bilinmesi gereken iki ana kural vardır ve bunların birincisi

Hazırlanan bütün access listler muhakkak bir interfaceye ki kuralın standart veya extended olma özellğiine göre hedefin destination (hedef) bölümüne veya source (kaynak) ‘ ın en yakın yerine uygulanmalıdır.

İkincisi ise bir accesst list yazılmadan önce bir router üzerinde bulunan bütün yönlendirmeler çerçeveside girilen kayıtları gerçekleştirmekteydi. Bizler access listleri yazıp uyguladık dan sonra artık yönlendirmenin haricinde güvenlik için access listlere de bakılması konusunda istemeden de olsa bir kural girmiş olduk. Bunun da açılımı biz access listimize herhangi bir permit (izin kuralı) yazmak ise eğer ilgili hostun sadece web erişimini yasaklamış olmuyor router üzerinden geçen bütün yönlendirmelerin yasaklanmış olduğunu belirtiyoruz. Ve routerimiz üzerinde daha önceden uyguladığımız kuralların işlemine devam edebilmesi için bir izin kuralı yazmamız şarttır.

image021

Yazmış olduğumuz yeni access list bir önceki access listimiz deki gibi aynı grubdan (101) ve izin kuralıdır. Her hangibir yerden herhangibir yere giderken izin verilmiştir.

image022

Routerimizin enable modunda iken uygulanan access listleri sh run komutu ile görebiliyoruz. Yukarıda belirtmiş olduğumuz izin kuralını biraz daha açıklamak gerekirse. Routerimiz ilk satırda gerekli host için web erişimini yasakladı. 10.10.10.112 ip numaralı bilgisayar web erişimine gideceği için bu kurala takılacak ve web kaynaklarına erişemeyecek. Pekala network içerisinde bulunan diğer makineler 10.10.10.112 ip adresi haricinde ki diğer makinelere bu kural uygulanacak mı? Elbette ki hayır. Onun için yukarıdan aşağıya doğru uygulanan kurallar sırasıyla kontrol edilecek. Biz ikinci satırda yazmış olduğumuz izin kuralını yazmasaydık eğer routerimiz access listleri uygulamadan önce ki gibi geçişe izin vermeyecek, gerekli işlemin, yönlendirmenin amacı bilinmediği için access listlerin tabi özelliği olan implicit deny güvenlik için bilmediğim eyleme izin vermedim, yok ettim kuralını uygulayacaktı. Bunu daha iyi anlamak için Isa nın default rule’ sini göz önüne getirin ve en alt bölümde olması gereken bütün erişimlerin yasaklandığı kuralına benzetebiliriz.

Isa Serverden örnek vermişken eğer bizler birden fazla izin kuralı yazsaydık Isa serverin Up (kuralı bir üstteki kuralın üstüne almak) down (kuralı bir önceki kuralın altına almak ) gibi bir kolaylığı Routerimizin Access listlerin de yoktur. Bu şekilde kuralımıza örnek olarak bir başka hostuda engellemek istersek eğer ilk önce permit kuralını sileceğiz, daha sonra ilgili host için deny kuralını yazacağız ve tekrardan paketlerin implicit deny kuralına mağruz kalıp yok edilmemeleri için bir permit (izin) kuralı yazacağız veya routerimizin üzerinde bulunan sh run komutu ile access listleri bir yazı düzenleyicisinin (word vb.) içine alıp gerekli düzenlemeleri yapıp tekrardan routerimizin içine kopyalayacağız.

image023

Yazımızın daha önce ki bölümünde access listlerin çalışabilmesi için muhakkak bir interfacesine uygulanması gerektiğini belirtmiştik. Routerimizin uygulanması gereken interfacesi sub zero kaydının (yönlendirmenin) olduğu fast eth0 network kartıdır. FastEth0 Networkünün içerisine girp yazmış olduğumuz access listin uygulanması için ip access-group 101 (oluşturduğumuz extended access listin numarasını) yazıyoruz ve  network kartımızın girişine uyguluyoruz.

image024

Access Listin uygulanması ile birlikte routerimiz 10.10.10.112 hostu için 80 portunu kullanan web erişimini yasaklamaktadır ve bu ip adresine sahip hostumuz artık 80 portu üzerinden web kaynaklarına erişemiyor ama 21 numaralı protokolü kullanan FTP hizmetini yukarıda görüldüğü gibi hizmete sunmaktadır. Eğer biz FTP prokolünüde yasaklamak istersek eğer permit (izin) kuralımızın hemen üzerinde olmak şartıyla

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 80

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 21

Router(config)#access-list 101 permit ip any any yazıp uygulamamız gerekecek.

Bu işlemden sonra host makinenemiz hem FTP hemde Web erişimini gerçekleştiremeyecek ama bu seferde pop3 (25 numaralı protokol), smtp (110), RDP (3389) gibi protokolleri kullanabilecekitir.

İhtiyacımıza göre bu protokolleri tek tek yasaklayabiliriz. Yasaklamadığımız bütün protokoller haricinde kalan protokoller ise en alt satırda bulunan permit kuralına tabi tutularak izin verilecektir.

image025

Networkümüz içerisinde bulunan diğer bilgisayarların internet erişimlerini kontrol ettiğimiz de ise 10.10.10.113 numaralı ip adresine sahip bilgisayarın herhangi bir yasaklama kuralına takılmadan web ve diğer kaynaklara erişimde bulunduğunu görebilmekteyiz.

image026

Standart Access Listlere geçmeden önce Extended Access Listlerin kullanım amaçlarını toparlayacak olursak Extended Access Listler Port ve Protokol bazlı kural uygulamamıza imkan tanıyan ve uygulanma yeri olarak kaynağa en yakın yere uygulanan access listlerdir. Bu kaideye göre yazmış olduğumuz access listi biz kaynağımıza (fakaonline networkü içerisinde bulunan ve web erişimini yasaklamış olduğumuz bilgisayardır) en yakın yere (routerimizin kaynak bilgisayarın iletişim kurmuş olduğu en yakın yeri olan FastEth0 portu) uyguladık.

Standart Access Listler ise engellenmek istenen bilgisayarın,networkün iletişimde kulunmak istediği bütün protokol ve portlar için geçerli olup hedefe en yakın yere uygulanan access listlerdir. Yukarıda ki resime göre yazacak olduğumuz standart Access List örneği Solmaz Holding Network’ü içerisinde bulunan 10.10.20.100 ip adresine sahip bilgisayarın, Fakaonline networkü ile iletişimde bulunmasını istemiyoruz ve bu bilgisayar için yazmış olduğumuz standart access listi hedefe yani Solmaz Holding networkü içerisinde bulunan 10.10.20.100 ip adresli bilgisayarın bizim networkümüz ile iletişimde bulunan en yakın yer olan Fakaonline Networkü içerisinde bulunan Cisco Routerimizin Serial0 İnterfacesine uygulayacağız.

image027

Standart Access listler 1ile 99 numarasına sahip oldukları için bu numaralar arasında bir numara veriyoruz. Daha önceden belirttiğimiz gibi Isa server daki kural yazımı çin vermiş olduğumuz kural ismine benzetebiliriz. 5 numarasını uygun gördüm ve kuralımızın devamında engelleme kuralı (deny) olduğunu belirttim ve engellenecek olan bilgisayarı bu sefer wild card maskıni girerek uyguladım. Eğer wild vard mask uygulamasaydım kuralımızı access-list 5 deny host 10.10.20.100 olarak yazabilirdim.

Bu access listi kaynağa yani engellenmek istenen makinenin, korumak istediğiimiz makine-network ile iletişimde bulunduğu en yakın yer olan Routerimiz üzerinde ki Serial İnterfacemize uyguluyoruz.

Bu kuraldan sonra artık Solmaz Holding Networkü içerisinde bulunan 10.10.20.100 ip numaralı bilgisayar fakaonline networkü ile görüşemeyecektir. Eğer biz Solmaz holding networkünün tamamının fakaonline networkü ile görüşmesini istemeseydik veya Solmaz holding içerisinde gerekli VLAN tanımlamaları yapılmış olsaydaı gerekli networkü engellemek için 10.10.20.0 0.0.0.255 olarak yazıp solmaz holding içerisinde bulunan bütün networkü yasaklamış olacaktık.

Yukarıda ki access listleri itiyacınız doğrultusunda doğru bir şekilde yapılandırırsak eğer şirket bütçemize ek bir maaliyet çıkartmadan bir Firewall’a sahip olmamız kaçınılmaz gibi gözükmektedir.

image028

Fakat bu yapılandırma sırasında bizlere en çok sıkıntı yaşatacak olan kısım IP numaralarını tanımlama ve bu tanımlama sırasında oluşacak olan karışıklıkdır. Yazımızın başlarında Routerlar OSI katmanları çerçevesinde Layer 1,2 ve 3 ncü katmanında çalıştıkları için isim çözümlemesi yapamayacaklarını söylemiştik. Eğer daha önceden Routerimizi sistemimiz içerisinde var olan bir DNS serveri tanıtırsak bu problemi de ortadan kaldırmış olacağız ve artık isim bazlı kısıtlamada yapabilecek duruma gelmiş olacağız.

Eğer ortamımız içerisinde bir DNS server yok ise eğer yukarıda ki resimde görüldüğü gibi routerimiz isim çözümlemesini gerçekleştiremeyecektir.

image029

Routerimiz IP adresi olarak 10.10.10.2 numaralı bilgisayarı tanımakta ve bu bilgisayar ile ileşimde bulunmaktadır. Yukarıda ki resimde görüldüğü gibi routerimiz host bilgisayarımız ile PING yolu ile ileişimde bulunabilmektedir.

image030

Biz bu bilgisayarın kullanıcısının ismini biliyorsak ve manuel olarak bu bilgisayarı kullanan kişinin ismini Routerimiza yukarıda ki resimde bulunan komutdaki gibi tanımlama (ip host bilgisayar kullanıcısının isimi kullanmış olduğu blgisayarın ip numarası) yaparsak routerimiz artık bu bilgisayarı isim bazlı olarak çözümleme yapacaktır. Bu komutumuzuda Client bilgisayarlarımızın lmhost bölümüne girmiş olduğumuz manuel kayıtlara benzetebiliriz.

image031

Girmiş olduğumuz kayıtdan sonra görüldüğü gibi artık routerimiz isim yolu ile bilgisayara ulaşmaktadır.

image032

Girmiş olduğumuz bu kaydı access list yazaraken de kullanmakta ve komut yazımında bizlere kolaylık sağlamaktadır.

Fatih KARAALİOGLU