Etiket arşivi: cisco konfigürasyon

Basit Router Konfigurasyonu

Cisco cihazlar, grafiksel bir arayüze, bir wizarda sahip olmaması nedeniyle bir çok sistemci – networkcü tarafından soğuk bakılan cihazlardır. Oysa ki her şey dışarıdan bakıldığı gibi zor olmamak da ve yapılandırmanın bir ucundan başlandığı zaman çok kolay olunduğu görülmektedir.

image001

Yapılandırılması tammen komut ile olduğu için ve her bir ayar içinde birden fazla komut kullanıldığı için unutma şansımız %100 diyebiliriz. Bu düşünülerek bizlere yardımcı olacak ve en çok kullanacağımız komut ? (soruişareti) dir. Bilmediğimiz bir çok komut satırında veya komutun satır başlarında soru işaretine bastığımız zaman gerekli koşturulucak ,girilecek komutun listesinin bilgisi bizlere gösterilmektedir.

Yapılandırmaya başlamadan önce vermek istediğim bir başka ip ucu ise TAB tuşu kullanımıdır.. Bu tuşu kullanarak girmek istediğimiz bir komutun ilk iki veya aynı karakterler ile başlıyorsa eğer komutun ismine göre üç veya dördüncü karakterini yazıp, TAB tuşunu kullanırsak komutumuz otomatik olarak kendiliğinden tamamlanacaktır. Örnek olarak user moddan Privileged (Enable Mod) geçecğimiz zaman satırımıza direk Enable yazmamıza gerek kalmadan En yazıp, TAB tuşumuza basarsak ENABLE komutumuz otomatik olarak tamamlanacaktır.

Cisco cihazlar hakkında bilinmesi gereken en önemli iki ipucunu verdikden sonra bu cihazların yapılandırılmasının hiçte zor olmadığını ve sandığımız gibi soğuk cihazlar olmadığını göreceğiz. Makalemizin sonunda yapabilecek olduğumuz işlemler bir CİSCO router’a

· İsim vermek

· Routarımıza Parola tanımlamak

· Routerımıza vermiş olduğumuz parolamızı GİZLEMEK

· Uzakta bulunan Routerimiza TELNET üzerinden ulaşmak

· İnterface’lerimize IP tanımlamak

· Routerlarımıza DESCIRIPTION (Girişine mesaj) tanımlamak

· Yapmış olduğumuz ayarlarımızı KAYDETMEK

Router>

Kullanıcı modu olup Router üzerinde ki yapılandırmaları sadece görmemize yardımcı olmaktadır. Herhangi bir yapılandırma yapmamız mevcut değildir.

Router#

Privileged mode (özel mod). Routerımızın yapılandırmasını görebilir ve yapılandırailceğimiz bölümdür.

Router(config)#

Global configuration mode

Router(config-if)#

Interface mode

Router(config-subif)#

Subinterface mode

Router(config-line)#

Line mode

Router(config-router)#

Routerumuzu yapılandırabileceğimiz moddur.

Her bölümün kendine öz yapılandırma komutları vardır. Routerımız üzerinde bulunan bütün komutları, istediğimiz modlarda koşturacağımız bilgisi yanlıştır. Doğru yazmış olduğumuz bir komutu, yanlış bir modda (bölüm) altında çalıştırmaya kalkarsak bunu belirten bir hata mesajı ile karşılaşacağız.

image002

User (kullanıcı) moddan Privilege (enable) modda yükselmek için user mod içerisinde en yazıp tab tuşuna basmamız veya direk olarak enable yazıp bir üst moda geçmemiz mümkündür.

image003

Enable mod içerisinden, Global Configured (Routerimizi yapılandırma) Moduna yükseltmek için ise configure terminal (con t) yazmamız yeterlidir.

Routerimızın sahip olduğu bölümleri merdiven olarak tanımlarsak eğer, normal hayatta belki merdivenleri iki iki çıkabiliriz ama bir router üzerinde mod atlayacağımız zaman sırasıyla modları takip etmemiz gerekecektir. Örnek verirsek Kullanıcı modundan, Global Konfigürasyon moduna gidebilmek için Enable moda girmemiz kaçınılmaz bir şarttır.

image004

Routerimizin Konfigürasyon modunda Routerımıza isim vermek için hostname router ismi yazmamız yeterlidir. Vereceğimiz bu isim routerimizin bulunmuş olduğu şubenin ismi (Ank Sb. Kastamonu Şb, İstanbul Sb) Gibi isimler seçebiliriz. Resim dörtde görüldüğü üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

üzere komutumuzdan sonra satırımızın başında Routerimizin ismi yazmaktadır.

image005

Routerimiza Parola belirlemek için Enable mod içerisinde enable password belirlediğimiz parolamız (FAKAONLINE.COM belirlemiş olduğum paolam) yazıp enterlamamız yeterlidir.

image006

Resim 5 de belirtilen komutumuzu koşturdukdan sonra artık Enable moda (routerimizi yapılandırma bölümü) geçmek istediğimiz zaman bizden parola istemektedir. Üç sefer yanlış girme hakkımız olup, parolamızı yanlış girdiğimiz zaman bizleri kullanıcı moduna geri göndermektedir.

image007

Eğer parolamızı secret (gizli) hale getirmezsek enble mod içerisinde show runnig-config komutu koşturulduğu zaman ayarlamış olduğumuz yapılandırmamız ile birlikte bizlere parolamızı da göstermektedir.

image008

Parolamızı gizlemek için yapılandırma bölümü içerisinde enable secret parolamız (PASSWORDFAKA belirlemiş olduğum gizli parolamdır) yazmamız yeterlidir.

NOT : Burada belirlemiş olduğumuz parolamız daha önceden belirlemiş olduğumuz parolamızdan farklı olmak zorundadır ve burada belirlemiş olduğumuz parolamız daha baskın olup diğer parolamızı devre dışı bırakacaktır.

image009

Parolamızı gizledikten sonra yapılandırmamıza baktığımıza parolamızın algoritmasını bizlere göstermektedir.

image010

Uzakta bulunan subelerimizde ki routerlarımızı veya bir destek firmasıysak müsterilerimizin routerlarını merkezden, iş yerimizden yapılandırmamız gerekebilir. Uzakta yönetebilmemiz için gerekli olan servis Windows işletim sistemimizde bulunan Telnet servisimizdir. Command Promtdan routerimizin dış bacağına telnet attığımız zaman gerekli yapılandırmaları yapabiliriz. Yalnız bu işlemi yapabilmemiz için routerimiza bir parola vermemiz zounludur. Aksi takdirde routerimiza giriş yapamamaktayız. Servisin hazır olmadığını belirten bir uyarı mesajı ile karşılaşmamız kesindir.

image011

Routerımızın telnetine parola verebilmek için Konfigurasyon modundan line vty 0 4 komutunu koşturarak bağlantı yapılandırma (config-line) moduna geçiş yapıyoruz.  Bu bölüm altında koşturacak olduğumuz komut ise password belirlemiş olduğunuz parolamız (fakaonline.com benim belirlemiş olduğum telnet parolasıdır) girerek telnet şifremizi belirleyebliyoruz.

image012

Telnet parolası belirledikten sonra artık uzakda ki bir lokasyondan bu lookasyon ister şirketimiz, ister routerimiza bağlı bulunan br merkrzimi, subemiz olmaksızıb routırımızı yapılandırabiliyoruz.

image013

User mod içerisindeyken show ip interface brief (ip adreslerini göster) komutumuzu kullanarak routerımıza tanımlamış olduğumuz ip adreslerini görebiliriz.

Serial İnterface      : Routerimizin dış bacağına bağlı bulunan interfacemizdir.

Ethernet                   : Routerimizin iç bacağıdır. Bazı routerlarda Fast ethernet olarak geçmektedir.

İnterfacelerimizin sonunda bulunan rakamlar ise serial0, ethernet0, ethernet1 vb. routerımızın sahip olduğu serial veya ethernet giriş sayısını belirlemektedir. Routerımızın sahip olmuş olduğu özelliklere göre serial interface sayısı arttırılmaktadır.

Örnek verecek olursak Cisco 2800 model Router üzerinde default olarak bir adet serial interface gelmektedir ve sadece bir subeyi bağlayabiliriz. İleride bu routerimiza başka bir şubemizi daha bağlamak istediğimiz zaman yeni bir serial interface alıp üzerine montajını yaptıkdan sonra gerekli ayarlamadan sonra ikinci ve hatta 3ncü şubelerimizi bu routerimiz üzerinden birbirlerine bağlamamız mümkündür. Alacak olduğumuz Routerimizı tamamen şirketimizin yapısına ve ileriye yönelik açılacak olan şube sayımıza göre belirlememiz ileride oluşabilcek problemlere karşı çözüm olacaktır.

image014

Routerimiz üzerinde bulunan  interfacemize ip tanımlamak için sıraıyla izlenmesi gereken yol

· İnterface ethernet 0 (sıfır ethernet numaramızdır). Routerımız üzerinde bulunan 0 (sıfır) nolu interfacemizin içerisine giriyoruz.

Not : Bazı routerlarda ethernet interface yerine fastethernet olarak geçmektedir. Komutumuzu da sahip olduğumuz router özelliğine göre fastethernet0-1-2 olarak değiştirmemiz gerekecektir.

· İp addres <routerimizin sahip olacağı ip> <network maskı> girip enter tuşuna basıyoruz

· No shutdown komutu ile Ethernet0 nolu interfacemizi aktif hale getiriyoruz. Aktif hale geldikten sonra bağlantıları doğru yapıldıysa eğer interfacemizin up (çalışır) durumda olduğunu belirten otomatik bir mesaj alacağız.

· Exit komutuyla ethernet0 interfacemizin içerisinden çıkıyoruz.

image015

Serial interfacemizide aynı mantık ile yapılandırıyoruz..

image016

Yapılandırmamız dan sonra interfacelerimize vermiş olduğumuz ip leri tekrardan görebiliriz. Protokol olarak herhangi bir bağlantı yapmadığımız için serial interfacemiz bölümünde protokol down (kapalı), ethernet bölümü altında ise protokol up (çalışır durumda) olduğunu görebiliyoruz. Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır.

Protokolün ne olduğunu anlatmamız gerkirse eğer bir başka router ile bağlantı türüdür.

image017

Cisco cihazlar üzerinde yapılacak olan bağlantı türleri yukarıda bulunan resimde gözükmektedir. Bu protokol yapılandırmalarını diğer makalelerimizde değineceğiz.

image018

Routerimiz üzerinde çalışan Protokol tiplerini görmek için ise show protokols komutunu koşturmamız yeterlidir. Yukarıda belirttiğim gibi, bu resimde demiş olduğumuz açıklamayı onaylamaktadır ve Bağlantılar doğru olduğu zaman, Routerimizi GW olarak gösteren bütün host makinlerimiz routerimiza ulaşabilir durumda olacaktır

image019

Telnet ile routerimiza uzaktan bağlandığımız zaman hangi şubede ki veya hangi müşterimizin routerina bağlandığımızı görmek, yanlış bir routeri yapılandırmayı önlemek için routerimizin girişine başlık koyabiliriz. Bu başlığı koymak için routerimizin konfigürasyon modunda banner motd ŞUBE ISMI komutunu koşturmamız yeterlidir.

image020

Routermiza başlık belirledikten sonra Routerimiz her yapılandırmak üzere içine girdiğimizde bizleri bu başlık karşılayacaktır.

image021

Routerimizin içine girdiğimiz zaman belirlemiş olduğumuz başlıkları ethernet portlarımıza da belirleyebiliyoruz. İsim verecek olduğumuz ethernetimizin içine girdikten sonra desciription ethertnetimizin bağlı bulunduğu departman ismi ni yazmamız yeterlidir.

image022

Routerlarımız üzerinde bu kadar ayarı yaptıkdan sonra yapmış olduğumuz ayarlar routerimiz üzerinde bulunan NWRAM veya Routerımızın özelliğine göre FLASH belleğine kaydedilmektedir. Ayarlarımızı kaydetmek için Enable mod içerisinde copy runnig-config startup-config komutunu koşturduğumuz zaman Routerimizin açılışına bu bilgilerimiz kaydedilmektedir.

image023

· Routerimiz üzerinde bulunan NWRAM imizin, Flash Belleğimizin yeterli olmadığı zamanlarda,

· Routerimizin açılışını hızlandırmak istediğimiz zamanlarda

· Veya yapmış olduğumuz yapılandırmaların bir yedeğini almak istediğimiz zamanlarda

Copy runnig-config tftp tftp server ip adresi komutunu koşturduğumuz zaman routerimiz üzerinde bulunan ve yapılandırmış olduğumuz bütün yapılandırmalar otomatik olarak belirlemiş oluğumuz TFTP serverimiza kaydedilecektir.

Bu teftp serverimiz server işletim sistemine sahip olması zorunlu değildir. Cisco cihazlarımız için TFTP server olarak belirlemiş olduğumuz makinenin üzerine TFTP server yazılım programını yüklememiz ve Routerimiza direk olarak bağlı olması, programımızın çalışır durumda olması yeterlidir.

Örnek TFTP server yazılımları WinAgentTftp, TFTPSrvc2001 , TFTPServer1-1-980730 vb. 3rd Party programları Windows XP yüklü bir makine üzerine yüklesek bile TFTP server olarak kullanabiliriz.

Görüldüğü üzere Cisco Cihazları yapılandırılması hiçde zor olmayan ve sektör içerisinde bulunacaksak eğer bir gün muhakkak karşımıza çıkacak olan yapmış olduğu işlerde kendini kanıtlamış ürünlerdir.

Yapılandırmaları modellerine göre farklılık göstersede, mantığı geçmişten beri hep aynıdır. Bilemediğimiz yerde sormuş olduğumuz soru işareti komutu olduğu sürece çıkacak her yeni routeri yapılandırmamız çok kolaydır.

Fatih KARAALİOĞLU

Cisco Routerlarımızı FIREWALL Olarak Yapılandırmak (Access List)

Günümüzde internet erişimi gerek son kullanıcılar için gerek her büyüklükde ki şirketler için vazgeçilmez kaynaklardan birisidir. İnternete erişmenin çok farklı çeşitleri vardır. Bu erişim yolları ev kullanıcıları ve küçük işletmeler için çok da karmaşık sahip olduğumuz network yapısı büyüdükçe ve karışık bir hal almaya başladıkça internete erişim metodları da bu ölçüde büyümekde ve dizayn şeklimize göre farklılıklar göstermektedir.

Yapımız büyüdükçe gerek güvenliğimiz için, gerekse yönetimini üstlenmiş olduğumuz network içerisinde ne olup bittiğinden haberdar olmak için ve hatta bazen üye olmuş olduğumuz kurum, kuruluş ve denetim yerlerinin istemiş oldukları kriterleri sağlamak içn bir takım firewall ürünlerine ihtiyaç duyabiliriz.

Bu makalemizde şube yapısı bulunan bir şirket için internet erişim yollarını açıklamaya özen gösterecek ve sahip olduğumuz ürünler çerçevesinde minimum maaliyet ile internet erişimini şirket yapımıza nasıl uygularız, nasıl güvenliğimizi sağlarızı konuşacağız. Makalemizin Ana konusu olan Access Listler (erişim listeleri) ile bir Cisco routeri firewall olarak yapılandırmadan önce konumuzla ilgili olan network ürünlerinden bahsetmemiz gerekirse.

Firewall         : Yapımızın ihtiyacı doğrultusunda gerek donanımsal gerekse yazılımsal olarak kullanabileceğimiz; Local ağımızla İnternet ağı arasında güvenli bir şekilde iletişim kurmamıza yardımcı olan, istenmeyen istekleri önleyen ve kullanmış olduğumuz ürünün özelliğine göre daha bir çok özelleştirilmiş tanım yapabileceğimiz ürünlerdir.

Router           : Günümüzde bu cihazlar gerek LAN yapımız içerisinde bulunan ve iki farklı Network ID’ sine sahip bilgisayarın bir biri ile iletişimde bulunmaları için, gerekse LAN yapımızdan dışarıya çıkmamız gerektiği zaman kullanmamız gereken ve Türkçe karşılığı olarak YÖNLENDİRİCİ olarak bilinen cihazlardır.

Bir router için bilmemiz gereken iki temel kural vardır. Bunlar

Router üzerinde kesinlikle ama kesinlikle bir GW bulunmamalıdır. (Yazılımsal routerlar için verilmiş bir açıklamadır.)

Routerlar Broadcast geçirmeyen ürünlerdir.

Firewall’lar ve Routerlar için bilinmesi gereken en önemli tek ortak nokta client bilgisayarlar; gerek yönlendirme için, gerekse güvenlik için Gateway (Ağ Geçidi) olarak bu ürünleri görmek zorundadırlar.

Not : Ortada özel bir durum yok ise eğer misal olarak bir Isa Server Proxy server olarak yapılandırıldıysa eğer Gw olarak Isa serveri görmeye veya işletim sistemimizin komut satırında gerekli yönlendirme bilgileri client bilgisayarımıza öğretildiyse client bilgisayarın GW olarak bu ürünleri görmelerine gerek yoktur.

Yazımızın ilerleyen kısmında bu yapılandırmalardan bahsedeceğimizi belirtip GW leri neden kullanacağımızı örnek ile açıklayacak olursak 192.168.0.5/24 ip adresine sahip bir bilgisayar 192.168.0.6 /24 numaralı bir bilgisayar ile görüşmek istediği zaman Network ID leri aynı olduğu zaman ki /24 olduğu için her iki bilgisayarda aynı Network içerisinde olduğu anlamına gelmektedir bu iki bilgisayar bir birleri ile görüşmek istediği zaman üzerlerinde ki GW bakmaksızın gerekli hesaplamaları yaparak hedef bilgisayar ile iletişimde bulunmaktadırlar. Ama 192.168.0.5/24 ip adresine sahip bir bilgisayarımız 192.168.1.6/24 numaralı br bilgisayara gitmek istediği zaman sahip olduğu Network ID si kendisi ile aynı olmadığı için paketi kendi networkü içerisinde aramayacak ve isteği üzerinde tanımlı olan ağ geçidine yani Gateway gönderecek ve bu Gateway üzerinde tanımlı olan gerekli yönlendirme protokoleri var ise eğer ve bağlantımız da bir propblem yoksa hedef bilgisayar ile iletişimde buluna bilecektir. Gateway konusunda bilinmesi gereken en önemli nokta ise bir bilgisayarın sahip olmuş olduğu GW mutlaka ama mutlaka kendi networkünün içerisinde olmak zorundadır.

Konumuz ile ilgili bu genel bilgileri verdikten sonra yazımıza devam edebiliriz.

image001

Mevcut yapımızdan bahsetmemiz gerekirse.

Her iki şubemiz içerisinde Cisco 1700 serisi Routerlarımız bulunmakta ve bir birlerine point-to-point olarak bağlı durumdadırlar.

Fakaonline şirketinin içerisinde bulunan bütün client bilgisayarlar 10.10.10.X Havuzu içerisindeler ve GW olarak da Solmaz Holding şirketi ile sürekli bağlantı içerisnde olan Cisco 1700 serisi Routerin Fasteth0 olan 10.10.10.54 numaralı ip adresini görmektedirler. Fakaonline Şirketinin internet erişimini karşılamak için bir adet ADSL modem networke dahil ediliyor ve IP adresi olarak da 10.10.10.2 ip adresine sahipdir. Yalnız bura da ki problem Gw olarak Routeri gören bilgisayarlar internete nasıl çıkacaklardır?

Bunun için bir çok çözüm vardır ve bizler bu makalede sırasıyla çözümleri konuşacak ve en yararlı olanı network yapımıza uygulayacağız.

image002

İlk çözüm olarak bütün client bilgisayarlarımızın Netvork kartlarına alternatif bir ip tanımlar gibi alternatif bir Gw tanımlayarak çözüm bulabliriz. Bu alternaif Gw tanımlaması işlemimiz için en kolay olanıdır ve data kayıplarının olma ihtimali düşünülerse eğer pek fazla tavsiye edilmeyen bir çözümdür.

image003

İkinci çözüm olarak; Netorkümüz içerisinde bulunan bütün client bilgisayarlarımızın Default Gw’ lerini 1700 serisi olan Cisco Routerimizin FastEth0 Portunu değil, Adsl Modemimizin sabit ipsini göstereceğiz ve Adsl Modemimiz üzerinde bir statik routing protokolü girerek ki;

Destination Ip Address     : Gitmek istediği networkü yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Ip (10.10.20.0) bloğunu yazıyoruz.

Subnet Mask                        : Gitmek istediği networkün subnet Mask’ını  yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Subnet mask 24 BIT lık bir maskdır ve 255.255.255.0 olarak yazıyoruz.

Gateway                               : Hangi routeri kullanarak Solmaz Holding’in networküne gideceğini belirliyoruz. Solmaz Holding Networkü ile iletişimde olan Routerimizin sahip olduğu Cisco Routerin  FastEth0’ ın ip (10.10.10.54) adresini yazıyoruz.

Ve bu girmiş olduğumuz statik rout’ dan sonra bütün bilgisayarlarımız Gw olarak ADSL modemimizi görecek ve internete çıkacaklar, Solmaz holdinge gitmek istediği zaman ise modemimiz Cisco Routerimiza Rout (yönlendirme) yapacak.

Bu şekilde yapacak olduğumuz bir yapılandırmanın bizlere sağlayacağı dezavantaj ise ADSL modemler Rout (yönlendirme) yapmak için dizayn edilmiş Network ürünleri değillerdir. ADSL modemlerimizin yapılış amaçları NAT yapmak ve internet erişimini sağlamak olduğu için, ve Cisco gibi kendini kanıtlamış routerlara göre çok çabuk down olma ihtimali düşünülerse eğer kullanım amacı dizaynı nı yapan sistemciye göre değişmektedir.

image004

Bir diğer çözüme geçmemiz gerekirse Windows İşletim sistemimiz üzerinde girecek olduğumuz statik route kaydıdır. Komutumuzu açıklarsak eğer.

Route add Makinemize bir statik route eklemek için kullanırız. Komutumuzun devamında olan ilk 0.0.0.0 (gidilecek yer bilinmiyorsa) bilgisayarımızın gitmek istediği yeri, mask 0.0.0.0 (gidilecek networkün subnet maskı) gidilecek yerin subnet maskı bilinmiyorsa eğer, 10.10.10.2 ADSL modemimizin ip adresini yazıyoruz Metric olarak 1 seçiyoruz. Bu kayıt girildiği zaman oluşacak olan işlemden bahsetmemiz gerekirse bilinmeyen bütün kayıtlar modem üzerinden geçiyor ve sonuçta her ADSL modem Gw olarak Turk Telekomu gördüğü için cevabın karşılığı varsa eğer internet erişimi sağlanıyor. Gw olarak da biz Solmaz Holding networkünü (10.10.20.X) bildiğimiz için Routerimiz üzerinden karşı networkümüz ile iletişimimiz sağlanıyor.

Bu girmiş olduğumuz kayıt, kaydın girilmiş olduğu bilgisayar her reset atıldığında unutulacaktır. Çözüm olarak bu kaydı bir scrip haline getirip, internet erişimi vermek istediğimiz bilgisayarın başlangıcına koymak ve her açıldığında komutumuzun yeni baştan otomatik olarak çalışmasını sağlayabiliriz..

image005

Veya komutumuza route add bölümünden hemen sonra –p (persistent (kesintisiz, sürekli) olarak yazarız ve bizler bu kaydı manuel olarak silene kadar çalışmasını sağlayabliriz.

image006

Bilgisayarımız üzerinde girilen kaytları route print komutu ile görebiliriz. Girmiş olduğumuz Persistent Route (sürekli yönlendirme) en aşağıda ki satırda görünmektedir.

image007

Bilgisayarımıza girmiş olduğumuz statik route kayıtlarını route delete komutu ile girilen yönlendirmenin devamını yazarak silebiliriz.

Yukarıda vermiş olduğumuz iki çözüm önerisine göre bu şekilde girilecek olan statik route kaydı en akıllıca olanı gibi gözükmektedir. İnternet erişimi vermek istediğimiz bilgisayarlara bu scribi uygularsak eğer, internet erişimini vermiş, fakat internet erişimleri için Networkümüzde herhangi bir  güvenlik önlemi uygulayamamış olacağız.

image008

Şirket networkümüz üzerinde internet erişimini güvenli bir şekilde sağlamak ve yukarıda sunmuş olduğumuz internet erişim çözümlerine bir yenisini daha eklemek için Isa serverimizi ekleyebilir ve İsa serverimizi Proxy Server olarak yapılandırarak hem client makinelerimizin Isa üzerinden gerekli kısıtlamalar yapılarak web kaynaklarına erişmesini, kayıtların tutulmasını ve hatta gerekli Network tanımlamaları yapılırsa Solmaz Holding Networkünün dahi Fakaonline networkü içerisinde bulunan internet erişimi ile Web kaynaklarına erişmesini sağlayabiliriz.

Yalnız yapılacak olan bu yatırım ortalama olarak Windows 2003 Yazılımı, Isa server Yazılım lisansı ve yapılanırılacak olan bilgisayarın fiyatı ile birlikte ortalama olarak 3000 USD gibi bir fiyatı bulmaktadır.

Isa Serverin bizlere sağlayacağı yararlar düşünülürse eğer bu fiyatın çok da fazla olmadığını bilmekteyiz ama her şirket yapısı için bu çözüm pekde yanaşılır bir fiyat değildir. Isa server yerine Linux’un sağladığı daha ucuz yollu Proxy server çeşitleri veya yazılımlarıda Networkümüze dahil edilebilinir.

image009

Ve biz son dizayn çeşidimize geçiyoruz. Mevcut yapımızı hiç bir değişiklik yapmadan Cisco Router üzerinden İnternet kaynaklarına erişimi sağlayacağız. Yazımızın başında olduğu gib Fakaonline networkü içerisinde bulunan bütün makineler Gw olarak Cisco 1700 Serisi Routerin FastEth0 bacağına yani 10.10.10.54 ip adresini görmektedirler. Routerimizin diğer bacağı Serial0 ile Solmaz Holding ile görüşmek üzere Telekom alt yapısına bakmaktadırlar.

image010

Routerimizin Enable Mode içerisindeyken sh ip route diyerek mevcut route tablosunu görebiliyoruz. Yukarıda ki resimden de anlaşılacağı gibi ADSL modemimiz ile ilgili herhangi bir iletişim kaydı olmadığı için internet erişimi sağlanamamaktadır.

image011

Routerimizin yapılandırma modu olan config mod içerisine geçerek bir statik route (yönlendirme) kaydı giriyoruz. Bu kaydımız Windows işletim sisteminde girmiş olduğumuz route add komutuyla hemen hemen aynıdır. Girmiş olduğumuz komut ip route 0.0.0.0 (gidilecek olan network bilinmiyorsa) ikinci olan 0.0.0.0 ise gidilecek olan networkün subnet maskı bilinmiyorsa 10.10.10.2 numaralı ip (modemimize) adresine yönlendir.

Girmiş olduğumuz bu kayıtsan sonra routerimiz üzerinden internet erişimine çıkışımız sağlanmış olmaktadır. Routerimiz Solmaz Holding networkünü biliyor ve Modemimize yönlendirme yapmadan Serial 0 bacağından karşı networke route (yönlendirme) yapmakta ve herhangi bir internet sayfasının ip adresini bilmediği için de modemimize soruyor ve modemimiz ise Gw olarak TurkTelekomun kendisine bakan bacağını gördüğü için internet erişimini sağlamış oluyor.

Kayıt girildikten sonra tekrardan enable mode içerisinde sh ip route komutunu yazdığımız zaman en aşağıda olan Sub Zero kaydını ki Cisco mataryellerinde hedefi bilinmeyen paketleri yönlendirmek için girilen kayıt olarak geçer ve S* olarak ifade edilmektedir görebiliyoruz.

Artık networkümüzün yapısına hiçbir müdahale etmeden sadece Gw olarak Cisco Routerimizi gören bütün bilgisayarların bu kayıt sayesinde internete erişimlerini sağlamaktayız.

Routerların asıl amaçlarını yazımızın başında da belirttiğimiz gibi sadece bir noktadan bir noktaya yönlendirme yapmaktır. Bizler sub zero kaydı girerek bir noktadan bir çok nokta olan internete route etmeyi başardık. Ve bilindiği üzere Cisco routerlar üzerinde güvenlik için kullanılan Accest Listler (erişim listeleri) mevcutudur ve girilen kayıtlar neticesinde bir yerden bir yere gider iken gelen paketin, gidecek paketin, nereden hangi yol üzerinden hangi iletişim protokolünü kullanarak yönlendireceğini veya kısıtlayacağını belirlememize, networkümüzün güvenlini sağlamamıza yardımcı olan komutlar vardır. Bizler bu komutları kullanarak Bir Cisco Routerimizi; bir Cisco PİX, ASA veya bir başka donanımsal veya yazılımsal bir Firewall olarak yapılandıramasakda basit anlamda bir Cisco Routeri Firewall olarak yapılandırabileceğiz.

Accest Listleri basit anlamda anlatmamız gerekirse, yazılma çeşitlerine göre Standart ve Extended olarak ikiye ayırabiliriz.

Standart Acces listler uygulanan ip pakelerinin tüm prtokoller için geçerli olup, uygulanmak istenen adresin kaynağına (source) bakılarak engelleme yapılır.

Extended Acces listler ise uygulanan ip paketlerinin protokol (port) bazlı (sadece web erişim portuna 80 , telnet portuna 23, Rdp portuna 3389, FTP Portuna 21 vb. ) engelleme yapılmak için uygulanır ve hedefe (destination) en yakın yere uygulanmaktadır.

image012

Yukarıda ki resimde de görüldüğü gibi default olarak hiç bir router üzerinde herhangi bir access List uygulanmamıştır ve yapılandırmalar neticesinde bütün yönlendirmelere izin vermektedir.

Şimdi Adım adım bir routerimizin üzerinden geçen internet erişimlerini, IP bazlı engelleyelim.

Bu yapılandırmada bilmemiz gereken en önemli nokta bu accest listler ile ne bir Cisco Pix gibi geniş çaplı bir Firewall nede bir ISA server gibi içerik engelleyici (web filteri, içerik engelleme, Url yönlendirme vb.) işlemleri yapmamız mümkün değildir.

Yapacağımız Accest Listler ile bir donanımsal Firewall’ a sahip olduğumuzu düşünelim ve yazılımsal bir Firewall olan Isa server ile routerimiz üzerinde ki Firewall’ı kıyaslayalım.

Isa Server bir Yazılımsal Firewall dır ve network içersinde bulunan kullanıcıları, eğer Domain yapısına üye olarak yapılandırıldıysa isim bazlı engelleme dahi yapabilmektedir. Routerimiz ise Osi katmanları çerçevesinde Layer 1-2 ve 3 ncü katmanında çalıştığı için ve OSI katmanları içerisinde sadece IP ce mac adreslerini tanıdığı için sadece ama sadece IP ve Port bazlı engelleme yapabilmektedir.

Isa Serverimiz Yazılımsal olduğu için içerik engelleme konusunda web sayfaları üzerinde bulunan istenmeyen içerikleri tanımakta, bilmekte ve bu sayede istenmyen dosya uzantılarını bildiği için içeriğini engellemektedir, Routerimiz ise gene Osi katmanlarının 1,2 ve 3 ncü katmanında çalıştığı için bu içerik engellemeyi tanımadığı için yapamayacaktır.

Kısacası Isa serverin yapmış olduğu gibi Osi katmanlarında bulunan Layer 4-5-6 ve 7 nci katmana çıkmadan IP ve Port bazlı bütün engellemeleri yapabileceğiz. Zaten Cisco Pix, Asa dahi bu şekilde çalışmakda olup Osi nin diğer katmanları ile ilgili diğer engellmeler yapılmak istenildiği zaman Websense gibi yazılımsal bir program ile bütünleşik çalışarak Firewall hizmetini sunmaktadır.

Bu kısa bilgiyi verip Accest Listler ile çok fazla şeyler beklememeniz konusunda gerekli uyarıyı yaptıkdan sonra Cisco Routerimizi Firewall olarak yapılandırmamıza başlayabiliriz.

image013

İlk olarak routerimizin yaplandırma bölümü olan Config Mod içerisinde access-list diyoruz ve komutun devamını bilmediğimizi düşünerek soru işaretine basıyoruz.

Çıkan menüde kullanabileceğimiz komutlar karşımıza çıkmaktadır. Biz port bazlı engelleme yapacağımız için Extended accesst list kullanacağız ve access listlerin kullanmış olduğu numarayı bizlere göstermektedir. 100 ile 199 arasında herhangi bir access list numarasını kendimize belirliyoruz. Bu bölümü daha kolay açıklamak için Isa server üzerinde kural oluşturduğumuz zaman kuralımıza vermiş olduğumuz isme benzetebiliriz.

image014

Komutumuzun devamına 101 diyerek tekrardan komutun devamı için soru işareti ile ihtimalleri soruyoruz. Yapmak istediğimiz Access List engelleme olacağı için deny diyerek komutumuzu (kuralımızı) yazmaya devam ediyoruz.

image015

TCP bazlı bir engelleme yapacağımızı belirtiyoruz. Komutumuzun devamına gerekli olan TCP yazıp soru işareti ile tekrardan komutumuzun devamını yazmaya devam ediyoruz.

image016

Sıra geldi kimi engelleyeceğiz. Engellenecek olan kaynak bilgisayarı belirtiyoruz. Sadece tek bir Host’u (bilgisayarı) engelleyeceğim için host yazarak devam ediyorum.

Diğer kural yazımı ile bilgi vermem gerekirse eğer A.B.C.D olarak yazılı olanı kullanırsam eğer kaynak bilgisayarın ip adresini yazıp subnet maskı Wild Card Mask (mevcut subnetin tam tersi yazılımı ile kullanmam gerekecekti ki yani subnetin 0 rakamlarının 1 ler rakamı grubu ile yer değişmesi sonucu oluşacak olan subnet maskını yazmam gerekecekti.)

Örnek :

Subnet mask : 255.0.0.0 Wild Card Mask : 0.255.255.255

Subnet mask : 255.255.0.0 Wild Card Mask : 0.0.255.255

Subnet mask : 255.255.255.0 Wild Card Mask : 0.0.0.255

Subnet mask : 255.255.128.0 Wild Card Mask : 0.0.127.255

Veya any dersem eğer ileride uygulayacak olduğum bu Accest Listi, uygulayacak olan interfacemin bağlı olduğu bütün bilgisayarları kapsayacağını belirtecektim.

Komutumuza Host diyerek devam ediyorum. Tek bir bilgisayarı engelleyeceğim.

image017

Engellemeyi uygulayacak olduğumuz hostun sahip olduğu ip adresini (10.10.10.112 numaralı ip adresine sahip bilgisayara kısıtlama uygulayacağım) yazdıktan sonra tekrardan soru işaretini yazarak devamında gelecek olan soruyu soruyorum ve nereye giderken engelleneceğini soruyor bizere. Cevabımız any (herhangi bir yere giderken, web erişimini kısıtlayacağım için herhangi bir yere diyerek her yeri kısıtlıyorum)

Bu bölümde eğer belirli web sayfalarının kısıtlanmasını istiyorsak, gerekli sayfaların ip adreslerini A.B.C.D cinsinden olarak Wild Card mask girerek uygulayabiliriz. Tabi burada da şöyle bir problem ortaya çıkmaktadır. Örnek olarak bizler google nin 66 bloklu ip adresinden sahip olduğu bölümü yazarsak, google web sayfası birden fazla ip adresine sahip olduğu için diğer ip bloğun dan hostumuzun isteğine cevap verecetir. Veya şöyle bir seçenek varmı diye soranlar olursa eğer; Isa server için bir çok web sayfasında bulunan URL listeler bu accesst listler içinde IP bazlı olarak varmıdır? Şayet ben görmedim J

image018

Yazmış olduğumuz kural bir extended access list olduğu için port bazlı yapılandırmış oluyoruz ve port numarasını girebilmek için eq yazarak port numarası yazmak üzere komutumuza devam ediyoruz.

image019

Eğer yasaklamak istediğimiz protokolün kullanmış olduğu port numarasını biliyorsak direk olarak yazabiliriz, şayet bilmiyorsak daha önceden yaptığımız gibi soru işareti sorarak kullana bileceğimiz port isimlerini bizlere göstermektedir. Bizler web erişimini yasaklayacağımız için 80 portunu yazıyoruz. 80 numaralı www (web erişim portu) listenin en altlarındadır. Güncel port numaralarını http://www.iana.org/assignments/port-numbers adresini ziyaret ederek öğrenebilirsiniz.

image020

Ve sonunda kuralımızı yazmayı tamamlamış bulunmaktayız. Yazmış olduğumuz kuralımızı açıklayacak olursak eğer.

Access-list 101 extended bir erişim kuralı olduunu yani port veya protokol bazlı engelleme veya izin verebileceğimizi, deny bu access listin bir yasak kuralı olduğunu, engellemenin TCP protokolü ile yapılacaını host 10.10.10.112 ise bu yasak kuralının bu ip adresine sahip bilgisayara uygulanacağını, any herhangi bir yani bütün hedeflere uygulanacağını eq 80 ise web erişimleri için olduğunu bizlere söylemektedir.

NOT : Access listleri yazmasını biliyorsak eğer yukarıda ki resimde ki gibi direk komutu yazabiliriz. Ben makale yazımını konuyu açıklayarak yaptığım için her bölüm için soru işareti girerek yazmayı uygun gördüm.

Bizler bu accest listi yazdık ama henüz uygulamadık. Access listler ile bilinmesi gereken iki ana kural vardır ve bunların birincisi

Hazırlanan bütün access listler muhakkak bir interfaceye ki kuralın standart veya extended olma özellğiine göre hedefin destination (hedef) bölümüne veya source (kaynak) ‘ ın en yakın yerine uygulanmalıdır.

İkincisi ise bir accesst list yazılmadan önce bir router üzerinde bulunan bütün yönlendirmeler çerçeveside girilen kayıtları gerçekleştirmekteydi. Bizler access listleri yazıp uyguladık dan sonra artık yönlendirmenin haricinde güvenlik için access listlere de bakılması konusunda istemeden de olsa bir kural girmiş olduk. Bunun da açılımı biz access listimize herhangi bir permit (izin kuralı) yazmak ise eğer ilgili hostun sadece web erişimini yasaklamış olmuyor router üzerinden geçen bütün yönlendirmelerin yasaklanmış olduğunu belirtiyoruz. Ve routerimiz üzerinde daha önceden uyguladığımız kuralların işlemine devam edebilmesi için bir izin kuralı yazmamız şarttır.

image021

Yazmış olduğumuz yeni access list bir önceki access listimiz deki gibi aynı grubdan (101) ve izin kuralıdır. Her hangibir yerden herhangibir yere giderken izin verilmiştir.

image022

Routerimizin enable modunda iken uygulanan access listleri sh run komutu ile görebiliyoruz. Yukarıda belirtmiş olduğumuz izin kuralını biraz daha açıklamak gerekirse. Routerimiz ilk satırda gerekli host için web erişimini yasakladı. 10.10.10.112 ip numaralı bilgisayar web erişimine gideceği için bu kurala takılacak ve web kaynaklarına erişemeyecek. Pekala network içerisinde bulunan diğer makineler 10.10.10.112 ip adresi haricinde ki diğer makinelere bu kural uygulanacak mı? Elbette ki hayır. Onun için yukarıdan aşağıya doğru uygulanan kurallar sırasıyla kontrol edilecek. Biz ikinci satırda yazmış olduğumuz izin kuralını yazmasaydık eğer routerimiz access listleri uygulamadan önce ki gibi geçişe izin vermeyecek, gerekli işlemin, yönlendirmenin amacı bilinmediği için access listlerin tabi özelliği olan implicit deny güvenlik için bilmediğim eyleme izin vermedim, yok ettim kuralını uygulayacaktı. Bunu daha iyi anlamak için Isa nın default rule’ sini göz önüne getirin ve en alt bölümde olması gereken bütün erişimlerin yasaklandığı kuralına benzetebiliriz.

Isa Serverden örnek vermişken eğer bizler birden fazla izin kuralı yazsaydık Isa serverin Up (kuralı bir üstteki kuralın üstüne almak) down (kuralı bir önceki kuralın altına almak ) gibi bir kolaylığı Routerimizin Access listlerin de yoktur. Bu şekilde kuralımıza örnek olarak bir başka hostuda engellemek istersek eğer ilk önce permit kuralını sileceğiz, daha sonra ilgili host için deny kuralını yazacağız ve tekrardan paketlerin implicit deny kuralına mağruz kalıp yok edilmemeleri için bir permit (izin) kuralı yazacağız veya routerimizin üzerinde bulunan sh run komutu ile access listleri bir yazı düzenleyicisinin (word vb.) içine alıp gerekli düzenlemeleri yapıp tekrardan routerimizin içine kopyalayacağız.

image023

Yazımızın daha önce ki bölümünde access listlerin çalışabilmesi için muhakkak bir interfacesine uygulanması gerektiğini belirtmiştik. Routerimizin uygulanması gereken interfacesi sub zero kaydının (yönlendirmenin) olduğu fast eth0 network kartıdır. FastEth0 Networkünün içerisine girp yazmış olduğumuz access listin uygulanması için ip access-group 101 (oluşturduğumuz extended access listin numarasını) yazıyoruz ve  network kartımızın girişine uyguluyoruz.

image024

Access Listin uygulanması ile birlikte routerimiz 10.10.10.112 hostu için 80 portunu kullanan web erişimini yasaklamaktadır ve bu ip adresine sahip hostumuz artık 80 portu üzerinden web kaynaklarına erişemiyor ama 21 numaralı protokolü kullanan FTP hizmetini yukarıda görüldüğü gibi hizmete sunmaktadır. Eğer biz FTP prokolünüde yasaklamak istersek eğer permit (izin) kuralımızın hemen üzerinde olmak şartıyla

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 80

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 21

Router(config)#access-list 101 permit ip any any yazıp uygulamamız gerekecek.

Bu işlemden sonra host makinenemiz hem FTP hemde Web erişimini gerçekleştiremeyecek ama bu seferde pop3 (25 numaralı protokol), smtp (110), RDP (3389) gibi protokolleri kullanabilecekitir.

İhtiyacımıza göre bu protokolleri tek tek yasaklayabiliriz. Yasaklamadığımız bütün protokoller haricinde kalan protokoller ise en alt satırda bulunan permit kuralına tabi tutularak izin verilecektir.

image025

Networkümüz içerisinde bulunan diğer bilgisayarların internet erişimlerini kontrol ettiğimiz de ise 10.10.10.113 numaralı ip adresine sahip bilgisayarın herhangi bir yasaklama kuralına takılmadan web ve diğer kaynaklara erişimde bulunduğunu görebilmekteyiz.

image026

Standart Access Listlere geçmeden önce Extended Access Listlerin kullanım amaçlarını toparlayacak olursak Extended Access Listler Port ve Protokol bazlı kural uygulamamıza imkan tanıyan ve uygulanma yeri olarak kaynağa en yakın yere uygulanan access listlerdir. Bu kaideye göre yazmış olduğumuz access listi biz kaynağımıza (fakaonline networkü içerisinde bulunan ve web erişimini yasaklamış olduğumuz bilgisayardır) en yakın yere (routerimizin kaynak bilgisayarın iletişim kurmuş olduğu en yakın yeri olan FastEth0 portu) uyguladık.

Standart Access Listler ise engellenmek istenen bilgisayarın,networkün iletişimde kulunmak istediği bütün protokol ve portlar için geçerli olup hedefe en yakın yere uygulanan access listlerdir. Yukarıda ki resime göre yazacak olduğumuz standart Access List örneği Solmaz Holding Network’ü içerisinde bulunan 10.10.20.100 ip adresine sahip bilgisayarın, Fakaonline networkü ile iletişimde bulunmasını istemiyoruz ve bu bilgisayar için yazmış olduğumuz standart access listi hedefe yani Solmaz Holding networkü içerisinde bulunan 10.10.20.100 ip adresli bilgisayarın bizim networkümüz ile iletişimde bulunan en yakın yer olan Fakaonline Networkü içerisinde bulunan Cisco Routerimizin Serial0 İnterfacesine uygulayacağız.

image027

Standart Access listler 1ile 99 numarasına sahip oldukları için bu numaralar arasında bir numara veriyoruz. Daha önceden belirttiğimiz gibi Isa server daki kural yazımı çin vermiş olduğumuz kural ismine benzetebiliriz. 5 numarasını uygun gördüm ve kuralımızın devamında engelleme kuralı (deny) olduğunu belirttim ve engellenecek olan bilgisayarı bu sefer wild card maskıni girerek uyguladım. Eğer wild vard mask uygulamasaydım kuralımızı access-list 5 deny host 10.10.20.100 olarak yazabilirdim.

Bu access listi kaynağa yani engellenmek istenen makinenin, korumak istediğiimiz makine-network ile iletişimde bulunduğu en yakın yer olan Routerimiz üzerinde ki Serial İnterfacemize uyguluyoruz.

Bu kuraldan sonra artık Solmaz Holding Networkü içerisinde bulunan 10.10.20.100 ip numaralı bilgisayar fakaonline networkü ile görüşemeyecektir. Eğer biz Solmaz holding networkünün tamamının fakaonline networkü ile görüşmesini istemeseydik veya Solmaz holding içerisinde gerekli VLAN tanımlamaları yapılmış olsaydaı gerekli networkü engellemek için 10.10.20.0 0.0.0.255 olarak yazıp solmaz holding içerisinde bulunan bütün networkü yasaklamış olacaktık.

Yukarıda ki access listleri itiyacınız doğrultusunda doğru bir şekilde yapılandırırsak eğer şirket bütçemize ek bir maaliyet çıkartmadan bir Firewall’a sahip olmamız kaçınılmaz gibi gözükmektedir.

image028

Fakat bu yapılandırma sırasında bizlere en çok sıkıntı yaşatacak olan kısım IP numaralarını tanımlama ve bu tanımlama sırasında oluşacak olan karışıklıkdır. Yazımızın başlarında Routerlar OSI katmanları çerçevesinde Layer 1,2 ve 3 ncü katmanında çalıştıkları için isim çözümlemesi yapamayacaklarını söylemiştik. Eğer daha önceden Routerimizi sistemimiz içerisinde var olan bir DNS serveri tanıtırsak bu problemi de ortadan kaldırmış olacağız ve artık isim bazlı kısıtlamada yapabilecek duruma gelmiş olacağız.

Eğer ortamımız içerisinde bir DNS server yok ise eğer yukarıda ki resimde görüldüğü gibi routerimiz isim çözümlemesini gerçekleştiremeyecektir.

image029

Routerimiz IP adresi olarak 10.10.10.2 numaralı bilgisayarı tanımakta ve bu bilgisayar ile ileşimde bulunmaktadır. Yukarıda ki resimde görüldüğü gibi routerimiz host bilgisayarımız ile PING yolu ile ileişimde bulunabilmektedir.

image030

Biz bu bilgisayarın kullanıcısının ismini biliyorsak ve manuel olarak bu bilgisayarı kullanan kişinin ismini Routerimiza yukarıda ki resimde bulunan komutdaki gibi tanımlama (ip host bilgisayar kullanıcısının isimi kullanmış olduğu blgisayarın ip numarası) yaparsak routerimiz artık bu bilgisayarı isim bazlı olarak çözümleme yapacaktır. Bu komutumuzuda Client bilgisayarlarımızın lmhost bölümüne girmiş olduğumuz manuel kayıtlara benzetebiliriz.

image031

Girmiş olduğumuz kayıtdan sonra görüldüğü gibi artık routerimiz isim yolu ile bilgisayara ulaşmaktadır.

image032

Girmiş olduğumuz bu kaydı access list yazaraken de kullanmakta ve komut yazımında bizlere kolaylık sağlamaktadır.

Fatih KARAALİOGLU

Cisco 877 ADSL Router Konfigurasyonu

Merhabalar arkadaşlar. Bir arkadaşımın bana Cisco 877 ADSL router konfigürasyonu varmı elinde diye sorunca bende bunun bir makalesini hazırlamak lazım dedim ve aşağıdaki makaleyi hazırladım.

Ever chazımızı resimde görüyoruz. Bu cihaz Cisco firması tarafından küçük ve orta ölçekli firmaların kullanımı için üretmiş olduğu bir cihaz. Aslında bunlar bir seri şeklinde üretildiler. Örnek olarak 877 ADSL için 878 GHDSL için vs. Biz Cisco 877’yi inceleyeceğiz.

Cisco 870 Serisi Modelleri

New Model

WAN

LAN

WLAN Option

Old Model

Cisco 871

10/100 Fast Ethernet

4-port managed switch

Yes

Cisco 831

Cisco 876

Asymmetric DSL (ADSL) over ISDN

4-port managed switch

Yes

Cisco 836

Cisco 877

ADSL over basic telephone service

4-port managed switch

Yes

Cisco 837

Cisco 878

Symmetrical High-Data-Rate DSL (G.SHDSL) (4-wire)

4-port managed switch

Yes

Cisco 828

clip_image001

Bu cihazın temel özelliklerini yukarıdaki tabloda da görebilirsiniz.

Cihazın donanımsal özelliklerinin yanısıra bir de IOS yazılımının özellikleri mevcuttur. Onları da aşağıdaki tabloda görebilirsiniz.

Features

Advanced Security Software Image (Default Image)

Advanced IP Services Cisco IOS Software Image

Advanced Enterprise Cisco IOS Software Image (ISDN Backup) on Cisco 876 Only

Enhanced Security

Yes

Yes

Yes

VLAN/802.1q Trunking

Yes

Yes

DMVPN

Yes

Yes

GETVPN

Yes

Yes

Routing Protocols (Open Shortest Path First [OSPF], Enhanced Interior Gateway Routing Protocol [EIGRP], and Border Gateway Protocol [BGP])

Yes

Yes

Advanced QoS Features Like Class-Based Classification/Marking using DSCP, Class-Based Weighted Random Early Detection (CBWRED), Network-Based Address Recognition (NBAR), Link Fragmentation and Interleaving (LFI), Resource Reservation Protocol (RSVP), Priority and Custom Queuing

Yes

Yes

Multicast Features

Yes

Yes

ISDN Backup

Yes

Intelligent Protection Switching (IPS)/Intrusion Detection System (IDS)

Yes

Yes

NAC

Yes

Yes

Çok daha fazla detaylı bilgi almak isteyen arkadaşlarımız varsa aşağıdaki linkte yer alan Soru ve Cevaplar köşesini okuyabilirler.

http://www.cisco.com/en/US/products/hw/routers/ps380/products_qanda_item0900aecd8028a982.shtml

Evet cihazın temel özelliklerini kısaca gözden geçirdiğimize göre artık yavaş yavaş konfigürasyona başlayabiliriz. Cihazın konfigürasyonunu iki şekilde gerçekleştirebiliriz.

1)internet explorerda adres çubuğuna https://cihazip yazıp cihaza bağlanarak. Standart IP 10.0.0.1 olarak gelir bu cihazlarda.

2)Hyper Terminal hizmetini kullanarak da bağlanabiliriz. Hyper Terminal ile bağlandığınızda ve bu yapıda konfigürasyon yapmak isterseniz  eğer komut satırını ve cisco komutlarını iyi bilmeniz gerekiyor.

Ancak unutulmaması gereken bir nokta var ki çok önemli. O da Bölgesel Dil ayarlarının İngilizce olarak ayarlanmasıdır.

İkinci önemli bir nokta da Java uygulamasının sistemimizde yüklü olması gerekmektedir. Eğer Java’yı indirme şansınız yoksa ürünün CD’sinde Java programı vardır ordan da kurabiliriz.

Evet ilk işlemimize geliyoruz artık. Ben cihazın konfigürasyonunu http arayüzünü kullanarak yapacağım. Bana daha kolay geliyor. Çünkü Cisco komutlarının komut satırından yürütülmesi konusunda çok iyi değilim. İnternet explorer sayfamızdaki adres kısmına gerekli IP bilgilerini giriyorum.

clip_image002

IP girişini yaptıktan sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

clip_image003

Benim işletim sistemin Windows Vista olduğu için ben bu emsajı alıyorum. Ancak Windows XP üzerinde bu mesajı almadım. Burada “Continue to this website (not recommended)” seçiyorum ve diğer aşamaya geçiyorum.

clip_image004

Yukarıdaki şekilde de  gördüğümüz gibi karşımıza cihaza ulaşabilmemiz için bir kullanıcı adı ve şifre girişinin yapılmasını istiyor. Burda kullanıcı adımı ve şifremi giriyorum. Default konfigürasyonda bu değerler yoktur. Ben daha önceden cihaza giriş yaptım ve kullanıcı adı ve şifre tanımlaması yaptım o yüzden bana bunu soruyor.

Kullanıcı adı ve şifre girişini gerçekleştirdikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

clip_image005

Yukarıdaki şekilde Cisco SDM Express (Csico Security Device Manager Express) yükleniyor. Bu SDM bizim cihazı konfigüre ederken kullanacağımız arayüzdür. Yükleme işlemi bittikten sonra karşımıza aşağıdaki gibi bir pencere gelecektir.

clip_image006

Evet yukarıdaki şekilde de gördüğünüz gibi SDM yüklemesi yapılıyor ve cihaz konfigüre edilmek üzere hazır hale getiriliyor. SDM yüklemesi tamamlandıktan sonra karşımıza cihazın son durumunu gösteren aşağıdaki şekil gelecektir.

clip_image007

Evet artık konfigürasyona başlayabiliriz. Daha önce de bahsetmiştim. Hani girişte bana cihaza girerken bir kullanıcı adı ve şifre sormuştu. İşte o kullanıcı adı ve şifrenin nasıl oluşturulduğuna bakalım.

clip_image008

Yukarıdaki şekile baktığımız zaman sağ tarafta bir sütun var ve orada “Tasks” kısmını görmekteyiz. Biz oradan cihaz üzerinde yapacağımız ayarların kısa yollarını kullanacağız.

Basic Configuration’a tıkladığımızda yukarıdaki şekildeki gördüğümüz orta kesimdeki yapı karşımıza çıkacaktır. Burda cihaza bağlanırken kullanacağımız kullanıcı adı şifrelerini belirliyoruz. Görüldüğü gibi ben bir adet kullanıcı hesabını şifresi ile birlikte oluşturdum ve cihaza bağlanırken de o kullanıcı adı ve şifresini kullandım. Ayrıca orda Hostname kısmından cihaza bir isim tanımlayabiliriz. Domian Name kısmından da cihazın hangi domaine ait olduğunu tanımlayabiliriz.

Tasks kısmındaki görevlerimizden ikincisine yani LAN kısmına gçiyoruz. Bu kısımda cihazımıza bir IP tanımlaması yapacağız. Şekilde de görüldüğü gibi cihazımıza 10.0.0.1 IP’sini veriyorum.

clip_image009

IP’mizi de cihazımıza verdikten sonra diğer aşamaya geçebiliriz.

clip_image010

Bu aşamada yani Internet (WAN) konfigürasyonu kısmında Türk Telekom yada ADSL hizmetini aldığımız firmanın bize vermiş olduğu değerleri ilgili yerlere giriyoruz. Encapsulation,VPI (8) ve VCI (35) değerlerini uygun yerlerine giriyoruz. En alt tarafta bulunan Authentication (kimlik doğrulama) kısmında kullanıcı adımızı ve şifremizi doğru bir şekilde giriyoruz.

Şimdi sıra geldi diğer kısma. Eğer networkümüzde bir DHCP server yoksa ve IP dağıtımını Cisco 877 üzerinden yaptırmak istiyorsak bunun için cihaz üzerindeki DHCP servisini yapılandırmamız gerekiyor. Bunun için Tasks kısmından DHCP sekmesine tıklıyoruz ve karşımıza aşağıdaki DHCP yapılandırma penceresi geliyor.

clip_image011

Şkeilde de görüldüğü gibi cihazımızın üzerindeki DHCP servisini aktif hale getiriyoruz. Bunun için “Enable DHCP server on the LAN interface (Vlan1)” işaretliyoruz ve devam ediyoruz. Şimdi sıra IP havuzunun başlangıç ve bitiş aralıklarının tanımlanmasında yani IP havuzunun oluştulması diyebiliriz. Ben başlangıç IP olarak 10.0.0.201 ve bitiş IP olarak da 10.0.0.254 aralığını verdim. Benim burda bu kadar azIP tanımlamamın sebebi cihazı koymuş olduğum firmada sabit ve 20 PC olmasıdır. Siz bu aralığı kendi firmanızdaki PC sayınıza göre büyütebilir yada küçültebilirsiniz. Diğer aşamada DNS ayarlarımız mevcut. Burda da birinci ve ikinci DNS IP’lerini tanımlıyoruz.

Bu müşterimizin bizden bir isteği daha vardı o da evinden işyerindeki servera bağlanıp arasıra kontrol etmek istiyordu. Bunun için 3389 nolu portu içerdeki servera yönlendirmem gerekiyordu yani NAT yapacağız.

clip_image012

Şekilde de görüldüğü gibi Add butonuna basıp gerekli girişleri yapıp 3389 nolu portu içerdeki serverıma (10.0.0.200) yönlendiriyorum. Bu girşi de yaptıktan sonra yetkili kişi dışarıdan işyerindeki servera bağlanıp gerekli işlemlerini yapabilecektir. Aşağıdaki şekilde 3389 nolu portun içerideki servera nasıl yönlendirildiğini görmekteyiz.

clip_image013

Private IP address dediği serverımızın IP adresidir. Public address kısmında ise IP address of WAN seçiyoruz. Eğer bu servera dışarıdan belli ve sabir bir IP adresinden bağlanmayı isteseydik bu sefer New IP Address seçip oraya real IP’yi yazmamız gerekecekti. Mesela firmadaki yetkili kişinin real IP’si atıyorum 88.1.2.3 olsun. Bu IP’yi biz oraya girersek sadece o IP’den gelen istekleri içerideki servera gönderecekti.

clip_image014

Routing kısmında ise Dialer0 enable halde karşımıza çıkıyor. Bunun sebebi ise WAN ayarlarımızı yapmamızdır. Komut satırındaki karşılığı aşağıdaki gibidir.

ip route 0.0.0.0 0.0.0.0 Dialer0

Bu kısmı çok iyi öğrenmek lazım. Neden derseniz burada yapacağımız yanlış yönlendirme bizim internete çıkışımızı engelleyebilecektir. Ki daha önce bu cihaz ilk karşıma geldiği zaman ben buraları yanlış yaptığım için internet erişimini bir türlü sağlayamamıştım. Ancak deneme yanılma yöntemi ve forumlardan aldığım yardımlarla yanlışımı buldum ve olayı çözmüş oldum.

Şimdi de güvenlik kısmına bir bakalım neler var?

clip_image015

Güvenlik (Security) kısmında 3 seçeneğimiz var.

1)Güvenlik riskleri içeren  bazı yapıların devre dışı bırakılması.

2)Router / Network üzerinde güvenliği arttıracak olan servislerin aktif hale getirilmesi.

3)Şifrelerle ilgili güvenliğin sağlanması.

Ve en altta Router’ın saat ayarları ile ilgili kısmımız mevcut. Eğer isterseniz cihazınızın saati ile local pc’nin saat ayarlarını eşitleyebilirsiniz.

Bütün bunları yaptıktan sonra artık yapmış olduğumuz ayarları cihazımızın kafasına yazalım ki unutmasın. Bunun için de aşağıdaki şekilde görünen kısa yolları kullanabiliriz.

clip_image016

Reset to Factory Default: Eğer buna tıklarsanız ve onaylarsanız herşeyi başa almış olursunuz. Cihazın bütün ayarları ilk aşamaya geri döner.

Apply Changes: Bu kısımda ise yapmış olduğumuz ayarları kabul ediyoruz ve onaylıyoruz.

Discard Changes: Buna basarsak yapmış olduğumuz ayarları kabul etmediğimizi ve uygulanmamasını istiyoruz demektir.

Evet hepsini yaptık şimdi bir de test edelim bakalım konfigürasyonumuz çalışıyormu. İlk olarak internet erişimimizi kontrol edelim. Adres çubuğuna www.cozumpark.com yazıyorum ve sonucuna bakalım.

clip_image017

Evet görüldüğü gibi sitelerim açılıyor.

Şimdi uzak masaüstünü bir deneyelim. Bunu içinde aşağıdaki adımları takip ediyorum.

clip_image018

İlk önce uzak masaüstü bağlantısını açıyorum ve gerekli IP’yi giriyorum.

Ve karşıma aşağıdaki serverımın kullanıcı adı ve şifre giriş penceresi geliyor. Kullanıcı adımı ve şifremi giriyorum ve artık serverımda istediğim işlemleri gerçkleştirebilirim.

clip_image019

Başka bir makalede görüşmek üzere. Umarım bu makalemiz ile sizlere yardımcı olabiliriz.

Mümin ÇİÇEK

Cisco ASA 5510′ un Temel Konfigurasyonu

Merhabalar arkadaşlar.

Bu sefer de değişik bir cisco ürünü olan Cisco ASA 5510 üzerinde biraz çalışacağız. Temel olarak yapacağımız işlemler;

1)İnternet trafiği bu cihaz üzerinden geçecek,

2)Güvenlik sağlanacak,

3)Uzak masa bağlantısı için gerekli ayarlamalar yapılacak,

4)Firma içerisinde kullanılan bir uygulamaya dışarıdan erişebilmek için gerekli olan ayarlar ve izinler tanımlanacaktır.

Şirketimizde 1 adet ADSL modem mevcuttur. Biz internet erişimini bu ADSL modem ile sağlayacağız ancak bütün trafik ASA üzerinden geçecektir. Bu durumda ADSL modem üzerinde de birkaç yönlendirme yapmamız gerekecektir. Onları da makalemizin devamında anlatacağım.

Cisco ASA nedir ne değildir? Bu cihaz ile neler yapılabilir? Öncelikle bunları bir inceleyelim;

clip_image001

Cihazımız yukarıdaki resimlerde görüldüğü gibidir. Kendisi ve modülleri ile birlikte.

-ASA = Adaptive Security Appliance demektir.

-Küçük,orta ve büyük ölçekli işletmelere gelişmiş seviyede güvenlik ve network servisleri verebilen bir cihazdır.

-Bu servisleri yönetmek ve uygulamak basittir. İster komut satırından isterseniz de cihazla birlikte gelen ve Cisco ASDM (Adaptive Security Device Manager) olarak adlandırılan program ile görsel olarak da cihazın konfigürasyonunu basit ve hızlı bir şekilde yapabilirsiniz.

-Yüksek seviyede firewall ve VPN (Virtual Private Network) hizmetlerini sağlayabilir.

-Değişik modülleri mevcuttur ve bu modülleri satın alarak sisteminizi daha da güvenli hale getirebilirsiniz.

Cisco ASA 5510’unun temel özellikleri aşağıdaki tabloda görüldüğü gibidir.

Feature

Description

Firewall throughput

Up to 300 Mbps

Concurrent threat mitigation throughput (firewall + IPS services)

· Up to 150 Mbps with AIP-SSM-10

· Up to 300 Mbps with AIP-SSM-20

VPN throughput

Up to 170 Mbps

Concurrent sessions

50,000/130,000*

IPsec VPN peers

250

SSL VPN peer license levels**

10, 25, 50, 100, or 250

Security contexts

Up to 5***

Interfaces

3 Fast Ethernet + 1 management port; 5 Fast Ethernet ports*

Virtual interfaces (VLANs)

10; 25*

High availability

Not supported; Active/Active, Active/Standby*

Cihaz hakkında bu kadar  bilgi verdikten sonra artık yavaş yavaş konfigürasyonumuza başlayabiliriz. Ancak daha detaylı bilgi almak isterseniz aşağıdaki adrese bir gözatmanızı tavsiye ederim;

http://www.cisco.com/en/US/products/ps6120/products_data_sheet0900aecd802930c5.html

ilk olarak cihazımıza bağlantı sağlamamız gerekiyor.Bunu için cihazı düzgün bir şekilde sistem entegre etmemiz gerekiyor. ilk olarak modemden gelen kablomuzu outside (dışbacak) olarak belirlediğimiz Ethernet arayüzüne takıyoruz. Daha sonra inside (içbacak yada LAN) olarak tanımladığımız arayüze de kablomuzu takıyoruz. Eğer konsoldan girişler gerçekleştireceksek konsol kablosunu da serverımızın yada konfigürasyonu yaparken kullanacağımız makinanın com portuna takıyoruz ve hyper terminalden de bunu kullanarak konfigürasyon yapabiliriz. Bunların hepsini yağtığımızı farzefiyorum ve artık ilk adıma geçiyorum. Ben ASDM kullanacağım.ilk önce Cisco ASA’ya   bağlantıyı gerçekleştiriyorum.

clip_image002

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bağlantıyı sağlamak için IP,kullancı adı ve şifre girişini gerçekleştirip OK tuşuna bastıktan sonra cihaza bağlantı sağlanıyor. Daha sonra karşımıza aşağıdaki gibi bir pencere çıkıcak. Bu pencere Cisco ASA’nın ana penceresi ve bizim ilk göreceğimiz pencere burasıdır.

clip_image003

Yukarıdaki resimde de görüldüğü gibi cihazımız hakkında detaylı bir bilgi bulunmaktadır.

Device information: Bu kısımda aygıt ile ilgili bilgiler mevcuttur. Üzerindeki yazılımlar ve versiyonları hakkında bilgiler var.

Interface Status: Bu bölümde ise cihaz üzerinde yer alan entegre edilmiş Ethernet arayüzleri hakkına bilgileri görebiliriz. Down yada Up olup olmadıklarını burdan görebiliriz.Benim konfigürasyonumda inside ve outside up durumda ancak management (yönetim için ayrılan Ethernet arayüzü) down durumda görünüyor.

VPN Tunnels: Bu kısımda ise VPN bağlantıları hakkında bilgileri alabiliriz. Ben VPN yapmadığım için hiçbir bilgi göremiyoruz.

System Resources Status: Cisco ASA üzerindeki CPU ve RAM değerleri hakkında bilgiler vermektedir.

Traffic Status: ASA üzerinden geçen trafik hakkında bilgi veriliyor.

Ve en alt kısımda da cihazın sistem loglarını görebilirsiniz.

Evet cihazımıza bağlandık ve artık yavaş yavaş yapmak istediğimiz ayarları yapmaya sıra geldi. Bunun için ben Wizard (en kolayı bu) kullanıcam ancak makalemin devamında Wizard kullanmadan da bütün bu ayarların nasıl yapıldığını anlatacağım.

clip_image004

Yukarıdaki şekilde de görüldüğü gibi Anamenü’deki Wizards altında bulunan Startup Wizard’a tıklıyoruz ve işlemlerimize devam ediyoruz. Karşımıza aşağıdaki gibi Wizard başlangıcı gelecek.

clip_image005

Burada karşımıza iki seçenek  geliyor. Bunlardan birincisi “Modify Existing configuration” ve “Reset configuration to factory defaults”. Cihazın üzerinde default gelen bir konfigürasyon mevcut zaten biz bunu seçerek konfigürasyonumuza devam ediyoruz. Ancak bir sorun olursa ve fabrikasyona dönmek isterseniz ikinci seçeneği seçip cihazı resetleyebilirsiniz. Devam ettiğimizde karşımıza aşağıdaki şekil gelecek.

clip_image007

Yukarıdaki şekilde de görüldüğü gibi cihazımıza bir isim veriyoruz. Ben “muminasa” dedim ve domain name kısmına da “cozumpark” dedim. Default değerleri bırakırsanız ASA Host Name “ciscoasa” ve domain kısmı da “yourdomain.com” şeklinde kalır.Sadece tanımlamak amacıyla bu işlemi gerçekleştiriyoruz ve diğer adımımıza geçiyoruz.

clip_image008

Yukarıdaki şekilde de görüldüğü gibi bu kısımda cihazımıza ait olan Outside seçimini yapıyoruz. Yani ADSL modemden gelecek olan kablonun takılacağı bacağı seçiyoruz.Ben Ethernet0/0’I dışbacak (outside) olarak tanımlıyorum ve gerekli IP bilgilerini giriyorum.Bu kısımda üç seçenek mevcut.

1)PPPoE kullan                      2)DHCP kullan                       3)Ve bizim tanımladığımız IP’yi kullan

Arayüzleri ayarladıktan sonra durum aşağıdaki gibi olacaktır.

clip_image009

Diğer adımımıza geçtiğimizde karşımıza yönlendirme bilgileri gelecekti ve bizden bir yönlendirme girip girmeyeceğimizi soracaktır. Ben static olarak bir yönlendirme girdim. Daha sonra da bu girişler gerçekleştirilebilir.

clip_image010

Evet burada dışa bacağımızı seçiyorum ve 0.0.0.0 0.0.0.0 olan yani içeriden nerden gelirse gelsin 192.168.0.1 üzerinden çıkışını gerçekleştiren yönlendirmeyi static olarak giriyorum.

Ve wizard ile son aşamamız olan kısma geliyoruz. Aşağıdaki şekilde de görüldüğü gibi Wizard ile yaptıklarımızın bir özetini bize sunuyor ve “Finish” butonuna basıp Wizard ile olan konfigürasyon yolculuğumuzu başarıyla bitirmiş oluyoruz.

clip_image011

Şimdi sıra geldi artık cihazımızla ilgili ayarları wizard kullanmadan yapmaya ve makalemizin başlangıcında tanımladığımız yapıyı oluşturmaya. Bunun için Cisco ASA’ya ilk bağlandığımızda karşımıza çıkan ana menüyü hatırlıyoruz herhalde. O pencerede olan menüleri kullanarak ayarlarımızı yapacağız.

clip_image012

Yukarıda da gördüğümüz gibi Home,Configuration,Monitoring,Back,Forward,Packet Tracer,Refresh,Save ve Help menülerini açan kısayol tuşlarımız mevcut. Biz bunları kullanarak ayarlarımızı yapacağımız menülere ulaşacağız.

İlk aşamamız Configuration olacaktır. Configurationa tıklıyoruz ve karşımıza aşağıdaki pencere çıkacaktır.

clip_image013

Sol kanattaki kısımlara bakarsak karşımıza aşağıdaki seçenekler çıkıyor;

1)interfaces: arayüzler hakkında bilgileri içerir.

2)Security Policy: kuralları oluşturacağımız kısım.

3)NAT: nat olayını gerçekleştireceğimiz bölüm.

4)VPN: vpn ayarlarını yapabileceğimiz arayüz.

5)CSD Manager:cisco secure desktop ile ilgili birim.

6)Routing: yönlendirmelerimizi yapabileceğimiz kısımdır.

7)Global Objects

8)Properties: aygıtla ilgili manuel olarak konfigürasyon yapabileceğimiz birimler burada mevcuttur.

Arayüzleri ve Configuration altında bulunan ksımları kısaca inceledikten sonra artık onların yapılandırmasına başlama vakti gelmiştir.

İlk olarak Security Policy ayarlarına bir bakalım. Burda içeriden ve dışarıdan gelicek olan isteklere karşı bazı güvenlik politikaları ve kuralları tanımlayacağız.Yeni bir kural oluşturmak için aşağıdaki gibi hareket etmemiz gerekiyor.

clip_image014

clip_image015

Şekil 2

Yukarıdaki birinci şekilde gördüğümüz gibi Access Rules tabında iken “+Add”’e basarsak karşımıza şekil 2’deki kural oluşturma penceresi gelecektir.

Burada yapacağımız ilk işlem Source (kaynak) adresin belirlenmesi var. Ben burada Any seçip devam ediyorum. Action kısmında ise kuralımızın Permit (izin) kuralı mı yoksa Deny (yasaklama) kuralı mı olduğunu tanımlıyorum. Ben izin vereceğim için Permit seçiyorum. Daha sonra Destination (Hedef) belirlemem gerekiyor. Bu kuralı oluşturmaktaki amacım dışarıdan içerideki server uzak masa üstü ile bağlantıyı sağlamaktır. Dolayısıyle 3389 nolu portu içerideki 10.0.0.200 nolu IP’ye sahip olan servera yönlendiriyorum. Zaten Rule Flow Diagram kısmına bakarsak kuralımızın uygun oluğunu görüyoruz. Evet ilk kuralımızı tanımladık.

Eğer ikinci bir kural tanımlamak istiyorsanız artık +Add tuşuna basmanıza gerek yok. Yapmanız gereken tek bir iş var oda daha önce tanımladığımız kurallardan birisine sağ tıklıyoruz ve Copy diyoruz. Bu işlemi yaptıktan sonra sadece kural üzerindeki bazı yerleri değiştirmemiz gerekiyor. Aşağıdaki şekildeki gibi kuralımızı yeniden düzenleyebiliriz.

Ilk önce Copy diyoruz. Şekil 1’de görüldüğü gibi. Daha sonra Şekil 2’deki gibi kuralımızı Paste ediyoruz ve değiştirmelerimizi yapıyoruz. Hepsini yaptıktan sonra OK dediğimizde yeni bir kural tanımlamış oluyoruz.

Bütün kurallarımızı bu şekilde tanımlayabiliriz.

clip_image016

Şekil 1

clip_image017

Şekil 2

Evet şimdi sıra geldi diğer servislerimizi yapılandırmaya. Ilk olarak DHCP servisinin yapılandırılmasını gerçekleştiricez. Makalemin başlarında da söylediğim gibi herşeyi Wizard ile yapayacağız demiştim. Şimdi Wizard kullanmadan DHCP servisini yapılandıracağız.

Bunun için Configuration altında Properties kısmına gidiyoruz. Karşımıza aşağıdaki gibi bir pencre gelecektir.

clip_image018

Bu kısımda yapacağımız işlemlere gelince. İlk once DHCP server seçimimizi yapıyoruz. Ardından sağ tarafta açılan pencerede “inside” seçiyoruz. Bunu seçmemizin sebebi DHCP servisini içeriye dönük bir hizmet olarak kullanacağımızdır. Edit tıklayıp değerleri görebiliriz. Seçimimizi yaptıktan sonra artık DHCP ile ilgili seçenekleri ayarlamaya geliyor sıra. DNS Server,Wins Server,Domain Name ve kiralama sürelerinin girişlerini gerçekleştirdikten sonra Apply’a basıyoruz ve ayarlarımızı Flash’a gönderiyoruz. DHCP servisimizi de aktif hale getirdik. Artık içerideki bilgisayarlarımıza cihazımız IP dağıtabilir.

Sıra geldi cihazımızın üzerinde kullanıcı tanımlamalarına. Bunu neden yapıyoruz? Dışarıdan ve içeriden güvenliği arttırmak. Benim burda kullanıcıları oluşturmamın sebebi; şirket içinde kullanılan bir uygulamaya kullanıcılar dışarıdan herhangi bir yerden erişirken şifre sorması içindir.Bunun için Properties altında Device Administration altındaki User Accounts kısmını kullanacağız.

clip_image019

Şekil 1

Şekil 1’de görüldüğü gibi cihazımıza eklemiş olduğum kullanıcıları görmekteyiz. Yeni bir kullanıcı eklemek istediğimizde ise Add butonuna basmamız yeterlidir. Daha sonra karşımıza aşağıdaki gibi bir pencere gelicek ve bu kısımda gerekli bilgilerin girilmesi gerekecektir.

clip_image020

Yukarıda da gördüğümüz gibi kullanıcı adını ve şifresini giriyoruz.

Evet kullanıcılarımızı da ekledik.

En son aşama ise yapmış olduğumuz bütün bu ayarların kaydedilmesidir. Bunun için iki seçeneğimiz var.

1)Ana pencerede bulunan menu çubuğundaki Save butonunu kullanmaktır.

clip_image021

2)File menüsündeki Save Running Configuration to Flash demektir.

clip_image022

Yukarıdaki işlemi de yaptıktan sonra artık bütün ayarlarımız Flash’a yazılmış oldu.

Şimdi sıra ADSL modem üzerindeki yönlendirmeye. Modem üzerinde de içeriden gelicek olan bütün isteklerin modemin IP’ni gateway olaraktanımlayan yönlendirme kuralını da modemin Routing kısmında static olarak  girişini gerçekleştiriyoruz ve işimiz tamamlanmış oluyor.

Artık serverımıza ve uygulamamıza dışarıdan bağlanmayı deneyebiliriz.Bunun için Remote Desktop Conneciton kullanacağız.

clip_image023

Gerekli bilgileri girdikten sonra Connect diyoruz.

clip_image024

Şifre girişinin gerçekleştirilmesi.

Web tabanlı olarak çalışan uygulamıza erişmek için ise internet explorer adres çubuğunda  http://212.25.25.25 yazım Enter tuşuna bastığımızda karşımıza ilk önce daha önce Cisco ASA üzerinde tanımlamış olduğumuz kullanıcı adı ve şifre giriş penceresi gelecektir.

clip_image025

Kullanıcı adımızı ve şifremizi giriyoruz.

Cisco ASA’nın sormuş olduğu kullanıcı adı ve şifresi doğru ise bizi doğruca içeride kullandığımız programın kullanıcı adı ve şifre giriş pencresi karşılayacaktır.

clip_image026

Kullanıcı adı ve şifre doğru ise artık programda çalışabiliriz.

Evet geldik makalemizin sonuna. Daha bir sürü özelliği var ancak bu kadarını hazırlayabildim. Öğrendikçe sizlerle paylaşmaya devam edicem.

Bütün yukarıdaki yaptıklarımıza ek olarak cihaz üzerinde;

1)Monitoring yapabilirsiniz

2)IP’leri izleyebilirsiniz

3)Banner ekleyebilirsiniz

4)URL Filtering yapabilirsiniz

5)Cihazınızın otomatik olarak güncel kalmasını sağlayabilirsiniz

Bir sürü özelliği var hepsini incelemek uzun sürerdi. Ancak dediğim gibi öğrendikçe sizlerle paylaşacağım.

Teşekkürler.

Mümin ÇİÇEK

Cisco PIX 501’in internet erişimi ve Remote Desktop Bağlantı konfigurasyonu

Merhabalar arkadaşlar. Bu makalemizde sizlerle Cisco firmasının üretmiş olduğu ve piyasada güvenlik amaçlı kullandığımız cihazlardan birisi olan Cisco PIX 501 konfigürasyonunu ele alıcaz.

Bildiğimiz gibi dünya üzerindeki network alt yapısının %85’e yakın bir kısmı Cisco firmasının üretmiş olduğu network cihazları sayesinde iletişim kurmaktadır. Kurumsal anlamda da ele alırsak Cisco aynı başarısını sürdürmektedir.

Cisco PIX ile neler yapabiliriz?

Cisco PIX küçük işletmeler için enterprise sınıfında güvenlik hizmeti verebilen bir cihazdır. Broadband olarak tanımladığımız özellikle ADSL internet erişiminin kullanıldığı işletmelerde sürekli açık olucak şekilde güvenliği sağlayan bir cihazdır.

Adaptive Security Algorithm (ASA) tabanlı durumsal güvenlik taraması yapabilir.

Önceden tanımlanmış 100’ün üzerinde uygulama,servis ve protokolü erişim kontrolünde kullanabilir.

IKE/IPSec standartlarına uygun bir şekilde güvenli bir uzak bağlantı olan Virtual Private Network (VPN) yapısını oluşturabilirsiniz.

55’in üzerinde network tabanlı saldırılara karşı önlemler alınabilir.

Üzerinden geçen WEB trafiğini temel yada ana hatlarıyla yada ek bir üçüncü parti yazılımla filtrelemeye tabi tutabilirsiniz (URL filtering).

Kendi üzerinde gelen etegre edilmiş switch özelliği ile tek bir bağlantıyı birden fazla kişinin kullanımına açabilirsiniz.

Cisco PIX donanımsal ve yazılımsal olarak nelere sahiptir?

Aşağıdaki resimde de görüldüğü gibi küçük ama işlevleri iyi olan görevini sizin verdiğiniz talimaltlarla katı bir şekilde yerine getiren bir kutu olarak karşınıza çıkıcaktır.
clip_image001

Harici bir güç ünitesine sahiptir. Dışarıdan bir kablo ile beslenir.

133 MHz bir CPU’ya sahiptir.

16 MB RAM ve 8 MB flash RAM’e sahiptir.

Bağlantılarda dış bacak (outside) olarak kullanılacak 1 tane 10/100 Mbps Ethernet arayüzüne sahiptir. (port 0). Üzerinde 4 adet de 10/100 Mbps port vardır. Bunları da LAN bağlantılarında kullanıcaz.

Konfigürasyonlarımızı üzerinde gelen seri konsoldan da gerçekleştirebiliriz.

Her cihazda olduğu gibi ön panelde ışıklarımız mevcut.

PIX firewall V 6.1 yazılımı destekler.

Konfigürasyonu basitleştirmek için üzerinde basit bir konfigürasyon vardır.

Cisco PIX Device Manager (PDM) vardır ve web tabanlı konfigürasyon da gerçekleştirilebilir. Ancak Java yüklü olmalı. Ben www.java.com ‘dan en son versiyonu indirdim kurdum ve sorunsuz bir şekilde konfigürasyonumu yaptım.

Sınırlı ve sınırsız lisanslama ile kullanıcılarınızın durumunu belirleyebilirsiniz. 50 kullanıcılı bir lisans paketi alabilirsiniz. Yada sınırsız bir lisans alıp limitlere takılmazsınız.

Inernal bir DHCP server vardır. DHCP server lisanslama ile bağlantılı bir şilde çalışır. 10 kullanıcılı bir lisans aldıysanız DHCP 32 adres dağıtıcaktır. Eğer 50 kullanıcılı aldıysanız 128 adres dağıtılıcak ve sınırsız lisans alırsanız da 256 ip dağıtımı gerçekleştirebilir.

10 tane Remote Access ve site-to-site VPN bağlantısına izin verir.

Bu kadar tanıtım yeter. Artık yavaş yavaş konfigürasyonumuza geçelim. Ilk once firewallımız firmamızda nereye koyucaz bununla ilgili bir karar vermemis gerekiyor. Bunun için de aşağıdaki resimde de görüldüğü gibi tamamen organizasyonumuzun yapısına bağlı kalarak bir firewallımızı nereye koyacağımıza karar verebiliriz.

clip_image002

Ben firewallımı aşağıdaki gibi yerleştirdim.

clip_image003

Cisco PIX 501’in konfigürasyonunu iki farklı şekilde yapabilrisiniz. Bunlardan birincisi komut girişi gerçekleştirerek ve ikincisi ise web arayüzünü yada cihaz ile birlikte gelen program sayesinde yapabilrisiniz. Biz Web arayüzünden gerçekleştiricez. Bunun için öncelikle https://192.168.1.1 adresinden cihaza web tarayıcımız ile bağlanmamız lazım. Cihaza bağlandıktan sonra karşımıza aşağıdaki pencere gelicektir.

clip_image004

Bu kısımda karşımıza çıkan sertifika yüklenmesi ile ilgili kısımda YES diyoruz ve diğer aşamaya geçiyoruz. Bu pencerenin karşımıza çıkmasının nedeni Cisco PIX’in web arayüzünün “https” tabanlı çalışmasıdır. Burda YES dedikten sonra karşımıza artık cihazın ana menüsü diyebileceğimiz pencere gelecektir.

clip_image005

Yukarıdaki arayüzde cihaz ile ilgili temel bilgiler mevcut. Aygıt durumu,VPN durumu,Sistem kaynak durumu ve Ethernet arayüzlerle ilgili bilgiler görülmektedir. Bunlara ek olarak birde cihaz üzerindeki trafik hakkında da temel bilgiler sunmaktadır.

Şimdi temel konfigürasyona bir bakalım ve cihazın sunacağı hizmetleri adım adım ayarlayalım. Bütün bu ayarları arayüzden yapabildiğimiz gibi aynı şekilde konsoldan cihaza bağlanarak da yapabiliriz ancak konsoldan konfigürasyon yapabilmek için iyi bir cisco’cu olmak lazım. Ayrıca komutlarını bilmek ve uygun bir şekilde girişini gerçekleştirmek gerekir. Makalenin sonunda komut satırından yapılmış bir konfigürasyon örneği vericem onu inceleyebilirsiniz.

Cisco cihazı ile birlikte gelen Cisco Pix Device Manager yazılımındaki Wizard’I kullanarak temel Cisco Pix konfigürasyonumuzu gerçekleştiricez. Bunun için Menü çubuğunda bulunan Wizards tabında bulunan Startup Wizard’I kullanıcaz. Ayrıca orda VPN Wizard da mevcut. VPN konfigürasyonunuzu da basit ve hızlı bir şekilde sağlayabilirsiniz.

clip_image006

Konfigürasyon için wizardın seçilmesi ve devam edilmesi.

Daha sonra karşımıza aşağıdaki gibi bir pencere gelicektir.

clip_image007

Yukarıdaki pencerede cihazımızla ilgili isimlendirme ve cihaza girişte bizden isteyeceği şifreleri tanımlıyoruz. Ilk aşamada cihaza girişte bizden hiçbir şekilde şifre istemez default değerler boştur. Ancak cihazımızın güvenliğini sağlamak için buraya şifre girmemiz gerekiyor. Yok benim cihazıma kimse girmez deyip buraları boş bırakmayın mutlaka bir şifre girin. Isimlendirmesini de istediğiniz gibi verebilirsiniz. Bütün bunları tamamladıktan sonra diğer adıma geçiyoruz.

clip_image008

Bu kısımda da cihazımızın dış bacak (outside) yani ADSL modeme bağlı olan arayüzünün konfigürasyonunu yapıyoruz. Speed (hız) seçimini gerçekleştiriyoruz.

IP Adresi kısmında cihazımızın dış bacağına (outside) gelicek ip bilgisini tanımlamamız gerekiyor. Burda 3 farklı seçim mevcut ve bize en uygun olanı tercih etmemiz gerekir.

1)Use PPPoE: burda adsl modemimizin çalışma modunu bridge olarak ayarlayıp Cisco PIX’in PPPoE gibi kullanabiliriz ve modemle işimiz olmaz artık.

2)Use DHCP: cihazımızın dış bacağına gelicek olan ip’nin DHCP tarafından atanmasını istiyorsak bu seçimi kullanabiliriz. Ancak modem üzerindeki DHCP aktif olamalı.

3)Static IP Address: bu kısımda da biz cihazımıza static (manuel) bir IP girişi gerçekleiştiriyoruz. Ayrıca bu arayüzün ağ maskesi ve ağ geçidini de tanımlıyoruz ki erişimi gerçekleştirebilsin.

Bu kısıdamki ayarları da tamamladıktan sonra diğer adıma geçebiliriz.

Bu adımda da iç kısma (inside) IP dağıtımı gerçekleştiricek olan DHCP servisini configure edicez.

clip_image009

Başlangıç ve bitiş adreslerini tanımlayarak DHCP adres havuzunu oluşturuyoruz. Dikkat ederseniz 129 ile bitiyor. Bizim şuan ki cihazımız 50 kullanıcı lisanslı ve ben ordaki değerleri değiştirsem bile örnek olarak başlangıç ip 192.168.1.2 ve bitiş ip’si 192.168.1.200 dersem sistem otomatik olarak bitiş ip’ni 129’a geri çekecektir. Havuzu tanımladıktan sonra artık DHCP’nin istemcilere dağıtacağı seçenekleri girmemiz gerekiyor. Bu seçeneklerimiz de DNS bilgisi,WINS bilgisi,Alan adı ve kiralama süresi bilgileridir.

Artık iç kısımdaki istemcilerimize IP dağıtıcak servisimiz de hazır hale geldi veartık konfigürasyonumuz daha doğrusu wizard ile işimiz bitti. Diğer aşamalarda artık diğer tanımlamalarımızı yapıcaz. NAT olayının gerçekleştirilmesi vs. Kural tanımlamalarımıza baktığımızda ilk aşamada bütün trafik açık durumda.

clip_image010

Özel kurallar oluşturmak için yine wizardları kullanabiliriz. Bunun için karşımızda bulunan pencereden (yukarıdaki pencereden bakabilirsiniz) Access Rules,AAA (authentication, authorization, or accounting) ve Filter Rules kullanabiliriz. Bunlara ek olarak Translation Rules,VPN,Hosts/Networks ve System Properties kısımları da mevcuttur.

Örnek olarak biz firma dışından içerideki servera bağlanmak için gerekli olan 3389 nolu port yönlendirmesi için bir kural tanımlıcaz. Bunun için Access Rules kısmındayken yada Menü çubuğunda yer alan Rules tabından ekleyebiliriz. Karşımıza aşağıdaki pencere çıkıcaktır.

clip_image011

Yukarıdaki pencerede öncelikle kurala izin mi vericez yoksa kısıtlayacakmıyız ona karar veriyoruz. Daha sonra Source (kaynak)Host/Network kısmından bağlantının nerden geleceğini tanımlıyoruz. Dış bacaktan (outside) 0.0.0.0 seçili hangi IP’den gelirse gelsin. Ve daha sonra sağ tarafta bulunan Destination (hedef) Host/Network kısmında içerideki serverımızın bilgilerini giriyoruz. Burda ben 192.168.1.100 IP’sine sahip olan serverıma gidiş için bir kural tanımladım. Protokol yada servis kısmında ise kullanılan protokolü ve hedef portu seçiyoruz. TCP ve 3389 olarak bunları da tanımlıyoruz. Daha sonra OK deyip çıkıyoruz. Ve cihazımızın son haline bir bakalım.

clip_image012

Şekilde de görüldüğü gibi kuralımız tanımlanmış durumda. Birde Translation Rules kısmına bakalım.

clip_image013

Daha sonra yapacağımız ise bütün bu ayarları kaydetmemiz lazım.

clip_image014

Menü çubuğunda bulunan “Save” butonuna basabiliriz yada File menüsünde bulunan “Save Running Configuration to Flash” deyip yapmış olduğumuz ayarları kaydediyoruz ve çıkıyoruz.

clip_image015

Bütün bunları yaptıktan sonra artık sıra dışarıdan bağlanmaya geliyor. Remote Desktop Connection’u açıyoruz.

clip_image016

IP adresini yazdıktan sonra Windows Vista karşımıza bir uyarı mesajı çıkarıyor.

clip_image017

Bu durumda “YES” deyip burayı da geçiyoruz ve karşımıza bağlandığımız serverın logon penceresi geliyor. Kullanıcı adınızı ve şifresini girdikten sonra artık işyerinizdeki serverınızda gezinmeye başlayabilirsiniz.

Konsoldan gerçekleştirilmiş bir konfigürasyon örneği:

Building configuration…

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname cakmak

domain-name cakmak

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list RDPout_IN permit tcp any interface outside eq 3389

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside 10.0.0.10 255.255.255.0

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.100 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp interface 3389 192.168.1.100 3389 netmask 255.255.255.255 0 0

access-group RDPout_IN in interface outside

route outside 0.0.0.0 0.0.0.0 10.0.0.2 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.129 inside

dhcpd dns 192.168.1.1 10.0.0.2

dhcpd wins 192.168.1.1 10.0.0.2

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

Cryptochecksum:4ae129693b4aefbb830ba53b2498a2c5

: end

[OK]

Kaynakça:

1)Cisco Systems internet sayfası (resimler için kullandım)

2)Cihazın fiziksel ve yazılımsal özellikleri için cihazla birlikte gelen kullanım ve konfigürasyon klavuzunu kullandım.

3)Çözümpark (www.cozumpark.com) ‘daki arkadaşların yardımları.

Mümin ÇİÇEK

InterVLAN Routing

Pratikte ağ topolojimizi cihazları farklı fiziksel switchlere bağlayarak ta kurabiliriz.Bu durumda oluşturduğumuz subnet’leri birbirleri ile görüştürebilmek için router’ımızda switch sayısı kadar ara yüz olmalıdır. Buda hem fazla switch kullandığımız hem de router’a fazla interface takmamız gerektiğinden maliyeti arttıracaktır.VLAN yapısı burada devreye girmektedir.

VLan yapılandırırken bazı kavramlar karşımıza çıkmaktadır ve önce bunlardan bahsedelim.

Broadcast Domain

Broadcast domain’i aynı IP subnetinde (ağında) herhangi bir bilgisayarın yada diğer cihazların router a uğramak zorunda olmadan birbirlerine veri transferi yapabildikleri bir mantıksal network(ağ) segmentidir. Vlan yapılandırması ile broadcast domain’nini küçültürüz.

Trunk

Burada kullanılan anlamıyla trunk, 2 switch arasında yada switch ile router arasında çoklu Vlan trafiğini bir protokol ile (VTP) taşıyan hattır.Başka bir deyişle aynı hat -kablo- üzerinde çok sayıda Vlan ın haberleşebilmesini saglayan yapıdır. Bir hattan fazla vlan bilgisini geçirebilmek için çokça kullanılan IEEE 802.1Q yada ISL protokollerinden birini kullanabiliriz.ISL, Cisco’ya özel bir protokoldur.

VTP -Vlan Trunking Protocol-

VTP, Vlan ekleme,silme,yönetme konusunda kullanılan protokoldür ve yönetimsel eforu oldukça hafifletmektedir. VTP bilgilerinin switchler üzerinde bulunan aynı VTP domainlerine taşınması ile her VLAN ın her switchte oluşturulmasına gerek kalmaz.Vlan bilgileri (VTP advertisements) ISL , 802.1Q, IEEE 802.10 yada LANE trunk hatlarından yollanır.

Şimdi Vlan’lar arası yönlendirmenin (routing) nasıl çalıştığından bahsedelim.

Farklı Vlan’lardaki ağ cihazları router’ın yönlendirmesi olmadan birbirleri ile görüşemezler. SwitchA da bulunan Vlan 10 daki A ve B istemcisinin switchB de bulunan Vlan20 deki C istemcisi ile görüşmesi için bir yönlendirici gerekmektedir. Alttaki şekillerde ise Vlan lar yine bir trunk hattı üzerinden görüşüyor.

clip_image001

clip_image002

Sağdaki şekilde router ın bir fiziksel ethernet interface i üzerinde 2 tane alt interface oluşturarak trunk hattı üzerinden vlan 10 ve 20 nin kullanımına sunulmalıdır. Böylece router, vlan 10 den gelen ve vlan 20 ye gitmesi gereken paketi routing table ına bakarak uygun alt interface inden gönderebilir.

Başarılı bir vlan yapısı için Vlan trunking protocol düzgün yapılandırılmalıdır. VTP ile vlan lar için ; switchlerin hangi modda çalışacağını , hangi domain’e üye olduklarını, pruning’in açık yada kapalı olma durumunu yapılandırırız. Aynı domain içindeki VTP bilgilerinin switch’ler arasında kopyalanacağını unutmamak gerekir.

Pruning, switch’lere gelen ve alakasız yerlere giden trafiği keserek bant genişliğini daha efektif kullanmamızı sağlar.

clip_image003

Şekle bakacak olursak SW1’ ve SW4 e bağlı RED isimli vlan ı görmekteyiz. Alttaki bilgisayar broadcast paketlerini SW1 e gönderdiğinde SW1 görüldüğü gibi bu broadcast’ her yere ulaştırır. Halbuki sadece SW1 ve SW4 ün ışında port’ları RED isimli Vlan’a üye olan switch yoktur. Varsayılanda kapalı olan VTP Prunning server modda çalışan switch’te açılırsa alakasız trafik engellenmiş olur.Aşağıdaki şekilde görülebilir.

clip_image004

Yönetimsel amaçlı kullandığımız VLAN 1 in trafiği pruning tabi değildir !

Vlan 10 , Vlan 20 ve Vlan 30 dan oluşan konfigürasyonumuza geçebiliriz. Yapımızda; bir router , 2 switch ve 3 faklı vlan da bulanan 3 adet test cihazım (test amaçlı router kullanıyorum) bulunmaktadır.

172.19.20.0 / 24 bloğunu kullanacağız. Öncelikle bloğu parçalayarak vlan’lara tahsis edelim.

Vlan 10 da 11 istemcim olsun. 172.19.20.0 / 28 subnetini kullanırsam yeterli miktarda ip elde ederim. Vlan 10 için ağ geçiti (gateway) 172.19.20.14 /28 ip si olabilir.

Vlan 20 de 3 istemcim olsun. 172.19.20.16 / 29 subnetini kullanırsam sorun olmayacaktır. Vlan 20 için ağ geçitim 172.19.20.22 / 29 ip’si olabilir.

Vlan 30 de 1 istemcim olsun. 172.19.20.24 / 32 sunbetini kullanabilirim. Vlan 30 için ağ geçitim 172.19.20.26 / 32 ip si olabilir.

Test amacıyla kullanacağım routerlara isimlerini ve ip lerini vererek başlayalım.

R1 vlan 10 da bulunmaktadır

R2 vlan 20 de bulunmaktadır

R3 vlan 30 da bulunmaktadır.

R1 172.19.20.1 / 28 ipsini kullanıyor.

R2 172.19.20.17 / 29 ipsini kullanıyor.

R3 172.19.20.25 / 32 ipsini kullanıyor.

clip_image005

clip_image006

R1 isimli router’ın ismini ve ip sini yapılandırdık.

clip_image007

R2 isimli router’ın ismini ve ipsini yapılandırdık.

clip_image008

R3 isimli router’ın da ismini ve ip’sini yapılandırdık. Şimdi bu 3 router’ın bağlı bulunduğu SW1 e geçerek ismini verelim ve komşularını görüntüleyelim.

clip_image009

Client modunda çalışacak olan switch e ismini -SW1- verdik ve komşularını görüntüledik.Burada üstte görünen switch ileride SW0 olacak olan switch’tir. İlgili portlarından test amaçlı olarak kullanacağımız router lara bağlı olduğunu görebiliriz. Artık server modda çalışacak ve ismi SW0 olacak olan switch e geçerek vlan yapımızı oluşturalım.

clip_image010

İlgili vlan larımızı SW0 da oluşturduk. SW0 server modunda çalışmakta ve domain adımız CISCO olarak yapılandırılmıştır. Vlan larımızı görüntülemek istersek #show vlan komutunu kullanabiliriz.

clip_image011

Show komutunun çıktısı üstteki şekildedir. Bu bilgilerin diğer switch e taşınabilmesi için onda da ilgili ayarlarımızı yapmalıyız. Client modda olduğunu , domain bilgisini SW1 de yapılandırmalıyız. Bunları orada yapılandırmak yetmeyecektir. Trunk hatlarını belirlememiz ve yapılandırmamız gerekmektedir. SW0 in her iki interface’i , SW1 in ise SW0 a bakan interface i trunk olmalıdır. Ardından SW1 e SW0 dan bilgilerin gittiğini görebiliriz. Şimdilik SW0 ile SW1 in birbirlerine bakan interfacelerini trunk moduna alalım daha vlan lar arası haberleşmeyi sağlayacak R0 ı devreye alacağız. Öncelikle SW0 da ve SW1 de komşulara bakalım ve hangi interface i seçeceğim karmaşasından kurtulalım.

clip_image012

SW1’de de komşulara bakalım. Burada henüz R0’ı göremiyorum çünkü yapılandırmadım.

clip_image013

SW0’ın komşuları da görünmektedir.

clip_image014

Üstteki resimlerden bakacak olursak SW1’in 0/1 no lu portundan SW0 a bağlı olduğunu görebiliriz dolayısıyla burada trunk çalışacaktır.

clip_image015

Yine SW0 in SW1 e giden 0/2 no lu interface inde trunk çalışmalıdır.

Trunk portlarını yapılandırdık. (SW1 in R0 a giden interface’i de trunk portudur ileride yapılandıracağız)

SW1 e CISCO domainde olduğunu ve client modda olduğunu söyleyelim ve ardından Vlan bilgilerini görüntüleyelim.

clip_image016

Artık SW1 de vlanlarımızı görebiliriz. Yine #show vlan komutu işimizi görecektir. Bu komutu her iki switch te çalıştırıp çıktılarını inceleyelim.

SW1 de;

clip_image017

SW0 da ;

clip_image018

Görüldüğü gibi SW0 dan SW1 vlan bilgilerimiz geçmiştir. Şimdi de Her iki switch te VTP yapısına bakalım. Bunun için #show vtp status komutunu kullanacağız.

SW0 da;

clip_image019

SW1 de;

clip_image020

Her iki switch deki vtp durumu üstteki gibidir.

Şimdi sıra SW1 de test cihazlarımı vlan lara dahil etmeye ve ilgili portları access port olarak belirlemeye geldi. SW1 de test cihazlarımıza giden port lar erişim portları olmalıdır. SW1 in komşularına bakarsanız 0/4 , 0/8 ve 0/11 nolu portarının erişim portaları olması gerektiğini görebilirsiniz. 0/4 portu vlan 10 a , 0/8 no lu portu vlan 20 ye, 0/11 no lu portu vlan 30 a dahil edelim.

clip_image021

İlgili portaları ilgili vlan lara atadık ve erişim portları olduğunu belirledik. Henüz birbirleri ile görüşemeyecekler. Çünkü her üç test cihazımızda farklı ağlarda bulunmaktadır. O halde R0’ı yapılandırabiliriz. R0’ın SW0 a bakan fiziksel interface’i üzerinde 3 adet alt interface açacağız ve iplerini daha önce belirlediğimiz gibi vereceğiz. Encapsulation’ı da belirleyeceğiz. Ne tür encapsulation yöntemleri kullanılabileceğini başta belirtmiştik. Burada dot1Q kullanacağız. Yapılandırmaya geçelim.

R0’ın yapılandırması

clip_image022

Görüldüğü gibidir. SW0’da artık R0 a bakan portu trunk’a alabiliriz.

clip_image023

SW0’da R0 a giden taraf ta trunk’a alınmıştır. Artık vlan’larımız birbirleri ile görüşebilir.Burada senaryomuza özel bir durumu açıklamak gerekebilir. Senaryoya bağlı kalarak uygularsanız R0’da vlan’larımızdaki test amaçlı kullandığımız routerlara ping atabilirsiniz buda vlan yapımızın başarılı olduğunu gösterir.Ama test amaçlı kullandığımız R1,R2,R3 den şu halleri ile birbirlerine ping atamazsınız. Çünkü herhangi bir routing protokolü yapılandırmadık!!!

Barış AYDOĞMUŞOĞLU