BGP Protokolü Temelleri Bölüm 1

March 24, 2013, 1:07 pm

≪ Previous: OSPF Protokolü Multi AREA Konfigürasyonu

Arkadaşlar Merhabalar, Bu makalemiz ile birlikte seri bir BGP protokolü makaleleri bizleri bekliyor olacak, bu makalelerin ardından BGP protokolü hakkında ciddi bir deneyim kazanmış olacaksınız.

Bu makale içerisindeki uygulamaların tamamını gerçek Cisco IOS üzerinde simule ediyor olacağız. Simülatör olarak “GNS3” yazılımını kullanıyor olduğumuzu ve gerçek IOS üzerinde çalıştığımızı hatırlatmak isterim. Daha evvelki makalelerimizde “GNS3” yazılımı kurulumu ve temini ile alakalı detaylı bilgi aktarmıştık.

BGP Protokolü Detayları

BGP Nedir?

Border Gateway Protocol açılımına sahip olan bu isim, Sınır Geçiş Protokolü ismi ile Türkçeye çevrilmektedir. BGP protokolü günümüzde İnternet bağlantılarının kurulmasında ve genişletilmesinde kullanılan en temel protokollerin başında gelmektedir.

Kullanım alanı bir hayli yaygındır, fakat küçük ve orta boy tipteki işletmelerin network dizaynı yaptığında kullanmak isteyeceği bir protokol değildir.

Sebebi çok kapsamlı olmasından ve genel olarak internet servis sağlayıcılarının, internet servislerini kullanıcılara sunmak ve işletmeleri internet servisi ile buluşturmak, servis sağlayıcıların bir başka servis sağlayıcı ile iletişim kurmasına imkan tanıyan kapsamı büyük ölçekte olan, operasyonel olarak ciddi deneyim gerektiren, internet servis sağlayıcılarında Veri Merkezi Yönlendirici seviyesindeki Cihazların üzerinde kullanılan protokoldür.

BGP, “exterior gateway protocol” harici ağ geçidi protokolü olarak sınıflandırılmaktadır. “Autonomous System” (AS) Otonom sistemler arasında IP rotaları taşımak için kullanılmaktadır. BGP hedef seçiminde, elle müdahele edilerek gidilmesi istenilen yollara, rota manipülasyonu yaparak, gidilmesi tercih edilen tüm networklere ait rotalar yazılarak istenildiği gibi tüm yönledirme işlemlerine detaylı olarak müdahele ettirmeye olanak tanır.

Bu operasyonların gerçekleştirilmesi için deneyimlerin servis sağlayıcı düzeyinde olması şarttır.

BGP protokolü RFC 1771 standartlarına göre çalışması IETF tarafından açıklanmıştır.

Autonomous System Nedir?

Otonom Sistem; Otonom sistem kavramını aslında IP network havuzları oluşturur. Otonom sistemlerde amaç IP networklerinin coğrafi konumlarına göre gruplara bölünmesi ve IP network’lerinin yönetimini kolaylaştırılması ve sınırların çizilmesi maksadı ile kullanılır.

Otonom Sistemler 16 bit ile ifade edilebilirler. Diğer bir ifade ile 0 ile 65535 arasında değerler alabilirler. Otonom Sistem kavramı “AS” olarak ingilizce kısaltma olarak ifade edilirler. “AS” numaraları ripe , arin gibi kuruluşlardan satın alınabilirler. 64512-64534 arasında bulunan “AS” numaraları “privaterange” olarak rezerve edilmiştir ve “Private” IP blokları yalnızca iç networklerde belli amaçlar için kullanılabilirler. Aşağıdaki resimde de “AS” numaralandırması topoloji üzerinde örneklendirilmiştir.

BGP protokolü sınıfsız bir yönlendirme protokolüdür. “CIDR” ve “VLSM” desteği vardır. “CIDR ve VLSM” kavramlarını IP protokol başlığında detaylarını görebilirsiniz.

“CIDR” kullanılmadan network anonsları BGP ile yapıldığında yaklaşık olarak 2.000.000 civarı IP yönlendirilmesi yapılabilir. “CIDR” kullanıldığında bu rakam 170.000 civarına düşmektedir.

Ipv4 ve Ipv6 ile BGP protokolünü kullanmak mümkündür.

Aşağıdaki resimde de “BGP” protokolünün büyük ölçeklerde kullanımını resmeden bir topoloji yer almaktadır.

Büyük Ölçekli Networklerde BGP Kullanımı

BGP protokolü her firmanın kullanacağı ölçekte bir protokol değildir. BGP ölçeğini anlamak ve kullanmak için işletmenin çok şubeli ve merkezden oluşan bir organizasyon yapısına sahip olmalı veya hizmet sağlayıcı bir firma olmalıdır. Aksi halde yönetim zorluğu ve uygulamasının büyük ölçekte deneyim gerektiren durumlar olduğundan problem yaşanması ve çözümü zor olacaktır.

Aşağıdaki networkümüzde “multihomed” bgp kullanımı söz konusudur. “AS” lere olan bağlantılardan herhangi biri koptuğu vakit bir diğer bağlantı üzerinden “AS” ler iletişim kurmaya devam ederler.

Ayrıca hedef network’lere hangi yolu kullanarak gideceğimize dair bize rota tanımlaması imkanı sağlayarak hangi network’e hangi yol izlenerek gidileceğine karar vermemize yardımcı olur ve performans artırmaya olumlu katkısı olacaktır.

Peki bu durumda hangi durumlarda “BGP” protokolünü kullanmalıyız veya ihtiyaç olduğunu nasıl anlayabiliriz sorusunu soralım?

BGP Kullanmayı Gerektiren Durumlar;

AS’den bir başka AS’e paket iletmeniz gerektiren durumlarda kullanılırlar.

KullanıdığımızAS’in birden fazla AS’e bağlantısı var ise kullanılırlar.

AS üzerindeki trafik farklı rotalara yönlendirilmesi, yani rota manipülasyonu gerektiren durumlarda kullanılırlar.

BGP Kullanmayı Gerektirmeyen Durumlar;

İnternet bağlantısına yalnıza tek bir network veri hattı ile bağlı iseniz kullanmaya gerek yoktur.

Rota yazmak, Rota filtreleme yapmak gibi konularda deneyiminiz veya detaylı bilginiz yok ise kullanılmamalıdır.

BGP protokolünü aktif edeceğiniz “Router” larınızda BGP detaylarını kullanabileceğiniz kadar RAM ve İşlemciye sahip değillerse kullanılmamalıdır.

BGP Varsayılan Rotalar Üzerinden Güncelleme Metodları

BGP protokolü varsayılan olarak rota seçiminde aşağıdaki metodları kullanırlar.

Her internet servis sağlayıcı yalnızca varsayılan olarak kullanılan rotaların bilgisini kabul ederler.

Tüm AS’ler yönlendirme tablolarının tamamını internet servis sağlayıcılarına yönlendirirler.

İç networklerde çalışan tüm yönlendiriciler, yönlendirme tablolarına bakarak en iyi yolu seçerler.

Statik veya Dinamik yönlendirmeler sayesinde direkt veya dolaylı yoldan internet servis sağlayıcılarına bağlantı sağlanabilir.

Yönlendirme güncellemeleri 3 şekilde anons edilirler varsayılan güncelleme, bölümsel ve ful güncelleme.

Tüm Servis Sağlayıcıların Tam Yönlendirilmesi

Tüm servis sağlayıcılar tüm yönlendirmeleri “AS” lere yönlendirir.

Tüm iç network yönlendiricileri “IBGP” çalışırlar.

Bu işlemleri yaparken kaynak kullanım gereksinimleri gayet düşüktür.

Umarım herkese faydalı bir makale olmuştur, seri halindeki BGP Temelleri -1- makalesini, BGP temelleri -2- makalesi ile detaylandırıp ardından BGP ve OSPF konfigürasyonu sizlerle paylaşıyor olacağım.

↧

BGP Protokolü Temelleri Bölüm 2

March 31, 2013, 11:20 am

≫ Next: BGP Protokolü Temelleri Bölüm 3

≪ Previous: BGP Protokolü Temelleri Bölüm 1

Makalemin ilk bölümüne aşağıdaki linkten ulaşabilirsiniz

http://www.cozumpark.com/blogs/network/archive/2013/03/24/bgp-protokol-temelleri-b-l-m-1.aspx

Arkadaşlar BGP Makale -1- ile birlikte genel BGP protokolü hakkında bilgi vermiştik, bu makalemiz ile birlikte BGP protokolü detaylı özellikleri ve çalışma mantığını sizlerle paylaşıyor olacağım.

BGP PROTOKOLÜ ÖZELLİKLERİ

BGP protokolü “Path-Vector” çalışırlar. “Distance Vector” özelliklerinden daha evvel ki RIP protokolü başlığında değinmiştik.

İnternet üzerindeki tüm yönlendiricilerin BGP konfigürasyonu yapıldığını düşündüğümüzde ve her saniye, yönlendiriciler üzerindeki rotaların up/down olduğu göz önünde bulundurulduğunda “distance vector” protokolü bir dezavantaj gibi görünebilirler.

Fakat “Link-State” çalışmış olsalardı her saniye rotalar güncellendiğinde her yönlendirici üzerlerindeki protokol vasıtası ile güncellemeleri protokolün kullandığı algoritmalardan dolayı, bu algoritmaları yüklerken bir hayli performans harcayacağından, yönlendiricilerin yönlendirme kapasitesinde ciddi düşüşler olduğu gözlemlenecektir.

Bu olumsuz durum göz önünde bulundurulduğunda gecikmeleri minimum seviyeye indirmek adına BGP protokolü “distance-vector” çalışırlar.

BGP protokolü güncellemeleri RIP protokolüne nazaran çok daha yavaş yollarlar. RIP protokolü gibi Hop Count sayısına bakarak güncelleme yaptıkları bi çok kaynakta yazılıdır fakat bu protokol AS’lere bakarak güncellemelerini yollarlar.

BGP protokolü güncellemelerini yollarken, IP prefixleri ve autonomous system bilgisini paylaşırlar.

BGP protokolünün diğer protokollerin çalışması göz önünde bulundurulduğunda en büyük farklarından biri OSI referans modelinde 4.katmanda çalışmalarıdır.

BGP TCP 179 nolu portdan güncellemelerini paylaşır. ACK işlemi BGP protokolünde mevcut değildir. Varsayılan olarak TCP kullandığı için TCP protokolünde ACK işlemini varsayılanda yaptığı için harici olarak bu operasyona ihtiyaç duymazlar.

BGP protokolü RIP protokolüne benzer davranışlar sergilerler fakat RIP gibi güncellemelerini her defasında topluca yollamazlar sadece değişen bilgileri paylaşırlar.

BGP komşularına “keepalive” mesajları gönderirler, “keepalive” mesajları diğer protokollerdeki “hello” mesajlarına benzerler.

BGP protokolü varsayılan olarak 60 saniye de bir “keepalive” mesajı yollarlar.

BGP protokolü RIP ile benzer davranışları sergilemesinden kaynaklanan “Split Horizon with Poison Reverse” özelliği sayesinde, Kısır döngüye girmiş olan paketleri çöpe atarak güncellemelerin olumsuz yönde etkilenmemesi adına aksiyon alırlar.

BGP protokolü ilke tanımlamalarından AS by AS veya Hop by Hop ilke tanımlamalarına destek sunarlar.

BGP Protokolü Veritabanları

BGP tabloları aşağıdaki gibidir;

1. Komşuluk tablosu(Neighbor Table): BGP konfigürasyonu yapılmış yönlendiricilerin bilgisini gösteren tablodur. BGP komşuluğu kurulması için elle ile konfigürasyonun yapılmış olması gereklidir. Varsayılan olarak 179 nolu porttan iletişim kurarlar ve periyodduk olarak bu porttan güncellemelerini yollarlar.

2. BGP veritabanı yönlendirilmesi(Forwarding Database): Komşuluk kurulduktan sonra BGP rota yönlendirmelerini gönderip – alırlar, diğer cihazlardan alınan bilgiler yönlendirme tablosuna konumlandırıldıktan sonra diğer rotalar için birden fazla yol bilgisi tutarlar.

3. IP Yönlendirme Tabloları(IP Routing Table): BGP yönlendirme tabloları en iyi rotaları IP yönlendirme tablolarına koyarlar. “Autonomous System” içerisinde BGP ile öğrenilen rotalar aynı zamanda diğer yönlendirme protokolleri ilede öğrenilebilir.

Bu durumda yönetimsel değerlerine bakılır. IGP protokoller içerisinde en yüksek yönetimsel değere BGP sahip olduğu için BGP protokolü ile yönlendirme yapılamaz. IBGP’de yönetimsel değer “200” EBGP’de ise “20” dir.

BGP Protokolü Mesaj Tipleri

BGP protokolünde 4 tip mesaj vardır.

1. Açık Mesaj (Open Message): Komşular arası anlaşmanın gerçekleşmesi için gönderilen mesajdır. Mesaj paketinin içerisinde;

- BGP versiyon numarası

- AS numarası

- Zaman tutma süresi

- Router kimlik bilgisi , ospf protokolünde olduğu cihaz üzerindeki IP adresleri ile tanımlanır.

2. Mesaj tutma süresi (Keep Alive): Merhaba mesajlarını algılarlar. Her 60 saniyede bir güncelleme mesajları yollarlar. 3 kere 60 sn mesaj içeriği tamamlanırsa ardından bir daha “keepalive” mesajı yeniden güncelleme olmadığı sürece yollamazlar.

3. Uyarı Mesajları (Notification Message): Bu mesaj tipi güncellemelerde herhangi bir uyarı veya hata bilgisini paylaşmak için kullanılır.

4. Güncelleme Mesajı (Update Message): Güncelleme mesajını 3 başlık altında yollayabilirler. NLRI (network layer reachability information) Network bilgisinin erişelebilirliğini kontrol eder. Yol erişim bilgisini tutar. Yönlendirmeleri yeniden yapılandırır.

BGP Bağlantı Durumları

BGP protokolü 4 paket ile bağlantıyı gerçekleştirir ve topoloji üzerindeki değişiklikleri paylaşırlar. Bu bilgilere istinaden 6 adet bağlantı durumunu anlatan aşamalar mevcuttur.

Idle State(Boşta durumu): BGP çalışmaya ilk başlangıç adımıdır. Komşu ile TCP bağlantı kurulması için beklemeye geçilir. BGP durumlarından herhangi birinde sorun olması durumunda tcp oturumu kapatılır ve “ıdle” durumuna geçerler.

Bu aşamanın geçilememesinin sebebi TCP 179 nolu portun açık olmamasıdır.

AS veya IP adresi yanlış konfigüre edilmiş olabilir.

Connect State(Bağlantı durumu): Komşu yönlendirici ile TCP bağlantısının tam anlamıyla kurulması beklenir.

SYN, SYN-ACK , ACK işlemi ile TCP oturumu kurulması kısa sürer ve oturum gerçekleştirilir.

Open paketi bu aşamada yollanır, bu aşamada herhangi bir sorun yaşanırsa, BGP aktif oturuma geçer.

Active State(Aktif durum): TCP oturumu gerçekleştirilmediğinde bu duruma geçerler. Yönlendirici komşu cihaz ile yeniden bağlantı kurulması denenir başarılı olunursa, “Open” mesajı yollanır.

Tekrar başarısız olunduğunda “ıdle state” e düşerler.

Cihazlar arası bant genişliği yeterli değilse veya hatta tıkanıklık varsa BGP aktif ve boşta kalma durumları arasında sürekli gider gelir. Acilen düzeltilmesi gereken bir durumdur.

OpenSent State ( Açık yollama durumu): Yönlendiricinin komşusundan “Open” mesajı aldığı durumdur. Alınan paketin doğruluğuna bakar, paketin içerisindeki MD5 parola, AS numarası değerleri uyuşmazlık gösteriyorsa, “Notification” mesajı yollanır. Eğer hata yoksa “Keepalive” mesajı yollanır.

Open Confirm State (Açık Onaylama Durumu): Komşu yönlendiriciden KEEPALIVE mesajının beklendiği durumdur, bu mesaj alındığında “Established” durumuna geçilir. “Keepalive” gelmezse yönlendirici “Idle State” e düşer.

Established State (Bağlantı Sağlanma Durumu): BGP komşularının güncelleme mesajlarını göndereceği durumdur. Komşuluk ilişkileri yerine oturmuştur. Güncelleme mesajlarında sorun çıkarsa tekrar “Notification” mesajı yollanır ve “Idle” durumuna dönülür.

Cisco cihazlarda Established State’de iken established görülmez komşulardan öğrenilen “prefix” bilgileri gösterilir.

BGP Komşuluk İlişkisi

BGP protokolünün detaylarının ardından, komşuluk ilişkisinin incelenmesi konusunda bilgi verelim. İki cihaz TCP bağlantısı kullanarak BGP konuşması sağlanır ve komşuluk kurulur. BGP komşularına “peer” adı verilir. Komşulukların sınıflandırılması IBGP ve EBGP olarak incelenir.

BGP komşulukları manuel olarak kurulur. Diğer yönlendirme protokollerinde komşuluk ilişkisi dinamik olarak kuruluyor idi.

IBGP (Internal BGP):

IBGP aynı “AS” içerisindeki yönlendiricilerin komşuluk ilişkisi kurduğu durumdur.

EBGP(External BGP):

Farklı AS’ler arasında yapılan bağlantılar sayesinde EBGP oluşturulur.

BGP konuşan cihazlar, dış otonom sistemlerdeki, tüm cihazlar ile komşuluk kuramazlar. İnternet üzerinde 21.000 den fazla AS bulunduğu ve binlerce BGP çalışan yönlendiriciler olduğu göz önünde bulundurulursa bu durumun imkansıza yakın olduğu anlaşılabilir.

EBGP komşuluğu için direkt bağlı olmaları gerekmektedir.

EBGP komşuluğu aşağıdaki gibi resmedilmiştir.

Bir sonraki makalemizde sizlerle BGP protokolü ve OSPF beraber çalışabilirliği ve BGP protokolü uygulamasını paylaşıyor olacağım. Herkese İyi Çalışmalar.

↧

BGP Protokolü Temelleri Bölüm 3

April 7, 2013, 4:52 am

≫ Next: HP Switchler Üzerinde Temel Güvenlik - Erişim Ayarları ve Access List Konfigürasyonu

≪ Previous: BGP Protokolü Temelleri Bölüm 2

Bu makalemizde sizlerle BGP protokolünün son serisi olarak BGP protokolü uygulaması ve BGP ve OSPF protokolü beraber çalışabilirliğini paylaşıyor olacağım.

Makalemin ilk iki bölümüne aşağıdaki linklerden ulaşabilirsiniz;

BGP Protokolü Temelleri Bölüm 2

BGP Protokolü Temelleri Bölüm 1

BGP Konfigürasyonu

Basit BGP Konfigürasyonu;

Router (config)# router bgp autonomous-system komutu ile bgp”AS” bilgisi yönlendiriciye atanır.

Router (config-router)# neighbor ip-address | peer-group-name remote-as autonomous-system komut seti ile komşu network’e ait “AS” bilgisi tamamlanarak next-AS bilgisi tanımlanır.

Örnek olarak yukarıdaki iki komutu özetleyecek olursak;

Router (config)# router bgp 65100

Router (config-router)# neighbor 10.1.1.2 remote-as 65101

Router (config-router)# neighbor 10.1.1.2 65001 shutdown komutu ile yönetimsel olarak bakım yapılması gereken veya istenen routerlarda “shutdown” komutu kullanılır.

Router (config-router)#no neighbor 10.1.1.2 65001 shutdown komutu ile ilgili “AS” için komşuluk bilgisi komple kaldırılır.

Router(config-router)# neighbor 10.1.1.2 update-source interface-type interface-number komutu ile update’lerin yapılacağı loopback interface router üzerinde tanımlanır.

Bu komut kullanım amacı IBGP içerisinde BGP konuşan router’ların updatelerini Loopback interface’ler üzerinden yapaak fiziksel interface’leri update bilgisi için meşgul etmemesi için yapılır.

Bu durumun amacı IBGP networklerinde update bilgisini zenginleştirmek, bu komut yalnızca direkt birbirlerine bağlı olan router’larda ve IBGP networklerde çalışırlar, EBGP networklerde çalışmazlar.

Aşağıdaki topolojide Loopback source tanımlamasını detaylı uygulamaya yarayacak bilgi paylaşılmıştır.

Aşağıdaki Topoloji üzerinden sizlerle Frame Relay devresi üzerinden Multi Area BGP ve OSPF Single area konfigürasyonlarının Redistribute uygulamasının Router çıktılarını paylaşıyor olacağım.

Aşağıdaki show running çıktılarında sıralı olarak Router’ların konfigürasyonlarının çıktılarını paylaşıyor olacağım ardından Test işlemi,IP Tablolarını kontrol edeceğiz ve son olarak Debug işlemi ile BGP protokolü update’leri hakkında bilgi veriyor olacağım.

R1,R2,R3,R4 ve R5 Routerlarının show running-config çıktıları ÖZET HALİ sırası ile aşağıda yer almaktadır.

R1# show running-config ---- Enter

interface Loopback0

ip address 1.1.1.1 255.255.255.255

interface Serial0/0

ip address 192.168.1.1 255.255.255.252

serial restart-delay 0

interface Serial0/1

no ip address

encapsulation frame-relay

serial restart-delay 0

frame-relay lmi-type ansi

interface Serial0/1.1 point-to-point

ip address 172.16.1.1 255.255.255.252

frame-relay interface-dlci 181

interface Serial0/1.2 point-to-point

ip address 172.16.2.1 255.255.255.252

frame-relay interface-dlci 182

router ospf 1

log-adjacency-changes

network 0.0.0.0 255.255.255.255 area 0

default-information originate

router bgp 65003

no synchronization

bgp log-neighbor-changes

network 1.1.1.1 mask 255.255.255.255

network 172.16.1.0 mask 255.255.255.252

network 172.16.2.0 mask 255.255.255.252

redistribute ospf 1

neighbor 172.16.1.2 remote-as 65001

neighbor 172.16.2.2 remote-as 65002

no auto-summary

R2# show running-config ---- Enter

interface Loopback0

ip address 2.2.2.2 255.255.255.255

interface Serial0/0

ip address 192.168.1.2 255.255.255.252

serial restart-delay 0

interface Serial0/1

no ip address

shutdown

serial restart-delay 0

interface FastEthernet1/0

ip address 10.1.2.1 255.255.255.0

duplex auto

speed auto

router ospf 1

log-adjacency-changes

network 0.0.0.0 255.255.255.255 area 0

R3# show running-config ---- Enter

frame-relay switching

interface Serial0/0

no ip address

encapsulation frame-relay

serial restart-delay 0

clock rate 128000

frame-relay lmi-type ansi

frame-relay intf-type dce

frame-relay route 181 interface Serial0/1 811

frame-relay route 182 interface Serial0/2 821

interface Serial0/1

no ip address

encapsulation frame-relay

serial restart-delay 0

clock rate 128000

frame-relay lmi-type ansi

frame-relay intf-type dce

frame-relay route 811 interface Serial0/0 181

frame-relay route 881 interface Serial0/2 882

interface Serial0/2

no ip address

encapsulation frame-relay

serial restart-delay 0

clock rate 128000

frame-relay lmi-type ansi

frame-relay intf-type dce

frame-relay route 821 interface Serial0/0 182

frame-relay route 882 interface Serial0/1 881

interface Serial0/3

no ip address

shutdown

serial restart-delay 0

R4# show running-config ---- Enter

interface Loopback0

ip address 3.3.3.3 255.255.255.255

interface Serial0/0

no ip address

encapsulation frame-relay

serial restart-delay 0

frame-relay lmi-type ansi

interface Serial0/0.1 point-to-point

ip address 10.1.1.1 255.255.255.252

frame-relay interface-dlci 881

interface Serial0/0.2 point-to-point

ip address 172.16.1.2 255.255.255.252

frame-relay interface-dlci 811

interface Serial0/3

no ip address

shutdown

serial restart-delay 0

router bgp 65001

no synchronization

bgp log-neighbor-changes

network 0.0.0.0

network 3.3.3.3 mask 255.255.255.255

network 10.1.1.0 mask 255.255.255.252

network 172.16.1.0 mask 255.255.255.252

neighbor 10.1.1.2 remote-as 65002

neighbor 172.16.1.1 remote-as 65003

no auto-summary

ip http server

no ip http secure-server

ip route 0.0.0.0 0.0.0.0 Null0

R5# show running-config ---- Enter

interface Loopback0

ip address 4.4.4.4 255.255.255.255

interface Serial0/0

no ip address

encapsulation frame-relay

serial restart-delay 0

frame-relay lmi-type ansi

interface Serial0/0.1 point-to-point

ip address 10.1.1.2 255.255.255.252

frame-relay interface-dlci 882

interface Serial0/0.2 point-to-point

ip address 172.16.2.2 255.255.255.252

frame-relay interface-dlci 821

router bgp 65002

no synchronization

bgp log-neighbor-changes

network 0.0.0.0

network 4.4.4.4 mask 255.255.255.255

network 10.1.1.0 mask 255.255.255.252

network 172.16.2.0 mask 255.255.255.252

neighbor 10.1.1.1 remote-as 65001

no auto-summary

ip http server

no ip http secure-server

ip route 0.0.0.0 0.0.0.0 Null0

Aşağıdaki Router çıktılarında ise IP Tabloları yer almaktadır.

Router 4 cihaznının IP Tablosu aşağıdaki gibidir.

Router 2 cihaznının IP Tablosu aşağıdaki gibidir.

IP Tablolarını görüntüledikten sonra Router 2 cihaz üzerinden tüm uç noktadaki IP adreslerine erişimin olup olmadığını doğrulamak adına aşağıdaki gibi sırası ile uç loopback ip adreslerine ping atarak test edebilirsiniz.

Son olarak Router 4 cihazı üzerinde Sorun giderme veya cihazın şu an konuşmuş olduğu protokol üzerinde, herhangi bir olumlu- olumsuz durumu takip edebilmek adına “Debug” komutu ve alt parametrelerinden yardım alabiliriz.

Aşağıdaki ekran çıktısında, “debug” komutuna bir örnek verilmiştir, soru işaretini kullanarak, “debug” komutu kombinasyonları sayesinde sorun çözme durumlarına da ışık tutmuş olursunuz.

BGP protokolü ile alakalı detaylı olarak konuların işlenmiş olduğu uzun soluklu bir makale oldu, umarım herkese faydalı olmuştur.

↧

HP Switchler Üzerinde Temel Güvenlik - Erişim Ayarları ve Access List Konfigürasyonu

May 19, 2013, 11:32 am

≫ Next: Check Point R76 Ürünü ile IPSec Site to Site VPN

≪ Previous: BGP Protokolü Temelleri Bölüm 3

Bu makalemde sizlere HP E Serisi switchler üzerindeki temel güvenlik ayarlarından bahsedeceğim ve ardından gerekli konfigürasyonları gerçekleştireceğiz.

Varsayılan olarak switch’I ilk satın aldığınızda ve console (Seri iletişim) ile bağlandığınızda, cihaz konfigürasyonu Resim 1’de olduğu gibidir.

Resim -1-

Bu ekran görüntüsünün ardından sizlerle cihazın temel konfigürasyonlarını paylaşacağım.

Aşama cihazımızın üzerindeki tüm portları Vlan 2 ismi ile Vlan oluşturup “uplink” portları haricindeki tüm portları VLAN2’ye taşıyoruz.

Resim -2

Aşama cihazımıza ip tabanlı erişebilmek için, vlan 1 ve vlan 2 ip adreslerini tanımlıyoruz.

Resim -3-

Management VLAN oluşturuyoruz. Kullanıcıların erişeceği vlan dışında İzole edilmesini istediğiniz sunucu grupları veya benzeri Bilgisayar grupları için kullanabilirsiniz. Bu vlan’a dahil edecekleriniz diğer VLAN’lardan erişimi kabul etmeyeceklerdir.

Varsayılan olarak kullanıcı adı ve şifre barındırmayan cihazlarımıza ip tabanlı erişimde sorması için kullanıcı adı ve şifre oluşturuyoruz. (Resim -4- 3 ve 4 no’lu adımları içermektedir.)

Resim -4-

Cihazlar üzerinde varsayılan olarak gelmeyen telnet ve ssh erişimi için gerekli temel komutları tanımlıyoruz. Opsiyonel olarak telnet servisi güvenlik amacı ile devre dışı bırakılabilir. Bırakılması tavsiye edilir.

HP-3500-24(config)# telnet-server ( Telnet servisini başlatmak için)

HP-3500-24(config)# ip ssh (SSH aktif etmek için)

HP-3500-24(config)# crypto key generate ssh rsa bits 1024

(SSH güvenlik mertebesini belirlemek için)

HP-3500-24(config)# ip ssh filetransfer

(Varsayılan olarak çalışan “TFTP” protolünü ssh aktif ettikten sonar dosya veya konfig aktarımlarının daha güvenli yapılabilmesi için “SFTP “aktif etmek için.)

Yukarıdaki ayarları geri almak veya devre dışı bırakmak için ilgili komutun başına “no” formunu kullanarak konfigürasyonu geri alabilirsiniz. No telnet-server gibi.

SNMP server varsayılan olarak ”community“ ismi ”public” ve “unrestricted” gelir. Bu değerin değiştirilmesi ve kendi network’ümüze özel bir isim verilerek. SNMP üzerinden bilgi toplayabilen bir çok cihaza varsayılan olarak temel erişim ve güvenlik

bilgilerine sahip olmayan sahte SNMP server’lara bilgi göndermemesi sağlanmalıdır.

HP-3500-24(config)# no snmp-server community public

(Öncelikle varsayılan olarak gelen snmp server bilgilerini siliyoruz.)

HP-3500-24(config)# snmp-server host 192.168.1.100 community hp-network-test trap-level all

(Kullanmak istediğimiz snmp server sunucusunun ip adresi ve ortak kullanılacak ismi ve ardından, yollanacak bilgilerin detaylarını, mesaj bilgilerini tanımlıyoruz.)

Cihaz’a varsayılan olarak vlan ip adresi verildikten sonra “HTTP” protokolü üzerinden erişim aktif hale gelir. Bunu “HTTPS” erişimini aktif hale getirerek güvenli erişimin gerçekleştirilmesinin sağlanması gerekmektedir. Opsiyonel olarak HTTP erişimini kapatmak ’da mümkündür. HTTP erişimini kapatmanız tavsiye edilir.

HP-3500-24(config)# crypto key generate cert rsa bits 2048

( HTTPS protokolü için sertifika çekmek için kullanılır.)

HP-3500-24(config)# web-management ssl

(HTTPS aktif hale getirmek için kullanılır)

Yukarıdaki 7 Aşamayı tamamladıktan sonra cihaza erişim ile alakalı olarak bazı adımları deneyelim.

SSH ile cihaza bağlanmak için ben Secure CRT yazılımını kullandım, Putty, Hyper Terminal gibi birçok yazılımı kullanabilirsiniz.

Resim-5-

Resim-6-

Adım Accept & Save butonuna tıkladıktan sonra daha evvel oluşturduğumuz yetkili kullanıcı adı ve şifreyi doğru yazdıktan sonra, aşağıdaki ekranda olduğu gibi cihaza SSH ile bağlanabildiğini görüntüleyebileceksiniz.

Resim-7-

HTTP bağlantısı üzerinden ekran görüntüsü Resim 8’de görüldüğü gibidir.

Resim-8-

Temel erişim ve güvenlik ayarlarının tamamlandı.

ACL Nedir ?

Network üzerinde cihazlar arası IP tabanlı erişimleri kısıtlamak veya control altına almak üzere kullanılan protokole “ACL” Access Control Listeleri adı verilir.

ACL Türleri;

Standart ACL, Extended ACL ve Named ACL’dir.

ACL tanımları numaralarına göre tanımlanır.

Standart ACL numarası 1-99

Extended ACL 100-199

MAC base ACL 700-799

1300-1999 Standart ACL yetmediği takdirde kullanılabilecek ek aralıktır.

2000-2699 Extended ACL yetmediği takdirde kullanılabilecek ek aralıktır.

2700-2999 Voice base ACL kullanımı içindir.

ACL numarasına bakarak cihazın işletim sistemi ACL yeteneğini ve detayını anlar.

Standart ACL: Örneğin” ip access-list 1” olduğunda erişimin sadece ilgili Host veya Network için kontrol altına alınacağını anlar ve ACL yazılırken daha fazla detay belirtmenize izin vermez.

Extended ACL: Cihazlar arasındaki erişimi host’dan host’a veya network’den network’e ve protocol tabanlı olarak daha fazla detay vererek kontrol altına almak istiyorsanız. Extended ACL kullanmalısınız. “Ip access-list 101” gibi.

Named ACL: Extended veya Standart named ACL yazılabilir. “ip access-list standard test_abc “ bu format’da yazıldığında ACL tipinin named standart olduğu anlaşılır.

Yukarıdaki türlerin dışında bir çok üretici işletim systemi özelinde time based veya reflexive based ACL tanımlamaları yapılabilir.

ACL yazarken IP Subneting ve VLSM kavramlarını biliyor olduğunuzu kabul ediyorum.

ACL tanımlamaları yaparken IP Subneting ile beraber ACL yazmanız gerekmektedir. ACL ve OSPF gibi bazı protokoller network tanımları yapılırken veya network üzerinde IP Network’ünün anonsunun yapılmasını istediği network’leri “Wild Card Bits” kullanarak gerçekleştirirler.

Dolayısıyla temel anlamda da olsa Wild card bit nasıl elde edildiğinin bilinmesi gerekmektedir.

Wild Card Bits Nedir?

Cihazlar üzerinde normal şartlarda IP Subneting yaparken subnet mask kullanıyoruz.

Örneğin; 192.168.1.100 /24 Ip adresinin Network ID’si 192.168.1.0 Ip adresidir. Host ID’si ise 1.100’dür.

192.168.1.100

255.255.255.0 şeklinde gösterilir.

Bu Ip adresinin Subnet Mask’I 255.255.255.0 iken Wild Card Bit’i 0.0.0.255 olarak ifade edilir.

Sözel tanımı ile Subnet Mask bilgisinden Wild Card Bit’e çevrim yapılırken “0” “255” e tamamlanarak çevrilir. “255” rakamıda “0” a tamamlanarak çevrim yapılır.

192.168.1.100 IP Adresinin direkt olarak kendisini tarif etmek için şu Resimde yazarız.

192.168.1.100

255.255.255.255

Wild Card Bit ile ifade ederken, 192.168.1.100 Subnet Mask yerine 0.0.0.0 Wild Card Bit yazılır.

Aşağıda alıntı yapılmış başka bir örnek yer almaktadır.

Resim-9-

Bu tanımlamaların ardından HP Switch üzerinde ACL konfigürasyonu gerçekleştirelim. ACL’ler IP tabanlı operasyonlar olduklarından normal şartlarda Router’lar üzerinde kullanılırlar.

Fakat HP switchler üzerinde desteği olduğu ve bir çok HP Switch’in Lite Layer 3 yeteneği olduğundan dolayı ACL konfigürasyonu çalıştırmaya izin vermektedir.

ACL konfigürasyonu;

HP-3500-24(config)# ip access-list extended 101 (Extended ACL oluşturmak için)

HP-3500-24(config-ext-nacl)# permit udp any any eq 67

HP-3500-24(config-ext-nacl)# permit udp any any eq 68

HP-3500-24(config-ext-nacl)# permit udp any any eq 53

HP-3500-24(config-ext-nacl)# permit tcp any any eq 67

HP-3500-24(config-ext-nacl)# permit tcp any any eq 68

HP-3500-24(config-ext-nacl)# permit tcp any any eq 53

(En üst’de yazılan ACL erişim detaylarında 67,68 ve 53 nolu port’lardan erişimi tüm networklerden tüm networklere izin vermesi için listenin en başında yer alması için yazıldı.)

Genel’den özel ayarlara doğru gitmek gerekmektedir.

HP-3500-24(config-ext-nacl)# permit ip 192.168.20.3 0.0.0.0 any log

( 20.3 Ip adresi tüm network’lere erişsin)

HP-3500-24(config-ext-nacl)# permit ip 192.168.20.5 0.0.0.0 any log

( 20.5 Ip adresi tüm network’lere erişsin)

HP-3500-24(config-ext-nacl)# deny ip 192.168.20.4 0.0.0.0 any log

( 20.4 Ip adresi tüm network’lere erişmesin)

HP-3500-24(config-ext-nacl)# permit ip any any !!!!!

(Bu kuralın yazılmasının amacı yukarıda yazılı olan kuralların dışında kalan ve yukarıdaki acl no veya grubu ile ilişkilendirilecek tüm vlan’ların erişimlerinin kesilmemesi için yazılmaktadır.)

Not: Varsayılan olarak tüm cihazlarda ACL aktif hale getirildiği andan itibaren deny any any (Default implicit deny all) devreye girecektir.

HP-3500-24(vlan-20)# ip access-group 101 in

Not:HP Switchler’de ACL entegrasyonu vlan tabalı yapılır. Cisco’da interface tabanlı olarak ilişkilendirilir.

( Yazılan ACL denetiminin VLAN ile ilişkilendirmeden olumlu-olumsuz hiç bir etkisi olmayacaktır.)

Temel konfigürasyonda cihaz üzerinde ilgili vlanlar ve üyelikler mevcut. Bu durumun üzerine Aşağıda bilgileri bulunan cihaz üzerinde karşı network üzerindeki cihaza test işlemi ile ACL çalışmasını denetleyebiliriz.

Resim-10-

Yazılmış olan ACL içerisinde Resim 10’da yer alan bilgilere sahip pc üzerinden tüm networklere erişimde ve otomatik IP almasında herhangi erişim problem yok.

Resim-11-

Yazılmış olan ACL içerisinde Resim 11’de yer alan bilgilere sahip pc üzerinden tüm networklere erişimi kapatılmış durumda.

Aynı IP adresine sahip kullanıcıya sadece ilgili belli bir network içinde erişimini kısıtlamak mümkündür. Cİhazlar üzerinde bu VLAN’a üye olan kullanıcıların herhangi bir network ile iletişimi kısıtlanırsa bu kısıtlama çift yönlü olarak gerçekleşecektir. Tek yönlü aksiyon durumu yoktur.

Son olarak cihaz üzerinde bu senaryolara ilişkin detaylı bilgilerin yer aldığı çıktı ekranını paylaşarak tek bir cihaz üzerindeki genel konfigürasyon bilgisi ile de cross check yapmanıza imkan tanımak istedim.

Resim-12-

Omurga switch’im üzerindeki genel topoloji görüntüsü Resim-12- de yer almaktadır.

3500 Omurga Switch’in 24 Nolu portu 2620 Switch’imin 24 Nolu portuna bağlı ve karşılıklı olarak üzerlerinde bulunan VLAN bilgileri paylaşılmış şekilde konfigürasyonu yapılmıştır.

2620 switch üzerindeki konfigürasyon oldukça yalın olduğundan konfigürasyonu paylaşmadım.

Sonuç olarak ACL denetimlerini omurga switch olarak tanımlamadığımız switch veya router üzerinde uygulamamız ve denetimi en tepeden kontrol altında tutmamız gerekmektedir.

Hiyerarşi olarak kenar switchler üzerinde ACL konfigürasyonu yapılmaması tavsiye edilmektedir.

Umarım herkese faydalı bir çalışma olmuştur.

↧

Check Point R76 Ürünü ile IPSec Site to Site VPN

September 22, 2013, 1:28 pm

≫ Next: Ipv4 Adreslemenin Temelleri

≪ Previous: HP Switchler Üzerinde Temel Güvenlik - Erişim Ayarları ve Access List Konfigürasyonu

Check Point R76 ürünü ile IPSec Site to Site VPN yapılandırmasından bahsetmek istiyorum. Anlatımımı bir kaç başlık altında topladım.

Check Point Remote Gateway objelerinin yapılandırılması

Lokal ve Remote (Lokal) Network’lerin yapılandırılması

VPN Community ’sinin oluşturulması

VPN tüneli kullanacak network’lerin topology ile ilişkilendirilmesi

Firewall Rule’larının tasarlanması

Test!

Şimdi kullandığım lab topolojisine geçebiliriz.

GW1 isimli firewall’un internal network’ünde:

E-vault.info Active Directory domain’i hizmet vermektedir.

Exchange Server 2013 CAS ve Mailbox Server’lar ( ayrı sunucularda ) hizmet vermektedir.

Symantec Enterprise Vault 10.0.4 arşivleme sunucusu hizmet vermektedir.

Yapıda Security Information & Event Management için HP ArcSight Logger ( Selda’nın sunucusu ) hizmet vermektedir.

FW2 isimli firewall’un internal network’ünde:

Test amaçlı bir windows 7 client çalışmaktadır.

Yapılandırmaya başlayayım.

Check Point Remote Gateway objesinin yapılandırılması

Bu kısımda yapılan ayarlar lokal firewall ve remote firewall için yapılır. IPSec VPN hizmeti ile ilgili her iki firewall’da da yapılan ayarlar sonucunda IPSec VPN tüneli açılabilir.

GW1 üzerinde:

GW1’in topolajisi aşağıdaki gibidir.

GW1 objesi üzerinde IPSec VPN blade’ini devreye alalım.

Firewall özelliklerindeki alt kısımdan kutucuğu işaretlediğinizde sol kısımdaki bölgede IPSec VPN bölümü görünecektir.

Remote VPN gateway için ( remote peer için de diyebiliriz ) gateway objesini oluşturuyoruz.

Üstteki seçeneklerden “Externally Managed VPN Gateway” ile devam edeceğiz. Remote Peer, Checkpoint dışında bir cihaz ise

“Interoperable Device” ile devam edebilirsiniz.

Oluşturduğum remote vpn gateway’in özellikleri üstteki gibidir. IP adresine, yazımın ilk kısımlarında aktardığım topoloji resminden bakabilirsiniz.

Normal şartlarda Gateway objesinin topolojisi ip adresini içerir! Üstteki resimde topology tab’ına bakarsanız ( henüz yeni oluşturduğunuzdan dolayı ) topology table’ın ip adresini içermediğini görebilirsiniz.

Gateway( remote peer için oluşturulan obje) objesinin topology tab’ına ip adresni “external” olarak ekleyiniz!

Aynı yapılandırmayı diğer firewall üzerinde de yapmalısınız. Diğer firewall’daki durumu aşağıya aktarıyorum.

Karşı taraftaki Checkpoint objesinin durumu ise aşağıdaki gibidir.

Local ve Remote Local Network’lerin yapılandırılması

Her iki checkpoint üzerinde, hizmet verdiği LAN’a dair network objesi ve uzak site’daki network objesi oluşturulmalıdır.

Benim lab ortamıma uyarlarsak;

172.20.1.0/24 network’ünü ve 172.29.1.0/24 network’ünü gösteren iki network objesi oluşturulmalıdır.

Üstte görüldüğü üzere her iki firewall’da hem kendi internal network’lerini hemde karşı tarafın internal network’lerini gösterir objeleri oluşturdum.

VPN Community ’sinin oluşturulması

Community yapılandırması için IPSec VPN blade’inin tab’ını kullanıyoruz.

Mesh : Her peer’in biribirine doğrudan bağlı olduğu durum

Start: Ortada bir peer, diğer peer’ler ortaya bağlı. Klasik hub&spoke modeli

Test ortamımda mesh topoloji’yi kullandım. Meshed Community detayları aşağıdaki gibidir.

Participating gateway kısmı, bu cummunity’ye katılacak gateway’leri göstermektedir.

Şifreleme method’ları konusunda çeşitliliğe gitmek isterseniz bir sonraki tab ihtiyaçlarınızı karşılayacaktır.

Tunnel Management kısmında, tunel’in sürekli olma durumunu ve tunelin nasıl paylaştırılacağını belirliyorsunuz. Normal şartlarda varsayılan ayarlar idealdir.

Gelişmiş ayarlarda Shared Secret tanımlaması çok önemlidir!

Her iki peer’deki vpn community’sinde de aynı olmalıdır!

Community için, Gateway’lerin internal network’lerinin aynı ip bloklarında olup olmama durumuna göre NAT devre dışı bırakılabilir.

Benzer özeliklerde bir VPN community ‘si diğer Checkpoint’te de oluşturulmalıdır!

Üstte de görüldüğü gibi participating gateway’ler sağdaki iki checkpoint’tir.

VPN tüneline girmesi istenilen network’lerin topoloji ile ilişiklendirimesi

Her iki firewall objesinde ( local ve remote gateway objelerinde ) tüneli kullanacak network’ler belirlenmelidir.

GW1 için durum aşağıdaki gibidir.

clip_image040

GW1 ‘deki remote vpn gateway için topoloji ilişkilendirmesi aşağıdaki gibidir.

FW2’deki topoloji – vpn domain eşleşmesi durumu aşağıdaki gibidir.

FW2’de remote vpn gateway için topoloji – vpn domain eşleşmesi durumu aşağıdaki gibidir.

Topoloji ile kullanılacak vpn domain’ini yani tuneli kullanacak ip network’leri belirlerken, ip network objelerini group’landırpm o group ’u da kullanabilirsiniz.

Örneğin üstteki gibi VPN_IP_Network şekilinde bir “simple group” objesi altında ilgili ip network’lerini toplayıp vpn domain definition kısmında bunu kullanabilirsiniz.

Firewall Rule’larının tasarlanması

Firewall rule’ları haricinde üstteki aşamaları her iki (Check Point) gateway için de yaptıysanız normal şartlarda VPN tuneli açılacaktır.

Bu durumu SmartView Tracker’dan gözleyebilirsiniz.

Permanent Tunnel log’unun detayına bakarsanız,

tünelin açıldığını görebilirsiniz.

Peki firewall rule’u ne işe yarayacak ? Rule ile tunel’i “hangi portu/protokolü ve/veya hangi source’un/destination kullanımına açacağız?” sorusunu cevaplıyoruz. Yine her iki firewall’da uygun rule’lar yazılmalıdır.

FW2’deki durum aşağıdaki gibidir.

GW1’deki durum aşağıdaki gibidir.

Üstteki rule ’larda görüldüğü üzere karşılıklı internal network’lerin; ICMP echo’larının, RDP isteklerinin, DNS sorgularının ve https taleplerinin S2S_VPN community’si kapsamındaki participant gateway’ler arasında açılan IPSec VPN tüneli ile iletişimine imkan tanıdık. Artık windows 7 client ile bir kaç servisten faydalanmaya çalışalım ve SmartView Tracker ile log’larına bakalım.

Test!

Test için; client’ın Exchange Server 2013 üzerinde duran mailbox’ına Outlook Anywhere ile bağlanmasını ve Symantec Enterprise Vault üzerinde duran arşivine erişmesini sağlayıp log’a bakacağım.

Bakınız üstte görüldüğü üzere windows 7 client açıldığında Domain Controller’a DNS sorgusu yaptı ve bu sorgu olması gerektiği gibi tünele girdi.

Windows 7 client’ımda Outlook 2010’u açtım ve RPC over HTTPS trafiği DNS sorguları ile karışık olarak hemen log’a yansıdı ve 172.20.1.40 ip adresine sahip Exchange Server 2013 CAS ’ına gitti.

Outlook Anywhere bağlantısı da outlook tarafında sağlandı.

Noah@e-vault.info kullanıcısı arşivine erişmek istediğinde bu talebi, log’a aşağıdaki gibi yansıyor.

Hatırlayacağınız üzere Symantec EV’nin ip adresi 172.20.1.38 idi.

Kullanıcının outlook’u tarafında ise durum aşağıdaki gibidir.

EV’nin bütün servisleri çalışıyor görünene göre

Bir yazıda daha sona geldik. Bu yazımda Check Point R76 üzerinde Firewall ve IPSec VPN blade’lerini kullanarak Site to Site VPN yapılandırması açıklamaya çalıştım.

Herkese sorunsuz ve neşeli günler dilerim.

↧

Ipv4 Adreslemenin Temelleri

September 29, 2013, 6:15 am

≫ Next: MAC Bazlı VLAN

≪ Previous: Check Point R76 Ürünü ile IPSec Site to Site VPN

TCP/IP protokolü routable yani yönlendirilebilen, internete çıkış yapmayı sağlayan, hızlı olan bir protokoldür. Windows işletim sistemlerini kurduğunuz zaman, TCP/IP protokolü otomatik olarak yüklenmektedir. TCP/IP protokolüne ait olan ayarları ister kurulum aşamasında, isterse kurulumdan sonra yapabilirsiniz.

Şimdi de TCP/IP adreslemesi ile ilgili olan alt başlıkları inceleyelim.

IP Numarası: TCP/IP protokolünü kullanan network ortamlarındaki bilgisayarlar arasın bir haberleşme sağlayabilmek için kullanılan ve her bilgisayarın kendine özgü, benzersiz kimlik numarasına “ip adres” adını veriyoruz.Aynı network ortamında bir bilgisayara verilen ip adresi başka bir bilgisayara verilirse meydana gelecek olan olaya da ip çakışması(ip confliction) adını veriyoruz.IP adresi 4 bölümden oluşan bir adrestir ve biz her bir bölüme 1 octet adını veriyoruz.Octet Yunanca’dan gelme bir kelime olup sekizli,sekizinci anlamlarına gelmektedir.Bu duruma göre ip adresi toplamda 4 oktetden oluşan br adrestir.

IP adresindeki her bir oktet 1 byte yani 8 bit değere sahiptir. Bu duruma göre toplamda ip adresi 32 bit yani 4 byte’dan oluşan bir adrestir.

Siz ip adresini girerken onluk yani decimal sayı sistemine göre girerek yapılandırırsınız.Örneğin, 192.168.2.1, 10.0.0.1 gibi.Bilgisayar haberleşme esnasında kendi içinde bu decimal adresi ikili binary sisteme çevirerek haberleşme sağlar.Onluk(decimal) tabandaki bir sayıyı ikili(binary) tabana, ikili tabandaki sayıyı da onluk tabana çevirme işlemi ile ilgili örneği aşağıdaki görüyorsunuz.

Onluk tabandaki bir 192 sayısını ikili tabana çevirmenin birinci yolu 192’yi 2’ye bölünemeyecek hale gelene kadar 2’ye bölmek ve son kalan rakam da dahil tersten yazmaktır.

Bunun daha kolay bir yolu aşağıda görülmektedir.

1	1	0	0	0	0	0	0
2⁷=128	2⁶=64	2⁵=32	2⁴=16	2³=8	2²=4	2¹=2	2⁰=1
128+64 = 192

Yukarıdaki tablodaki yöntem çok daha kolaydır.IP adresi sekiz bit olduğu için sekiz ayrı kutucu çiziyorsunuz.Binary sisteme göre 2⁰dan başlayıp 2⁷ ye kadar kutu değerlerini altına yazıp daha sonra en büyük değere sahip kutudan başlayarak 192’yi bulmaya çalışıyoruz.Seçtiğimiz kutulara 1 seçmediğimiz kutulara 0 yazdığımızda onluk tabandaki sayıyı ikili tabana çevirmiş oluyoruz.

Network ıd ve host ıd

Yukarıdaki şekilde ip adresinin yapısal şeması görülmektedir.Burada w, x, y, z gibi her bir parçaya bir oktet adı verilmektedir.

IP adresi kendi içerisinde iki farklı adres içermektedir:Network ID, Host ID.

Network ID İP adresinin ait olduğu network adresidir.Buna günlük hayatımızdan bir örnek vermek gerekirse sokak isimleri network ID’ye örnek verilebilir.

Host ID İP adresinin ait olduğu network adresidir.Buna günlük hayatımızdan bir örnek vermek gerekirse sokak içerisindeki apartman numaraları host ID’ye örnek verilebilir.

Subnet mask

IP adresindeki Nertwork ID’yi, Host ID’ den ayıran numaraya subnet mask denir. Yani bir ip adresinin neresi network ID, neresi host ID bunu belirleyen subnet mask değeridir.Her IP sınıfına ait olan subnet mask farklılık göstermektedir.

A sınıfı IP numarasına karşılık gelen subnet mask değeri 255.0.0.0

B sınıfı IP numarasına karşılık gelen subnet mask değeri 255.255.0.0

C sınıfı IP numarasına karşılık gelen subnet mask değeri 255.255.255.0

IP adresindeki network ID ile host ID’nin bulunmasında ip adresi ile subnet mask AND(ve işlemi yani çarpma) işlemine tabi tutulur. AND işleminde hepimizinde bildiği gibi iki taraftan herhangi birinin 0 olması durumunda sonuç sıfır, her ikisinin de 1 olması durumunda ise sonuç 1’dir.

Aşağıdaki örnek bunu çok açık bir şekilde göstermektedir.

IP ADRESİ	192	168	2	1
SUBNET MASK	255	255	255	0
IP ADRESİ	11000000	10101000	00000010	00000001
SUBNET MASK	11111111	11111111	11111111	11111111
AND SONUCU	11000000	10101000	00000010	00000001
AND SONUCU	192	168	2	0
	NETWORK ID			HOST ID

Yukarıdaki örnekde de görüldüğü üzere AND işlemi sonucu çıkan 192.168.2 değeri yani ilk üç oktet network ID’yi gösteriken son oktet yani 0 değeri de host ID’yi göstermektedir.

Eğer sisteminizi subnetlere bölerseniz alt subnetlerin kullanacağı subnet mask değeri değişecektir. Bunun ile ilgili çeşitli hesaplamalar yapmak gerekir. Bu hesaplamalar ileride çıkaracağımız Windows 2003 Network Infrastructure kitabı kapsamı altında geniş bir şekilde anlatılacaktır.

Default Gateway

Farklı network adresi kullanan sistemlerin doğrudan birbirleri ile haberleşmesi mümkün değildir.Bu sistemlerin birbiri ile haberleşebilmesi için arada yönlendirme(routing) görevi görecek yazılımlar ya da donanımlar kullanmanız gerekir.Farklı network adreslerini kullanan her bir network’e SUBNET adı verilmektedir.Farklı subnetler arası haberleşmeyi sağlayabilmek için arada kullanılan cihazlara da ROUTER adı verilmektedir.

Yukarıaki şekilde de görüldüğü üzere router’ın ethernetlerine 192.168.2.0 network’ü için 192.168.2.254, 192.168.3.0 network’ü içinse 192.168.3.254 adresleri verilmiştir.Bu ip adresleri sayesinde iki network birbiri ile haberleşecektir.Dolayısıyla 192.168.2.0 network’ü tarafındaki router bacağına o network ile aynı sınıfta olan bir ip adresi verilmesi gerekir ki bu şekilde 192.168.2.254 adresidir.Aynı şekilde İşte 192.168.3.0 network’ü tarafındaki router bacağına o network ile aynı sınıfta olan bir ip adresi verilmesi gerekir ki bu şekilde 192.168.3.254 adresidir.Router’ın ethernetlerine verilen bu ip adresleri o subnetlerdeki client bilgisayarlarına default gateway adresi olarak girilmesi gerekir.

Ip sınıfları

Dünya üzerinde kullanılan ip adresleri IENA adı verilen Uluslararası Internet Topluluğu tarafından kendi içerisinde 5 ayrı sınıfa ayrılmış durumdadır. Şimdi bu sınıfları inceleyelim.

A Class Ip Numaraları:

Bir IP numarasının hangi sınıf olduğunu anlayabilmek için birinci octet kullanılır. Eğer IP numarasının birinci octet kısmı 1 ile 126 arasında bir değer ise bu IP adresi A CLASS IP numarasıdır.Dünya üzerinde 126 tane network’ün A CLASS ip adresi ve her network içerisinde de 16,777,214 host bulunmaktadır.

Örnek: 75.56.2.215, 10.0.0.1, 25.1.1.254 gibi.

Şekilde de görüldüğü üzere A CLASS ip adreslerinde birinci oktet yani W değeri network adresini(network ID), geriye kalan üç oktet Y,X,Z ise host adresini(host ID) gösterir.

B Class Ip Numaraları

Eğer bir IP numarasının birinci octet kısmı 128 ile 191 arasında ise bu IP adresi B CLASS IP numarasıdır. Dünya üzerinde 16,384 tane network’ün B CLASS ip adresi ve her network içerisinde de 65,534 host bulunmaktadır.

Örnek: 131.107.15.21,157.125.65.45, 128.10.1.54,

191.25.68.98 gibi.

Şekilde de görüldüğü üzere B CLASS ip adreslerinde ilk iki oktet yani W,X değeri network adresini(network ID), geriye kalan üç oktet Y,Z ise host adresini(host ID) gösterir.

C Class Ip Numaraları

Eğer bir IP numarasının birinci octet kısmı 192 ile 223 arasında ise bu IP numarası C CLASS IP numarasıdır. Dünya üzerinde 2,097,152 tane network’ün C CLASS ip adresi ve her network içerisinde de 254 host bulunmaktadır.

Örnek: 192.168.2.1, 195.15.75.15, 200.200.200.200 gibi.

Şekilde de görüldüğü üzere C CLASS ip adreslerinde ilk üç oktet yani W,X,Y değeri network adresini(network ID), geriye kalan tek oktet Z ise host adresini(host ID) gösterir.

D Class Ip Numaraları

224.0.0.0’dan başlayıp 239.255.255.255’e kadar devam eden aralıktaki ip adresleri de D CLASS ip adresleridir.Bu sınıftaki ip adresleri multicast haberleşmesi için kullanılır.Örneğin, video konferans uygulamaları veya router’lar arası routing table güncelleştirmelerinde kullanılır.

E Class Ip Numaraları

240.0.0.0’dan sonra geriye kalan adreslerin oluşturduğu sınıfı E CLASS ip grubudur.Bu grup gelecekteki sistemlerde deneysel amaçlı kullanılmak üzere ya da çok özel birimler için kullanılmak üzere rezerve edilmiştir.

Aşağıdaki tabloda şu ana kadar açıkladığımız adresleme sınıflarının bir özetini görmektesiniz.

Sınıf	Birinci Oktetin Değeri(W)	Network ID Parçası	Host ID Parçası	Kullanılabilir Network Sayısı	Bir networkdeki host sayısı
A	1–126	w	x.y.z	126	16,777,214
B	128–191	w.x	y.z	16,384	65,534
C	192–223	w.x.y	z	2,097,152	254

IP Adreslemede Dikkat Edilmesi Gereken Durumlar

Bir ip adresinde network ID 0 ve 255 ile başlayamaz ve bitemez.

Bir ip adresi hiçbir zaman 127 ile başlayamaz. Çünkü 127.0.0.1 dünya üzerindeki bütün bilgisayarların lokal ethernet testi için rezerve edilmiş loopback adres’dir. Fakat ip adresinin orta kısımlarında ve sonunda 127 kullanılabilir.

Bir ip adresinin tamamı 0 ve 255 sayılarından oluşamaz. Çünkü 0.0.0.0 bir network içerisinde ip adresi olmayan bir bilgisayarın ilk haberleşme anında kullandığı adrestir ve source adres olarak bilinir.0.0.0.0 teknik olarak “any” yani bilgisayarın kendi ip adresi dışındaki herşey anlamında kullanılır.255.255.255.255 adresi ise broadcast adresi olarak bilinir ve broadcast networklerde bilgisayarların birbirine data gönderirken kullandıkları hedef adres olarak bilinir.

Bir ip adresinde host ID 0 ve 255 ile bitemez. Çünkü 0 subnet adresi iken 255 de o subnetin broadcast adresidir.

↧

MAC Bazlı VLAN

October 6, 2013, 8:18 am

≫ Next: Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 1 Kurulum ve Temel Konfigurasyon

≪ Previous: Ipv4 Adreslemenin Temelleri

Temel olarak ağ sistemleri bağlı olan host cihazlarının haberleşmesi için dizayn edilir, fakat ağ yapısı büyükçe ya da kontrol edilecek host sayısı arttıkça yapıyı yönetmek zorlaştığı gibi donanımsal alt yapıyı yönetmekte oldukça zorlaşacaktır. Bu durumda basit bir siyasi stratejisi işin içine girer “ Böl ve yönet” bu sistem büyük ağların yönetilmesinde ve güvenli ağ yapılarının kurulmasında en önemli stratejilerdendir. Bir ağ yapısını bölmenin birden çok yolu bulunmaktadır ki bu yazının amacı da bunları incelemek ve örneklendirmektir.

Ağ yapıları en basit anlamda iki farklı fiziksel ağ oluşturulması ile basitçe bölünebilir fakat bu maliyetli bir yapı ve aynı zamanda ağlar arası geçişler için çok fazla efor sarf edilmesine neden olur bu nedenle pek fazla tercih edilmez. Aslında bahsettiğim şey bölünmek istenen kısımların farklı switchlerde toplanmasıdır ki bu çok fazla port kaybına neden olduğu gibi her yapının diğer yapılarla haberleşmesi yada internete çıkabilmesi içinde router/modem ya da fazla ethernet bacağı olan tek bir router cihazına ihtiyaç duyulur. Bu hem maliyetli hem yönetmesi zor olan hem de router portları switch portlarına göre daha düşük forvarding kapasitesine sahip olduğu için yavaş bir yapı olacaktır, hele ki on ~ onbeş ayrı birimi yönetiyorsanız tam bir kâbusa dönecektir. Elbette burada unutulmaması gereken diğer bir nokta birimler arası host taşıma esnasında ek olarak kablo değişimi yapmak ve fiziksel efor sarf etmek gereğidir. Bizim gibi koca göbekli IT ciler için en istenmeyen durumdur, Hele ki online oyunun tam ortasında yada filim en heyecanlı yerinde şu bilgisayar şu birime devredildi gereğinin yapılması diye bir mail almak hiç hoş olmaz.

O zaman buna bir çözüm bulmak gerekir, basit anlamda fiziksel yapılar yerine bir kaç tıklama ile kurabileceğimiz mantıksal yapılar bunun en iyi çözümüdür gerek maliyet gerek zaman ve yönetim açısından daha kullanışlı çözümlerdir. Bu mantıksal yapılara VLAN ( Virtual Local Area Netrok – Sanal Yerel Ağ ) adı verilmektedir ki adından anlaşılacağı gibi mantıksal bir yapıdır yani fiziksel bir yapı yoktur. Vlanların tam olarak anlaşılması için bilinmesi gereken ilk okul beş ve orta ikiye kadar gördüğümüz basit küme mantığıdır ki VLAN da bunu yapar, kümeleme işlemi yapar. Basit anlamda VLAN iki kısımda incelenir bunlardan birisi Port Based yada Private VLAN olarak anılan switch portlarının ayrıştırılması bir diğeri de paketlere eklenen 802.1q TAG bilgileri ile oluşturulan VLAN lardır.

Prvate VLAN / Port Based VLAN

Birden fazla switch kullanmaya benzer tek farkı switch yardımı ile hostların birbirlerinden ayrılmasıdır. Temel olarak çok switch kullanıldığında oluşan switch portlarının kaybı ve ağda yönetilmesi ve bakım gerektiren cihaz sayısını azaltılması hedeftir.

YAPI A Küme;

A : { SW2,SW0,SW5 }

B : { SW3,SW0,SW4 }

YAPI B Küme;

A : { SW2,SW0,SW5 }

B : { SW3,SW1,SW5 }

Şekilde görebileceğiniz gibi iki ayrı yapıda kurulabilir. YAPI A da bir adet router portu vardır ve switch router cihazının ayrım yapabileceği herhangi bir paket içeriği göndermez bu nedenle switchden gelen tüm paketler router cihazı için aynıdır ve tüm hostlar doğal olarak aynı IP blokunda olacaktır. Temelde istenilen yapılmıştır ağ farklı mantıksal alanlara bölünmüştü ve host değişimlerinde yerimizden kalkmadan sadece switch üzerinde değiştirerek yapabiliriz fakat internet çıkışı gibi işlemlerde kısıtlama ya da trafik yönlendirme işleri sorun olacaktır ve birçok DHCP ayarı gerekecektir ayrıca bu yapının temel sorunu vlanlar arası geçiş portların fiziksel olarak bölünmüş olmasından dolayı vlanlar arası geçiş sağlanamaz bu durumda çok kullanışlı değil. Yapı B aslında yapı A ile neredeyse aynı fakat bu sefer router/modem cihazını üzerindeki fazladan portlardan yararlanıyoruz ve tabi ki bu portlarda farklı IP blokları dağıtılabilmesi ve bu IP blokları için router içinde kural yazılabilmesi gerekir buda kullanılacak router cihazının maliyetini arttıracaktır. Her iki durumda da istenilen karşılansa da Private VLAN/ Port Based VLAN tam olarak ihtiyaçları karşılayamamaktadır.

Private VLAN/ Port Based VLAN yapıları daha çok farklı iki yada daha çok şirketi tamamen farklı iki ağ üzerinde yönetmek yada şirket networkü ile misafir networkünü tamamen birbirinden ayırmak için kullanılır fakat wifi yapılarında ve router yapılarında hem wifi cihazlarının hemde router cihazlarının birden fazla port gerekmektedir ayrıca IP subnet işlemi yapılacaksa da bu durumda birden fazla router portu gerekmektedir. Tabi bir diğer yolda Router cihazında ARP ile birden fazla IP tanımlamak ve yerel makinalarda DHCP ve Static iki subnet oluşturup birbirinden ayırmaktadır ki işimizi daha çok zorlaştıracaktır.

Temel sorunu vlanlar arası geçişlerin yapılamaması kullanılacak yapıya göre bağlantı ve geçiş cihazlarında birden fazla port gereksinimi doğurması.

TAG Based VLAN

Tag bazlı vlan sistemlerinde fiziksel bir ayrım söz konusu değildir olay tamamen transfer edilen paketlerin içeriklerine birbirlerinden ayrılmalarını sağlayan bazı TAG bilgileri girilmesi üzerinedir. Kullanımı kolaydır fiziksel müdahale gereksinimi çok azdır portlar kısa sürede yönetim arayüzünden başka bir TAG VLAN alınabilir. TAG VLAN basit anlamda iki tür port yapısından oluşur bunlar TRUNK portlar ve ACCESS portlardır elbette daha gelişmiş VLAN yapıları için kullanılan değişik mantıksal port tipleride bulunmaktadır fakat temel 802.1q bu port yapıları ile yönetilir.

TRUNK Port: Genel olarak içinden birden fazla mantıksal vlan paketi geçirilen porttur, gelen ve giden paketlere bir işlem yapmaz fakat isteğe göre vlansız paketlerin transferini durdurabilir. Kullanıldığı yerler birden fazla VLAN TAG ının aktarımının yapılmasını istenildiği yerlerdir. Bir VLAN switchden bir VLAN switche aktarım yapılırken birden fazla VLAN ının diğer switche aktarılması için yada VLAN router cihazına Switch üzerindeki VLAN ların aktarılması için kullanılır. Aynı sistem VLAN destekli AP cihazlarının birden fazla SSID sini tek kablo üzerinden farklı mantıksal VLAN lar için taşımak içinde kullanılır. En basit anlamı ile UPLINK portları TRUNK tipinde yapılandırılır.

ACCESS Port: Access port istemciler için kullanılır, bu portun özelliği hostan kendisine gelen paketleri tagsız olarak kabul etmesi ve bunları networke gönderirken tag başlığı eklemesidir aynı zamanda bahsi geçen hosta bir paket dönerken bu paketti TAG başlığının silinip hosta tagsız olarak aktarılmasını sağlar. Eğer Access portlar olmasa idi VLAN yapılarında kullanılacak tüm ethernet yapıları TAG desteklemeli idi bu hem maliyeti hem de VLAN kurulumundaki süreyi etkilediği gibi gereksiz iş yüküne de neden olacaktı. Ayrıca ACCESS portlarının ayarları switch üzerinde yapılabildiği için hiç yerinizden kalkmadan istediğiniz cihazı istediğiniz bir VLAN gurubuna dahil edebilirsiniz. Access portlar yerel hostlar için kullanılmaktadır ve tag private vlanlar içinde kullanılabilir, fakat bu yaygın bir kullanım değildir pekte tavsiye edilmez.

802.1q VLAN yapılarında mutlaka ama mutlaka router cihazı VLAN ara yüzleri oluşturabilmelidir, aksi halde switch tarafından farklı vlanlardan gelen paketler router cihazına gönderildiğinde bir router cihazı için bir anlam ifade etmeyeceği için düşürülecektir.

Resimde görebileceğiniz gibi kümelerde bu sefer router portlarıda vardır, hali hazırda bu portların kümelere dahil olması yada bu kümenin kesişim noktasında bulunmasının nedeni tamamlayıcı bir unsur olmasıdır. Bu şu anlama geliyor VLAN yapısının tam olarak çalışması için birden fazla VLAN aktaran cihazların TRUNK portlarına host cihazlarının ise ACCESS portlrına bağlanması gerekir.

Hali hazırda artık VLAN nedir ve ne için kullanılır biliyoruz fakat anlattıklarımı iyi okuyan arkadaşlar için VLAN ların yetersiz kaldığı bir nokta olduğunu fark edeceksiniz. Bu kısım hepsinde statik değerler olmasıdır yani VLAN larda tüm değerler statiktir değiştirilebilir fakat müdahale gerektirir. Bu durumda kullanışlı oldukları kadar ek iş gerektiren yapılardır. Ayrıca yetersiz kaldığı bazı noktalarda bulunmaktadır bunların en başında IP telefonlar üzerinden aktarılan bilgisayar kabloları, kullananlar bilirler IP telefonların çoğu bir adet bridge switch protuna sahiptir ve tek kablo ile aynı masadaki hem IP telefon hemde PC beslenebilir, ikinci yetersizlik ise Sanal makinalarda tek porttan çıkan ve farklı vlanlara hizmet vermesi gereken sunucuların ayrıştırılmasında. Tabi daha önce belirttiğim gibi eğer IP telefon ve PC lerinizde VLAN TAG girdisi yapabiliyorsanız sorun yok yada Sanallaştırma sistemi için kullandığınız ethernet üzerinden sanal sunuculara VLAN lar ataya biliyorsanız yine sorun yok ama bunların hepsi maliyetleri arttıran durumlardır ayrıca takip gerektirir. Sorunları çeşitlendirmek ve kafanızda daha iyi bir resim oluşturmak için şunlarda söylenebilir. VLAN yapıları için pahalı AP cihazları kullanımı gereksinimi, personelin anlık yer değişimlerinde düzgün çalışma ortamlarının oluşturulamaması ve süreli olarak bilgi işleme iş yükü yaratılması, 802.1x ile MAC doğrulamanın yapılması için ek donanımların kullanılması ve MAC bazında ayrımlara gidilmesi ve daha birçoğu, gördüğünüz gibi VLAN yapısı bize kolay yönetilebilir ve güvenli ağlar sağlarken aslında ek iş yükü de getirebiliyor. Peki ama hem bu statik yapıdan kurtulmanın hem de bahsi geçen ve daha sayılabilecek pek çok sorunun üzerinden nasıl gelebilir.

TAG based vlanlar paketlerin içindeki TAG bilgisine bakarak çalışırlar yani buradaki değişken paket içeriğinde ki VLAN ID sidir ve eğer bağlı cihazlar TAG bilgisi üretemiyorsa switch ACCESS portları kendilerine bağlı olan cihazlardan gelen paketleri taglarlar buraya kadar her şey yukarıdaki ile aynı, peki işin içine başka bir değişken sokar ve switchin bu TAG bilgilerini bu değişkene göre atamasını sağlarsak. Mesala switchimiz kabiliyetleri arasında benim ona vereceğim bir MAC adres listesine göre ACCESS portlardan gelen trafiği otomatik taglamasını sağlasak, yani biz bir şey yapmıyoruz MAC adreslerinden kimin hangi vlanda olması gerektiğini bir listeye çeviriyoruz ve gerisini switch kendisi hallediyor. İşte bu sisteme MAC Based VLAN deniyor.

MAC Bazlı VLAN : Temel olarak çalışma mantığı TAG based VLAN ile aynıdır, fakat bu sefer ACCESS portlar VLAN TAG larını MAC adreslerine göre belirler yani iki değişkenimiz var ve hedef değişken MAC adreslerine göre değişiklik gösterebiliyor. Aynı porttan VLAN desteği olmayan bir switch ile çoğaltım yapılsa dahi switch cihazı MAC adresleri için sanal portlar üretir ve MAC adresine göre VLAN ataması yapar. Bu durumda tüm ACCESS portlar dynamic çalışır yani statik bir değeri yoktur gelen MAC adres bilgisine göre olması gereken tipi otomatik olarak seçer, basitçe şirkette hangi kabloya bilgisayarınızı bağlarsanız bağlayın otomatik olarak dahil olduğunuz VLAN atanırsınız ve ucuz bir AP cihazı yada vlan desteği olmayan bir switch ile bile sistemi genişletir ve dinamik olarak çalışan bu vlan sisteminin keyfini yaşarsınız. Aynı zamanda AP cihazlarından, IP telefon PC ve Sanal makina sistemlerinde yaşadığınız sorunlardan kurtulursunuz. MAC Bazlı VLAN tüm sisteme kendi kendine işleyen ve sürekli güncellenen dinamik bir VLAN yapısı kazandırır. Bu sistemin güzel yanlarından birisi 802.1x yapısında oluşan bağlanacak her cihaza sertifika üretme işinden kurtulursunuz yada misafir geldiğinde ona ayrı bir sertifika üretme işinden kurtulursunuz, hali hazırda Layer2 seviyesinde bir ayrım yapmaktadır ve hem güvenli hemde hızlı bir yapı kurmaktadır. Bu sistem için dikkat edilmesi gereken tek şey sağlam ve güçlü bir switch cihazı ile çalışmaktır hali hazırda switch artık sadece paket forvard etmiyor aynı zamanda paket içeriğini de kontrol ediyordur.

Artık sistemi biliyoruz, sistemimizi rahatlıkla VLAN yapısını geçirebiliriz. Devam eden satırlarda DrayTek ve SMC switchler aracılığı ile size MAC bazlı bir VLAN yapısının nasıl kurulacağını anlatacağım.

ADIM 1 : DrayTek Router cihazında sanal VLAN bacaklarının oluşturulması. Cihazın LAN VLAN kısmına giriniz alttaki resimdeki ile aynı şekilde VLAN arayüzlerini oluşturunuz ve cihazın portlarını resimde görüldüğü gibi UNTAG vlan kısmında da seçiniz. Bu şekilde hiçbir VLAN ayrılmamış MAC adresleri bu VLAN alınıp LAN1 subnetinden IP verilecektir bu hem VLAN lardan VLAN lara firewall kuralı yazarken hemde internet çıkışı için politikalarınız belirlerken yardımcı olacak bir durumdur. Güvenlik amacı ile oluşturulmuş olan “Permit untagged device in P1 to access router “ seçeneği yapı tam olarak kurulana kadar seçili kalabilir bu sayede VLAN atamalarında yanlışlık yapsanız dahi router cihazına birinci port üzerinden her zaman ulaşabilirsiniz.

ADIM 2 : Cihazın LAN >> General Setup kısmına girerek VLAN lar için seçtiğiniz sanal arayüzlerin DHCP ayarlarını yaparak alttaki resimde görüldüğü gibi aktif ediniz. VLAN ların ruting bazında birbirleri ile konuşmasını isterseniz altta bulunan inter-LAN Routing sekmesini aktif edip hangi porttaki VLAN ların hangi VLAN lar ile konuşabileceğini seçiniz. Bu şekilde VLAN ların birbirleri ile konuşmasına izin verirsiniz ayrıca geri kalan erişim sistemini de Firewall üzerinden düzenleyebilirsiniz.

ADIM 3: SMC Switch cihazınızın ara yüzüne girerek Management kısmında bulunan MAC-Based kısmından MAC adres listenizi oluşturun ve hangi portlardan cihaza erişim yapabileceğini seçin. Burası fiziksel güvenlik sağlamak için önemlidir her MAC adresi için her port seçilebilir yada özel portlar seçilerek personelin kendi birimleri dışına çıkması engellenebilir. Seçili portlar bahsi geçen MAC adresinin hangi portlardan gelir ise bahsi geçen VLAN tagı ile taglanacağını gösterir. Toplantı odasında bağlı tüm bilgisayarların UNTAG vlan olmasını ve birbirleri ile haberleşmesini istiyorsanız toplantı odasından gelen portu yada oraya kablo gönderdiğiniz portu seçmeniz yeterli olacaktır. Bu şekilde şirket bilgisayarları sadece toplantı odasında misafirler ile aynı ağda olacaktır.

ADIM4 : SMC Siwtch üzerinde VLAN kısmına girin ve hangi portların hangi VLAN ları kabul edeceğini seçin. Bu yukarıdaki sistemle hemen hemen aynıdır, tek farkı Uplink için kullanılan portların tüm VLAN lar için seçilmesi gerekliliğidir. Bu kısımda birden fazla GW ve farklı VLAN sistemleri olan yada aynı switch üzeride birden fazla şirket yöneten arkadaşlar priviate vlan yapısını da sağlayabilirler.

ADIM 5: Bu adımda switch cihazının VLAN kısmında sadece uplink portu için Port Type bölümü C ( Custom Port ) olarak seçilir bu şekilde bu portun üzerinden birden fazla TAG paketi aktarılabilir hale gelir. Bu işlemden sonra yukarıda seçtiğiniz port ve girdiğiniz MAC adres bilgilerine göre bahsi geçen MAC adresleri kendilerine atanmış olan VLAN ları otomatik olarak alacaktır.

VLAN sistemleri MAC based VLAN sisteminden önce idare etmesi ek iş gerektiren yapılardı fakat MAC based VLAN la birlikte kolay kullanılabilir yüksek güvenlik sağlayan yapılar haline geldiler. Tabi VLAN kurmanın daha başka getirileri de var, mesela VLAN sistemi ile birlikte kullanılan 802.1p sayesinde yapınızda hangi cihazların paketlerinin öncelikli olarak iletileceği belirlenebilir ağır yük ve collision durumlarda hangi paketlerin düşürüleceği ve hangilerinin düşürülmeyeceği seçilebilir. Tüm yapıların ethernet üzerine taşınmaya çalışıldığı günümüzde kayıpsız veri transferi ihtiyacı olan VOIP cihazlarının paketleri diğer paketlere göre öncelikle dirilebilir ve daha temiz ve kayıpsız konuşmalar sağlanabilir.

↧

Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 1 Kurulum ve Temel Konfigurasyon

February 9, 2014, 7:26 am

≫ Next: Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 2

≪ Previous: MAC Bazlı VLAN

Vyatta çekirdek yazılımı, Ipv4 – Ipv6 yönlendirmesi (OSPF, BGP,RIP,NAT), temel Firewall, IPSec ve SSL Open VPN gibi birçok işlemi yapabilen açık kaynak kodlu Network işletim sistemidir. Aynı zamanda ücretli versiyonu da mevcuttur. Aşağıdaki tablodan sürümler arasındaki farkları görebilirsiniz.

Kaynak : http://www.vyatta.com/product/vyatta-network-os/open-source-vs-enterprise

Kurulum için gerekli olan temel donanım ihtiyacı aşağıdadır.

Kaynak : http://www.vyatta.com/sites/vyatta.com/files/pdfs/vyatta_software_datasheet.pdf

Kurulum için gerekli iso dosyasını http://www.vyatta.org/downloads adresinden download ediyoruz.

Yukarıdaki teknik gereksinimlere gore yeni bir sanal makina oluşturup çalıştırıyoruz. Yönlendirme yapacak olduğumuz network sayısı kadar Ethernet kartı eklemeyi ve bu network kartlarını ilgili sanal switchlere eklemeyi de unutmuyoruz…Yazının ikinci bölümünde bu konuya ayrıca değinilecektir.

İşletim sistemi öncelikli olarak Live CD üzerinden açılacaktır. Default kullanıcı adı ve şifresi vyatta dır.

Hard diske kurulum başlatabilmek için install system komutunu kullanıyoruz. Kurulumun devam etmesi için Yes seçeneği ile devam ediyoruz.

Eğer kurulum için gerekli olan alan mevcut ise bütün adımları Enter ile geçerek kurulum işlemine devam edebiliriz. Buradaki en önemli adım dosyaların kopyalama işlemi sırasında disk formatlanacağı için data kaybı yaşama riskidir.

Vyatta kullanıcısı için yeni bir kullanıcı adı tanımlıyoruz.

Son olarak GRUP (Sistem ön yükleyicisi) kurulumunu Enter ile tamamlıyoruz.

Kurulum tamamlandı reboot komutu ile sistemi yeniden başlatıyoruz. Kurulum CD sini unmount yapmayı unutmuyoruz.

Interfaceleriminizin durumunu Show Interfaces komutu ile kontrol ediyoruz. Ben yönetimin kolay olması açısından Management interface haricindeki kartları henüz sisteme bağlamadım o yüzden o kartların yanında D(Down) işareti gözükmektedir.

İp verebilmek için configure komutu ile konfigürasyon moduna geçiyoruz.

Interface’e ıp atamak için set interfaces ethernet eth0 address 192.168.1.3/24 yazıyorum. Sonrasında commit ile onaylayıp save ile ayarları kaydediyorum.

Artık bu interface üzerinden SSH açıp Putty tarzı bir yazılım ile konfigürasyona devam edebilirim. Bunun için set service SSH yazıyorum. Commit ve Save komutlarını ise unutmuyoruz.

Vyatta olarak gelen hostname’i değiştirmek için set system hostname komutunu kullanıyoruz. Ayar her ne kadar uygulanmış olsa da bir sonraki konsol açılışına kadar bunu göremeyiz.

Şimdi de gateway adresimizi set system gateway-address 192.168.1.1 komutu ile tanımlayalım.

Bölüm 2 ‘de sanal Laboratuvar tasarımını oluşturup Routing işlemlerini tanımlayacağız.

Faydalı olması dileğimle.

↧

Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 2

February 16, 2014, 10:31 am

≫ Next: Layer 2 Mac Access Control List Yazma

≪ Previous: Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 1 Kurulum ve Temel Konfigurasyon

Aşağıdaki resimde olduğu gibi, birbirlerinden bağımsız network adreslerine sahip ve farklı lokasyonlar da bulunan bir ağ yapısını simule etmek isterseniz mutlaka Routing işlemi yapabilen bir network cihazı veya uygulamasına sahip olmanız gerekmektedir.

Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz.

http://www.cozumpark.com/blogs/network/archive/2014/02/09/vyatta-core-ile-sanal-laboratuvar-ortaminin-olusturulmasi-bolum-1-kurulum-ve-temel-konfigurasyon.aspx

Birinci bölümde kurulumunu anlatmış olduğumuz Vyatta ile bu tür uygulamaları rahatlıkla yapabiliriz. İlk olarak 3 lokasyonumuz icinde yeni Vswitch oluşturuyoruz. Birinci bölümde de belirttiğimiz gibi her switche birer tane Vyattanın Interfacelerinden ekliyoruz. Sonrasında konfigurasyonumuz aşağıdaki gibi gözükecektir.

Not: eth1 bacağı mevcut VM yapınızı bozmadan, NAT ile LAB ortamını da internete çıkartmak için eklenmiştir.

Altyapımızı oluşturduktan sonra Vyattanın diğer interfacelerine IP adreslerini verelim.

set interfaces ethernet eth0 description "Arge IZMIR"
set interfaces ethernet eth0 address 172.16.14.1/25
set interfaces ethernet eth2 description "Merkez ISTANBUL"
set interfaces ethernet eth2 address 172.16.8.1/22
set interfaces ethernet eth3 description "Fabric BALIKESIR"
set interfaces ethernet eth3 address 172.16.12.1/23
commit
save

Interfacelerin durumunu show interface komutu ile kontrol ediyoruz.

Networklerin, dış dünyaya bağlantısını sağlayabilmek için eth1 üzerinden NAT kuralı yazılmalıdır. Sırasıyla aşağıdaki komutları yazıyoruz.

set nat source rule 1 outbound-interface eth1
set nat source rule 1 source address 172.16.14.0/25
set nat source rule 1 translation address masquerade
set nat source rule 2 outbound-interface eth1
set nat source rule 2 source address 172.16.8.0/22
set nat source rule 2 translation address masquerade
set nat source rule 3 outbound-interface eth1
set nat source rule 3 source address 172.16.12.0/23
set nat source rule 3 translation address masquerade
commit
save

Networkler interfacelere doğrudan bağlı olduğundan dolayı her hangi bir routing kuralı yazmaya gerek yoktur. Bundan dolayı bütün networkler bir birleriyle sorunsuz haberleşebilmektedir.

Faydalı olması dileğimle.

↧

Layer 2 Mac Access Control List Yazma

February 23, 2014, 10:45 am

≫ Next: HP A Serisi Switchlerde Software Upgrade ve İnstallation İşlemleri

≪ Previous: Vyatta Core ile Sanal Laboratuvar Ortamının Oluşturulması – Bölüm 2

Bu yazımızda Layer 2’de hükümdarlığını süren Mac Adresleri ile Layer 2 Access Control List yazmayı konuşuyor olacağız. İsimlendirme karşınıza Mac Access Control List, Layer 2 Access Control List ve Ethernet Access Control List olarak çıkabilir. Layer 3 üzerinde IP bazlı Access Control List (ACL) yazımındaki teferruat burada olmayacaktır. Layer 2 katmanında da ek güvenlik sağlamak için biçilmiş kaftandır.

Access Control List yazma kısmındaki giriş bilgileri ve bazı tanım ve sınırlamalar cihazlara göre ufak değişiklikler gösterse de genel bir bilgi verecek olursak. Öncelikle yaz yazabildiğin kadar gibi bir bolluk söz konusu değil tabi ki belli bir sınırlama var kural yazımında ama bu rakamlar ihtiyaçları çok rahat karşıladığı için sıkıntı olmuyor. Bu rakamların konulma sebebi de performans kaybını önlemek içindir. Bunlardan bahsedecek olursak;

- Bir Line card üzerinde max. 256 Access List (ACL) yazılabilir. Bu sayı router’larda 256’yı geçebilir. Bu sayı değişkenlik gösterebiliyor tam olarak öğrenmek için cihaz özelliklere bakarak bulabiliriz.

- 1 Access List (ACL) içerinde max. 16 Access Control Enrty (ACE) yani Access Control girdisi girebiliriz. İlerleyen kısımlarda bu ACE’nin tam olarak hangi kısım olduğundan bahsedeceğiz.

Son olarak da Layer 3 bazlı Access List’ler de yapabildiğimiz gibi Layer 2 tarafında da “permit” ve “deny” filtreleme seçeneklerimiz mevcuttur fakat Layer 3 tarafındaki kural genişliği yoktur diyerek bitiriyorum giriş kısmını.

Yavaş yavaş konfigürasyon kısmına geçebiliriz. Öncelikle alttaki gibi PuTTY ile standart ayarlarla cihazımızın konsoluna erişiyoruz. Bu kısımda farklı olabilecek kısım sizin COM portunuzun numarası olabilir. Kontrol edip kendi COM portu numaranızı girebilirsiniz.

Öncelikle benim test cihazım Dell PowerConnect 5524 komut satırı Cisco ile benzerlik gösterse de tamamıyla aynı değildir. Ama mantık hemen hemen aynı olduğu için diğer markalara ait cihazlarda da ufak ufak farklılıklar olacaktır.

“Enable” ve “Configure terminal” ile Global Configuration Mod’a geçiyoruz.

Öncelikle Kuralımıza bir isim vereceğiz. Bu kısım için komut satırı;

Console (config)# mac access-list extended ACL_KURAL_ADI

Kuralımıza isim verdik şimdi yukarıda bahsi geçen ACE’leri (Access Control Girdisi) oluşturalım.

Bu ACE’lerin cihazlarda markadan markaya oluşturulmasında ufak farklılıklar mevcuttur. Dell tarafında bunun yapısı alttaki gibidir.

Permit | Deny {any | {Kaynak Mac - Kaynak Wildcard}} {any | {Hedef Mac - Hedef Wildcard}} [Vlan vlan-id]

Yukarıdaki kısımı kısaca açıklamak gerekirse öncelikle permit (izin ver) yada deny (engelle) ile başlayacağız. Bunu oluşturacağımız kurala göre bizim belirlememiz gerekiyor. Sonra kural yazmak istediğimiz makinenin mac adresini ve bu mac adres için bir wildcard mask girmemiz gerekiyor. Daha sonra hedef mac adresimiz ve onun wildcard’ı yapıda vlan yoksa burada kural bitiyor. Yapıda vlan varsa, kuralda hangi vlan için olduğunu belirtiyoruz.

Burada çoğu kısım anlaşılıyor ama wilcard mask kısmında biraz soru işareti olabiliyor. Bu Subnet Mask’ın tümleyeni gibi düşünebilirsiniz. Bildiğiniz gibi hesaplamalar bitlerle oluyor. Subnet mask’da 0 olan bitler Wilcard Mask’da 1 olur. Bu yüzden tümleyeni deriz. Aslında ikisi de aynı şeyi ifade edebilir. Ama bazı protokollerde wilcard mask kullanıyoruz.

Burada biz 00:00:00:00:00:00 wilcard mask’ını kullanacağız. Bu bir aralığı değilde sadece belirttiğimiz mac adresi’ni belirtir. Yani ip tarafından örnek verecek olursak bizim (255.255.255.255) diyerek sadece o ip diye belirttiğimiz mask adresine karşılık geliyor. Peki wildcard mask’ın 00:00:00:00:00:FF olduğunu varsayarsak mac adresin en son oktet’i (xx:xx:xx:xx:xx:XX Büyük yazılan XX kısmı) 00’dan başlayıp FF’e kadar olan mac adresi aralığını belirtmiş oluruz. Yine kolay anlaşılmsı için ip kısmından örnek verecek olursam (255.255.255.0 gibi bir mask adresini kullandığımızda 254 tane ip adresimizin olduğu gibi düşünebiliriz)

Şimdi tekrar config kısmına dönelim ve ilk ACE’mizi oluşturalım.

Bu kuraldaki amacımız; 44:44:44:44:44:44 mac adresli makina 55:55:55:55:55:55 mac adresli makinaya erişebilsin olsun. Diğer makinaların hiç biri erişemesin olsun. Bu kural komut satırında uzun yer kapladığı için uzun olan kısım konsolda sol tarafta kaybolduğu için ekran görüntüsü almadım. Fakat komut alttaki gibidir.

console(config-mac-al)# permit 44:44:44:44:44:44 00:00:00:00:00:00 55:55:55:55:55:55 00:00:00:00:00:00

Geri kalan diğer mac adreslere bu erişimi kapatmak içinde bu komuttan sonra;

console(config-mac-al)# deny any any komutunu yazmamız yeterli olacaktır. Bu komutu açıklayacak olursak “deny” yani engelle neyi ? “any” bütün kaynak bilgisayarların “any” bütün hedef bilgisayarlara erişimine izin verme oluyor. Cihaz kuralları yukarıdan okumaya başladığı için 44:44:44:44:44:44 mac adresine verdiğimiz izin üstte olduğu için ona erişim izni verecektir. Firewall’daki kural sıralaması mantığı gibi yani üstteki kural alttakini ezer. Yani biz alttaki komutu üstteki ile yer değiştirirsek ilk kuralda herkesi engellediğimiz için bizim permit kuralına bakmayacaktır bile cihaz.

Aynı komutlarda “permit” ve “deny” kısımlarını da değiştirirsek. Yani alt kısımdaki gibi bir konfig girersek bu kez yalnızca 44:44:44:44:44:44 mac adresli cihazın 55:55:55:55:55:55 mac adresli cihaza erişimini engellemiş. Geri kalanlara izin vermiş oluyoruz.

console(config-mac-al)# deny 44:44:44:44:44:44 00:00:00:00:00:00 55:55:55:55:55:55 00:00:00:00:00:00

console(config-mac-al)# permit any any

Yapımızda Vlan mevcut olduğunu varsayarsak bu örneğimizde de bir vlandaki cihazlarla iletişime geçmesi için sadece 1 makinamıza izin verelim. Mesela; sadece 44:44:44:44:44:44 mac adresli cihazımız vlan 10 üzerinde herhangi bir cihazla iletişim kurabilir. Fakat diğer cihazlar bu durum için engellenmiştir. İsterseniz “any” şeklinde tüm cihazlar diye bir genelleme yapmayıp sadece bir mac adresi veya bir mac adresi aralığında belirtebiliriz.

console(config-mac-al)# permit 44:44:44:44:44:44 00:00:00:00:00:00 any vlan 10

console(config-mac-al)# deny any any

Buraya kadar kural yazma üzerine konuştuk. Peki, bu yazdığımız kurallar şuan geçerlimi? Geçerli ise cihazın tüm interface’leri üzerinde mi geçerli o kısma gelelim.

Öncelikle yazdığımız kurallar şuan geçerli değil. Çünkü bu kuralları bir interface’e atamadık. Bu atama işlemi interface’in giriş mi yoksa çıkış trafiğine mi ekleyeceğimize karar veriyoruz. Burada interface’den çıkan trafik için yalnızca oluşturduğumuz Access Control List’i atayabiliriz. Ama interface’e giren trafik için hem oluşturduğumuz Access control list’i hem de belli başlı protokollere izin verme veya engelleme işlemi yapabiliriz. Bu protokollerin hangileri olduğunu da açıklayacağız. Şimdi yazdığımız bir Access control list’i interface’lere atama işlemini yapalım.

Gigabitethernet 0/1 interface’inin çıkış trafiğine oluşturduğumuz ACL’i atayalım.

console(config)# interface gigabitethernet 0/1 komutu ile interface içerisine girdik.

console(config-if)# service-acl output komutundan sonra “?” ile çıkış trafiğine ne atayabileceğimizi görüyoruz. Yukarıda bahsettiğimiz gibi sadece oluşturduğumuz ACL’i atayabiliyoruz.

console(config-if)# service-acl output ACL_KURAL_ADI

Böylece gigabit ethernet 0/1 olan interface’imizden çıkan trafik uyguladığımız bu Access control list’e göre geçecektir. Diğer interface’lere bir kural uygulamadığımız için onlar normal bir şekilde işleyişlerine devam edeceklerdir.

Şimdi bir interface’imizin giriş trafiğine de bir ACL atayalım. Yukarıda giriş trafiğinde daha çok seçenek olduğundan bahsetmiştik. Bunlardan da bahsediyor olalım.

console(config)# interface gigabitethernet 0/12

console(config-if)# service-acl input komutundan sonra “?” ile giriş trafiğine ne gibi kurallar atayabileceğimizi görüyoruz.

Yukarıda da göründüğü gibi Ciscoya özel bütün protokolleri, cdp, vtp, dtp, udld, pagp, sstp ve bizim oluşturduğumuz ACL’leri interface giriş trafiğinde engelleyebiliyoruz. Önceden de belirttiğimiz gibi çıkış trafiğinden daha geniş seçenekler mevcut. Bu protokollerin neler yaptığını ne işe yaradığını tek tek açıklamak konumuz dışına çıkacaktır ama araştırma yapacaklar için tam adlarını yazalım.

CDP => Cisco Discovery Protocol

VTP => Vlan Trunking Protocol

DTP => Dynamic Trunking Protocol

UDLD => Unidiectional Link Detection

PAGP => Port Aggregation Protocol

Yukarıda belirttiğimiz seçenekleri giriş trafiği için girerek belirttiğimiz interface için giriş trafiğini kontrol edebiliriz.

Örnekleri çoklamak mümkün önemli olan mantığını kavramak zira farklı firmaları geçtim aynı firmanın farklı cihazlarında bile bazen komut satırı ufak değişiklikler göstermektedir. Yukarıda da belirttiğim gibi bu makalemizde Dell Powerconnect 5524 ürününü kullandık.

Bu makalemizde Layer 2 Access List yazımını anlatmaya çalıştık. Bir başka makalemizde görüşünceye kadar. Subnet’imiz Çözümpark , ping’imiz daim olması dileğiyle…

↧

HP A Serisi Switchlerde Software Upgrade ve İnstallation İşlemleri

March 30, 2014, 6:28 am

≫ Next: Vyatta Router ile Site-to-Site VPN Kurulumu

≪ Previous: Layer 2 Mac Access Control List Yazma

Bu makalemde sizlerle HP Networking ürün ailesinde yer alan ve A serisi ürün ailesi altında yer alan switchlerin” firmware” ve “bootrom” upgrade işlemlerini adım adım anlatıyor olacağım.

Öncelikle HP Networking Ürün Ailesi A , E , V, S serilerinden oluşmaktadır.

A serisi ürünler, Comware işletim sistemini kullanmaktadır.

E serisi ürünler, Provision ASIC işletim sistemini kullanmaktadır.

V serisi ürünler, Web Based ürünler ve Yönetilemeyen switch ürün ailesinden oluşmaktadır.

S serisi ürünler, Security ürün ailesini oluşturmaktadır. IPS ve Firewall çözümleri bu başlık altında yer almaktadır. Tipping Point markası burada bu aileyi temsil etmektedir.

Temel HP network ürün ailesi bilgisinin ardından sizlerle, Amacımız bu makale sonrasında HP A serisi ürünlerin kullandığı işletim sistemi olan Comware OS v5 işletim sisteminin güncel versiyonu olan Comware OS v7 ‘ye upgrade işlemini gerçekleştiriyor olmanız.

Öncelikli olarak upgrade işlemini HP A-5120-EI-24G ürününde gerçekleştiriyor olacağım. Fixed portlu tüm A serisi ürünlerde upgrade işlemi farklılık göstermemektedir.

Mevcut cihazın firmware versiyonunu ve çalışan kaydedilmiş konfigürasyonunu görüntülemek için aşağıdaki resimdeki işlem adımlarını takip edebilirsiniz.

RESİM-1

Bildiğiniz üzere firmware upgrade aşamasının ardından herhangi bir data silinmeyecektir. Ancak yinede önlem almak adına. Yukarıdaki komut çıktsınında ardından tüm çalışan konfigürasyonu, notepad’e kaydederek konfigürasyon yedeğini almanızı tavsiye ederim. (RESİM-1-)

RESİM-2

Mevcut işletim sisteminin backup ve main alanlarda hangi işletim sistemi versiyonu kullandığını doğrulamak ve öğrenmek için yukarıdaki komut çıktısını kullanabilirsiniz. (RESİM-2)

Gerekli kontrollerin ardından switch’e firmware yükleme işlemini başlatabilmemiz için aşağıdaki ön gereksinimleri hazırlıyor olmanız gerekli. Sonucu başarılı sonuçlandığı takdirde işlemler adımına devam edebilirsiniz. (RESİM-3-)

RESİM-3

Aşağıdaki işlemlerin olumlu sonuçlanması gerekmektedir. Aksi takdirde firmware yükleme işlemine geçemezsiniz. Cihazınızın flash’ın yeterince kapasite olmamasından ötürü sorun yaşayabilirsiniz. O sebeple aşağıdaki işlem adımlarının sonucusunda flash içerisinde yer alan firmware’i siliyoruz. (RESİM-4)

RESİM-4

TFTP prokolü üzerinden cihazınıza firmware yükleyebilmeniz için, TFTP server yazılımına ihtiyacınız vardır. İlgili yazılımı altta yer alan link’ten indirebilirsiniz.

http://www.solarwinds.com/register/MoreSoftware.aspx?External=false&Program=52&c=70150000000CcH2&tftpreg=true

Yazılımı indirdikten sonra TFTP yazılımını kurduğunuz PC üzerinde TFTP portuna ve ICMP 8 nolu porta izin verdiğinizden emin olunuz.

Bu yönergelerinin tamamlanmasının ardından, aşağıdaki linkte yer alan 5120 switch için ilgili firmware’i indiriniz.

https://h10145.www1.hp.com/Downloads/SoftwareReleases.aspx?ProductNumber=JE069A&lang=pl&cc=pl&prodSeriesId=4174705

TFTP yazılımında aşağıdaki görülen ayarların yapıldığından ve indirdiğiniz firmware’i TFTP root klasörüne attığınızdan aşağıdaki aşamaları kontrol ederek emin olunuz. (RESİM-5)

RESİM-5

Tüm ön gereksinimleri tamamladıktan, ardından fimrware upgrade/install işlemini aşağıdaki komutu kullanarak başlatabilirsiniz. (RESİM-6)

RESİM-6

Bu işlem adımının başarılı bir şekilde tamamlanmasının ardından, Boot ROM versiyonunuda yükseltmenizde fayda var. “.btm” uzantılı dosya firmware ile aynı zip dosyası içerisinden çıkacaktır. (RESİM-7)

RESİM-7

Bu işlem adımlarının tamamlanmasının ardından, cihazınızda yüklemiş olduğunuz firmware ve bootrom versiyonlarının kalıcı olarak kullanılmasını sağlamak için ve bacukp ve main software versiyonlarını cihazımızda kalıcı olarak ayarlamak için aşağıdaki işlem adımlarını gerçekleştirmeniz gerekli. (RESİM -8)

RESİM 8

Konfigürasyonun kaydedilmesinin ardından, cihazı reboot etmeniz gerekli. (RESİM 9)

RESİM 9

Cihazın açılmasının ardından, işletim sistemi versiyonu, flash içerisindeki bulunan dosyaların kontrolünün yapılmasının ardından, cihazın firmware ve bootrom versiyonun güncellendiğini kontrol edebilirsiniz. (RESİM 10)

RESİM 10

Resim 2 ile Resim 10 arasındaki fimrware versiyonlarını karşılaştrıdığınız zaman upgrade işleminin başarılı bir şekilde gerçekleştiğini görüntüleyebilirsiniz.

Aşamaları istinasız adım adım uyguladığınız takdirde tüm A serisi fixed portlu switchlerde işlem başarı ile sonuçlanacaktır.

↧

Vyatta Router ile Site-to-Site VPN Kurulumu

April 6, 2014, 12:25 pm

≫ Next: LACP Link Aggregation Control Protocol Konfigurasyonları

≪ Previous: HP A Serisi Switchlerde Software Upgrade ve İnstallation İşlemleri

Vyatta Core, yani ücretsiz olan router versiyonu, IPSEC ve OPENVPN yardımı ile site-to-site vpn çözümüne destek vermektedir. Firmanız büyüdü ve farklı bir lokasyonda sizden şube bilgi sistem altyapınızı hazırlamanızı istediler. Fakat her zamanki gibi en ekonomik hatta olabiliyorsa ücretsiz bir çözüm olması şarttı. Tam bu isteğe cevap verebilecek ve toplamda sadece 41 komut (21+20) ile bu altyapıyı hazırlayabileceğiniz çözümü Vyatta Core ile yapabilirsiniz.

Senaryomuz şekildeki gibi olsun ve daha önce sitede yayınlanan iki bölümlük makale refarans alınarak vyatta routerların kurulmuş olduğunu varsayalım.

Main Site ve Remote Site, Router IP konfigurasyonu aşağıdaki gibi yapılmalıdır.

Main Site :

set system host-name "MainSite"

set interfaces ethernet eth0 address 192.168.1.1/24

set interfaces ethernet eth0 description "Main-Internal"

set interfaces ethernet eth1 address 192.168.17.1/28

set interfaces ethernet eth1 description "Main-External"

set system gateway-address 192.168.17.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.1.1/24

set nat source rule 1 translation address masquerade

commit

save

Remote Site :

set system host-name "RemoteSite"

set interfaces ethernet eth0 address 192.168.3.1/24

set interfaces ethernet eth0 description "Remote-Internal"

set interfaces ethernet eth1 address 192.168.28.1/28

set interfaces ethernet eth1 description "Remote-External"

set system gateway-address 192.168.28.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.3.1/24

set nat source rule 1 translation address masquerade

commit

save

Bu işlemden sonra her iki router bir birlerinin dış interfacelerine (eth1) ping atabilmelidir. Tabi arada firewall gibi bir cihaz yok ise.

Her iki router da aşağıdaki komutlar yardımı ile SSH servisini açıyoruz ve root kullanıcısına erişim yetkisi tanımlıyoruz.

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

commit

Routerların, bir birleri ile etkileşimde kullanacak oldukları anahtarı üretiyoruz. Bu işlemi sadece MainSite da yapıyoruz.

NOT: Anahtarın oluşturulmuş olduğu klasör upgrade işlemleri sırasında korunmamaktadır. Bu işlemler öncesi anahtarın yedeği alınmalı yada farklı bir klasörde anahtar saklanmalıdır.

generate openvpn key /etc/openvpn/key.psk

Oluşturulan anahtar WinSCP yada farklı yöntemler ile Remote-Site’a taşınmalıdır. Ben yazımda kolay olması sebebiyle WinSCP programını kullandım ve route kullanıcısı ile her iki routerda oturum açarak taşıma işlemini başlattım.

Sırasıyla routerlar da aşağıdaki komutları çalıştırıyoruz.

Main Site :

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.1

set interfaces openvpn vtun0 remote-address 172.16.1.2

set interfaces openvpn vtun0 remote-host 192.168.28.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

commit

save

Remote Site :

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.2

set interfaces openvpn vtun0 remote-address 172.16.1.1

set interfaces openvpn vtun0 remote-host 192.168.17.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

commit

save

Tüneli oluşturduğuktan sonra her iki routerda networkleri tanıtan static route komutu giriyoruz.

Main Site :

set protocols static route 192.168.3.0/24 next-hop 172.16.1.2

Remote Site :

set protocols static route 192.168.1.0/24 next-hop 172.16.1.1

Bu komutlar sonrası her routera bağlı olan LAN networkleri birbirleriyle sorunsuz haberleşebilecektir.

Tunelin ayakta olduğunu ve bağlantı durumunu görmek için “tail -f /var/log/messages” komutu kullanılabilir. Vyatta önünde herhangi bir modem, firewall gibi cihazlar var ie 1194 portu vyatta dış interface ‘ine yönlendirilmelidir.

İki routerda yapılan komutların topluca hali aşağıdadır.

Main Site :

set system host-name "MainSite"

set interfaces ethernet eth0 address 192.168.1.1/24

set interfaces ethernet eth0 description "Main-Internal"

set interfaces ethernet eth1 address 192.168.17.1/28

set interfaces ethernet eth1 description "Main-External"

set system gateway-address 192.168.17.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.1.1/24

set nat source rule 1 translation address masquerade

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

generate openvpn key /etc/openvpn/key.psk

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.1

set interfaces openvpn vtun0 remote-address 172.16.1.2

set interfaces openvpn vtun0 remote-host 192.168.28.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

set protocols static route 192.168.3.0/24 next-hop 172.16.1.2

commit

save

Remote Site :

set system host-name "RemoteSite"

set interfaces ethernet eth0 address 192.168.3.1/24

set interfaces ethernet eth0 description "Remote-Internal"

set interfaces ethernet eth1 address 192.168.28.1/28

set interfaces ethernet eth1 description "Remote-External"

set system gateway-address 192.168.28.1

set nat source rule 1 outbound-interface eth1

set nat source rule 1 source address 192.168.3.1/24

set nat source rule 1 translation address masquerade

set service ssh

set service ssh allow-root

set system login user root authentication plaintext-password Password1234

set interfaces openvpn vtun0 mode site-to-site

set interfaces openvpn vtun0 local-address 172.16.1.2

set interfaces openvpn vtun0 remote-address 172.16.1.1

set interfaces openvpn vtun0 remote-host 192.168.17.1

set interfaces openvpn vtun0 shared-secret-key-file /etc/openvpn/key.psk

set protocols static route 192.168.1.0/24 next-hop 172.16.1.1

commit

save

Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

↧

LACP Link Aggregation Control Protocol Konfigurasyonları

April 13, 2014, 1:34 pm

≫ Next: Aruba Controller ile Guest Authentication

≪ Previous: Vyatta Router ile Site-to-Site VPN Kurulumu

Gerek Hypervisor lerde gerekse diğer fiziksel sunucularda çoğu zaman bandwidth genişletmek ve redundancy arttırmak amaçlı teaming policyler kullanırız ancak sadece makina üzerinde yapılan bu konfigürasyonlarla bu işlem tamamlanmıyor.

Bu makalemde sizlere anlatacağım LACP hakkında genel bir bilgi vermek ve bir sonraki makalemde Esxi 5.1 ve 5.5 üzerinde nasıl LACP konfigürasyonu yapılacağını göstermek yönünde olacak…

Nic Teaming ve LACP kavramları çoğunlukla birbiriyle karıştırılır. Öncelikle bu 2 kavramdan bahsedelim. Nic Teaming policyleri host üzerinde yapılan ayardır ve genellikle Host interfacelerini fiziklsel yapıya göreActive/Standby yada Active/Active mimariyle çalıştırmaya dayanır.

LACP ( Link Aggregation Control Protocol ) aslında vendor bağımsız bir protocoldür. LACP vendor seviyesine indiğinde isimleri biraz değişiyor. Mesela Cisco bu konfigürasyonun ismine Ether Channel diyor Hp Port Trunkdiyor vs

Sonuç itibariyle switchlerde yapılan bu ayarın aslında host tarafında bir amaca hizmet ettiğini söylememiz gerekir. Bu amaç hostlar üzerinde mevcut throughput arttırma ve herhangi bir link kaybına karşı yedeklilik sağlamaktır.

Host üzerinde yapılan konfigürasyonda ( teaming/ bonding ) 2 yada daha fazla fiziksel interface in tek bir interface ( Logical Interface ) altında toplanarak çalışma esasına dayanır.

LACP ise hosttan çıkıp switchlere saplanan uplinklerin, tek uplink gibi çalışması esasıdır.

Dolayısıyla Sunucular üzerinde Active/Active Nic Teaming (LACP) konfigürasyonu yapmadan önce, switch tarafında bu konfigürasyonu yapmamız gerekir ki host uplinkleri için doğru bir referans olsun…

Şimdi sizlere network için bir design göstermek istiyorum. (Şekil için kusura bakmayın çünkü ilkokulda bile resim dersinden 2 alırdım : ) )

Yukarıda görmüş olduğunuz bu design host networking için fully redundant bir yapıyı gösteriyor. Soldaki şekil bizim yaptığımız fiziksel bağlantı. Sağdaki şekil ise switch tarafının ve host tarafındaki interfacelerin logical durumu.
Yapmış olduğum bu desing doğru bir design örneğidir ve herhangi bir loop durumunu içermez.

Ancak piyasa çok şahit olduğum bir kaç yanlış var. Bu yanlışları söyleyelim;

1- Hosttan çıkan uplinkleri stack olmayan iki sw’e saplamak. Aşağıdaki şekilde anlatmaya çalıştım.

Host tarafında da bu linkler team edildiğinde( Active/Active Teaming ) bizi bir tehlike karşılıyor tehlikenin adı LOOP : ) Şimdi bu konu hakkında konuşalım;

Arkadaşlar stack olmayan 2 switch aslında birbirinden bağımsız iki switchtir. Dolayısıyla siz host tarafında niclerinizi team yaptığınızda 1 mac adresi elde edersiniz. 1 mac adresini 2 ayrı switch in arp tablosuna kaydedildiğini görürseniz layer 2 cinayeti olur ( loop ) STP ( Spanning Tree Protocol ) devreye girer ve loopa giren uplinkleri blocklar. STP günümüzde neredeyse bütün swlerde enable geliyor ( yönetilebilen switchler )

2- Stack edilmiş 2 switch olduğunu düşünelim. Hostumuzda 4 uplink var ve team edilmiş ( tek bir nic ) olarak çalışıyor. Ancak switch üzerinde herhangi bir LACP konfigurasyonu yapılmamış olsun . Bu durumda çalışmayı engelleyecek her hangi bir loop durumu olmayacaktır ancak switchlere saplanan uplinkler 1 uplink gibi davranmayacağı için sonuç itibariyle hiçbir zaman yüksek throughput yakalayamayız.

Özetle:

Active / Active Teaming policy leri sağlıkla kullanabilmemiz için switchlerin üzerlerine sapladığımız uplinkleri de doğru konfigure etmemiz gerekir.

LACP ve Nic Teaming hakkında bilgiler vermeye çalıştım. Umarım okuyan arkadaşlarıma yardımı olur.

↧

Aruba Controller ile Guest Authentication

April 20, 2014, 2:24 pm

≫ Next: Hp MSM 760 Access Controller Konfigürasyonu ve Access Point SSID Profil Ayarlarının Yönetilmesi

≪ Previous: LACP Link Aggregation Control Protocol Konfigurasyonları

Bu makale içerisinde sizlerle Aruba 650 Wireless Mobility Controller üzerinde Guest Network authentication konfigürasyonunu paylaşıyor olacağım.

Guest Network ihtiyacı tüm işletmelerde, misafir olarak dahil olan tüm kablolu/kablosuz kullanıcılara internet erişimini sağlamak için kullanılır. İnternet erişiminin açılmasının ardından, lokal’de bulunan işletme kaynaklarına erişim aynı zamanda engellenir.

İhtiyacın karşılanması için, yönetilebilir switch’lerde Guest Network’ü karşılayacak bir VLAN karşılığınında oluşturulmuş olması gerekmektedir.

Makalemiz içerisinde ben sizlerle Mobility Controller tarafındaki tüm ayarları adım adım gerçekleştiriyor olacağım. Çok uzunca sayfalar sürmemesi için, konfigürasyonun bir kısmını CLI’dan, bir kısmını ise WEB ara yüzünden gerçekleştiriyor olacağım.

Yapılacak işlem adımları;

1. Guest VLAN’nın Controller üzerinde oluşturulması ve Guest network için DHCP servis ayarlarının gerçekleştirilmesi.

2. Guest User’ın rollerinin belirlenmesi

3. Captive portal profil ayarlarının yapılması

4. Guest Network için SSID ayarlarının gerçekleştirilmesi

5. AAA profil ayarlarının yapılması

6. VAP profil ayarlarının yapılması

7. Guest Provisioning işlemi ve Guest hesabının oluşturulması

Guest Network için VLAN oluşturulması,

Guest profil için IP adresi ayarlarının ve İç network’den dışarı erişim için NAT ayarlarının yapılması.

Guest Network’ünden IP alacak kullanıcılar için DHCP servisinin ayarlanması,

Guest Network’ün Internal network üzerinden erişeceği Public network DNS’leri ve Destination Networkleri aşağıdaki gibi tanımlıyoruz.

Cihazın global configuration level’ında iken aşağıdaki komutları sırası ile yazabilirsiniz.

netdestination Internal-Network

network 10.0.0.0 255.0.0.0

network 172.16.0.0 255.240.0.0

network 192.168.0.0 255.255.255.0

netdestination Public-DNS

host 195.175.39.39

host 208.67.222.220

Guest User’ların network erişim yetkilerinin komut satırından Policy ile tanımlanması,

Global configuration mode’da yazılmalı,

ip access-list session guest-logon-access

user any udp 68 deny position 1

any any svc-dhcp permit position 2

user alias Public-DNS svc-dns permit position 3

Internal network erişiminin kullanıcılar için kısıtlanması,

ip access-list session block-internal-access

user alias Internal-Network any deny position 1

Guest kullanıcıların, Web tabanlı erişimlerine izin verilmesi için,

ip access-list session auth-guest-access

user any svc-http permit position 1

user any svc-https permit position 2

Kullanıcı erişimlerinin bloklandığında session log’larının kaydedilmesi için,

ip access-list session drop-and-log

user any any deny log position 1

Guest kullanıcılar için Logon rol konfigürasyonu,

user-role guest-logon

access-list session captiveportal position 1

access-list session guest-logon-access position 2

Guest kullanıcılarının logon,logout detaylarının belirlenmesi,

user-role auth-guest

access-list session cplogout position 1

access-list session guest-logon-access position 2

access-list session block-internal-access position 3

access-list session auth-guest-access position 4

access-list session drop-and-log position 5

Guest SSID için, SSID profil detaylarının belirlenmesi,

wlan ssid-profile "guestnet"

essid "Guest"

opmode opensystem

Guest Authentication için Internal Database ayarlarının yapılması,

aaa server-group "Guest-internal"

auth-server Internal

Captive portal için karşılama ekranın ayarlarının yapılması,

aaa authentication captive-portal "guestnet"

default-role "auth-guest"

no guest-logon

server-group "Guest-internal"

logout-popup-window

login-page "/auth/index.html"

welcome-page "/auth/welcome.html"

show-acceptable-use-policy

Guest Kullanıcısına, Captive portal yetkisinin bağlanması,

user-role guest-logon

captive-portal guestnet

Guest kullanıcısına, AAA profil ayarlarının bağlanması,

aaa profile "guestnet"

initial-role "guest-logon"

Guest Kullanıcısı için Guest Provisining Profil ayarlarının yapılması,

Guest provisinoning yapan kullanıcı için sayfa ayarlarının tanımlanması,

Guest Network erişimi sağlayacak kullanıcıların oluşturulması,

Guest Network’e logon olan kullanıcıların, aksiyonlarının mail sunucuya tanımlanması için ayarlarının yapılması.

Guest Network ayarlarının tamamlanması için, SSID profil detaylarınızda tanımlamak için,

Mobility Controller tarafındaki ayarlarımızın tamamını gerçekleştirdikten sonra Guest Network yayının testi için aşağıdaki adımları deneyebilirsiniz.

SSID yayını seçildikten hemen sonra, Lisans anlaşması otomatik olarak gelicektir. Anlaşmanın kabul edilmesinin ardından, Guest user doğrulanması istenecektir.

Internal kaynaklara artık erişimin sınırlı olduğu, internet erişiminde herhangi bir sınırı olmayan bir SSID’ye sahipsiniz.

Ek olarak Guest Network üzerindeki kullanıcılara, Zaman kısıtlaması, Dosya Download/Upload veya Maksimumum kullanıcı oturumu gibi limitler tanımlayarak kullanıcıları kontrol altında tutabilirsiniz.

↧

Hp MSM 760 Access Controller Konfigürasyonu ve Access Point SSID Profil Ayarlarının Yönetilmesi

May 18, 2014, 5:31 am

≫ Next: Spanning Tree Protokolü Saldırı Ve Korunma Yöntemleri

≪ Previous: Aruba Controller ile Guest Authentication

Bu makalemde sizlerle HP Network kablosuz ürünlerini control edebilmek için kullanılan ve piyasada en çok kullanılan ürünlerinden biri olan HP MSM 760 Access Controller ürünün, kutu içerisinden çıkarttıktan sonra en temel ayarların ardından müşteri ihtiyacını gerçekleştirecek kablosuz network içerisindeki HP MSM Access Point ürün ailesi ile birden fazla SSID ile kablosuz yayını ayarlarını adım adım gerçekleştiriyor olacağız.

HP Network kablosuz ürün ailesi içerisinde, E ve A serisi olmak üzere ikiye ayrılmaktadır.

E serisi içerisinde, MSM 310,320,410,430,460 ve 466-R access point ürünleri bulunmaktadır.

Access Point’ler 2 Mod’da çalışmaktadır. AP’leri Controlled ve Autonomus Mode’da kullanabilirsiniz. Controlled Mode’da çalışacak cihazlarınızı yönetebilmek için, Access Controller kullanmalısınız.

E serisi Access Point ürün ailesini yönetebilmek için ayrıca, MSM 720, 760 ve MSM 765ZL olmak üzere 3 adet Access Controller ürünü bulunmaktadır.

A serisi ürünleri kendi içerisinde daha az ürün gamı ile, Access Point sayısı 1000 ve üzerinde olan işletmeleri kapsamına almaktadır. Bu kapsamı bir başka makalede sizlerle paylaşacağım.

MSM 760 ile 720 Controller arasındaki en temel farklılık toplamda yönettiği access point sayısıdır.

MSM 720 Access Controller ürünü tek başına 40 Adet AP, MSM 760 ürünü ise tek başına 200 Adet AP yönetebilirler. Toplamda AP kapasiteniz 200 üzerindeyse, ekstra controller satın alarak ve controller arasında “Controller Teaming” yaparak AP kapasitenizi artırmanız mümkündür.

HP Network Kablosuz ürünlerinin temel olarak diğer üreticilerdeki karşılığı Cisco’da AP’ler 1200 ve 1600 serisi, Aruba’da 90,105,130 serisi, Cisco Controller 2500 ve 5000 serisi, Aruba’da ise 650 ve 3000 serisi en çok kullanılan ürün serileridir.

Adım adım konfigürasyon aşamalarını biraz uzunca ekran görüntüsü paylaşıyor olacağım ancak, işlem adımlarının eksiksiz tamamlanması gerektiğinden her aşaması çok önemlidir.

Ürünü kutusundan çıkartıp “Power-On” ettikten sonra, ürünün ön tarafında yer alan “Console” portuna “RS232” kablosu ile bağlandıktan sonra, varsayılan kullanıcı adı şifresini girmelisiniz.

Varsayılan kullanıcı adı ve şifresi; admin/admin

Klavyeden “space” tuşuna basarak global anlaşmanın en sonuna kadar ilerleyip anlaşmayı aşağıdaki ekran olduğu gibi Kabul etmeniz gerekiyor.

Varsayılan olarak cihazın IP Adresi olmadığı için, cihaza IP tabanlı erişim sağlayarak web tabanlı yapılandırmaya devam edebilmek için aşağıdaki gibi temel erişim ayarlarını komut satırından gerçekleştiriyoruz.

Cihaza web tabanlı erişimi gerçekleştirdikten sonra, sırası ile cihazın “register” edilmesi aşamasını gerçekleştiriyoruz.

Cihazın varsayılan kullanıcı adı ve şifresini değiştirmek için, aşağıdaki ekrandaki ayarları tamamlıyoruz.

Yukarıdaki ayarları tamamladıktan sonra, cihazın “home” sayfasına dönerek cihaz üzerinde “SSID” ayarlarının detaylarını belirteceğimiz. VSC alt başlığına geçiyoruz.

Yeni bir VSC (Virtual Service Community) oluşturucağız veya mevcut’da olanı edit’lemek isterseniz üzerine tıklayabilirsiniz.

Yukarıdaki aşamalarda “VSC” altında, yayın yapılmasını istediğiniz VLAN ve SSID ayarlarının detaylarını gerçekleştirmelisiniz.

Profil ismi, “SSID” ismi, Wireless Mobility aktivasyonu, “SSID” authentication ayarlarının yapılması temel erişim için yapılması gereken ayarlardır.

Yukarıdaki aşamada ikinci bir “SSID” için ayarların özeti bir kısmı görüntülenmiştir.

VSC Profil ayarlarının en son özet hali yukarıdaki gibidir. Bu ayarlar ile birlikte birden fazla kablosuz network için profil ayarlarını tanımlamış bulunmaktayız.

Yukarıdaki aşamaları tamamladıktan sonra, Personel ve TATAR_WIRELESS SSID’lerini seçerek network’e bağlanmak isteyen kullanıcılar için, SSID’lerin lokal network ile entegrasyonunu gerçekleştirmelisiniz.

Bu ayarlar bütünü için aşağıdaki aşamaları takip edebilirsiniz.

Yukarıda MSM 760 üzerinde bulunan 2 adet fiziksel 10/100/1000 Mbit çalışan portların IP ayarları gösterilmektedir. LAN portu için ayarların yapılması lokal network için yeterlidir.

Lokal network ile entegrasyon için Network profilleri oluşturup daha sonra bu profil ayarlarını “VLAN” seviyesinde belirledikten sonra fiziksel portlara etiketlemeniz gerekmektedir.

Bunun için önce yukarıda olduğu gibi, Network profile oluşturup ilgili profiller üzerinde VLAN ayarlarını yapmalısınız. Bizim senaryomuzda, VLAN 1 ve VLAN 30 yer almaktadır. VLAN 1 için ekstra profil oluşturma ihtiyacımız yok. VLAN 30 için yukarıdaki gibi bir profil oluşturmalısınız.

Yukarıdaki gibi VLAN profilleri oluşturduktan sonra, Controller fiziksel interface’lerine “Tagged” veya “Untagged” diyerek bağlamanız gerekmektedir. Varsayılan VLAN veya Management VLAN dışındaki tüm vlan’ları yukarıda gördüğünüz gibi “TAGGED” port olarak atıyoruz.

Controller profilinde yapılan VLAN ayarları ve eşleştirmelerinin aynılarını, aynı mantık ile AP’lerin bağlı switch portlarında ve Controller’ın bağlı olduğu switch port’larında gerçekeleştirmelisiniz.

VLAN profil ayarlarını tamamladıktan sonra, oluşturmuş olduğumuz profil ayarlarını, vlan bilgilerini ve VSC profil ayarlarının hangi network ve vlan üzerinden kablolu network ile iletişime geçeceğini profil bazlı olarak “bind” etmemiz gerekli, yukarıdaki ayarları her VSC profile için ayrı ayrı oluşturmalısınız.

Yukarıda görmüş olduğunuz ayarlar VSC profile altında VLAN 30 için gerçekleştirilmiştir.

Aynı ayarları VLAN 1 için de gerçekleştirmelisiniz. Tüm VSC’ler için birer adet network, vlan profile olmalıdır. Ardından VSC bind yapılmalıdır.

Yukarıda VSC binding ayarları özeti gösterilmektedir.

Bu ayarların tamamlanmasının ardından Controller üzerinde son olarak yayın yapılan bu SSID’lerin network kaynakları dışında dış dünya’ya erişiminin sağlanması için Default gateway girilmelidir. Controller --- Network--- Ip Routes başlıkları takip edilerek, cihazın bilmesi gereken dış network’e açılan gateway girilmelidir. Dış gateway’imiz Omurga switch IP adresi veya Firewall IP adresi genelde kullanılmaktadır.

Bu ayarlarının tamamlanmasının ardından Controller üzerindeki tüm işlem adımları bitmiştir.

Controller ve AP’ler için switch tarafındaki konfigürasyon özeti aşağıdaki gibidir.

Vlan 1 ve Vlan 30 referans alındığında, Switch’in 1 nolu portuna Controller, 3 Nolu portuna MSM 430 AP bağlıdır. VLAN 1 için controller ve ap portlarının untagged olarak kalması, diğer taşınması istenen tüm portlar için Controller ve AP’lerin bağlı tüm portların yukarıda görüldüğü gibi “tagged” yapılması gerekmektedir.

Switch üzerindeki ayarlar’da AP’lere bağlanan kullanıcıların otomatik ip alması için, vlan altında ip helper-address komutunun girilmesi gerekmektedir.

Network’e bağlanacak kablolu ve kablosuz kullanıcılar için, DHCP server üzerindeki vlan’lar için Scope’lar ayarlarının özeti yukarıda yer almaktadır.

Ayarl gerçekleştirilirken, SSID’lere bağlanan kullanıcılar hangi vlan’a aynı zamanda bağlanıyorsa, vlan ip adresi dhcp scope ayarlarında gateway olarak set edilmesi gerektiği unutulmamalıdır. DNS ip ayarları için geçerli public dns adreslerini veya güvendiğiniz dns server ayarlarını girebilirsiniz.

DHCP server üzerindeki ayarları doğru şekilde yapılandırdığınız takdirde, aşağıdaki controller ekranında gördüğünüz gibi, Controller arayüzünde AP’leriniz otomatik olarak profil ayarları gelecek ve ortalama tüm AP’ler network problemleri yok ise, 10-15 dk’lık süre içerisinde profil ayarları senkronize olacaktır. Ardından kullanıcılara kablosuz hizmet verecek duruma gelecektir.

AP’ler varsayılan olarak Controlled Mode’da ve otomatik ip alacak şekilde fabrikadan çıktıkları için, power-on edilmeleri yeterlidir. Profil ayarları ve AP’lerin kendileri controller üzerine switch ve controller tarafında yapılan ayarlarda herhangi bir sorun yok ise direkt olarak gelecektir.

Yukarıda da gördüğünüz gibi, senkronizasyonu tamamlanmış AP’ler üzerindeki SSID’leri TATAR-WIRELESS ve PERSONEL olarak görüntüleyip bağlanabilirsiniz.

EK olarak AP’ler WAN bağlantısı üzerinden uzak lokasyondaki cihazlara register olması isteniyorsa veya arada Firewall üzerinde bir şekilde iletişim bloklanıyorsa, varsayılan olarak AP’ler ve Controller arasındaki iletişim LLDP protokolü ve 3000,3001 portları ile sağlanmaktadır. Bu portların iletişimine imkan tanıdığınız sürece AP’lerin profil ayarlarının controller üzerinde oluşmasını etkileyecek herhangi bir sorun ortaya çıkmayacaktır.

Kablosuz network tarafında bir çok üreticinin çalışma mantığı aynıdır. Bu makaleyi referans alarak diğer üreticiler üzerinde de aynı ayarları admin guide’larını kullanarak gerçekleştirebilirsiniz.

Biraz uzunca oldu ama anlam ve bütünlüğü açısından tek bir Makale halinde yazmayı ön gördüm.

Herkese faydalı olması dileğimle, keyifli okumalar.

↧

Spanning Tree Protokolü Saldırı Ve Korunma Yöntemleri

May 25, 2014, 9:12 am

≫ Next: DrayTek AP800 Kurulum ve Kullanimi

≪ Previous: Hp MSM 760 Access Controller Konfigürasyonu ve Access Point SSID Profil Ayarlarının Yönetilmesi

Merhabalar, bugün ki makalemde size stp protolü, saldırı ve korunma yöntemleri hakkında bilgi vermeye çalışacağım. Son bölümde ise Rstp ve Mstp konfigürasyonları gerçekleştireceğiz.

Bir network kurarken öncelikli amacımız her türlü şartta çalışmasını sağlayabilmektir. Bunun için aktif cihazlar üzerinde örneğin server, firewall vb. cihazlarda cluster yapıları kullanabiliyoruz. Network tarafında ise ring, mesh gibi topolojilerle her türlü fail durumuna karşı network’ümüzün haberleşmeye devam etmesini amaçlıyoruz. Birden fazla yedekli linklerin network üzerinde bir probleme sebep olmaması ve çalışmaya devam edebilmesi için STP protokolü bizler için büyük önem arz etmektedir.

STP Layer2 seviyesinde bir yönetim protokolüdür. Ağ döngüleri(loop), aynı hedefe giden iki veya daha fazla link’’in sonsuz bir döngüye girerek network içerisinde Broadcast storm(Yayın Fırtınası) oluşturur, bu durum tüm bant genişliğini işgal eder, bunun sonucu olarak ağ kullanılamaz hale gelir. Stp protokolünü kullanma amacımız özet olarak, yedek hatların aktif kullanabilir halde bekletilmesi, en kısa ve en hızlı yoldan iletişime devam etmek ve network üzerinde oluşan ağ döngülerinin (loop) oluşumunu engellemek olarak kısaca özetleyebiliriz.

STP protokolü kullanılan network içerisinde bulunan switchler, her iki saniyede bir BPDU (Bridge Protocol Data Units) mesajı gönderirler, bpdu paketinin içerisinde bridge id, mac adresi, port id gibi bilgiler bulunur. Bridge id’si en düşük cihaz ortamda Root Bridge olarak atanır.

Tüm cihazların bridge id si aynı ise mac adresi küçük olan root bridge olarak seçilir. Network üzerindeki diğer switch’ler root bridge seçilen switch’e en yakın yolu açık tutarlar. Bu yolu seçerken değerlendirdiği kıstaslar network yolunun mesafesi, hop sayısı ve gidilen yolun bant genişliğidir. Bu hesaplama biçimine cost denilmektedir.

(Default modda Huawei S5700 switch’in stp değerleridir.)

Spanning Tree Protokolü çeşitleri global olarak STP, RSTP ve MSTP’dir. Diğer vendor’ların kendilerine özel protokolleride mevcuttur. Cisco’nun PVST ve RPVST olarak iki protokolü, ayrıca Juniper network’ün VSTP protokolü bulunmaktadır.

Aşağıdaki örnek bir stp durum tablosu görünmektedir.

MSTID : Instance ID’si

Port : Port İsmi

Role : Portun Rolü

STP State : İletim Durumu, atma, öğrenme v.s.

Protection : Koruma fonksiyon türü. Root Protection, BPDU Protection v.s.

Peki stp, rstp ve mstp arasındaki farklar nelerdir ? Türkçe olarak ifade eder isek;

STP : Kapsayan ağaç protokolü (Spannig Tree Protokol)

RSTP : Hızlı kapsayan ağaç protololü (Rapid Spanning Tree Protokol)

MSTP : Çoklu kapsayan ağaç protokolü olarak ifade edebiliriz. (Multiple Spanning Tree Protocol)

STP - Spannig Tree Protokol :

İlk geliştirilen protokoldür, amacı L2 seviyesinde oluşan döngüleri engellemektir. Root port harici portlar bloklanır. Aktif kullanılan root port’ta herhangi bir kesinti oluşması durumunda yeniden bir rota hesaplamaya ihtiyaç duyar, portun bloklamadan dinlemeye geçişi 20 saniye, dinlemeden öğrenmeye geçiş süresi 15 saniye, öğrenmeden yönlendirmeye geçiş süreside 20 saniyedir bu süre ortalama 55 saniyelik bir rota hesaplama süresi vardır.

Bu süre içerisinden hiçbir cihaz birbirlerine erişemez. Zaman duyarlı, kritik öneme sahip uygulamalar çalışan networklerde istenilen bir durum değildir.

STP Port Rolleri

Port Durumu	Açıklama	Durum
Forwarding	Bağlantı noktası iletim durumunda.	Sadece root port ve designated port durumunda iletebilir.
Learning	Port öğrenme modunda, cihaz kullanıcı trafiğine göre MAC tablosu oluşturur, trafik yoktur.	Geçici Loop’ları önlemek için geçiş durumudur.
Listening	Port dinleme durumunda, Root port, Root Bridge, Designed port seçimi yapmaya çalışıyor.	Geçiş durumunda.
Blocking	Port engelleme durumunda, BPDU paketlerini alır ve iletir fakat trafiği geçirmez.	Port engellenmiş durumdadır.
Disabled	Port devre dışı durumda. BPDU yada trafik iletilmez.	Port Kapalıdır.

RSTP - Rapid Spanning Tree Protokol :

Rstp stp’nin geliştirilmiş halidir. Zamanla 55 saniyelik bir süreyi tolere edemeyecek yeni ağlar kurulmaya başlanınca RSTP protokolü geliştirilmiştir. STP’den farklı olarak portu bloklama yerine discarding(yok etme) metodu kullanır. DESIGNATED durumundaki bloklanan (discartding) port cost hesabını yaparak hazır olarak beklemekte, Root portta oluşan herhangi bir arızada designated port devreye girmektedir. Bu süre farklı vendorlara göre 1sn ile max 15 sn arasındadır.

RSTP Port Rolleri

Port Durumu	Açıklama
Forwarding	Port iletim durumundadır, BPDU ve trafiği iletilir.
Learning	Geçiş durumudur. Trafiği izleyerek Mac adres tablosu oluşturur. BPDU paketleri alınıp gönderilebilir fakat kullanıcı trafiğini iletilmez.
Discarding	Bloklanan porttur, sadece BPDU paketleri alabilirsiniz.

MSTP - Multiple Spanning Tree Protocol:

MSTP (Çoklu kapsayan ağaç protokolü) stp ve rstp protokollerinin geliştirilmiş halidir. Mstp Rstp gibi çalışır fakat Rstp’den ayıran farkı, switch üzerinde bulunan diğer linkler bloklanmaz, her linkten farklı vlanlar geçirerek bize yük dengeleme(Load balance) sağlar. Çalışan linklerde oluşan problemde ise üzerinde bulunan vlanı diğer linkler üzerine aktarır.

MSTP Port rolleri

Port Durumu	Açıklama
Root port	Root port, Root bridge’ye veri göndermek için sorumlu porttur. Cost değeri en düşük porttur.
Designated port	Switch üzerinde belirlenen portlardan BPDU paketlerini iletir.
Alternate port	Başka bir switch üzerinden gönderilen BPDU paketlerini aldıktan sonra, göndermek için alternatif bir port olarak blokede bekletir. Root Bridgeye yeniden bağlantı için alternatif yoldur.
Backup port	Yedek port olarak bekletilir. BPDU paketlerini alır.
Master Port	MST region içerisinde aldığı BPDU’ları Root Bridge gönderir. Root Bridge’e en yakın porttur.
Edge port	Portlar’a doğrudan bağlanan terminal cihazlardır.
Forwarding	Durumu RSTP ile aynıdır.
Learning
Discarding

SPANNING TREE SALDIRILARI VE KORUNMA YÖNTEMLERİ

(STP ATTACH and PROTECTION)

SPANNING TREE ROOT PROTECTION

STP protokolünde her switch’in bir bridge id’si vardır. Rood bridge’nin priority değeri ayarlanmamış ise bunu mac adresi oluşturur. Root Bridge switch’inizin priority değerini 0 bile vermiş olsanız dahi, priority değeri 0 olan switch’inizden daha düşük mac adresli bir cihaz root bridge olarak seçilerek daha yüksek öncelikli BPDU paketleri alabilirsiniz.

Aldığınız daha düşük Bridge ID’li bpdu paketleri networkunuzde kullanlan root bridge’yi değiştirir. Bunun sonucu olarak, kendi paket iletim yolunu bırakarak, kendisine daha uzak ve performans bakımından daha kötü olan root bridge üzerinde trafiği akıtacaktır. Bunun sonucu olarak network performansınız olumsuz etkilenir.

Aynı şekilde saldırı sonucu root bridge olan switch’in enerjisini kesip vererek tekrar tekrar root bridge seçmek için hesaplama yapılacaktır, bu durum ise sizin için hedefe gitmeyen paketler demektir.

Bu durumu engellemek için network’ünüzde bulunan primary ve secondary root bridge durumundaki switch’lerin portlarına root-protection fonksiyonunu ekleyebilirsiniz.

[SW1-GigabitEthernet0/0/13]stp root-protection

İnterface üzerinde sadece loop protection veya root protection fonksiyonlarından birini çalıştırabilirsiniz.

SPANNING TREE BPDU PROTECTION

Switch üzerinde access port’lara bağlanan pc ve sunucular STP hesaplamalarında daha hızlı geçiş sağlamak ve pclere gereksiz BPDU paketi gönderimini engellemek için edge port olarak yapılandırılır. Edge port’lardan BPDU paketleri aldığınızda spanning tree yeniden hesaplama yapmak ister(recalculates), bu nedenle network’ünüzde karışıklığa sebep olur ve port üzerinden BPDU paketi gelirse network’ümüzde loop oluşur ve atak alır. BPDU protection fonksiyonu, edge portlar üzerinden BPDU mesajı alınırsa port kapatılarak network’ümüz sağlıklı çalışmaya devam edecektir.

Örnek uygulama ;

<SW4>system-view

[SW4]interface GigabitEthernet 0/0/5

[SW4-GigabitEthernet0/0/5]stp edged-port enable

[SW4-GigabitEthernet0/0/5]quit

[SW4]stp bpdu-protection

[SW4]

(Not : Network’ünüze milyon dolarlar harcasanız, tüm backbone ve kenar switchleriniz binlerce dolardan oluşuyor olsa bile, bir son kullanıcının bilgisayarına giden kabloya aptal switch takar ve loop’a sokar ise bu problemi anlamanız ve çözmeniz saatlerimizi alabilir. Kullanabileceğiniz bu basit yöntemler ile rahat nefes alabilirsiniz :).

Down olan interface’yi yeniden up hale getirmek gereklidir.

SPANNING TREE TC PROTECTION

TC protection özelliği sürekli topoloji değişikliğini bildiren BPDU paketlerini algılamak ve durdurmak için geliştirilmiştir. İyi konfigure edilmiş bir network sisteminde BPDU paketleri sadece Root Bridge olan switch tarafından gönderilir. Switch kendisinde bulunan Layer 1 bağlantıda hata tespit ederse Root porta TCN (Topology Change Notification) gönderir. TCN mesajları Root Bridge ulaştığı zaman Root Bridge tarafından bilgidilen Max Age, Forward Delay zamanlarını tüm network’e gönderir. TCN mesajını alan switch’ler mevcut mac tablolarını yeniler.

Root Bridge olan switch üzerinde MaXAge maksimum süre; En yüksek değer 4000 centisaniyedir 40 saniye’ye tekamül eder.

Forward-Delay süresini maksimum 3000 centisaniye, 30 saniyeye tekamül eder.

Maksimum Hello süresi 1000 centisaniye, 10 saniyeye tekamül eder.

Toplamda 2’şer dakikalık kesintilerle tekrar tekrar recalculates yaparak network’ünüz kullanılamaz hale gelir. Diğer vendor’ların switch’lerinde bu süreyi 5 dakikaya kadar çıkartılabilir. Bu tür bir atağı engellemek için Tc Protection özelliğini global modda uygulayabilirisniz.

[SW] stp tc-protection

Tc Protection özelliğini kullandığınızda saldırı yapan mac adres ve arp kayıtlarını silerek tekrar tekrar mac adresi girişini engeller.

Tc Protection özelliğini network’ünüze bağlı olan tüm switch’ler üzerinde etkinleştirmeniz gerekmektedir.

Not: Topoloji değişiklikleri hakkındak istatistikleri hakkında display stp topology-change komutu ile bilgi alabilirsiniz.

SPANNING TREE SHARE-LINK PROTECTION

Share-link protection fonksiyonu Multi Spanning Tree aktif olan ve çift halka network switch senaryolarında kullanılır. Paylaşım linkinde bir hata oluşturğunda share-link protection Switch’in çalışma modunu zorla RSTP’ye çevirir. Bu fonksiyon loop oluşumlarını engellemek için Root Protection ile beraber kullanılır.

Kullanılımı ;

<S1>system-view

[S1]stp process process id

[S1]stp link-share-protection

[S1]

SPANNING TREE LOOP PROTECTION

Loop Protection, spanning tree protokol çalışan bir network üzerinde, bağlantı yığılması yada tek yönlü bağlantı hatası nedeniyle BPDU paketi alınamadığı durumdalarda, switch port rolünü yeniden seçrek BPDU ve kullanıcı trafiğini iletmeye devam eder. Stp BPDU mesajını alamadığında topolojisi içerisindeki engellediği alternate durumunda bulunan portunu açarak designated durumuna çevirir. Bu durum network’ünüzün sonsuz döngüye girmesine sebep olur. Bu tür durumlar için loop protection fonksiyonu geliştirilmiştir. STP topolojilerinde ROOT ve ALTERNATE portlarında aktif edilmelidir.Bu konuyu bir örnekle açmak istiyorum,

Yukarıdaki örnek topolojide S1, S2 ve S3 switch’imizi inceliyoruz. Herhangi bir konfigurasyon yapılmadan S2 switch’imizde GigabitEthernet 0/0/3 interface’si Designed rolünde Forwarding durumundadır. S3 switch’inde Root rolünde Forwarding durulundadır. S1 switch üzerinde 0/0/1 root, 0/0/2 interface’si Alternate durumundadır. Şimdi biz S2 switch’imizden BPDU paketi göndermesini keseceğiz ve port durumlarını inceleyeceğiz.

[S2]interface GigabitEthernet 0/0/3

[S2-GigabitEthernet0/0/3]stp bpdu-filter enable

Bpdu-filter enable komutunu uygulayarak 0/0/2 portundan bpdu paketlerini durdurduk. S2 0/0/3 interface’si root rolünü bırakarak designated durumuna geçti, port durumu bpdu ve trafiği iletmeye devam etmektedir ve S1 switch’i 0/0/2 interface’sini Discarding durumundan Forwarding durumuna almıştır ve network loop’a girmiştir.

S3 Switch’imizde Loop protection fonksiyonunu aktif ettiğimiz zaman 0/0/3 interface’inin bpdu mesajı alınamadığını uyarını vermiş ve port durumunu Discarding’ yapmıştır.

Görüldüğü gibi loop protection fonksiyonu ’nu kullanarak networkümüzü loop’a girmekten korumuş olduk.

Kullanımı;

<SW3>system-view

[SW3]interface GigabitEthernet 0/0/5

[SW3-GigabitEthernet0/0/5]stp loop-protection

[SW3-GigabitEthernet0/0/5]quit

Not: İnterface üzerinde Loop protection yada Root protection fonksiyonlarından birini kullanabilirsiniz.

Örnek olarak RSTP ve MSTP konfigürasyonları gerçekleştireceğiz...

Örnek 1, RSTP Konfigürasyonu ;

Yukarıdaki Network 3 topolojine göre RSTP konfigürasyonu gerçekleştireceğiz.

Switch S1 Konfigurasyon ;

<S1>system-view

[S1]vlan 100

[S1]stp enable

[S1]stp mode rstp

[S1]stp instance 0 priority 0

[S1]stp pathcost-standard legacy

[S1-GigabitEthernet0/0/1]stp root-protection

[S1-GigabitEthernet0/0/2]stp root-protection

Switch S2 Konfigurasyon ;

<S2>system-view

[S2]vlan 100

[S2]stp enable

[S2]stp mode rstp

[S2]stp pathcost-standard legacy

[S2]stp bpdu-protection

[S2]stp tc-protection

[S2]interface GigabitEthernet 0/0/1

[S2-GigabitEthernet0/0/1]port link-type trunk

[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan 100

[S2-GigabitEthernet0/0/1]stp loop-protection

[S2]interface GigabitEthernet 0/0/3

[S2-GigabitEthernet0/0/3]port link-type trunk

[S2-GigabitEthernet0/0/3]port trunk allow-pass vlan 100

[S2]interface GigabitEthernet 0/0/5

[S2-GigabitEthernet0/0/5]port link-type access

[S2-GigabitEthernet0/0/5]port default vlan 100

[S2-GigabitEthernet0/0/5]stp edged-port enable

Switch S3 Konfigurasyon ;

<S3>system-view

[S3]vlan 100

[S3]stp enable

[S3]stp mode rstp

[S3]stp pathcost-standard legacy

[S3]stp bpdu-protection

[S3]stp tc-protection

[S3]interface GigabitEthernet 0/0/1

[S3-GigabitEthernet0/0/2]port link-type trunk

[S3-GigabitEthernet0/0/2]port trunk allow-pass vlan 100

[S3-GigabitEthernet0/0/2]stp loop-protection

[S3]interface GigabitEthernet 0/0/3

[S3-GigabitEthernet0/0/3]port link-type trunk

[S3-GigabitEthernet0/0/3]port trunk allow-pass vlan 100

[S3-GigabitEthernet0/0/3]stp loop-protection

[S3]interface GigabitEthernet 0/0/5

[S3-GigabitEthernet0/0/5]port link-type access

[S3-GigabitEthernet0/0/5]port default vlan 100

[S3-GigabitEthernet0/0/5]stp edged-port enable

Yukarıdaki konfigürasyonumuza göre çıktımız aşağıdaki gibidir. S1 switch Root Bridge olmuştur.

Root Bridge switch’in tüm portları forwarding durumundadır.

S2 Switch’imiz default olarak 32768 prioty değerini almıştır. Root Bridge olarak S1 switch’ini görmektedir.

S2 switch’imiz S1’den gelen en yakın link root port olmuştur. (GigabitEthernet0/0/1). Global modda açtığımız bpdu-protection fonksiyonu otomatikman edged-port olan inteface’yi korumaktadır.

S3 Switch’imiz default olarak 32768 prioty değerini almıştır. Root Bridge olarak S1 switch’ini görmektedir.

S3 switch’imiz Root bridge olan S1’den gelen en yakın link root port olmuştur. (GigabitEthernet0/0/2). Network’ü loop’a sokan GigabitEthernet0/0/3 DISCARDING olmuştur.

Topolojimizin son durumunu görelim.

RSTP GigabitEthernet0/0/3 interface’ini Discarding yaparak network’ümüzü sonsuz döngüye girmekten korumuştur. GigabitEthernet0/0/2 üzerinde bir arıza olması durumunda cost hesabı hazır durumda olarak devreye girecektir.

5.5.5.5 ip adresli pc’den(Client10), 5.5.5.6 ip adresli Client11’e gönderdiğimiz pingler de herhangi bir kayıp olmadan stabil şekilde çalıştığını görmekteyiz.

Örnek 2, MSTP Konfigürasyonu;

Yukarıda L2 bir ağ topolojimiz bulunmaktadır. Instance 1 üzerin vlan 5 ve 10, instance 2 üzerinde vlan 15 ve 20 bulunmaktadır. SW1 Instance 1’de Root Bridge, SW2 Instance 2 üzerinde Root Bridge’dir. Client 3 ve5 vlan10’a, Client 8 ve 11 vlan 20’ye access durumdadır. Daha önceki bahislerimizde de RSTP ile MSTP yi ayıran en önemli özellik Rstp de 1 port Forwarding durumda iken diğer portlar Discarding durumda, Mstp’de tüm portlar Forwarding durumunda paket transferlerine devam etmektedirler.

SW1 KONFIGURASYON;

<SW1> system-view

[SW1] stp enable

[SW1] stp mode mstp

[SW1] stp region-configuration

[SW1-mst-region]region-name MSTP1

[SW1-mst-region]instance 1 vlan 5 10

[SW1-mst-region]instance 2 vlan 15 20

[SW1-mst-region]check region-configuration (Oluşturduğumuz konfigurasyonu kontrol ediyoruz.)

Admin configuration

Format selector :0

Region name :MSTP1

Revision level :0

Instance VLANs Mapped

0 1 to 4, 6 to 9, 11 to 14, 16 to 19, 21 to 4094

1 5, 10

2 15, 20

[SW1-mst-region]active region-configuration (Oluşturduğumuz region’u aktif ediyoruz.)

Info: This operation may take a few seconds. Please wait for a moment...done.

[SW1]stp instance 1 root primary

[SW1]stp instance 2 root secondary

[SW1]stp pathcost-standard legacy

[SW1]stp bpdu-protection

[SW1]stp tc-protection

[SW1-GigabitEthernet0/0/1]port link-type trunk

[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 5 10 15 20

[SW1-GigabitEthernet0/0/1]stp root-protection

[SW1-GigabitEthernet0/0/1]quit

[SW1-GigabitEthernet0/0/2]port link-type trunk

[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 5 10 15 20

[SW1-GigabitEthernet0/0/1]stp root-protection

[SW1-GigabitEthernet0/0/2]quit

[SW1-GigabitEthernet0/0/15]port link-type trunk

[SW1-GigabitEthernet0/0/15]port trunk allow-pass vlan 5 10 15 20

[SW1-GigabitEthernet0/0/15]stp loop-protection

[SW1-GigabitEthernet0/0/15]quit

[SW1-GigabitEthernet0/0/20]port link-type access

[SW1-GigabitEthernet0/0/20]port default vlan 10

[SW1-GigabitEthernet0/0/20]stp edged-port enable

SW 2 KONFIGURASYON;

<SW2> system-view

[SW2] stp enable

[SW2] stp mode mstp

[SW2] stp region-configuration

[SW2-mst-region]region-name MSTP1

[SW2-mst-region]instance 1 vlan 5 10

[SW2-mst-region]instance 2 vlan 15 20

[SW2-mst-region]active region-configuration

Info: This operation may take a few seconds. Please wait for a moment...done.

[SW2]stp instance 1 root secondary

[SW2]stp instance 2 root primary

[SW2]stp pathcost-standard legacy

[SW2]stp bpdu-protection

[SW2]stp tc-protection

[SW2-GigabitEthernet0/0/2]port link-type trunk

[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 5 10 15 20

[SW2-GigabitEthernet0/0/2]stp root-protection

[SW2-GigabitEthernet0/0/2]quit

[SW2-GigabitEthernet0/0/3]port link-type trunk

[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 5 10 15 20

[SW2-GigabitEthernet0/0/3]stp root-protection

[SW2-GigabitEthernet0/0/3]quit

[SW2-GigabitEthernet0/0/15]port link-type trunk

[SW2-GigabitEthernet0/0/15]port trunk allow-pass vlan 5 10 15 20

[SW2-GigabitEthernet0/0/15]stp loop-protection

[SW2-GigabitEthernet0/0/15]quit

[SW2-GigabitEthernet0/0/20]port link-type access

[SW2-GigabitEthernet0/0/20]port default vlan 10

[SW2-GigabitEthernet0/0/20]stp edged-port enable

SW 3 KONFIGURASYON;

<SW3> system-view

[SW3] stp enable

[SW3] stp mode mstp

[SW3] stp region-configuration

[SW3-mst-region]region-name MSTP1

[SW3-mst-region]instance 1 vlan 5 10

[SW3-mst-region]instance 2 vlan 15 20

[SW3-mst-region]active region-configuration

Info: This operation may take a few seconds. Please wait for a moment...done.

[SW3]stp pathcost-standard legacy

[SW3]stp bpdu-protection

[SW3]stp tc-protection

[SW3-GigabitEthernet0/0/1]port link-type trunk

[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 5 10 15 20

[SW3-GigabitEthernet0/0/1]stp loop-protection

[SW3-GigabitEthernet0/0/2]quit

[SW3-GigabitEthernet0/0/2]port link-type trunk

[SW3-GigabitEthernet0/0/2]port trunk allow-pass vlan 5 10 15 20

[SW3-GigabitEthernet0/0/2]stp loop-protection

[SW3-GigabitEthernet0/0/2]quit

[SW3-GigabitEthernet0/0/20]port link-type access

[SW3-GigabitEthernet0/0/20]port default vlan 10

[SW3-GigabitEthernet0/0/20]stp edged-port enable

SW 4 KONFIGURASYON;

Konfigürasyon SW3 ile aynıdır.

Konfigürasyon Sonucumuza bakalım.

Belirlediğimiz şekilde instance 1 primary yaparak, priority 0 değerini almıştır, vlan 5 ve 10 için Root Bridge’dir. Instance 2 secondary root olarak priortiy 4096 değerini almıştır.

SW1 üzerindeki tüm portlar instance 1 için forwarding durumunda ve Instance 1 Root Bridge’dir.

SW2 instance 1 secondary olarak priority değeri 4096 almıştır.

SW2 üzerinde instance 2 primary’dir ve priority 0 alarak vlan 15 20 için root bridge olmuştur.

SW2 üzerindeki tüm portlar forwarding durumunda ve Instance 2 için Root Bridge’dir.

SW3 kendisine en yakın yol olan GigabitEthernet0/0/1 üzerinden haberleşmektedir. Kendisine daha uzak ve hop noktası fazla olan GigabitEthernet 0/0/2 portunu loop’a girmemek için Discarding yapmıştır.

SW4 İntance 2’ye ien yakın yol olan GigabitEthernet0/0/3 ile haberleşmektedir. Loop döngülerini engellemek için GigabitEthernet 0/0/2 portunu discarting yapmıştır.

Network’ümüzün trafik akış yönü aldığımız raporlara göre aşağıdaki gibidir.

Network’ümüz MSTP protokolü ile tam fail ve yük dengeleme ile problemsiz çalışmaktadır.

Not: Makale içerisinde kullanılan tüm komut ve konfigürasyonlar Huawei eNSP programı ve Huawei S5700 switch ile yapılmıştır.

Bir başka makalede görüşmek üzere...

↧

DrayTek AP800 Kurulum ve Kullanimi

June 1, 2014, 4:01 am

≫ Next: Backbone Fiber Optic Patch Panel Üzerinde ST Pigtail Sonlandırma

≪ Previous: Spanning Tree Protokolü Saldırı Ve Korunma Yöntemleri

Merhabalar, bu yazıda piyasada sıkça kullanılan DrayTek AP800 cihazının kurulmasında dikkat edilmesi gereken noktaları ve cihazdan en fazla performansın nasıl alınacağını ve tabi ki bir kısımda WIFI ve WIFI hız testinin nasıl yapılacağından bahsedeceğim.

DrayTek AP800 Taiwanlı bir üretici olan DrayTek firmasının ilk profesyonel pazar için üretmiş olduğu AP cihazıdır doğal olarak da özellikle bu pazara hitap etmektedir. Başlıca özellikleri arasında 802.1x sistemini kendi içinde desteklemesi her AP cihazının diğer AP ler için merkezi Radius sunucu görevini üstlenebilmesi, bant genişliği yönetimi, otomatik wifi yayını kapatma açma ve cihazın kapatılıp açılması aynı anda private VLAN ve 802.1q VLAN yapabilmesi gibi özellikler bulunuyor. Bu yazımızda cihazın merkezi yönetiminden bahsetmeyeceğiz lakin cihaz hem TR069 üzerinden hem de DrayTek in kendine özel bir sistemi aracılığı ile merkezi olarak da kullanılabiliyor.

Bir AP cihazını kurabilmek için Wireless sistemlerindeki genel sorunları bilmek gerekir bunlar başlıca alttakiler gibidir.

1. Wifi cihazları birkaç farklı sistemde yayın yapabilir bunlar 802.11 a/b/c/g/n şeklindedir ve hangi tipte yayın yapıyorsanız istemcilerini bu sisteme uygun wifi kartlarına sahip olmalıdır.

2. Wifi yayın tiplerinde her yeni tip eski versiyonlara göre daha geniş bir kapsama alanına sahiptir yani 802.11n bir cihaza aynı anda 802.11 b/g yayını yaptırmak wifi alanını düşürebilir. Her ne kadar cihazlar geriye dönük uyumlu olsa da, 802.11n bir cihazın yayını 802.11g/n mümkünse sadece n olarak seçilmelidir.

3.Cihaz şifrelemesi performansı doğrudan etkiler şifresiz ve AES bazlı bir şifreleme ile alacağınız data transfer hızı TKIP ile alacağınız yayının üç dört katına kadar çıkabilir. Bireysel testlerimde bu hız farkının oldukça fazla olduğunu gördüm.

4. Wifi cihazlarının kapsama alanı çok fazla birbirlerinin içine girmemeli ve bir kablosuz proje mümkün olduğunda az cihaz ile bitirilmelidir. Alttaki diyagramda gördüğünüz gibi.

Wifi alanında AP cihazlarının birbirleri ile olan kesişim noktası ne kadar az ise kullanıcıların sorun yaşama olasılığı ve AP cihazlarının birbirlerini etkileme olasılığı o kadar düşük olacaktır. Wifi cihazlarında normal şartlarda güçlü bir yayın olmaz ne zaman veri transfer artar o zaman Wifi cihazı gücü arttıracaktır bu nedenle normal şartlarda sorun çıkartmayan yapılar iki AP cihazının yüksek oranda kullanıldığı zamanlarda kesişim noktalarında kalan kullanıcılar için sorun çıkartacaktır. Bu kesişim noktalarının -75 ~ -85 Dbi arasında belirlenmesi iyi olacaktır. Bu belirleme için Windows işletim sistemlerinde “inssider” linux işletim sistemlerinde “iwlist wlp3s0 scann” komutu kullanılabilir.

5. AP cihazları Türkiye yasaları gereğince ( insan bedeninin kendini onarabilme yetisine istinaden belirlenmiştir ) belli bir gücün üstünde sinyal üretemezler bu nedenle bilinen aksine ortalama olarak hemen hemen her AP cihazı özel bir güç sistemi ile beslenmiyorsa aşağı yukarı aynı seviyede yayın yapacaktır. AP seçilirken bu çekim alanı içinde ne kadar iyi hizmet edebildiğine ve hangi tür hizmetleri sunduğuna dikkat edilmelidir.

6. Cihazın antenlerinin daha güçlü modelleri ile değiştirmek iyi sonuçlar verebilecektir, lakin cihazın antene verebildiği güç belli olduğundan çok büyük antenler takmak yarar yerine cihaz bu antenleri besleyemediği için zarar getirecektir. AP800 cihazları ile MAX 7 Dbi anten kullanmanız tavsiye ederim. Antenlerin çekim alanını çok fazla genişletmeyeceğini fakat aynı çekim alanı için en uç noktalara kadar daha kaliteli bir hizmet sunacağını unutmayınız.

7. Bilinen aksine çekim problemleri genel olarak AP cihazından değil ona bağlanan istemciden oluşmaktadır. AP cihazı oldukça geniş bir alana hizmet edebilse de bağlanacak olan istencinin üzerindeki yapı bu alanda bağlanmaya olanak vermeyebilir. Açık alanda özel bir yapılandırması olmayan Mobil Cihazlar ( Telefon/PDA/Diz Üstü vs... ) ortalama 200 ~ 250 metreden bu cihazlara bağlanabilirler. Fakat aynı AP cihazı 600 metre uzaklıktaki aynı model başka bir AP ye rahatlıkla bağlanabilir.

8. Piyasada birçok AP markası Romain desteği olduğunu savunmaktadır fakat romain sistemi 802.1x ile beraber çalışmaktadır bu nedenle içeriğinde 802.1x barındırmayan bir romain sistemi aslında romain yapmamaktadır işletim sistemlerinden hızlı geçiş sistemini kullanmaktadır.

9. Cihazınızın hangi türde bağlantı sistemini desteklediği önemlidir bilenen bağlnatı tipleri FIFO/FIMO/MIFO/MIMO sistemleridir DrayTek cihazları MIMO ( Multi IN multi OUT ) çalışırlar buda aynı anda oldukça fazla kullanıcıya hizmet etmelerini sağlar.

10. Wifi duvarları delip geçen bir lazer teknolojisi değildir bu nedenle çevresinde bulunan her şey doğal olarak yayın alanını düşürecektir özellikle ağaç(dolap vs..)/Porselen (banyo/mutfak )/Asansör boşlukları ve kolonlar oldukça etkilidir alüminyum ve yoğun metal içeren yapılar aynı sorunlara neden olurlar. Cihazın konumu bu yapılara göre ayarlanmalıdır.

Bahsi geçen maddeler basit anlamda bir AP cihazının yapılandırılması için bilinmesi gereken durumlardır bunun ışında kesişim noktaları, yansımalar vs... gibi birçok etmen vardır ama hepsini açıklamak bir kitap yazmak olacaktır. Artık bir kısım Wifi sorunlarını bildiğimize göre bu sorunları bertaraf edebileceğimiz şekilde Wifi cihazını kurmaya başlayabiliriz.

DrayTek AP800 cihazı yukarıda görüldüğü üzere iki fiziki porta sahiptir bunlar LANA ve LANB portlarıdır LANA portu dört adet switch portundan oluşur ve Standart IP adresi 192.168.1.2, LANB portu ise 192.168.2.2 şeklindedir cihaz ortamda bir DHCP sunucu var ise DHCP sunucudan IP alacak şekilde yapılandırılmıştır bu nedenle IP sabitlemeden sisteminize takmayınız, kendi cihazınızı AP800 LAN portlarından herhangi birisine takarak ve sabit IP olarak 192.168.1.0/24 ağından 192.168.1.2 dışında bir IP vererek cihazın IP adresini sabitleyebilirsiniz. Ayrıca LANA portunun ilk port PoE portudur.

DrayTek AP800 cihazları birçok modu desteklemektedir yukarıdaki resimde görebileceğiniz gibi bunlar sırası ile.

AP : Cihazın birden fazla istemciye hizmet vermek için yapılandırılmasıdır. Bir SSID yayını yaparak kullanıcıların bu SSID sistemine gerekli güvenlik işlemlerini tamamlayarak katılması amaçlanmıştır.

Station-Infrastructure : Cihaz kablolu olan 5 bilgisayarı kablosuz bir yapıya bağlamak üzere yapılandırılır. Bir nevi kablosuz switch görevi ile kullanılır. Aynı yerden çok fazla wifi yayını yapılmak istenmiyorsa ( Madde 4 bakınız ) ki AP ler için sorun olduğu kadar istemciler içinde sorundur ya da toplam wifi maliyeti bir AP nin fiyatını geçiyorsa kullanılabilir.

AP Bridge-Point to Point : Cihaz iki ayrı switch yapısını birleştirmek için kullanılır. Temel olarak en yüksek verimin elde edilmesi istenilen yapılarda kullanılır. Bir bina içinde ya da yakın iki binanın birbirlerine birleştirilmesi istenildiğinde kullanılır. ( Bu yapıda cihazlar Wifi SSID yayını yapmaz. )

AP Bridge-Point to Multi-Point : AP Bridge-Point to Point yapısının çok noktalı olan halidir. Amaç birçok noktanın birbirleri ile birleştirilmesi ve kablosuz yapılar aracılığı ile kablolu yapıların birleştirilmesidir. ( Bu yapıda cihazlar Wifi SSID yayını yapmaz. )

AP Bridge-WDS : AP Bridge-Point to Multi-Point mantığı ile aynı şekilde çalışır fakat burada aynı cihazlar AP görevinin de üstlenirler ve hem kablosuz yapıları birbirleri ile birleştirirler hem de kablosu istemcileri kabul ederler. Cihazda bağlantı sayısı ne kadar artar ise performans doğal olarak o oranda düşecektir. Basitçe cihaz aynı anda Bridge-Point to Multi-Point ve AP olarak çalışır

Universal Repeater : Farklı marka cihazların kullanıldığı yapılarda WDS yapısı kurulamıyorsa bu yapı sayesinde AP cihazı diğer marka cihaza istemci olarak bağlanır ve kablosuz aldığı bu yapıyı yine kablosuz olarak kendi üzerinden dağıtır. Cihaz aynı anda Client ve AP olarak çalışır.

Cihazın çalışma sistemlerini bildiğimize göre ve bu anlatımda AP modunu konuşacağımıza göre bu modu seçerek devam edebilir.

Yukarıdaki resimde göreceğiniz gibi AP800 default halde iki farklı subnet desteklemektedir ve bu subnetler iki farklı DHCP sunucu olarak hizmet etme yetisine sahiptir. Fakat yalnızca birinci subnet Gateway IP sine sahiptir bu nedenle cihaza farklı bir IP blokundan erişim gerekliliği var ise GW IP adresini girmelisiniz. Enable AP Management özelliği eğer DrayTek Merkezi yönetim sisteminiz yok ise kapatılmalıdır ve cihazın IP adresi sabitlenmelidir. IP sabitlenirken DHCP aralığı dışında bir IP adresi verilmelidir. Cihaz private VLAN desteğine sahip olduğu gibi 802.1Q desteğinin de sahiptir bu nedenle “Enable Management VLAN” özeliği aktif edilerek hangi VLAN üzerinden cihazın ara yüzüne erişilebileceği sabitlenebilir. Gerisinde kalan özellikler DHCP sunucu özellikleridir eğer bir DHCP sunucunuz var ise bu kısımları kapalı tutun tabi DHCP sunucunuz relay özelliğini destekliyor ise o zaman “Relay Agent” seçilerek DHCP sunucu adresi girilmelidir bu şekilde hem DHCP paketlerinin ağa broadcast edilmemesi hem de Wifi istemcilerinin daha sorunsuz şekilde IP alması sağlanır. DHCP sunucunuzda eğer SSID lerini VLAN lara bölünmüş ise mutlaka VLAN TAG larına göre IP verebilecek şekilde yapılandırma yapılmış olmalıdır.

Wireless LAN (2.4GHz) / General Setting ( IEEE 802.11 )

DrayTek AP800 2.5 GHZ bandından yayın yapsa da bir DrayTek N61 sayesinde aynı dan 5 GHZ yayında yapabilir. Biz standart kullanım için olan 2.4 GHZ bandında ki yapılandırmayı inceleyeceğiz. Yukarıda resimde gördüğünüz gibi oldukça fazla seçeneği olan bir menü var bunlar sırası ile.

Enable Wireless LAN : 2.4 GHZ bandını aktif etmek için kullanılan seçim kutusudur WIFI yayını yapılacaksa seçilmelidir.

Enable Limit Client (3-64 ) : Bu DrayTek AP800 cihazına bağlanabilecek kullanıcı sayısını limitlediği kısımdır üretici firma 64 kullanıcı desteği sunsa da ve cihaz aslında bundan daha fazlasına hizmet edebilse de tavsiye değer 45 kullanıcı civarıdır. Bu özelliği aktif ederek çok fazla kullanıcının aynı AP cihazına bağlanarak yapıyı çalışmaz duruma getirmesi önlenebilir. Ayrıca birçok Wifi saldırısının da önüne geçerek cihazın sürekli çalıştırıldığını devam ettirmesini sağlayacaktır.

Mode : Cihazın hangi tipte yayın yapacağının seçildiği kısımdır, bu kısım eğer yapınızda 802.11B istemci yoksa mutlaka 802.11g/n seçilmeli tüm yapı 802.11n olarak modernize edildi ise sadece 802.11N seçilmelidir ki zira en yüksek performans bu şekilde alınabilir.

Enable 2 Subnet (Simulate 2 APs) : Bu özellik cihazın üzerinde bulunan LANB portunu iptal ederek LANA portlarına bağlı bir switch portu haline getirecektir ve tabi ki LANB üzerinden verilecek tüm özellik ve menüleri de kapatacaktır.

SSID : Bu kısımda cihazımızın yayın yapacağız SSID isimleri ve buna bağlı ayarlar yapılmaktadır bu özelliklerin açıklamaları alttaki gibidir.

1. SSID/HIDE : SSID adının gizlenmesidir bu seçilirse SSID adı gizlenir ve sadece manuel yapılandırma ile bu SSID bağlanır. Unutulmaması gereken AP cihazlarının SSID yanında BSSID adı altında bir MAC bazlı broadcast yaptığıdır bu nedenle wifi tarama programları ile bu SSID adı görülmese de bir yayın yapıldığı görülebilir.

2. SSID/SSID : SSID isimlerimizin verildiği kısımdır. Burada vereceğiniz isim cihazların listelerinde görünecek olan isimdir ve kullanacağınız ada dikkat etmelisiniz cihazı A-Z/1-9/!^+%&/()=?-_ gibi karakterleri bu kısımda dağıtılabilse de manuel yapılandırma yapılması gereken cihazlarda bu karakterler sorun yaratabilir o nedenle en kullanışlı olanı yazmalısınız.

3. SSID/Subnet : Cihaz üzerinde Enable 2 Subnet (Simulate 2 APs) aktif ise hangi SSID nin hangi fiziksel porta bağlanacağını seçtiğiniz kısımdır. Bu genel anlamda Private yada Port Based VLAN olarak geçmektedir.
4. SSID/Isolate Member : Bu özellik sayesinde aynı SSID bağlı kullanıcıların birbirleri ile iletişime geçmesi önlenir ve özellikle GUEST networklerinde cihazların birbirlerine Virüs bulaştırmasının önüne geçilir. Bu özellik Kullanıcıların AP den sonraki switch yapısındaki cihazlara erişmesini önlenmez sadece bağlı SSID üzerindeki kullanıcıları birbirlerinden ayırmaktadır. Eğer kullanıcılar kablo yapıdan da izole edilecekse Subnet ya da VLAN kısmı kullanılmalıdır.

5. SSID/VLAN ID : Cihazın 802.1Q yapılandırılmasının yapıldığı kısımdır. Bu kısım sayesinde SSID ler istenilen herhangi bir 1 ~ 4096 arasında VLAN ID si ile kablolu yapıya dahil edilebilir yada dışında bırakılabilir.

6. SSID/Mac Clone : Yalnızca birinci SSID adı için MAC ( BSSID ) adının başka bir cihazının ki ile aynı hale getirilmesi için kullanılır. Buda Romain yetisi olmayan cihazların bir AP den diğer AP ye hızlı geçişini sağlar. Unutulmaması gereken cihazların çekim alanları sorunudur.( Madde 4 )

7. SSID/Channel: Bu kısımda mümkünse 1-3-6-9 kanalları seçilmelidir çevrede aynı bandda aynı frekans aralığında yayın yapan cihaz sayısı çok ise diğerlerininkinden farklı bir kanal seçilmelidir. Extension Channel ikinci bir kanal açılarak 802.11n destekli cihazlarda gerçek 300Mbit elde etmek içindir, piyasada ki birçok cihaz Half olarak tabir edilen 802.11n standartlarında fakat half ile 150 Mbit yayın yapabilir DrayTek AP800 Full n desteklidir ve 300 Mbit yayın yapabilir.

8. SSID/Tx Burst : 802.11g cihazları için performans artışı getirecektir duruma ve mesafeye göre %45 ve üstü performans verebilir lakin 802.11n yapılarında kapalı tutulmalıdır.

9. SSID/Antenna : Cihazın üzerinde bulunan iki antenin hangi modda çalışacağının seçildiği kısımdır. Herhangi bir özel uygulama yok ise antenlerin 2T2R ( er iki anteninde gönderim ve alım için kullanımıdır, mesafe düşük verim yüksektir. )

10. SSID/Tx Power: Cihazın çıkış gücünün ayarlandığı kısımdır küçük bir alanda kullanıcı sayısının çokluğundan dolayı fazla Ap takmanı gerekmiyor ise güç %100 oranında kalmalıdır.

Wireless LAN (2.4GHz) / Security Settings

Yukarıda resimde görebileceğini gibi AP800 her SSID için farklı şifreleme sistemleri destekleyebilir. Bunun birçok getirisi vardır ( Madde 3 bakınız. ) özellikle WPA2/AES şifreleme en yüksek performansı getirecektir fakat birçok cihazın AES desteği yoktur mesela android telefonlar, bu nedenle normal PC ler için WPA2/AES şifrelemesi olan bir SSID yayınlarken Mobil Cihazlara özel WPA2/TKIP şifreli bir yayın yapabilirsiniz buda her durumda bağlantınızın yüksek performanslı olmasını sağlar. Cihazın mode kısmında görebileceğiniz gibi 802.1x desteği mevcuttur dış bir Radius/IAS ile çalışabileceği gibi kendi iç Radius sunucunu da bağlanabilir ve diğer AP800 cihazları da bir AP üzerinde bu sistemi kullanabilir ( Yapılandırma için : http://www.simet.com.tr/index.cfm?fuseaction=objects2.detail_content&cid=1773 dokümanını inceleyebilirsiniz. ). Tavsiye niteliğinde şifreleme 802.1x olarak yapılandırılmıyor ise kesinlikle en az WPA seçilmelidir.

İkinci bir güvenlik önelimi ise ki eğer kullanıcılarınız sabit ise kesinlikle Wireless LAN (2.4GHz) >> Access Control kısmında MAC adres listesi oluşturularak güvenlik arttırılmalıdır. MAC adres listesi bahsi geçen SSID yapısına girebilecekler ve giremeyecekler olarak düzenlenebilir yedeği alınarak diğer AP cihazlarına uygulanabilir ayrıca merkezi sistem tarafından tüm cihazlara tek hamlede yüklenebilir. Toplam MAC adres listesi uzunluğu 256 adet MAC adresi şeklindedir. Cihazda yüksek güvenlik ve yüksek performans için, eğer WPS bağımlı bir cihazınız ( Wifi TV/Wifi Ses Sistemi ) yok ise Wireless LAN (2.4GHz) >> WPS (Wi-Fi Protected Setup) menüsü altından WPS kapatılmalıdır. WMM yoğun ve bir çok farklı sistemin kullanıldığı yapılarda oldukça işe yarasada eğer ihtiyaç yok ise Wireless LAN (2.4GHz) >> WMM Configuration menüsü altından kapatılmalıdır.

Wireless LAN (2.4GHz) >> Bandwidth Management

Yukarıdaki resimde görebileceğiniz gibi AP800 bir bant genişliği sistemine sahiptir. DrayTekin bant genişliği sistemini diğer cihazlardan ayıran en büyük iki etmenden birisi bu bant genişliğini AP modunda bridge çalışan LAN portlarına uygulayabilmesi ikincisi ise total ve kullanıcı başı bant genişliği verebilmesidir. Bride modda portlara uygulayabilmesi çok önemli bir husustur bu sayede NAT işlemine gerek kalmadan hem kullanıcıları direk Ağınızı aynı IP bloku ile dahil edip hem de bant genişliği uygulayabilir. Cihazda göreceğiniz gibi Per Station Bandwidth Limit kısmı ile her bir bağlı kullanıcıya bant genişliği uyglama imkanı vardır ve bu her SSID için farklı olarak belirlenebilir ayrıca Auto Adjustment kısmı seçilerek bu SSID nin toplam bant genişliğinde belirlenebilir. Bu sayede guestler için ayırdığınız SSID yayınından bağlanan kullanıcıların cihazın tüm kapasitesini tüketmesini önleyebilir ve devamlı kullanımda sorun yaşamazsınız.

Applications / Schedule

Yukarıdaki iki resimde göreceğiniz gibi AP800 cihazının bir diğer özelliği de Sechedul yani zamanlama özelliğinin olmasıdır. BU özelliğin kullanılabilmesi için Cihazınızda GW IP adresi / DNS adresi System Maintenance >> Time and Date kısmında yazacağınız NTP sunucuya erişebilmesi için ayarlanmış olmalıdır ayrıca System Maintenance >> Time and Date kısmında cihazınıza bir NTP sunucu girerek zamanı otomatik olarak kontrol etmesini sağlamalısınız.

Temel olarak bu özellik altında üç ana işlem yapılabilir Cihazın Restart edilmesi / Cihazın SSID yayının kapatılması / Cihazın SSID yayının açılması işlemleri belli bir zamana özel olarak ya da sizin belirleyeceğiniz gün ve saatlerde devamlı olarak. Bu özelliğin size iki ana getirisi olacaktır birisi performans diğer ise güvenlik. Performans konusunda cihazınızı kullanım dışı zamanlarda kapatıp açarsanız cihaz kendisini yenileyecek ve birikmiş olan loglar, listede olup bağlı olmayan kullanıcıları temizleyecektir bu şekilde cihaz sürekli yüksek verimle çalışacaktır. Cihazın SSID adının kapatılması ise mesai dışı zamanlarda cihaza yapılacak saldırıların önüne geçerek cihazın gereksiz zamanlarda SSID adı yaymayarak ya da bağlantı kabul etmeyerek sizin denetiminiz dışında olduğu zamanlarda güvenli bir yapı sağlayacaktır. Bu özellik farklı amaçlarla da kullanılmaktadır, mesela bazı yurtlarda öğle ve akşam yemeğine internet başından kalkamadığı için gelmeyen öğrencilerden dolayı yemek saatinde Wifi yayını otomatik olarak kesilerek öğrencilerin uygun zamanda yemekhanede olması sağlanmaktadır.

System Maintenance / Configuration Backup

Cihaz aktif konfigurayon yedekleme ve geriyükleme sistemi sayesinde bir AP cihazında yapacağınız herhangi bir ayarın diğer AP lere kolayca yüklenmesine olanak tanıyacaktır. Tek bir AP cihazını kendi isteğinize göre ayarladıktan sonra diğer Ap lere aynı konfigurasyon dosyasını yükleyerek AP nin IP adresini değiştirmeniz yeterlidir.

Diagnostics / Speed Test

Cihaz bant genişliği hız testinede sahiptir bu şekilde bir hız sorunu yaşadığınızda AP cihazının internet olan ilişkisindemi yoksa bağlı kullanıcılar damı bir sorun olduğunu anında tespit edebilirsiniz ve uzaktan sonuç değerlendirmesi yapailirsiniz.. Burada verilecek olan test sonucu cihazın ağınızla olan değil internet ile olan hız testidir ve doğal olarak internet kullanım oranına göre değişecektir.

* DrayTek Ap800 cihazları DrayTek router ( 2860/2925 ) cihazları tarafından yönetilebilir ayrıca DrayTek ACS SI sistemi tarafından yönetilebilir bahsi geçen anlatım standalone tipinde olduğu için bu özelliklere yer verilmemektedir.

DrayTek A800 cihazının yeni modeli ve abisi olan AP900 cihazının özellikleri ise yukardakilerden farklı olarak alttaki gibidir.

1. Tüm ethernet portları gigabit.

2. USB portuna ISI ve NEM sensörü takılabiliyor.

3. 2.4 ve 5 GHZ 802.11a/n yayınları beraber yapılabiliyor.

4. Daha fazla kullanıcıya hizmet.

5. Merkezi yönetim için daha fazla özellik.

6. Gerçek Romain ve AP Load balance.

Ara yüzleri incelemek isteyenler için;

AP800 : http://tw.draytek.com:10800/

AP900 : http://tw.draytek.com:10900/

↧

Backbone Fiber Optic Patch Panel Üzerinde ST Pigtail Sonlandırma

June 15, 2014, 6:50 am

≫ Next: Prtg Network Monitor V14–Bölüm 1

≪ Previous: DrayTek AP800 Kurulum ve Kullanimi

Bu makalede sizlere yaygın olarak kullanılmasa da, ST tipi Fiber Optik Backbone sonlandırma uygulamasını anlatacağım. Telekom’da genellikle metro ethernet panelleri SC tipte sonlandırma uygularlar. Bu tür sonlandırmalarda aslında yapılan işlem, fiber optik kablonun sonuna ortadan kesilmiş olan SC tipi patch kablonun eklenme işlemidir.

Hazır olarak satılan ST tipinde bir backbone patch panel

İlk aşamada sonlandırılacak olan fiber kablo patch panel arka kısmındaki sıkıştırmalı kanaldan içeri alınarak yaklaşık 50 cm kalacak şekilde kesilip sıkıştırılır.

Sıkıştırma elemanı (Kablo rakoru)

Daha sonra çelik makas ile kablonun dış koruyucu malzemesi fiberden ayrılır. İçerisindeki ipliksi doku kesilir.

Dış çeper soyma makası ile iç plastik koruyucu kablo sıyrılır. Bu aşamada ıslak bir mendil yardımıyla koruyucu jel cam kablo üzerinden yavaşça silinerek temizlenir.

Daha sonra iç çeper soyma makası ile ince cam core üzerinden ince silikon zırhı, uçtan yaklaşık 1 cm kalacak şekilde soyulur.

Adaptör

Daha sonra 4 adet ST çift taraflı adaptörün kutuya montajı yapılır.

Resim backbone tipinde olmasa da şekil itibariyle panelimiz bu görsele yakın sayılır.

Uçları soyulan cam corelar teker teker alınarak uçlarına esnek parça (Şekil-1) geçirilir.

Şekil-1

ST konektör alınarak iç kısmına aktivatör (yapışkanlık hızlandırıcısı) püskürtülür ve daha sonra özel karışım yapıştırıcı, enjektör yardımıyla içerisine taşmayacak şekilde sıkılır. Burada yapıştırıcınız hızlı yapışmayan ve yoğun şekilde olmalı. Sıktıktan hemen sonra yapışacak şekilde olmamalıdır. Fakat yine de yapıştırma esnasında elinizi çabuk tutmalısınız. Aksi takdirde ST konektör tıkanabilir.

Fazla beklemeden ST pigtail (Şekil-2) içerisinden cam kablo geçirilerek esneme aparatı dip kısmına monte edilir. Her uç bu şekilde yapıldıktan sonra 30 dakika kuruması beklenilir.

Şekil-2 ST Konnektör (Pigtail)

Yapıştığından emin olunan uçlar teker teker alınarak keski kalemi ile hassas bir şekilde, kabloyu kırmadan uçlardaki fazlalıklar kesilir. Kesilirken uç kısmında 0.5 mm.lik fazlalık bırakılır.

Keski Kalemi

Uçlar, ilk başta kalın (0.5) ve sonra ince (0.3) zımpara olmak üzere düz bir zemin üzerinde ve zımparalar üzerinde daireler çizerek uçlarının düzeltilmesi sağlanır.

Fiberoskop

Fiberoskop ile görünmesi gereken görüntü

Son olarak fiberoskop yardımıyla, olması gereken standartta kontrolü yapılan uçlar, patch paneldeki ST adaptörlere takılır. Uzun kablolar dairesel olarak panel içerisine karışık olmayacak şekilde sabitlenir.

ST Adaptör

Son haliyle ST F/O patch panel

Multi Mode ya da Single Mode fiber optik sonlandırılan paneller, Media converterlar (Şekil-3) ya da ST portları bulunan switchler ile uzak mesafeler arası UTP bağlantıları sağlayabiliriz.

Şekil-3 Media Converter (Aktif Cihaz ST F/O to RJ-45)

Fiber optik sonlandırma deneyim isteyen bir uygulamadır. Deneyim kazandıkça daha kaliteli bir bağlantı sağlayabilirsiniz. Bağlantı üzerinden giden sinyal gücünün belirli bir değerde kalması gerekir. Bağlantı yaptığınız cihazlar sistem üzerinden ip alabilir fakat bu durum bağlantınızın sağlıklı olduğu anlamına gelmez. Test cihazları ile bağlantı testi yapılması gerekir.

Herkese iyi çalışmalar.

↧

Prtg Network Monitor V14–Bölüm 1

July 20, 2014, 10:19 am

≫ Next: Switching Security Logging

≪ Previous: Backbone Fiber Optic Patch Panel Üzerinde ST Pigtail Sonlandırma

Bu makalemde sizlerle PRTG Network Monitor yazılımının kurulumundan ve temel özelliklerinden bahsedeceğim.

PRTG Network Monitor nedir?

Ağ alt yapımızda bulunan bileşenlere ait 7/24 anlık bir network izleme programıdır. Bu yazılım sayesinde ağ trafiği detayı, utilization değerleri, hafıza durumu, CPU değerleri, Disk kullanımı, Up-Down durumu, Port kullanımı gibi önemli verileri kontrol edebiliyoruz.

Teknik Özellikler:

PRTG (Paessler Router Traffic Grapher - Paessler Yönlendirici Trafiği Grafikleyicisi) Windows ve Linux/Unix/OS X sensör tabanlı işletim sistemlerini güvenilir bir şekilde takip etmemizi yarayan third party bir yazılımdır. PRTG temelinde sadece işletim sistemleri olarak değil de ağ cihazlarının da takibini gözlememiz oldukça kolaydır. PRTG’nin desteklemiş olduğu protokollere bakacak olursak SNMP V1-V2-V3, WMI, Ping, Netflow, Jflow, sFlowprotocol, Packet Sniffer protokolleri ile yapımıza ait tüm verileri toplayabiliriz. Aynı zamanda MIB standartında SNMP protokolü açık olan switch, router, firewall veya sunucuların portlarına ait bant/trafik genişliğini de kontrol altına alabilmekteyiz. Sistemimizde oluşan alarmları ilgili sorumlu kişilere mail atmasını sağlayabiliyoruz. PRTG Reports özelliği ile tarih bazlı raporlar alabiliyoruz. PRTG için donanımsal ağ cihazlarının sayısı önemli bir parametre değildir. Sensörlerin sayısı daha da önemlidir. Sonuç olarak PRTG’yi sensör olarak kullanabilmekteyiz.

PRTG ile kendi Maps’lerimizi istediğimiz şekilde oluşturabilmekteyiz.

PRTG nin 9.sürümden sonra IPv6 internet protokolünede destek vermektedir.

PRTG ile sistemimizi akıllı telefonlarımızdan ve İpadlerimizden de takip edebiliriz.

PRTG yazılımında başka lokasyonlarımızda bulunan sistemlerimizi de takip edebilmekteyiz. Bunun için yapmamız gereken tek şey remote probe özelliğini kullanmak olacaktır. Bu konuyu da bir sonraki makalede görmüş olacağız.

PRTG yazılımında lisanslama sensör olarak hesaplanmaktadır. Bunun ilgili daha detaylı bilgiyi PRTG’nin sitesinden bakabilirsiniz.

PRTG kurulumu çok basit ve kısa zamanda kurulmaktadır. Daha sonrasında kritik ayarlar yapmamız gerekmektedir.

İlk olarak yapmamızı gereken PRTG yazılımını aşağıdaki link üzerinden indirmemiz gerekiyor.

http://www.paessler.com/prtg/download

PRTG yazılımımızı indirdek sonra kuruluma artık geçebiliriz. Benim kurulum yaptığım ortam bir demo ortamı olduğundan dolayı 30 Günlük Trial versiyonun kurulumunu gerçekleştireceğim. Trial versiyonda PRTG bize 10 Sensöre kadar destek vermektedir ve PRTG nin özelliklerini tam olarak kullanıp test edebiliriz.

Yukarıda karşımıza gelen ekranda Next tuşuna basarak kuruluma başlıyoruz.

Bu ekranda lisans sözleşmesini kabul edip Next tuşuna basarak devam ediyoruz.

Bu aşamada ise bizden bir mail adresi istemektedir. Buraya yazmış olduğumuz mail adresi bize oluşan alarmların gönderileceği bir mail adresi yazmamız gerekmektedir.

Karşımıza gelen ekranda ise kurulumumuzun başında bahsetmiştik trial versiyon olarak kurulacağını, key kısmına programı internet sitesinden indirirken vermiş olduğumuz mail adresimize gelen Lisans numarasını giriyoruz ve Next tuşuna basarak kuruluma devam ediyoruz.

Bu ekranda ise PRTG yazılımının hangi disk üzerine kurulacağını seçip Next tuşuna basarak kurulumu başlatıyoruz.

Kurulum tamamlandıktan sonra masaüstümüze PRTG Network Monitor olarak bir kısayol gelmektedir. Bu kısayola çift tıklayarak web konsoluna giriyoruz. İlk girişti Prtgadmin şifremiz olmadığımdan dolayı Login diyerek devam ediyoruz.

Yukarıdaki ekranda karşımıza gelen seçeneklerden Home-Configuration Guru seçeneğinden PRTG ile ilgili temel olarak yapmamız gereken işlemleri sırası ile konfigürasyon etmeye başlıyoruz.

Configure Administrator Account ekranında bizden e-mail adresi, saat biçimini ve prtgadmin default olarak gelen hesabın şifresini oluşturmamızı istemektedir.

Enter Windows/WMI Credentials sekmesinde bizden domain veya domain controllerımızın kurulu olduğu sunucunun adını ve windows sistemleri üzerinde sensör eklediğimiz zaman onu hangi account ile yöneteceğimiz hesabı istemektedir. Eğer bir service accountumuz var ise onu girmemiz önerilmektedir.

Enter SNMP Credentials sekmesinde bizden istenilen bir Community String değeridir. Diğer alanlar default olarak gelmektedir.

Enter Vmware/XenServer Credentials sekmesinde Hypervisor katmanızda bulunan vmware veya xenserver hostlarımızın takibini yapabilmemiz için bizden root şifrelerini istemektedir.

Enter Linux/Solaris/Mac OS Credentials sekmesin baktığımızda bizden Linux/Solaris ve Mac OS sistemlerine ait tek bir root şifresi istemektedir. Gerekli bilgileri belirttikten sonra Save & Next tuşuna basıp devam ediyoruz.

Monitor Your Internet Connection sekmesini default olarak bırakıyoruz. Fakat ikinci bir DNS server kullanıyorsak onu da eklememiz gerekmektedir.

Monitor LAN Servers sekmesini önemli sekmelerden biridir. Bu sekmede bizden Domain Controller, Exchange ve Email Server’larımızı belirmemizi istemektedir. Belirttikten sonra Save & Next tuşuna basıp devam ediyoruz.

Monitor Websites/Online Shops ve Monitor Cloud Services sekmelerinde herhangi bir işlem yapmadan devam ediyoruz.

Ve son olarak ise Discover a Network Segment sekmesine geldiğimizde herhangi bir değişiklik yapmamıza gerek yoktur. Save & Next tuşuna basıp devam ediyoruz.

Yukarıdaki ekranda ayarları tamamladığımızı görüyoruz.

PRTG kurulumunu bu şekilde tamamlamış oluyoruz. Diğer makalemizde Sensör ekleme, Active Directory ile entegrasyonu, Active directory üzerinde kullanıcı gruplarını ve kullanıcıları nasıl ekleyeceğimizi, ilgili kişilere oluşan uyarıların nasıl mail olarak atılacağını ve uzak probe eklemeyi görmüş olacağız.

Umarım faydalı bir makale olmuştur.

Görüşmek üzere…

↧

Switching Security Logging

August 10, 2014, 12:45 pm

≫ Next: Cisco Switch Parola Resetleme

≪ Previous: Prtg Network Monitor V14–Bölüm 1

Günümüzde denetim ve güvenlik çok önemli hale gelmiştir. Yetkisiz girişler ve birden fazla bilgi işlem personelinin switch üzerinde ne gibi değişiklikler ve konfigurasyonlar yaptığı, oluşan bir problem halinde, kullanıcının değişiklik tarih ve saat’lerini loglayabilir ve yapılan hataları kolayca çözümleyebiliriz. Bu bize hem denetim, hem de problem çözümü için çok büyük kolaylık sağlayacaktır. Yapılan hatanın da kimin tarafından yapıldığını belgeleyebiliriz.

Bu işlemi yapabilmemiz için bir syslog yazılımı kurmamız gerekiyor, internette ücretli ve ücretsiz birçok yazılım bulabilirsiniz. Ben free olan 3CDaemon programını kullanacağım. Syslog yazılımının kurulumuna geçelim,

Kurulumu gayet basit, next, next diyerek kurulumu tamamlıyoruz.

Programı açınca Configure Sylog Server’i tıklayarak birkaç ayar değişikliği yapıyoruz. Logları kaydedeceği lokasyonu seçiyoruz ve Log messages to kısmından tüm logları Syslog.log dosyasınamı kaydetsin yoksa info, debug, warning gibi türlerine göre ayırmak istiyor isek Log by priority seçeneğini seçiyoruz.

Syslog programımız hazır durumda, switch’imizde gerekli konfigürasyonları yapalım,

Huawei Switch Konfigurasyon,

[BB]info-center enable

Info: Information center is enabled.

[BB]info-center loghost 192.168.2.252

İsterseniz log seviyelerini belirtebilirsiniz,

[BB]info-center source aaa channel loghost log level ?

alert Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

emergencies System is unusable (severity=0)

error Error conditions (severity=3)

informational Informational messages (severity=6)

notification Normal but significant conditions (severity=5)

warning Warning conditions (severity=4)

Cisco Switch Konfiguration

Switch(config)#logging on

Switch(config)#logging 192.168.2.253

Switch(config)#%SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.253 port 514 started - CLI initiated

Log seviyelerini belirtebilirsiniz,

Switch(config)#logging trap ?

debugging Debugging messages (severity=7)

<cr>

HP Switch Konfiguration

(Huawei’nin ürettiği switch’lerde Huawei komutlarını kullanmanız gerekiyor)

logging facility syslog
logging 192.168.1.143

(Switch model ve yazılım farklılıklarına göre komutlar değişiklik gösterebilir,)

Sonuça göz atabiliriz,

Giriş yapılan tarih saat ve kullanıcı ip numarası, kullanıcı ismi ve kullanıcının girdiği tüm komutları rahatlıkla görebilirsiniz. Loglarının siz log klasörünü silmediğiniz sürece disk kapasiteniz kadar loglanacaktır.

Bir başka makalede görüşmek üzere...

↧