Cisco cihazlarda bir ayarı silmek için ayar için uygulanan komutun önüne no değerini eklememiz yeterli olacaktır. Bu işlemin nasıl yapıldığını daha iyi anlamak için birkaç tane örnek uygulama yapalım;
Örnek1;
İlk örneğimizde Cisco router cihazında aşağıdaki komutu uygulayarak statik route işlemi yapıyoruz;
ip route 10.0.0.1 255.255.255.0 192.168.1.1
Bu işlemi iptal etmek için aşağıdaki komutu kullanmamız yeterli olacaktır;
no ip route 10.0.0.1 255.255.255.0 192.168.1.1
Örnek2;
İkinci örneğimizde Cisco switch cihazında FastEthernet0/1 portunu trunk olarak yapılandırıyoruz. Bu işlem için aşağıdaki komutları uyguluyoruz;
enable
conf term
interface fast0/1
switchport mode trunk
Bu işlemi iptal etmek için aşağıdaki komutları kullanmamız yeterli olacaktır;
enable
conf term
interface fast0/1
no switchport mode trunk
2’den fazla router cihazın birbirine bağlandığı yapılarda statik yönlendirme işlemi bazen karmaşık olabiliyor. Bu yazıda bu işlemi açık bir şekilde anlayabilmeniz için örnek bir uygulama yapacağım.
Örnek yapımız aşağıdaki görseldeki gibidir. Yapımızda 3 adet router cihazı birbirine bağlıdır ve 3 adet networkümüz bulunmaktadır.
Not: Statik yönlendirme, router port açma ve interface ip tanımlama işlemlerini önceki makalelerde detaylı olarak anlattım. Web sitede network kategorisinden ilgili makalelere ulaşabilirsiniz. Bu nedenle bu makalede bu konulara değinmeyeceğim.
1-) Statik yönlendirmeleri yapmak için router cihazları üzerinde gerekli işlemleri yapmaya başlayalım. İlk olarak Router0 üzerinde statik yönlendirmeleri yapıyoruz.
ip route 192.168.2.0 255.255.255.0 10.0.0.2
ip route 192.168.3.0 255.255.255.0 10.0.0.2
ip route 20.0.0.0 255.0.0.0 10.0.0.2
2-) Router1 üzerinde statik yönlendirmeleri yapıyoruz.
ip route 192.168.1.0 255.255.255.0 10.0.0.1
ip route 192.168.3.0 255.255.255.0 20.0.0.2
3-) Router2 üzerinde statik yönlendirmeleri yapıyoruz.
ip route 192.168.2.0 255.255.255.0 20.0.0.1
ip route 192.168.1.0 255.255.255.0 20.0.0.1
ip route 10.0.0.0 255.0.0.0 20.0.0.1
Bu işlemlerden sonra statik yönlendirme işlemi tamamlanmış olacaktır.
Bu yazıda Cisco router cihazda internet konfigürasyonunun nasıl yapılacağını anlatacağım.
1-) Örnek yapımız aşağıdaki gibidir. Yapımızda modem bulunmaktadır. Modemde gerekli internet ayarları yapılmıştır. Modemi, Cisco router cihaza bağladım. İnternet konfigürasyonu için router üzerinden yapılması gereken ayarlar şu şekildedir;
2-) İlk olarak router cihazın modeme bağlı olan bacağının (GigabitEthernet0/0/0) konfigürasyonunu yapıyorum;
enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
ip nat outside
exit
Burada ilk olarak interface i açtım ve ip tanımlaması yaptım. Bu bacak modeme bağlı olduğu için ip nat outside komutunu uyguladım.
3-) Şimdi iç ağa bağlı olan arayüzü (Gigabitethernet 0/0/1) yapılandıracağım;
int gig0/0/1
no shutdown
ip address 10.0.0.1 255.0.0.0
ip nat inside
exit
4-) İzin vereceğim network için (10.0.0.0/8) access list yazıyorum ve daha sonra pat işlemini yapıyorum. Burada access list i any olarak yazdım. Vlan lı bir yapımız olursa bu şekilde farklı networklere de izin vermiş oluruz. Pat işleminden sonra internet için route işlemini yapıyorum. 0.0.0.0 .0.0.0.0 değeri internet için hedef route adresidir. 192.168.1.1 ip adresi ise internete gitmek için bu ip adresini kullan demektir. Bu modemin ip adresidir.
ip access-list standard 1
permit any
exit
ip nat inside source list 1 interface gig0/0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1
5-) Son olarak ağdaki cihazların otomatik olarak ip alıp, internete çıkabilmesi için router üzerinde dhcp servisini yapıladıracağım;
ip dhcp pool dagitim
network 10.0.0.0 255.0.0.0
default-router 10.0.0.1
dns-server 8.8.8.8
Evet artık switche bağlı bilgisayarlarımız internete çıkabilecektir. Router üzerinde internet konfigürasyonu bu şekildedir.
Bir önceki yazıda Cisco router ve L3 switchlerde standart access list’lerin nasıl yazılacağını anlatmıştık. Bu yazıda extended acl’lerin nasıl yazılacağını anlatacağız. Extended access list’leri yazarken belirli kurallar vardır. Bu kurallar şu şekildedir;
Extended access list’ler sadece 100-199 arasında bir değer alabilir.
Extended access list’ler kaynağa yakın cihazda yazılmalıdır.
Extended access list’ler ile port bazlı detaylı kurallar yazmamız mümkündür.
1-) Bu yazıda extended access list ile ilgili bir örnek uygulama yapacağız. Örnek yapımız aşağıdaki görselde gözükmektedir. Aşağıdaki görseldeki gibi tüm cihazların ip tanımları yapılmıştır ve iki network birbirleriyle sorunsuz haberleşebilmektedir (route tanımlamaları yapılmıştır). 192.168.1.11 ip adresli sunucuda web, dns server servisleri aktiftir ve bu sunucu üzerinde bilgialnet.com web sitesi yayınlanmaktadır. Tüm bilgisayarlar bu web sitesine erişebilmektedir.
2-) Bu örnekte 10.0.0.10 ip adresli bilgisayarın 192.168.1.11 sunucunun web server servisine (80 numaralı porta) erişimini engelleyeceğiz. Yani bilgialnet.com adresine erişemeyecek. Sunucudaki diğer servislere erişebilecek.
Not: Burada bilgisayarların ip adresi ayarlarında dns adresini 192.168.1.11 yapmamız gerekmektedir. İsim çözümleme işlemini de bu sunucu yaptığı için bu işlemi yapmamız gerekmektedir.
3-) 10.0.0.10 ip adresli bilgisayardan bilgialnet.com adresine giriş yapmayı deneyelim. Evet görselde de gözüktüğü gibi erişim sorunsuz olarak gerçekleşmektedir.
4-) Şimdi Router1 üzerinden aşağıdaki komutları yazalım;
enable
conf term
access-list 101 deny tcp host 10.0.0.10 host 192.168.1.11 eq 80
access-list 101 permit ip any any
int gig0/0/0
ip access-group 101 out
5-) Yukarıdaki komutları uyguladıktan sonra ile olarak 10.0.0.11 ip adresli cihazdan web siteye erişmeyi deneyelim.
Erişim sorunsuz olarak gerçekleşti. Çünkü bu cihaz için bir engelleme yapmadık.
6-) Şimdi 10.0.0.10 ip adresli bilgisayardan web sitesini açmaya çalışalım.
Evet görselde de gözüktüğü gibi web site açılmadı. Kuralımız doğru olarak çalışıyor. Bilgisayarımızdan web sunucusuna ping atmayı denersek iletişim sorunsuz olarak gerçekleşecektir. Çünkü sadece 80 numaralı portu engelledik. Cisco ile ilgili konularımıza devam edeceğiz.
Cisco router ve L3 switchlerde access listler ile network kuralları oluşturabilmemiz mümkündür. Cisco cihazlarda iki çeşit access list bulunmaktadır. Bunlar standart ve extended’dir. Standart access listler basit kurallar oluşturmamıza olanak tanımaktadır. Extended access listler ise gelişmiş network kuralları oluşturmamızı sağlar. Bu yazıda standart access listler ile ilgili örnekler yapacağız.
Konumuza başlamadan önce standart access listler ile ilgili aşağıdaki iki kurala dikkat etmemiz gerektiğini hatırlatmak isterim.
Standart access listler hedef networke yakın cihazda yazılmalıdır.
Standart access listler 1-99 arasında değer almaktadır.
Örnek1;
1-) Örnek network yapımız aşağıdaki görselde gözükmektedir. iki farklı networkümüz bulunmaktadır. Örnek yapımız için routerlarda interface lere ve bilgisayarlara görseldeki gibi ip tanımlaması yapılmıştır ve iki networkün birbirleriyle haberleşebilmesi için gerekli route tanımlamaları yapılmıştır. İki network birbirleriyle sorunsuz olarak haberleşebilmektedir. İlk olarak yazacağımız standart access list kuralı ile 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engelleyeceğiz. Bunun için hedefe yakın router (Router0) üzerinden işlem yapacağız. Hedef network (192.168.1.0/24) bu router üzerinde olduğu için bu şekilde işlem yapmamız gerekmektedir.
2-) 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engellemek için aşağıdaki komutları uygulamamız yeterli olacaktır;
enable
conf term
access-list 1 deny host 10.0.0.10
access-list 1 permit any
int gig0/0/1
ip access-group 1 out
Burada ilk olarak deny ile 10.0.0.10 ip adresini yasaklamış olduk. Kalan ip adreslerin networke erişebilmeleri için permit any komutunu uyguladık. Daha sonra Router0 cihazın gigabit0/0/1 portuna bu kuralı out olarak tanımladık.
3-) İlk olarak 10.0.0.10 ip adresinden 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.
Görselde de gözüktüğü gibi erişim yok.
4-) Şimdi 10.0.0.11 ip adresli cihazdan 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.
Ping işlemi başarılı. Kuralımız doğru olarak çalışıyor.
Örnek2;
İlk örneğimizde network ortamında sadece bir cihazı engellemek için yazmamız gereken access list kuralını öğrendik. Bu örnekte ise bir networkün farklı bir networke erişimini engellemeyi anlatacağız. Bu işlem için tekrar yukarıda kurduğumuz örnek yapıda işlem yapacağız. Bu sefer 10.0.0.0/24 networkünden 192.168.1.0/24 networküne erişimi engelleyeceğiz. Bu işlem için uygulamamız gereken komutlar aşağıdaki gibidir;
access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
int gig0/0/1
ip access-group 2 out
Evet bu işlemden sonra 10.0.0.0/24 networkündeki hiçbir cihaz 192.168.1.0/24 networküne ulaşamayacaktır.
Cisco tarafından geliştirilen bir protokol olan Dtp (Dynamic trunking protocol), bağlı olduğu trunk portun bilgisini alarak kendini trunk olarak ayarlamaya yarayan bir port ayarıdır. Bu yazıda bu protokolün kullanımını daha iyi anlamak için örnek bir uygulama yapacağız.
1-) Örnek yapımız aşağıdaki gibidir. Yapımızda iki switch birbirine Fa0/1 portlarında birbirine bağlıdır.
2-) İlk olarak Switch0’da F0/1 portunu aşağıdaki komutları uygulayarak trunk olarak ayarlıyoruz;
enable
conf term
int fast0/1
switchport mode trunk
3-) Şimdi Switch1’de F0/1 portunu dinamik olarak ayarlıyoruz.
enable
conf term
int fast0/1
switchport mode dynamic auto
exit
exit
4-) Şimdi Switch1’de enable mod üzerinden aşağıdaki komutu uygulayarak F0/1 portunun durumunu kontrol edelim;
show int trunk
Evet portu dinamik olarak ayarladığımız için karşı taraftaki portun bilgisini alarak kendini trunk olarak yapmış durumda.
5-) Evet bu durumu engellemek isteyebiliriz. Şimdi bu işlemin nasıl yapılacağını öğrenelim. Bu işlem için Switch0 üzerinden aşağıdaki komutları uygulayalım;
enable
conf term
int fast0/1
switchport nonegotiate
Bu komutları uyguladıktan sonra Switch1’de F0/1 portu sahip olduğu trunk bilgisini bağlı olduğu porta göndermeyecektir.
6-) Yaptığımız engellemeyi kontrol etmek için Switch1’de F0/1 portunu tekrar inceleyelim;
enable
show int trunk
Port bilgisi trunk olarak gözükmüyor. Cisco konularımıza devam edeceğiz. Bizi takip etmeye devam edin.
