Kategori arşivi: Network

Cisco Router İnternet Konfigürasyonu

Bu yazıda Cisco router cihazda internet konfigürasyonunun nasıl yapılacağını anlatacağım.

1-) Örnek yapımız aşağıdaki gibidir. Yapımızda modem bulunmaktadır. Modemde gerekli internet ayarları yapılmıştır. Modemi, Cisco router cihaza bağladım. İnternet konfigürasyonu için router üzerinden yapılması gereken ayarlar şu şekildedir;

2-) İlk olarak router cihazın modeme bağlı olan bacağının (GigabitEthernet0/0/0) konfigürasyonunu yapıyorum;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
ip nat outside
exit

Burada ilk olarak interface i açtım ve ip tanımlaması yaptım. Bu bacak modeme bağlı olduğu için ip nat outside komutunu uyguladım.

3-) Şimdi iç ağa bağlı olan arayüzü (Gigabitethernet 0/0/1) yapılandıracağım;

int gig0/0/1
no shutdown
ip address 10.0.0.1 255.0.0.0
ip nat inside
exit

4-) İzin vereceğim network için (10.0.0.0/8) access list yazıyorum ve daha sonra pat işlemini yapıyorum. Burada access list i any olarak yazdım. Vlan lı bir yapımız olursa bu şekilde farklı networklere de izin vermiş oluruz. Pat işleminden sonra internet için route işlemini yapıyorum. 0.0.0.0 .0.0.0.0 değeri internet için hedef route adresidir. 192.168.1.1 ip adresi ise internete gitmek için bu ip adresini kullan demektir. Bu modemin ip adresidir.

ip access-list standard 1
permit any
exit
ip nat inside source list 1 interface gig0/0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.1

5-) Son olarak ağdaki cihazların otomatik olarak ip alıp, internete çıkabilmesi için router üzerinde dhcp servisini yapıladıracağım;

ip dhcp pool dagitim
network 10.0.0.0 255.0.0.0
default-router 10.0.0.1
dns-server 8.8.8.8

Evet artık switche bağlı bilgisayarlarımız internete çıkabilecektir. Router üzerinde internet konfigürasyonu bu şekildedir.

Cisco Extended ACL (Access List) Yapılandırma

Bir önceki yazıda Cisco router ve L3 switchlerde standart access list’lerin nasıl yazılacağını anlatmıştık. Bu yazıda extended acl’lerin nasıl yazılacağını anlatacağız. Extended access list’leri yazarken belirli kurallar vardır. Bu kurallar şu şekildedir;

  • Extended access list’ler sadece 100-199 arasında bir değer alabilir.
  • Extended access list’ler kaynağa yakın cihazda yazılmalıdır.
  • Extended access list’ler ile port bazlı detaylı kurallar yazmamız mümkündür.

1-) Bu yazıda extended access list ile ilgili bir örnek uygulama yapacağız. Örnek yapımız aşağıdaki görselde gözükmektedir. Aşağıdaki görseldeki gibi tüm cihazların ip tanımları yapılmıştır ve iki network birbirleriyle sorunsuz haberleşebilmektedir (route tanımlamaları yapılmıştır). 192.168.1.11 ip adresli sunucuda web, dns server servisleri aktiftir ve bu sunucu üzerinde bilgialnet.com web sitesi yayınlanmaktadır. Tüm bilgisayarlar bu web sitesine erişebilmektedir.

2-) Bu örnekte 10.0.0.10 ip adresli bilgisayarın 192.168.1.11 sunucunun web server servisine (80 numaralı porta) erişimini engelleyeceğiz. Yani bilgialnet.com adresine erişemeyecek. Sunucudaki diğer servislere erişebilecek.

Not: Burada bilgisayarların ip adresi ayarlarında dns adresini 192.168.1.11 yapmamız gerekmektedir. İsim çözümleme işlemini de bu sunucu yaptığı için bu işlemi yapmamız gerekmektedir.

3-) 10.0.0.10 ip adresli bilgisayardan bilgialnet.com adresine giriş yapmayı deneyelim. Evet görselde de gözüktüğü gibi erişim sorunsuz olarak gerçekleşmektedir.

4-) Şimdi Router1 üzerinden aşağıdaki komutları yazalım;

enable
conf term
access-list 101 deny tcp host 10.0.0.10 host 192.168.1.11 eq 80
access-list 101 permit ip any any
int gig0/0/0
ip access-group 101 out

5-) Yukarıdaki komutları uyguladıktan sonra ile olarak 10.0.0.11 ip adresli cihazdan web siteye erişmeyi deneyelim.

Erişim sorunsuz olarak gerçekleşti. Çünkü bu cihaz için bir engelleme yapmadık.

6-) Şimdi 10.0.0.10 ip adresli bilgisayardan web sitesini açmaya çalışalım.

Evet görselde de gözüktüğü gibi web site açılmadı. Kuralımız doğru olarak çalışıyor. Bilgisayarımızdan web sunucusuna ping atmayı denersek iletişim sorunsuz olarak gerçekleşecektir. Çünkü sadece 80 numaralı portu engelledik. Cisco ile ilgili konularımıza devam edeceğiz.

Cisco Standart ACL (Access List) Yapılandırma

Cisco router ve L3 switchlerde access listler ile network kuralları oluşturabilmemiz mümkündür. Cisco cihazlarda iki çeşit access list bulunmaktadır. Bunlar standart ve extended’dir. Standart access listler basit kurallar oluşturmamıza olanak tanımaktadır. Extended access listler ise gelişmiş network kuralları oluşturmamızı sağlar. Bu yazıda standart access listler ile ilgili örnekler yapacağız.

Konumuza başlamadan önce standart access listler ile ilgili aşağıdaki iki kurala dikkat etmemiz gerektiğini hatırlatmak isterim.

  • Standart access listler hedef networke yakın cihazda yazılmalıdır.
  • Standart access listler 1-99 arasında değer almaktadır.

Örnek1;

1-) Örnek network yapımız aşağıdaki görselde gözükmektedir. iki farklı networkümüz bulunmaktadır. Örnek yapımız için routerlarda interface lere ve bilgisayarlara görseldeki gibi ip tanımlaması yapılmıştır ve iki networkün birbirleriyle haberleşebilmesi için gerekli route tanımlamaları yapılmıştır. İki network birbirleriyle sorunsuz olarak haberleşebilmektedir. İlk olarak yazacağımız standart access list kuralı ile 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engelleyeceğiz. Bunun için hedefe yakın router (Router0) üzerinden işlem yapacağız. Hedef network (192.168.1.0/24) bu router üzerinde olduğu için bu şekilde işlem yapmamız gerekmektedir.

2-) 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engellemek için aşağıdaki komutları uygulamamız yeterli olacaktır;

enable
conf term
access-list 1 deny host 10.0.0.10
access-list 1 permit any
int gig0/0/1
ip access-group 1 out

Burada ilk olarak deny ile 10.0.0.10 ip adresini yasaklamış olduk. Kalan ip adreslerin networke erişebilmeleri için permit any komutunu uyguladık. Daha sonra Router0 cihazın gigabit0/0/1 portuna bu kuralı out olarak tanımladık.

3-) İlk olarak 10.0.0.10 ip adresinden 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Görselde de gözüktüğü gibi erişim yok.

4-) Şimdi 10.0.0.11 ip adresli cihazdan 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Ping işlemi başarılı. Kuralımız doğru olarak çalışıyor.

Örnek2;

İlk örneğimizde network ortamında sadece bir cihazı engellemek için yazmamız gereken access list kuralını öğrendik. Bu örnekte ise bir networkün farklı bir networke erişimini engellemeyi anlatacağız. Bu işlem için tekrar yukarıda kurduğumuz örnek yapıda işlem yapacağız. Bu sefer 10.0.0.0/24 networkünden 192.168.1.0/24 networküne erişimi engelleyeceğiz. Bu işlem için uygulamamız gereken komutlar aşağıdaki gibidir;

access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
int gig0/0/1
ip access-group 2 out

Evet bu işlemden sonra 10.0.0.0/24 networkündeki hiçbir cihaz 192.168.1.0/24 networküne ulaşamayacaktır.

Cisco Switch DTP Yapılandırma

Cisco tarafından geliştirilen bir protokol olan Dtp (Dynamic trunking protocol), bağlı olduğu trunk portun bilgisini alarak kendini trunk olarak ayarlamaya yarayan bir port ayarıdır. Bu yazıda bu protokolün kullanımını daha iyi anlamak için örnek bir uygulama yapacağız.

1-) Örnek yapımız aşağıdaki gibidir. Yapımızda iki switch birbirine Fa0/1 portlarında birbirine bağlıdır.

2-) İlk olarak Switch0’da F0/1 portunu aşağıdaki komutları uygulayarak trunk olarak ayarlıyoruz;

enable
conf term
int fast0/1
switchport mode trunk

3-) Şimdi Switch1’de F0/1 portunu dinamik olarak ayarlıyoruz.

enable
conf term
int fast0/1
switchport mode dynamic auto
exit
exit

4-) Şimdi Switch1’de enable mod üzerinden aşağıdaki komutu uygulayarak F0/1 portunun durumunu kontrol edelim;

show int trunk

Evet portu dinamik olarak ayarladığımız için karşı taraftaki portun bilgisini alarak kendini trunk olarak yapmış durumda.

5-) Evet bu durumu engellemek isteyebiliriz. Şimdi bu işlemin nasıl yapılacağını öğrenelim. Bu işlem için Switch0 üzerinden aşağıdaki komutları uygulayalım;

enable
conf term
int fast0/1
switchport nonegotiate

Bu komutları uyguladıktan sonra Switch1’de F0/1 portu sahip olduğu trunk bilgisini bağlı olduğu porta göndermeyecektir.

6-) Yaptığımız engellemeyi kontrol etmek için Switch1’de F0/1 portunu tekrar inceleyelim;

enable
show int trunk

Port bilgisi trunk olarak gözükmüyor. Cisco konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Cisco Cihazlarda Desteklenmeyen SFP Kullanımı

Cisco cihazlarda Cisco’nun desteklemediği sfp modülü kullanıldığında sistem aktif olmamaktadır. Bu durumda sfp modülünü aktif yapmak için cihaz üzerinde aşağıdaki komutu uygulamamız gerekmektedir.

enable
conf term
service unsupported-transceiver

Bu işlemden sonra switche bağlı olan sfp modülü aktif olacaktır.

Cisco HSRP Konfigürasyonu

Cisco tarafından geliştirilen bir protokol olan hsrp, router yedekliliği sağlamak için network yapılarında kullanılmaktadır. Bu protokol sayesinde sistemimizde bir router devre dışı kaldığında diğer router otomatik olarak devreye girmektedir. Bu protokolün kullanımını anlamak için Packet Tracer üzerinden örnek bir uygulama yapalım. Örnek yapımızı aşağıdaki görseldeki gibidir;

1-) İlk olarak R1 isimli router cihazımızı yapılandırıyoruz;

enable
conf term
interface gig0/0/0 192.168.1.1 255.255.255.0 
no shutdown
standby 1 ip 192.168.1.3

Burada ilk olarak router cihazın switche bağlı olan ayağına 192.168.1.1/24 ip adresini tanımladık. Daha sonra hsrp yapılandırmak için standby komutunu uyguladık ve bu komuttan sonra 1 değerini verdik. Bu değer her iki router cihazında da aynı olmalı. Daha sonra sanal ip adresini tanımladık. Bilgisayarlarımıza gateway olarak router cihazın switch e bağlı olan ayağına tanımladığımız ip adresinin yerine bu sanal ip adresini gireceğiz.

2-) Şimdi R2 isimli router cihazımızı yapılandıralım;

enable
conf term
interface gig0/0/0 192.168.1.2 255.255.255.0 
no shutdown
standby 1 ip 192.168.1.3

3-) Şimdi bilgisayardan sanal gateway ip adresine yani 192.168.1.3 ip adresine ping atalım. Ping işlemi başarılı olarak başladı. Bu işlem gerçekleşirken birincil olarak çalışan yani ilk yapılandırdığımız router cihazın kablosunu çekiyorum. Yaklaşık (hello paketi 10 saniyede bir gönderildiği için) 10 saniyelik bir kesintiden sonra ping işlemi başarılı olarak gerçekleşmeye devam etti.

Cisco konularımıza devam edeceğiz. Bizi takip etmeye devam edin.