Cisco cihazlarda Cisco’nun desteklemediği sfp modülü kullanıldığında sistem aktif olmamaktadır. Bu durumda sfp modülünü aktif yapmak için cihaz üzerinde aşağıdaki komutu uygulamamız gerekmektedir.

enable
conf term
service unsupported-transceiver

Bu işlemden sonra switche bağlı olan sfp modülü aktif olacaktır.

Cisco tarafından geliştirilen bir protokol olan hsrp, router yedekliliği sağlamak için network yapılarında kullanılmaktadır. Bu protokol sayesinde sistemimizde bir router devre dışı kaldığında diğer router otomatik olarak devreye girmektedir. Bu protokolün kullanımını anlamak için Packet Tracer üzerinden örnek bir uygulama yapalım. Örnek yapımızı aşağıdaki görseldeki gibidir;

1-) İlk olarak R1 isimli router cihazımızı yapılandırıyoruz;

enable
conf term
interface gig0/0/0 192.168.1.1 255.255.255.0 
no shutdown
standby 1 ip 192.168.1.3

Burada ilk olarak router cihazın switche bağlı olan ayağına 192.168.1.1/24 ip adresini tanımladık. Daha sonra hsrp yapılandırmak için standby komutunu uyguladık ve bu komuttan sonra 1 değerini verdik. Bu değer her iki router cihazında da aynı olmalı. Daha sonra sanal ip adresini tanımladık. Bilgisayarlarımıza gateway olarak router cihazın switch e bağlı olan ayağına tanımladığımız ip adresinin yerine bu sanal ip adresini gireceğiz.

2-) Şimdi R2 isimli router cihazımızı yapılandıralım;

enable
conf term
interface gig0/0/0 192.168.1.2 255.255.255.0 
no shutdown
standby 1 ip 192.168.1.3

3-) Şimdi bilgisayardan sanal gateway ip adresine yani 192.168.1.3 ip adresine ping atalım. Ping işlemi başarılı olarak başladı. Bu işlem gerçekleşirken birincil olarak çalışan yani ilk yapılandırdığımız router cihazın kablosunu çekiyorum. Yaklaşık (hello paketi 10 saniyede bir gönderildiği için) 10 saniyelik bir kesintiden sonra ping işlemi başarılı olarak gerçekleşmeye devam etti.

Cisco konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Cisco ile ilgili konularımıza devam ediyoruz. Bu yazıda şuana kadar öğrendiklerimizi tekrarlamak amacıyla örnek bir uygulama yapacağız. Örnek uygulamamızda vlanlar arası haberleşmeyi nasıl engelleyebileceğimizi anlatacağız.

1-) Örnek yapımız aşağıdaki görseldeki gibidir.

Omurga switch (L3) üzerinde iki adet vlan (vlan 10,20) bulunmaktadır ve routing işlemini bu switch gerçekleştirmektedir. Şimdi görselde belirtilen bilgiler ile omurga switchimizi yapılandıralım;

2-) İlk olarak omurga switch in L2 switchlere bağlı olan portlarını trunk olarak yapılandırıyoruz ve daha sonra switch üzerinde vlanları oluşturup ip adres tanımlamalarını yapıyoruz. Son olarak da ip routing i aktif yapıyoruz. Bu işlem için sırasıyla aşağıdaki komutları uyguluyoruz;

enable
conf term
int fast0/1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
int fast0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
vlan 10
exit
vlan 20
exit
interface vlan 10
ip address 192.168.1.1 255.255.255.0
exit
interface vlan 20
ip address 10.0.0.1 255.0.0.0
exit
ip routing

Burada ip routing komutunu uygulamazsak vlanlar arası haberleşme zaten olmayacak diyebilirsiniz. Biz örnek yapımızda 2 adet vlan olan bir network oluşturduk. 3 adet vlan ın olduğu ve sadece 2 adet vlan ın birbirleriyle haberleşmesi istenebilirdi. Bu durumda mecburen ip routing aktifleştirmemiz gerekecekti. Bu nedenle vlanlar arası haberleşmeyi access-list ler ile kontrol etmeliyiz.

3-) Şimdi Layer 2 switch ler üzerinde gerekli ayarları yapalım;

enable
conf term
vlan 10
exit
vlan 20
exit
int fast0/1
switchport mode trunk
exit
int fast0/2
switchport mode access
switchport access vlan 10
exit
int fast0/3
switchport mode access
switchport access vlan 20
exit
exit
write memory

İki layer 2 switch üzerinde de aynı komutları uyguladım. Çünkü switchlerin port ve bağlantı noktaları (trunk ve vlan a üye cihazlar) aynı.

4-) Şimdi 192.168.1.2 ip adresi bilgisayardan 10.0.0.2 ip adresli bilgisayara ping atalım. Erişim başarılı oldu. Vlanlar arası haberleşme sorunsuz olarak gerçekleşiyor.

5-) Omurga switch üzerinde gerekli access list leri yazarak vlanlar arası haberleşmeyi engelleyelim;

enable
conf term
access-list 101 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 102 deny ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255
interface vlan 10
ip access-group 101 in
exit
interface vlan 20
ip access-group 102 in
exit
exit
write memory

6-) Şimdi tekrar 192.168.1.2 ip adresli bilgisayardan 10.0.0.2 ip adresli bilgisayara ping atmayı deneyelim. Erişim gerçekleşmeyecektir. Artık vlanlar arası haberleşme engellenmiş durumda. Aynı vlandaki 192.168.1.3 ip adresli bilgisayara ping atmayı deneyelim. Erişim problemsiz gerçekleşti. Yani aynı vlanlar birbirleriyle haberleşebiliyor.

Cisco konularımıza devam edeceğiz. Takipte kalın.

Farklı networkte bulunan switche bağlantı yapılabilmesi için switch e gataway bilgisinin girilmesi gerekmektedir. Bu yazıda bu işlemi anlamak için örnek bir uygulama yapacağız.

1-) Packet Tracer programı üzerinden kurduğumuz yapı aşağıdaki görseldeki gibidir;

Yapımızdaki router cihazın iki ayağında iki farklı ağ bulunmaktadır.

2-) İlk olarak router cihazını görselde verilen bilgiler doğrultusunda yapılandıralım;

enable
conf term
int gig0/0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
int gig0/0/1
ip address 192.168.2.1 255.255.255.0
no shutdown
exit

3-) Şimdi switch0 isimli switche vlan1’de 192.168.1.250/24 ip adresini tanımlayalım;

enable
conf term
int vlan1
ip address 192.168.1.250 255.255.255.0
no shutdown
exit

4-) Şimdi switch1 isimli switche vlan1’de 192.168.2.250/24 ip adresini tanımlayalım;

enable
conf term
int vlan1
ip address 192.168.2.250 255.255.255.0
no shutdown
exit

5-) Bu adımlara kadar switchlere gateway bilgisi girmedik. Bu durumda ne olacağını test etmek için ilk olarak iki farklı networkte bulunan bilgisayarların birbirleriyle iletişim kurabiliyor mu diye test edelim. Bunun için 192.168.1.10 ip adresli bilgisayardan 192.168.2.10 ip adresli bilgisayara ping atalım. Görselde de gözüktüğü gibi ping işlemi başarılı olarak gerçekleşti. Çünkü bilgisayarların ip adreslerini yapılandırırken default gateway bilgisini de girdik.

6-) Şimdi 192.168.1.10’lu bilgisayardan 192.168.1.250 ip adresli switche ping atalım. Bilgisayar ve switch aynı ağda olduğu için ping işlemi başarılı oldu (Switch de gateway bilgisi olmamasına rağmen). Aynı bilgisayardan 192.168.2.250 ip adresli switche ping atalım. Ping işlemi başarılı olmadı. Çünkü bilgisayar ile switch farklı networklerde ve switchlere gateway bilgisi girilmiş değil. İki durumu da aşağıdaki görselden inceleyebilirsiniz.

7-) Şimdi ilk olarak switch0’a gateway bilgisi girelim;

enable
conf term
ip default-gateway 192.168.1.1

😎 Daha sonra switch1’e gateway bilgisi girelim;

enable
conf term
ip default-gateway 192.168.2.1

9-) Şimdi tekrar 192.168.1.10 ip adresli bilgisayardan iki switch cihazına da ping atmayı deneyelim. Görselde de gözüktüğü gibi iki switche de başarılı olarak erişebildik. Aynı işlemi diğer bilgisayardan da yapabiliriz. Switchlere gateway girdiğimiz için iletişim başarılı olarak gerçekleşti.

Cisco konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Bu yazıda Cisco switchte 802.1x konfigürasyonunun nasıl yapılacağını anlatacağız. Switch portlarında dot1x aktifleştirerek switch portlarına kablo ile bağlanan cihazların radius sunucu üzerinden denetlenmesini sağlayabiliriz. Network güvenliğini sağlamak için yapılması gereken işlemlerden bir tanesidir. Bu işlemin nasıl yapıldığını ve mantığını anlamak için örnek bir uygulama yapalım;

Not: Bu işlemi Packet Tracer üzerinden yapacağız.

1-) Yapımız aşağıdaki görseldeki gibidir.

Switch ip (vlan1)= 192.168.1.250/24
Radius Server= 192.168.1.1/24
PC0= 192.168.1.2/24
PC1= 192.1681.3/24

2-) İlk olarak aşağıdaki komutları uygulayarak switch’e vlan1’de ip adresi tanımlıyoruz;

enable
conf term
interface vlan1
ip address 192.168.1.250 255.255.255.0
no shutdown
exit

3-) Radius sunucuya giriş yapıyoruz ve Services yazan yere tıklıyoruz. Gelen ekranın sol tarafından AAA yazan yere tıklıyoruz. Bu bölümde aşağıdaki alanları dolduruyoruz;

Service= On duruma getiriyoruz.
Client Name= Bir isim veriyoruz.
Client IP= Switch’in ip adresini giriyoruz
Secret: Bir anahtar belirliyoruz. Bu anahtar hem switchte hem de burada yani radius sunucuda aynı olmalı.

Gerekli alanları doldurduktan sonra Add butonuna tıklıyoruz.

4-) Aynı ekranda iki hesap oluşturuyoruz (2 adet bilgisayar için).

5-) Sol tarafta Radius EAP yazan yeri seçiyoruz ve açılan bölümden Allow EAP-MD5 yazan yeri seçili duruma getiriyoruz.

6-) Radius sunucu üzerinde gerekli ayarları yaptıktan sonra 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atalım. Şuan için erişim sorunsuz olarak gerçekleşmektedir. Switchte dot1x aktifleştirdiğimizde erişim gerçekleşmeyecektir.

7-) Tekrar switch e geçiyoruz ve aşağıdaki komutları uyguluyoruz;

aaa new-model
radius-server host 192.168.1.1 key Deneme123
aaa authentication dot1x default group radius
dot1x system-auth-control 

😎 Yukarıdaki komutlar ile switch te Dot1x’i aktif yapmış olduk. Şimdi switchte bilgisayarların bağlı olduğu portlarda Dot1x’i aktif yapalım. Bu işlem için aşağıdaki komutları uygulamamız yeterli olacaktır;

interface range fast0/2-3
switchport mode access
authentication port-control auto
dot1x pae authenticator
exit

9-) Tekrar 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atalım. Bu sefer iletişim başarısız oldu. Çünkü switchte Dot1x’i aktif yaptık.

10-) İki bilgisayarın ip ayarlarının yapıldığı bölüme giriş yapılım ve Use 802.1x Security yazan yeri seçili duruma getirelim. Daha sonra radius sunucuda oluşturduğumuz hesaplardan birini bilgisayara tanımlayalım.

11-) Yukarıdaki işlemden sonra 192.168.1.2 ip adresli bilgisayardan 192.168.1.3 ip adresli bilgisayara ping atmayı denediğimizde iletişim sorunsuz gerçekleşecektir. Çünkü bilgisayarlara hesap bilgilerini girdiğimiz için raidus sunucu üzerinde denetim başarılı olarak gerçekleşti ve iletişim sağlandı.

Makalemizin sonuna geldik. Cisco yazılarımıza devam edeceğiz. Bizi takip etmeye devam edin.

Eigrp, Cisco tarafından geliştirilen ve uzun süre sadece Cisco cihazlarda kullanılan bir dinamik yönlendirme protokolüdür. Bu protokol daha sonra tüm router tabanlı network cihazlarda kullanılmaya başlanmıştır. Bu yazıda bu protokol ile ilgili Cisco routerlarda örnek bir uygulama yapacağız.

1-) Örnek yapımız aşağıdaki görseldeki gibidir;

192.168.10.0/24 ve 192.168.20.0/24 iki farklı networkümüz bulunmaktadır. Şimdi eigrp dinamik yönlendirme protokolünü kullanarak bu iki farklı networkü haberleştirelim;

2-) Router0 cihazın ara yüzlerinin ip yapılandırmasını yapalım;

enable
conf term
int se0/1/0
no shutdown
ip address 10.0.0.1 255.255.255.252
exit
int gig0/0/1
no shutdown
ip address 192.168.10.1 255.255.255.0
exit

3-) Router1 cihazın ara yüzlerinin ip yapılandırmasını yapalım;

enable
conf term
int se0/1/0
no shutdown
ip address 10.0.0.2 255.255.255.252
exit
int gig0/0/1
no shutdown
ip address 192.168.20.1 255.255.255.0
exit

4-) Router0 için eigrp yapılandırmasını yapalım;

router eigrp 1
network 192.168.10.0 0.0.0.255
network 10.0.0.0 0.0.0.3

5-) Router1 için eigrp yapılandırmasını yapalım;

router eigrp 1
network 192.168.20.0 0.0.0.255
network 10.0.0.0 0.0.0.3

Burada önemli olan nokta router eigrp komutundan sonra verdiğimiz değerin iki cihazda da aynı olmasıdır. Ayrıca networkleri tanımlarken wildcard mask girmemiz gerekmektedir.

6-) Şimdi 192.168.10.50 ip adresli bilgisayardan 192.168.20.50 ip adresli bilgisayara ping atmayı deneyelim. Görselde de gözüktüğü gibi pingleme işlemi başarılı olarak gerçekleşti.

Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.