Kategori arşivi: Network

Cisco Switch DHCP Snooping Ayarlama

Bir Cevap Yazın

Sistemimizde sahte dhcp sunucuların önüne geçmek için switch üzerinde dhcp snooping özelliğini aktif etmemiz gerekmektedir. Bu yazıda bu işlemin Cisco switchlerde nasıl yapılacağını anlatacağım.

1-) Aşağıdaki görselde örnek yapımızı görebilirsiniz;

Burada dhcp sunucumuz switch üzerinde fastethernet0/1 portuna bağlı durumda ve 10.0.0.0/8’li bloktan ip dağıtımı yapıyor.

2-) Bilgisayarımıza baktığımızda sorunsuz olarak ip alabildiğini görebiliyoruz.

3-) Şimdi aşağıdaki komutlar ile switch üzerinde dhcp snooping özelliğini aktif edelim;

enable
conf term
ip dhcp snooping
ip dhcp snooping vlan 1
interface fast0/1
ip dhcp snooping trust

Burada ilk dört satırdaki komutlar ile switch üzerinde dhcp snooping servisini aktif yapmış olduk. Bu komutları uygulayıp bırakırsak tüm portlar güvensiz olarak işaretlenmiş olacaktır. Daha sonraki komutlar ile dhcp sunucumuzun switch üzerinde bağlı olduğu portu yani FastEthernet0/1 portunu vlan 1’de (dhcp sunucu hangi vlan da ise onu belirtmemiz gerekmektedir) güvenli olarak göstererek dhcp sunucunun bu port üzerinden hizmet verdiğini belirtmiş olduk. Bu işlemden sonra da tüm client cihazlar sorunsuz olarak ip alacaktır.

4-) Şimdi kötü niyetli bir kişi dhcp sunucunun kablosunu çıkardı veya dhcp sunucuya saldırı yaparak bu sunucuyu hizmet veremeyecek duruma getirdi ve daha sonra sisteme kendi sahte bir dhcp sunucu kurdu. Aşağıdaki görselde bu senaryoyu görebilirsiniz. Bu dhcp sunucu 192.168.1.0/24 ip bloğunda hizmet veriyor ve switchte FastEthernet0/3 portuna bağlı.

5-) Bilgisayarımıza tekrar baktığımızda dhcp sunucudan ip alamadığını görüyoruz. Çünkü switchte sadece FastEthernet0/1 portu dhcp hizmeti için güvenli durumda. Burada sahte dhcp sunucu FastEthernet0/3 portuna bağlı. Bu nedenle cihaz ip dağıtımı yapamıyor.

Bu makalede anlatacaklarım bu kadar. Tekrar görüşmek üzere. Şimdilik hoş çakalın.

Cisco Trunk Interface Vlan İzni

Bir Cevap Yazın

Cisco switchlerde bir portu trunk yaptığımız o port üzerinden tüm vlanların geçişine izin vermiş olmaktayız. Genellikle yapılarda bu şekilde kullanılmasına rağmen bazen trunk port üzerinden tüm vlanların geçişi istenmeyebilir. Bu durumda trunk port üzerinden geçişine izin vermek istediğimiz vlanları belirtmemiz gerekmektedir. Bu işlemi aşağıdaki örnekteki komutları ile yapabiliriz;

enable
conf term
interface fast0/1
switchport trunk allowed vlan 10-20

Burada 10’dan 20’ye kadar olan vlanların geçişine izin vermiş olduk. Eğer sadece bir vlanın geçişine izin vermek istiyorsak komutu aşağıdaki gibi kullanabiliriz;

enable
conf term
interface fast0/1
switchport trunk allowed vlan add 50

Burada 50 numaralı vlanın geçişine izin vermiş olduk.

Cisco Show IP Route Komutu

Bir Cevap Yazın

Cisco router veya layer 3 switchlerde route tablosunu görmek istediğimizde enable mod üzerinden show ip route komutunu uygulamamız gerekmektedir. Bu yazıda bu komutu uyguladığımızda çıktıda yer alan değerleri örnek bir senaryo ile inceleyeceğiz.

1-) Örnek yapımız aşağıdaki görseldeki gibidir;

Bu yapıda 192.168.1.0/24 ve 10.0.0.0/8 networku bulunmaktadır.

2-) İki networkün birbirleriyle haberleşmesi için router cihazları üzerine route yazmamız gerekmektedir. Bu işlemi aşağıdaki komutlar ile yapabiliriz;

Router0 cihazına yazacağımız route bilgisi

ip route 10.0.0.0 255.0.0.0 192.168.2.2

Router1 cihazına yazacağımız route bilgisi

ip route 192.168.1.0 255.255.255.0 192.168.2.2

3-) Router0 üzerinden route tablosuna bakalım. Bu işlem için aşağıdaki komutları uygulayalım;

enable
show ip route

Görselde de görüldüğü gibi Router0 cihazın 10.0.0.0 networküne ulaşmak için Router1 cihazın 192.168.2.2 ip adresli ara yüzünü kullandığı gözükmektedir.

4-) Şimdi de Router0 üzerinden route tablosuna bakalım. Bu işlem için aynı komutları uygulayalım;

enable
show ip route

Görselde de görüldüğü gibi Router1 cihazın 192.168.1.0 networküne ulaşmak için Router0 cihazın 192.168.2.1 ip adresli ara yüzünü kullandığı gözükmektedir.

Bu yazıda Cisco cihazlarda route tablosunun nasıl inceleneceğini anlattık. Tekrar görüşmek üzere. Şimdilik hoşçakalın.

Cisco Trunk Portlarda Vlan İzni

Bir Cevap Yazın

Önceki makalelerimizde trunk yapılandırma ve vlan işlemlerinin nasıl yapıldığını anlatmıştık. Network kategorisi altından makalelerimize ulaşabilirsiniz. Bu yazıda trunk porttan geçmesine izin vermek istediğimiz vlanları nasıl belirleyeceğimizi anlatacağız. Bu işlem için aşağıdaki örneği inceleyelim;

enable
conf term
int fast0/1
switchport trunk allowed vlan 10-50

Yukarıda trunk port üzerinde (fastethernet0/1) 10’dan 50’ye kadar olan tüm vlanların geçişine izin vermiş olduk. Bu şekilde izin verdikten sonra yeni bir vlan geçişine izin vermek isteyebiliriz. Örneğin sistemimize 60 numaralı vlan eklemek istiyoruz. Bu durumda yukarıdaki komutu kullanamayız. Eğer kullanırsak verdiğimiz vlan izni (10-50 arası) silinecektir ve sadece 60 vlan ına izin verilmiş olacaktır. Bu nedenden dolayı aşağıdaki gibi komut uygulamamız yeterli olacaktır;

enable
conf term
int fast0/1
switchport trunk allowed vlan add 10-50

Artık 10-50 arası vlanların yanında 60 vlan ının geçişine de izin vermiş olduk.

Cisco Cihazların Giriş Ekranında Mesaj Yazdırma

Bir Cevap Yazın

Cisco cihazlara bağlantı yapıldığında ekranda mesaj gösterebiliriz. Bu işlem için cihaz üzerinden aşağıdaki komutları uygulamamız yeterli olacaktır;

enable
conf term
banner motd 'hosgeldiniz'

Biz bu örnekte ekranda ‘hosgeldiniz’ yazdırdık.

Not: Packet Tracer uygulaması üzerinden işlem yapıyorsak mesajı görmek için bu komutları uyguladıktan sonra iki kere exit komutunu çalıştırmamız gerekmektedir.

Native Vlan Nedir?

Bir Cevap Yazın

Native vlan etiketlenmemiş bir vlan’dır. Switch’lerde vlan1 varsayılan olarak aktif bulunmaktadır ve bu vlan native’dir. Bu nedenden dolayı birbirine bağlı olan iki switchte yer alan iki bilgisayar varsayılan olarak tanımlı olan bu vlan sayesinde herhangi bir işleme uğramadan haberleşir. Vlan ların kullanıldığı yapılarda iki switch’in birbirine bağlandığı noktalar trunk (etiketlenmiş) olarak yapılandırılması gerekmektedir. Farklı vlanların cihazlar arası geçiş yapması için bu işlem gereklidir. Eğer vlanların olduğu bir switche hub gibi bir cihaz dahil edilirse swicht’te hub cihazın bağlı olduğu port native vlan olarak yapılandırılması gerekmektedir (Sistemde vlan yapısı yoksa bu işleme gerek yoktur).

Native vlanı daha iyi anlamak için Cisco Packet Tracer yazılımı üzerinden aşağıdaki görseldeki örnek yapıyı kuralım. Yapımızda network ekipmanı olarak router, switch ve hub bulunmaktadır. Yapımızdaki vlan lar ve ip bilgileri aşağıdaki gibidir;

vlan 10 = 10.0.0.0/8
Vlan 99 (Native Vlan) = 192.168.1.0/24

Not: Biz güvenlik için native vlan 1’i kullanmayacağız. Bunun yerine vlan 99 oluşturup bu vlanı native yapacağız.

1-) İlk olarak router üzerinde gerekli ayarları yapıyoruz;

enable
conf term
int gig0/0/0
no shutdown
exit
int gig0/0/0.10
encap dot1q 10
ip address 10.0.0.1 255.0.0.0
exit
int gig0/0/0.99
encap dot1q 99 native
ip address 192.168.1.1 255.255.255.0

2-) Şimdi switch üzerinde gerekli ayarları yapıyoruz. Burada önemli olan nokta switchte bilgisayarın bağlı olduğu portu vlan 10’a dahil ediyoruz ve bu portu access olarak ayarlıyoruz. Switch’in router’a ve hub’a bağlı olan portunu trunk olarak yapılandırıyoruz ve native vlan 99 olarak gösteriyoruz. 

enable
conf term
vlan 10
exit
int fast0/2
switchport mode access
switchport access vlan 10
exit
int fast0/1
switchport mode trunk
switchport trunk native vlan 99
exit
int fast0/3
switchport mode trunk
switchport trunk native vlan 99

3-) Switch’e bağlı olan bilgisayarın ip yapılandırması aşağıdaki gibidir;

4-) Hub’a bağlı olan bilgisayarın ip yapılandırması aşağıdaki gibidir;

Evet bu yapıdaki iki bilgisayarda birbiriyle haberleşecektir.