Cisco cihazlar kullanılan network ortamlarında cihazlara fiziksek olarak erişebilecek durumda olanların konsol kablosu ile cihazlara şifresiz olarak erişmeleri istenmeyen bir durumdur. Bu nedenden dolayı güvenlik için tüm cihazlarda consol şifresi tanımlanması yapılmalıdır.

Cisco cihazlarda konsol şifre tanımlama işlemi birkaç adımdan oluşmaktadır. Şimdi bu adımları öğrenelim;

1-) İlk olarak konsol şifresi vermek istediğimiz cihaza konsol kablosu ile bağlantı yapıyoruz. Bu işlem için Hyper terminal veya Putty gibi programlardan bir tanesini kullanabiliriz. Yeni veya sıfırlanmış bir cihazda bu şekilde direkt olarak bağlantı yapabiliriz. Cihaza ulaştıktan sonra aşağıdaki komutları sırasıyla uyguluyoruz;

enable
conf term
line console 0
password 12345
login
exit
exit
write memory

Evet bu şekilde konsol şifresini 12345 olarak verdik. Tabi siz bu şekilde kolay bir şifre tanımlamayın.

2-) İşlemimizi bu aşamada bıraktığımızda bir güvenlik açığı oluşacaktır. Enable mod üzerinden cihaz konfigürasyonunu görüntülediğimizde konsol şifresi açık bir şekilde gözükecektir. Bu işlem için enable mod üzerinden aşağıdaki komutu uyguluyoruz ve şifremizin açık bir şekilde gözüktüğünü görüyoruz;

show startup-config

Evet görüntüde de gözüktüğü gibi konsol şifresi açık bir şekilde gözükmektedir.

3-) Şifre görünümünü şifrelemek için aşağıdaki komutları uyguluyoruz;

conf term
service password-encryption
exit
write memory

4-) Evet tekrar enable mod üzerinden aşağıdaki komutu uyguladığımızda şifremiz şifrelenmiş bir şekilde gözükecektir.

show startup-config

5-) Bu işlemden sonra Packet Tracer üzerinden konsol kablosu ile bağlantı yapmayı deneyelim. Gerekli bağlantıları yaptıktan sonra bilgisayar masaüstünden Terminal yazan yere tıklıyoruz.

6-) Açılan bölümden konfigürasyonu aynı şekilde bırakıyoruz ve Ok butonuna tıklıyoruz.

7-) Gelen ekranda da gözüktüğü gibi cihaza bağlanmak için şifre girmemiz gerekmektedir. Tanımladığımız konsol şifresini girdiğimizde cihaza erişebiliyor olduk.

Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

VRRP kısaca, network ortamında yönlendirici (router) yedekliliğini sağlayan bir protokoldür. Bu protokol sayesinde network ortamında birden fazla yönlendiriciyi tek bir yönlendirici gibi gösterebilmemiz mümkündür. Bu protokol ayrıca network trafiğinin birden fazla yönlendirici (router) üzerine dağıtarak yük paylaşımı yapılmasına da olanak sağlar.

Cisco cihazlarda bu protokolü aktif yapmak için uygulanması gereken adımları bu yazıda detaylı bir şekilde öğreneceğiz. Bu işlemi örnek yapı üzerinden anlatacağız. Aşağıdaki görselden örnek yapımızı inceleyebilirsiniz.

İlk olarak Router0 üzerinden aşağıdaki komutları uyguluyoruz;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
vrp 10 ip 192.168.1.1
vrp 10 priority 200
vrp 10 preempt

Daha sonra Router1 üzerinden aşağıdaki komutları uyguluyoruz;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.2.1 255.255.255.0
vrp 10 ip 192.168.1.1
vrp 10 priority 150

Şimdi bu komutları kısaca anlatalım. Burada vrp komutundan sonra uyguladığımız 10 değeri grup numarasıdır. Bu bölüme 1-255 arasında bir değer atayabiliriz. Bu değer vrrp aktif yapacağımız routerlarda aynı olması gerekmektedir. Bu şekilde routerları aynı vrrp protokolünde gösterebiliriz. Ayrıca burada kullandığımız priority değeri önceliği belirtmektedir. Bu bölüme de 1-254 arasında bir değer atayabiliriz. Değeri yüksek olan router üzerinden trafik akışı gerçekleşir. Yani master (birinci) router olarak tanımlanmış olunur (trafik akışı ilk olarak bu router üzerinden gerçekleşir). Bu işlemleri uyguladıktan sonra router0 devre dışı kaldığında çok kısa bir kesintiden sonra trafik akışı router1 üzerinden devam edecektir. Akış her zaman 192.168.1.1 ip üzerinden olacaktır. Çünkü burada sanal ip adresini 192.168.1.1 olarak seçtik.

Not: Dikkat ettiyseniz Router0 üzerinden ekstradan vrp 10 preempt komutunu uyguladık. Bu komutun işlevi şu şekildedir. Ne demiştik router0 da bir kesinti olduğunda yük akışı router1 üzerinden devam edecekti. Bu komut Router0’daki kesinti nedeni ortadan kalktığında trafik akışının otomatik olarak tekrar bu router (Router0) yani master router üzerinden devam etmesini sağlamış olduk.

Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Network ortamında Cisco cihazlara uzaktan bağlantı yapmak istediğimizde telnet ve ssh servislerinden birini kullanabiliriz. Telnet servisinde iletişim şifrelenmeden gerçekleştiği için güvenli bir bağlantı sağlanamaz. Ssh bağlantıda ise iletişim şifreli olarak gerçekleştiği için bağlantı güvenli olmaktadır. Bu nedenden dolayı uzaktan bağlantı yapmak için ssh servisini kullanmamız doğru olacaktır.

Daha önceki yazılarımızda Cisco cihazlarda ssh servisinin temel olarak nasıl aktif
yapabileceğimizi anlatmıştık. Bu yazıda ise bu işlemi daha detaylı bir şekilde anlatacağız. Bu işlemi anlatmak için örnek bir yapı oluşturacağız. Örnek yapımızda switchte ssh servisini aktif yaparak sadece bir ip adresin ssh bağlantı yapmasına izin verip güvenliği üst seviyede tutacağız. Bu işlemi access list kuralı yazarak yapacağız. Şimdi işlemlerimizi geçelim. Yapımızı aşağıdaki görselden inceleyebilirsiniz.

Yapımızda bir adet switch ve iki adet bilgisayar bulunmaktadır. Switch ve bilgisayarların ip bilgileri şu şekildedir;

Switch: 10.0.0.1/8
Pc1:10.0.0.2/8
Pc2:10.0.0.3/8

Yapımızda switchte ssh servisini aktif yaparak sadece 10.0.0.2 ip adresli bilgisayarın ssh bağlantısı yapmasına izin vereceğiz. Bu şekilde şifre denemesi ile bağlantı yapılma ihtimalini bile engellemiş olacağız. Şimdi switch üzerinde yapılacak işlemlere geçelim;

1-) İlk olarak switchte hostname tanımlaması yapıyoruz ve enable moda şifre veriyoruz;

enable 
conf term
hostname bilgialnet
enable secret 12345

2-) İkinci adımda switche ip adresi tanımlaması yapıyoruz;

interface vlan 1
ip address 10.0.0.1 255.0.0.0
no shutdown
exit

3-) Switche başarılı bir şekilde ip adresi tanımladık. Şimdi switchte bir hesap oluşturacağız. Bu hesap ssh bağlantısı yapabilecek. Ayrıca switchte domain name tanımlaması da yapacağız. Son olarak ta ssh bağlantısı için bir anahtar oluşturacağız. Bu anahtarı 1024 bit olarak ayarlayacağız. Bu işlemler için aşağıdaki komutları uygulamamamız yeterli olacaktır;

username onur password 54321
service password-encryption
ip domain-name bilgialnet.com
crypto key generate rsa
1024

4-) İşlemimizi tamamlamak üzereyiz. Bu aşamada ssh bağlantısını aktif yaparak, aynı anda bağlantı yapabilecek kullanıcı sayısını tanımlıyoruz. Bu işlem için uygulamamız gereken komutlar şu şekildedir;

line vty 0 4
transport input ssh 
login local
exit

5-) Artık ssh bağlantısı yapabiliriz. Fakat bu şekilde kısıtlama olmadan networke bağlı tüm bilgisayarlar ssh bağlantı yapma isteği bulunabilir. Bunu engellemek için switch üzerinde bir adet access list yazıyoruz;

ip access-list standard sshizin
permit host 10.0.0.2
exit
line vty 0 4 
access-class ssh izin in
exec-timeout 10
exit

Bu komutlar ile sshizin isimli bir access list oluşturmuş olduk. Bu access listte sadece 10.0.0.2 ip adresin erişim yapabileceği bir izin verdik ve daha sonra ssh bağlantısında bu kuralı gösterdik. Ayrıca burada exec-timeout 10 komutu ile ssh bağlantıda bekleme süresini 10 saniye olarak belirlemiş olduk.

6-) Bilgisayarlara ip tanımlaması yaptıktan sonra switche ssh ile bağlanmayı deneyelim. Bunun için Packet Tracer’da 10.0.0.2 ip adresli bilgisayarın masaüstünden Tlenet/SSH Client yazan yere giriyoruz.

7-) Açılan ekrandan gerekli alanları dolduruyoruz.

😎 Görselde de görüldüğü gibi switche başarılı olarak bağlandık. 10.0.0.3 ip adresli bilgisayardan aynı işlemi denediğimizde switch erişimi başarısız olacaktır.

Cisco cihazlarda ssh açma işlemi bu kadar. Bu konu ile ilgili sorularınızı yorum bölümünden bizlere iletebilirsiniz.

Cisco cihazlarda interfacelerin altına açıklama satırı eklememiz mümkündür. Bu işlem ile birden fazla sistem yöneticisinin olduğu yapılarda kolaylık sağlanabilir. Şimdi bu işlemin nasıl yapıldığını öğrenelim. Örneğin switchimizde bulunan fastEthernet0/1 portuna açıklama satırı ekleyelim;

enable
conf term
int fast0/1
description BU PORT TRUNK OLARAK YAPILANDIRILDI
exit
exit

Evet gerekli açıklamayı port üzerine ekledik. Şimdi enable mod üzerinden bu açıklamayı görüntüleyelim. Bu işlem için aşağıdaki komutu uygulamamız yeterli olacaktır;

show interface fast0/1

Yazdığımız açıklama ilgili port üzerinde gözükmektedir. Cisco cihazlarda bu şekilde interfacelere açıklama ekleyebiliriz. Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Bazı durumlarda network cihazlarımızı resetleme ihtiyacı duyabiliriz. Bu işlemi cihazın elektrik kablosunu çekip takarak yapmak yerine yönetimsel arayüz üzerinden yapmamız sağlıklı olacaktır. Cisco cihazlarda resetleme işlemi için enable mod üzerinden reload komutunu uygulamamız yeterli olacaktır. Bu komutun kullanımı şu şekildedir;

enable
reload

Bu komutlardan sonra işlemin onaylanması bizden istenecektir. Enter tuşuna bastığımızda Cisco cihazımız reboot olacaktır. Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.