Kategori arşivi: Network

Cisco Router ve Switch Radius Yapılandırma

Bir Cevap Yazın

Konumuza geçmeden önce radius servisinin ne işe yaradığından bahsetmek istiyorum.
Radius, uzaktan bağlantılar için kimlik doğrulama yapılmasına olanak sağlayan bir protokoldür. Bu protokol, çeşitli servisler aracılığı ile (ssh, telnet,vpn vb) uzaktan bağlantı yapan kullanıcıların kullanıcı adı ve şifre bilgilerini radius sunucu üzerinden yönetilmesine olanak sağlar.

Bu yazıda Cisco cihazlarda radius işlemini anlatmak için örnek yapı oluşturacağız. Bu yapımızda Cisco switchte telnet bağlantısı için kimlik doğrulama işleminin radius sunucu üzerinden yapılmasını sağlayacağız. Yapımızı aşağıdaki görsel üzerinden inceleyebilirsiniz. Biz işlemleri Packet Tracer programız üzerinden yapacağız.

Switch IP: 192.168.1.1
Radius Server IP: 192.168.1.2
Bilgisayar IP: 192.168.1.3

Bu yapıda pc üzerinden telnet bağlantısı yapacağız. Şimdi gerekli konfigürasyonları yapmaya başlayalım;

-Switch Üzerinden Yapılacak İşlemler-

1-) İlk olarak switchte hostname ve ip tanımlaması yapıyoruz;

enable
conf term
hostname bilgialnet
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown 
exit

2-) Aşağıdaki komutu uygulayarak switche enable şifresi veriyoruz;

enable password secret 12345

3-) Daha sonra radius ve telneti aktif yapıyoruz;

aaa new-model
radius-server host 192.168.1.2 key Deneme123
aaa authentication login default group radius
line vty 0 4
login
exit
exit
write mem

Burada radius-server host bölümünde radius sunucunun ip adresini giriyoruz. Key olarakta radius sunucu ve switchte ortak olarak kullanılacak bir anahtar tanımlıyoruz. İki cihazda da bu bilgi aynı olmalıdır.

-Radius Sunucu Üzerinde Yapılacak İşlemler-

1-) Packet Tracer’da server cihazın üstüne tıklıyoruz. Açılan ekrandan Service yazan sekmeye tıklıyoruz. Daha sonra sol taraftan AAA yazan yere tıklıyoruz.

2-) Açılan bölümden ilk olarak Service bölümünü On duruma getiriyoruz ve daha sonra aşağıdaki alanları dolduruyoruz;

Client Name: Radius client için bir isim veriyoruz.
Client IP: Buraya switchin ip adresini giriyoruz.
Secret: Bu bölüme switch üzerinde radius aktif yaparken girdiğimiz key değerinin aynısını yazıyoruz.
Service Type: Radius olarak seçiyoruz

Gerekli tanımlamaları yaptıktan sonra Add butonuna tıklıyoruz. Daha sonra aynı ekranın alt bölümünden Username ve Password alanlarını doldurup Add butonuna tıklıyoruz. Bu şekilde switche telnet bağlantısı için radius sunucu üzerinden bir kullanıcı oluşturmuş olduk.

Evet radius yapılandırmamızı tamamladık. Şimdi pc üzerinden telnet bağlantısı yapmayı deneyelim.

-Bilgisayar Üzerinden Telnet Bağlantısı Yapma-

1-) İlk olarak Packet Tracer’dan bilgisayarın üstüne tıklıyoruz. Açılan ekrandan Desktop sekmesine tıklıyoruz. Daha sonra alt bölümden Command Prompt yazan yere tıklıyoruz.

2-) Gelen komut ekranından switche telnet bağlantısı yapmak için telnet 192.168.1.1 yazıp enter yapıyoruz. Bu işlemden sonra bizden kullanıcı adı ve şifre istenecektir. Radius sunucu üzerinden oluşturduğumuz kullanıcının bilgilerini girdiğimizde telnet bağlantısı başarılı olarak gerçekleşecektir.

Not: Bu örnekte sadece bilgisayar ve sunucuda sabit ip tanımlama adımlarını göstermedim. Bu işlemleri gözden kaçırmamanız için bu hatırlatmayı yapıyorum.

Tekrar görüşmek üzere. Şimdilik hoçşçakalın.

Cisco Konsol Şifresi Verme

Bir Cevap Yazın

Cisco cihazlar kullanılan network ortamlarında cihazlara fiziksek olarak erişebilecek durumda olanların konsol kablosu ile cihazlara şifresiz olarak erişmeleri istenmeyen bir durumdur. Bu nedenden dolayı güvenlik için tüm cihazlarda consol şifresi tanımlanması yapılmalıdır.

Cisco cihazlarda konsol şifre tanımlama işlemi birkaç adımdan oluşmaktadır. Şimdi bu adımları öğrenelim;

1-) İlk olarak konsol şifresi vermek istediğimiz cihaza konsol kablosu ile bağlantı yapıyoruz. Bu işlem için Hyper terminal veya Putty gibi programlardan bir tanesini kullanabiliriz. Yeni veya sıfırlanmış bir cihazda bu şekilde direkt olarak bağlantı yapabiliriz. Cihaza ulaştıktan sonra aşağıdaki komutları sırasıyla uyguluyoruz;

enable
conf term
line console 0
password 12345
login
exit
exit
write memory

Evet bu şekilde konsol şifresini 12345 olarak verdik. Tabi siz bu şekilde kolay bir şifre tanımlamayın.

2-) İşlemimizi bu aşamada bıraktığımızda bir güvenlik açığı oluşacaktır. Enable mod üzerinden cihaz konfigürasyonunu görüntülediğimizde konsol şifresi açık bir şekilde gözükecektir. Bu işlem için enable mod üzerinden aşağıdaki komutu uyguluyoruz ve şifremizin açık bir şekilde gözüktüğünü görüyoruz;

show startup-config

Evet görüntüde de gözüktüğü gibi konsol şifresi açık bir şekilde gözükmektedir.

3-) Şifre görünümünü şifrelemek için aşağıdaki komutları uyguluyoruz;

conf term
service password-encryption
exit
write memory

4-) Evet tekrar enable mod üzerinden aşağıdaki komutu uyguladığımızda şifremiz şifrelenmiş bir şekilde gözükecektir.

show startup-config

5-) Bu işlemden sonra Packet Tracer üzerinden konsol kablosu ile bağlantı yapmayı deneyelim. Gerekli bağlantıları yaptıktan sonra bilgisayar masaüstünden Terminal yazan yere tıklıyoruz.

6-) Açılan bölümden konfigürasyonu aynı şekilde bırakıyoruz ve Ok butonuna tıklıyoruz.

7-) Gelen ekranda da gözüktüğü gibi cihaza bağlanmak için şifre girmemiz gerekmektedir. Tanımladığımız konsol şifresini girdiğimizde cihaza erişebiliyor olduk.

Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Cisco VRRP Konfigürasyonu

Bir Cevap Yazın

VRRP kısaca, network ortamında yönlendirici (router) yedekliliğini sağlayan bir protokoldür. Bu protokol sayesinde network ortamında birden fazla yönlendiriciyi tek bir yönlendirici gibi gösterebilmemiz mümkündür. Bu protokol ayrıca network trafiğinin birden fazla yönlendirici (router) üzerine dağıtarak yük paylaşımı yapılmasına da olanak sağlar.

Cisco cihazlarda bu protokolü aktif yapmak için uygulanması gereken adımları bu yazıda detaylı bir şekilde öğreneceğiz. Bu işlemi örnek yapı üzerinden anlatacağız. Aşağıdaki görselden örnek yapımızı inceleyebilirsiniz.

İlk olarak Router0 üzerinden aşağıdaki komutları uyguluyoruz;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
vrp 10 ip 192.168.1.1
vrp 10 priority 200
vrp 10 preempt

Daha sonra Router1 üzerinden aşağıdaki komutları uyguluyoruz;

enable
conf term
int gig0/0/0
no shutdown
ip address 192.168.2.1 255.255.255.0
vrp 10 ip 192.168.1.1
vrp 10 priority 150

Şimdi bu komutları kısaca anlatalım. Burada vrp komutundan sonra uyguladığımız 10 değeri grup numarasıdır. Bu bölüme 1-255 arasında bir değer atayabiliriz. Bu değer vrrp aktif yapacağımız routerlarda aynı olması gerekmektedir. Bu şekilde routerları aynı vrrp protokolünde gösterebiliriz. Ayrıca burada kullandığımız priority değeri önceliği belirtmektedir. Bu bölüme de 1-254 arasında bir değer atayabiliriz. Değeri yüksek olan router üzerinden trafik akışı gerçekleşir. Yani master (birinci) router olarak tanımlanmış olunur (trafik akışı ilk olarak bu router üzerinden gerçekleşir). Bu işlemleri uyguladıktan sonra router0 devre dışı kaldığında çok kısa bir kesintiden sonra trafik akışı router1 üzerinden devam edecektir. Akış her zaman 192.168.1.1 ip üzerinden olacaktır. Çünkü burada sanal ip adresini 192.168.1.1 olarak seçtik.

Not: Dikkat ettiyseniz Router0 üzerinden ekstradan vrp 10 preempt komutunu uyguladık. Bu komutun işlevi şu şekildedir. Ne demiştik router0 da bir kesinti olduğunda yük akışı router1 üzerinden devam edecekti. Bu komut Router0’daki kesinti nedeni ortadan kalktığında trafik akışının otomatik olarak tekrar bu router (Router0) yani master router üzerinden devam etmesini sağlamış olduk.

Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Cisco Switch ve Router üzerinde SSH Açma

Bir Cevap Yazın

Network ortamında Cisco cihazlara uzaktan bağlantı yapmak istediğimizde telnet ve ssh servislerinden birini kullanabiliriz. Telnet servisinde iletişim şifrelenmeden gerçekleştiği için güvenli bir bağlantı sağlanamaz. Ssh bağlantıda ise iletişim şifreli olarak gerçekleştiği için bağlantı güvenli olmaktadır. Bu nedenden dolayı uzaktan bağlantı yapmak için ssh servisini kullanmamız doğru olacaktır.

Daha önceki yazılarımızda Cisco cihazlarda ssh servisinin temel olarak nasıl aktif
yapabileceğimizi anlatmıştık. Bu yazıda ise bu işlemi daha detaylı bir şekilde anlatacağız. Bu işlemi anlatmak için örnek bir yapı oluşturacağız. Örnek yapımızda switchte ssh servisini aktif yaparak sadece bir ip adresin ssh bağlantı yapmasına izin verip güvenliği üst seviyede tutacağız. Bu işlemi access list kuralı yazarak yapacağız. Şimdi işlemlerimizi geçelim. Yapımızı aşağıdaki görselden inceleyebilirsiniz.

Yapımızda bir adet switch ve iki adet bilgisayar bulunmaktadır. Switch ve bilgisayarların ip bilgileri şu şekildedir;

Switch: 10.0.0.1/8
Pc1:10.0.0.2/8
Pc2:10.0.0.3/8

Yapımızda switchte ssh servisini aktif yaparak sadece 10.0.0.2 ip adresli bilgisayarın ssh bağlantısı yapmasına izin vereceğiz. Bu şekilde şifre denemesi ile bağlantı yapılma ihtimalini bile engellemiş olacağız. Şimdi switch üzerinde yapılacak işlemlere geçelim;

1-) İlk olarak switchte hostname tanımlaması yapıyoruz ve enable moda şifre veriyoruz;

enable 
conf term
hostname bilgialnet
enable secret 12345

2-) İkinci adımda switche ip adresi tanımlaması yapıyoruz;

interface vlan 1
ip address 10.0.0.1 255.0.0.0
no shutdown
exit

3-) Switche başarılı bir şekilde ip adresi tanımladık. Şimdi switchte bir hesap oluşturacağız. Bu hesap ssh bağlantısı yapabilecek. Ayrıca switchte domain name tanımlaması da yapacağız. Son olarak ta ssh bağlantısı için bir anahtar oluşturacağız. Bu anahtarı 1024 bit olarak ayarlayacağız. Bu işlemler için aşağıdaki komutları uygulamamamız yeterli olacaktır;

username onur password 54321
service password-encryption
ip domain-name bilgialnet.com
crypto key generate rsa
1024

4-) İşlemimizi tamamlamak üzereyiz. Bu aşamada ssh bağlantısını aktif yaparak, aynı anda bağlantı yapabilecek kullanıcı sayısını tanımlıyoruz. Bu işlem için uygulamamız gereken komutlar şu şekildedir;

line vty 0 4
transport input ssh 
login local
exit

5-) Artık ssh bağlantısı yapabiliriz. Fakat bu şekilde kısıtlama olmadan networke bağlı tüm bilgisayarlar ssh bağlantı yapma isteği bulunabilir. Bunu engellemek için switch üzerinde bir adet access list yazıyoruz;

ip access-list standard sshizin
permit host 10.0.0.2
exit
line vty 0 4 
access-class ssh izin in
exec-timeout 10
exit

Bu komutlar ile sshizin isimli bir access list oluşturmuş olduk. Bu access listte sadece 10.0.0.2 ip adresin erişim yapabileceği bir izin verdik ve daha sonra ssh bağlantısında bu kuralı gösterdik. Ayrıca burada exec-timeout 10 komutu ile ssh bağlantıda bekleme süresini 10 saniye olarak belirlemiş olduk.

6-) Bilgisayarlara ip tanımlaması yaptıktan sonra switche ssh ile bağlanmayı deneyelim. Bunun için Packet Tracer’da 10.0.0.2 ip adresli bilgisayarın masaüstünden Tlenet/SSH Client yazan yere giriyoruz.

7-) Açılan ekrandan gerekli alanları dolduruyoruz.

😎 Görselde de görüldüğü gibi switche başarılı olarak bağlandık. 10.0.0.3 ip adresli bilgisayardan aynı işlemi denediğimizde switch erişimi başarısız olacaktır.

Cisco cihazlarda ssh açma işlemi bu kadar. Bu konu ile ilgili sorularınızı yorum bölümünden bizlere iletebilirsiniz.

Cisco Switch Port Birleştirme

Bir Cevap Yazın

Network ortamımızda hat yedekliliğini sağlamak istediğimizde etherchannel teknolojisini kullanabiliriz. Bu teknoloji hat yedekliliğinin yanı sıra port hızı arttırmak içinde kullanılmaktadır. Kısaca etherchannel teknolojisi sayesinde birden fazla kablo ile birbirine bağlı olan switchleri tek bir kablo üzerinden bağlıymış gibi gösterebiliriz.
Bu işlemi Cisco cihazlarda birleştirmek istediğimiz portları aynı channel group
içine alarak yapabiliriz. Şimdi bu işlem için örnek bir uygulama yapalım.

Yapımız yukarıdaki görseldeki gibidir. Switchlerin birbirlerine bağlı olan portlar görselde gözükmektedir. Bu doğrultuda konfigürasyonu yapmaya başlayalım;

Not: İşleme başlamadan önce bir hatırlatma yapmak istiyorum. Etherchannel yapılacak switchlerde portların hızları aynı olmalıdır. Ayrıca en az 2 en fazla 8 port bu şekilde birleştirebiliriz. Bu hatırlatmaları yaptıktan sonra konfigurasyonu yapmaya başlayalım;

1-) İlk olarak Switch0 üzerinden gerekli komutlarımızı uyguluyoruz;

enable
conf term
interface range fast0/1-2
channel-group 1 mode active

Burada Switch0 da Fastethernet0/1 ve Fastethernet0/2 portlarını channel group 1 içine dahil ettik.

2-) Şimdi Switch1 üzerinde gerekli komutları uyguluyoruz;

enable
conf term
int range fast0/10-11
channel-group 1 mode active

Bu switchte de Fastethernet0/10 ve Fastethernet0/11 portlarını channel group 1 içine dahil ettik. Artık iki switchin birbirine bağlı olduğu portlar aynı channel grubun içinde. Bu şekilde işlemimizi tamamlamış olduk.

3-) Şimdi herhangi bir switch üzerinden enable modda aşağıdaki komutu uygulayalım ve switchde olan etherchannel ayarlarımızı görüntüleyelim;

show etherchannel summary

4-) Aşağıdaki komut ile de port channel 1 hakkında detaylı bilgi alalım. Burada port hızının da artmış olduğunu göreceğiz;

enable
show int port-channel 1

Evet Cisco cihazlarda Etherchannel işlemi bu kadar. Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.

Cisco Cihazlarda Interface Altına Açıklama Ekleme

Bir Cevap Yazın

Cisco cihazlarda interfacelerin altına açıklama satırı eklememiz mümkündür. Bu işlem ile birden fazla sistem yöneticisinin olduğu yapılarda kolaylık sağlanabilir. Şimdi bu işlemin nasıl yapıldığını öğrenelim. Örneğin switchimizde bulunan fastEthernet0/1 portuna açıklama satırı ekleyelim;

enable
conf term
int fast0/1
description BU PORT TRUNK OLARAK YAPILANDIRILDI
exit
exit

Evet gerekli açıklamayı port üzerine ekledik. Şimdi enable mod üzerinden bu açıklamayı görüntüleyelim. Bu işlem için aşağıdaki komutu uygulamamız yeterli olacaktır;

show interface fast0/1

Yazdığımız açıklama ilgili port üzerinde gözükmektedir. Cisco cihazlarda bu şekilde interfacelere açıklama ekleyebiliriz. Cisco ile ilgili konularımıza devam edeceğiz. Bizi takip etmeye devam edin.