Yusuf Can Çakır tarafından yazılmıştır.
Normal şartlarda 2 adet bilgisayarı kolayca birbirine bağlayıp network’ü tamamlayabiliyorduk ancak 2’den fazla bilgisayarı bağlamaya kalktığımızda işler biraz karışıyor. Çünkü iki bilgisayar kendi aralarında Ethernet bağlantısı yapıyor zaten, 3. bilgisayar gelince, başka ethernet girişi olmadığı için dışarıda kalıyor.
Doğru-cihaz-secimi-1
Bu gibi durumlar yaşanmaması için farklı bir şeyler yapmamız gerekiyor haliyle. Araya bir HUB koyabiliriz. PC0 ile PC1 arasındaki bağlantıyı koparttım ki HUB’a bağlayarak aradaki iletişimi sağlayabilelim.
Doğru-cihaz-secimi-2
İlk olarak bir önceki yazıdaki kablo seçimini hatırlayalım. Farklı cihazlar genel itibari ile düz kabloyu tercih etmektedir. Bu yüzden bizde PC-Hub arasında düz kabloyu tercih edeceğiz.
Doğru-cihaz-secimi-3
Doğru-cihaz-secimi-4
Peki neden Hub kullandık ve Hub tam olarak nedir?
Birden fazla cihazı birbirine bağlamak için kullanılan fiziksel bir katman ağ cihazı olarak geçmektedir. Genel kullanım itibari ile LAN ağındaki cihazları bağlamak için kullanılmaktadır. Hub’ın birçok portu bulunmaktadır ve bu sayede birden fazla cihazı birbirine bağlayabilir.
Ve mesajları Broadcast olarak yayınlar. Yani ağda bulunan herkese gönderilen mesajı gönderir.
Şimdi bütün cihazlara IP atadığımızdan ve başarılı bir şekilde bağlantı kurduğundan emin olalım.
Bunda da bir önceki yazıdan öğrendiğimiz ping komutu ile anlayabiliriz.
Ping-1
Şimdi buraya baktığımızda iki bilgisayar ile bağlantı kurduğumuzdaki halinden bir fark yok gibi duruyor. Birde Simulation Tab kısmından buna bir bakalım.
Ping attığımızda bir hareketlilik oldu, PC0’dan bir paket oluştu ve hazırda bekliyor.
ping-2
Ping-3
Mesaj Hub’a ulaştı ve gideceği rotayı izleyelim birlikte.
İlginçtir ki mesaj iki cihaza da gitti peki neden? Hub’ı tanımlarken söylemiş olduğum gibi Hub broadcast yayın yapan bir ağ cihazıdır ve herkese mesajı iletir. Peki PC1’e bu mesaj ait değil ve nasıl bir tepki verecek?
Ping-4
Fotoğraf olduğu için tam gözükmüyor ancak üstünde çarpı işareti oluyor. Bu da “bana ait değil bu paket” anlamına geliyor. PC2’ye gelen paket açıldı ve bir cevap oluşturulup Hub’a geri gönderildi.
Ping-5
Fakat Hub yine aldığı mesajı aktif olan cihazlara iletti.
Ping-6
Peki birden fazla paket aynı anda harekete geçerse ne olabilir acaba? Paketler çakışır ve bir işlevi kalmaz.
ping-6-2
Bu olaya da Collision Domain (Çakışma Alanı) denmektedir.
Ping-8
Hub’da bozulan mesaj duraksamadan cihazların hepsine ulaştı fakat mesaj bozuk. Bu mesajların ulaştığı son yer dahil bütün alana Collision Domain deniyor. Şimdi ağımızı biraz genişletelim birlikte.
2 yeni PC ve 2 yeni Hub ekledim network’e ve aynı şekilde birden fazla paket gönderimi yapalım ne olacak bakalım.
Aynı şekilde PC0 ve PC2’den paketler gelip 1. Hub’da bozuldu.
Ping-9
Farklı olan olay şu, Hub’dan sadece bilgisayarlara gideceğini düşünürken diğer bağlı Hub’a da gitti ve Collusion Domain’imiz daha da büyüdü.
Ping-10
Bu durumun önüne geçebilmek için iki Hub arasına yine bir Hub koymak yerine Switch koymamız daha mantıklı olacaktır. Peki Switch nedir?
Switch, bir network’de cihazların birbiri ile iletişime geçebilmesi için bağlantı yapan cihazdır. Hub’dan farklı olarak broadcast yayın yapmaz, unicast yayın yapar. Yani hedefi kimse sadece ona gider ve işlemi bitirir.
2 Hub arasına Switch’i ekleyelim.
switch-baglantisi
Şimdi tekrardan paketleri gönderelim ve nasıl bir sonuç alacağımıza bakalım.
switch-baglantisi-1
Aynı şekilde Hub’da paketler bozuldu ve yoluna devam ediyor.
switch-baglantisi-2
Switch Hub’dan aldığı mesajı diğer Hub’a iletmedi çünkü unicast işlem yapıyor ve hedef kendisi değil.
NOT: Aziz Bektas hocamın bir notu, Switch’in her bir Interface’i bir Collision Domain’dir.
Cihazların bağlantısından, hangi kablo türü ile bağlantı yaptığından ve bağlantı da ne gibi durumlar olduğuna değinmiştim şimdi de ARP’ın ne olduğundan ve Switch konfigürasyonundan bahsedeceğim.
ARP (Address Resolution Protocol), temel olarak bir yerel ağda, IP adresi bilinen cihazın MAC adresinin bulunması için kullanılmaktadır. MAC adresinin bulunma sebebi, yerel ağda cihazlar MAC adreslerini kullanarak iletişim kurarlar. Bu MAC adresi bilgileri bilgisayarların RAM belleğinde tutulmaktadır. Bu tutulduğu yere ARP tablosu denmektedir.
Örnek bir network oluşturalım, bunun için 1 adet switch, 3 adet bilgisayar kullanalım. Burada Switch kullanmamızın amacı, Switch’in kendisine gelen paketlerdeki MAC adreslerini kayıt ediyor olması. Yani kendisine gelen paketleri inceliyor, hangi cihazdan geldiğine bakıyor ve o cihazın MAC adresini alıp, kendi içerisindeki MAC tablosuna yazıyor.
arp-1
Simulation Tab’ı açalım ve filter kısmından sadece ARP ve ICMP’yi seçelim. Daha sonrasında bir bilgisayara IP ataması yapalım.
IP atamasını, bilgisayarın üstüne bir kere tıklayıp Desktop > IP Configuration seçeneğine tıklayalıp yapıyorduk.
arp-2
Gördüğünüz gibi bir paket oluştu ve sağda bunun bir ARP paketi olduğu yazıyor.
arp-3
Haydi bu paketin içeriğine bakalım.
arp-4
Burada Source MAC: 0009.7C38.9E44 MAC adresi PC0’ın yani paketi oluşturan cihazın MAC adresidir.
Destination MAC: FFFF.FFFF.FFFF çünkü yerel ağda bulunan bütün cihazlara bu paket gidecek. Bunun sebebi de PC0’a atadığımız IP adresinin diğer cihazlarda kullanılıp kullanılmadığına bakılacak ve bu gönderim türü broadcast‘tir.
Source IP: 192.168.1.10 PC0’a atadığımız IP adresi.
Destination IP: 192.168.1.10 buradaki amaç ise ağda bulunan bütün cihazlara “192.168.1.10 IP adresli cihaz sen misin?” diye soru sormaktır. Eğer ki böyle bir IP adresine sahip bilgisayar yoksa, bu paketi alan bütün bilgisayarlar paketi drop’layacak.
arp-5
arp-6
Paket Switch’e geldi ve diğer bilgisayarlara iletildi, diğer bilgisayarlarda bu IP adresine sahip olmadıkları için paketi drop’ladı. Fakat iki cihaz aynı IP adresi kullanırsa ne olur?
arp-7
İkisi de kullanmayı denedi ve ilk olarak atadığımız IP’li bilgisayar o IP’yi kullanmaya devam etti. İkinci olarak atadığımız bilgisayarda ise “Başka bir cihazda bu IP adresi kullanılıyor” gibi bir dönüt verdi.
Yukarıda belirtmiştim Switch interface’lerden gelen paketleri inceleyip, MAC tablosunu doldurmaktadır diye, şimdi bu tabloya bir bakalım. Tabloya bakabilmek için klavyeden “I” harfine tıklayalım ve Switch’in üstüne tıklayalım.
arp-8
Buradan da MAC Table seçeneğine tıklayalım.
arp-9
FastEthernet0/2 ve FastEthernet0/1’e bağlı iki adet MAC adresi olduğunu gösteriyor bizlere.
ARP’ın bir başka kullanıldığı yerde ping atarkendir.
PC0’dan PC1’e ping atacağız bunun için ping PC1’in IP adresi yazdık ve ICMP ve ARP paketleri göründü.
arp-10
Bu paketi forward ettiğimizde ilk olarak ARP paketi gitti.
ARP-11
Buradaki amaç şu, ARP paketi sayesinde karşı tarafın MAC ve IP adresi bilgilerini alıp, ICMP’yi ona göre tek bir hedefe göndermektir.
PC1’e giden ARP paketi drop’lanmadı görüldüğü gibi.
arp-12
Ayrıca bilgisayarlarda ARP tablosu olduğunu söylemiştim yukarıda, bir bakalım PC1’in ARP tablosunda PC0’a ait bilgiler var mı diye.
arp-13
PC0’ın IP ve MAC bilgileri tabloda kayıtlı fakat PC0’ın ARP tablosuna baktığımızda boş olduğunu göreceğiz çünkü PC0’a herhangi bir paket daha gelmedi.
arp-14
PC0’a paket geldi ve ARP tablosuna baktığımızda PC1’in IP ve MAC bilgilerinin yazıldığını görüyoruz.
arp-15
arp-16
Bu şekilde ARP’ı bitirmiş olduk.
2960 Switch ile işlem yaptık bu zamana kadar ve şimdi de bununla devam edeceğiz. 2960 Switch local network’lerde kullanılmaktadır.
2960 Switch bir Layer 2 switch’tir ve MAC adres bilgisini okuyabilir. Çünkü MAC bilgisi Layer 2 bilgisidir.
Switch yapılandırılmasındaki neden güvenlik ve kaliteli bir iletişim kurabilmektir. Switch’in içerisindeki işletim sistemi yardımıyla konfigüre edeceğiz. Switch’i konfigüre edebilmek için bir bilgisayar ve Console kablosu gerekmektedir.
switch-yapılandırma
Normal bir bilgisayarı sürükle bırak ile bıraktık, şimdi sıra kablo bağlantısında.
switch-yapılandırma-2
Connections tabında turkuaz renkteki Console kablosunu seçip, Console Bilgisayar ile Swich‘i bağlayalım. Bunun içinde Switch’te bulunan Console Interface‘ini seçelim.
switch-yapılandırma-3
Diğer ucunu da bilgisayardaki RS-232 interface’ine bağlıyoruz.
switch-yapılandırma-4
Şöyle bir kablo oluyor RS232 kablosu. Büyük olan kısım RS232 olarak geçmektedir ve bu ucu bilgisayarımıza takıyoruz. Bu uca uygun giriş yerine sahip cihaz bulmak zor bu yüzden dönüştürücüler ile bunu USB girişi haline getiriyorlar.
switch-yapılandırma-5
Switch ile bilgisayar arasında kablosal anlamdaki yapıyı kurduk, şimdi konfigürasyon sırasında fakat direkt olarak bu işlemi kendi bilgisayarımızda konfigüre edemiyoruz. Yardımcı terminal uygulamaları ile bunu yapacağız, benim en çok kullandığım PuTTY dir. Fakat biz Packet Tracer’dan devam edelim ve bize sunduğu Console‘dan yararlanalım.
Bilgisayarımıza tıklayalım Desktop > Terminal seçeneğine gelelim.
switch-yapılandırma-6
Default yapılandırma bu şekildedir.
switch-yapılandırma-7
Okey diyelim ve devam edelim.
switch-yapılandırma-8
Bu şekilde bir terminal ekranı bizleri karşıladı, enter’a basarak kod yazma alanına gelebiliriz. Bağlantımızı da sağladık şimdi yavaş yavaş konfigüre etmeye başlayalım. İlk olarak hangi komutları kullanabileceğimize ve bu komutların ne olduğuna bakacağız.
İlk komutumuz yardım almak için ” ? ” olacak, yardım isteyerek başlamak en iyisi çünkü bir yerde veya bir komutta takıldığımızda help komutu imdadımıza yetişecek.
Komut satırına ? yazdığımızda bizlere kullanabileceğimiz komutları ve açıklamalarını gösteriyor.
switch-yapılandırma-9
Örnek olarak bir komutun parametrelerine bakmak için ise, komut ? yazıyoruz.
switch-yapılandırma-10
Show komutunda daha çok parametre var mesela.
switch-yapılandırma-11
Normal terminal gibi tab tuşuna bastığımızda sadece o harflerle başlayan tek komut var ise tamamlıyor fakat birden fazla komut var ise tamamlama yapmıyor.
Komutu tamamlamadan basarsak Incomplete Command çıktısını alırız yani tamamlanmamış komut.
switch-yapılandırma-12
Bir işlemi iptal etmek istiyorsak CTRL + SHIFT + 6 kombinasyonunu yapıyoruz. Ayrıca aşağıdaki gibi bir lookup süreci yaşarsanız 60 saniye kadar beklemelisiniz. Buradaki olay şu, “b” isimli yazıyı bir isim çözümlemesi yapılmaktadır.
switch-yapılandırma-13
Bu lookup işleminin önüne geçebilmek için global config modunda no ip domain-lookup komutunu yazabiliriz.
nolookup
nolookup-2
Birde mode‘lardan bahsedeyim. Bunlar üç tanedir; user mode, privilege mode ve global config mode‘dur.
İlk başta biz command line’a girdiğimizdeki mod USER MODE‘dur.
Switch> şeklinde bir girdisi vardır.
switch-yapılandırma-14
Yetkili kullanıcı modudur. Switch’i yapılandırma ve yönlendirme işlevlerine sahip moddur. Enable yazdığımızda ise privilege mode‘a geçmiş oluruz.
Komut girdi ekranı Switch# şekline dönüyor.
switch-yapılandırma-15
Switch’in bütün arayüzünü ilgilendiren değişikliklerde kullanılmaktadır. Configure terminal yazarakta global config mode‘una giriş yaparız.
switch-yapılandırma-16
Bu modda ise port ile ilgili komutları yazacağız. Girmek için Global config modunda ise interface fastEthernet 0/2(bu hangi porta gireceğinize bağlı olarak değişkenlik gösterir.)
switch-yapılandırma-17
Global moddan privilege moda dönmek için exit komutunu kullanıyoruz.
switch-yapılandırma-18
Privilege moddan user moda dönmek için ise disable komutunu kullanıyoruz.
switch-yapılandırma-19
Kısaca modlardaki satır görüntüleri şu şekildedir.
Haydi gelin cihazın ismini değiştirelim.
Cihazın ismini değiştirmek için hostname komutunu kullanıyoruz. Global configuration modunda bu komutu kullanacağız.
Kullanımı oldukça kolaydır, hostname isim şeklindedir.
hostname-1
Bu ismi silmek ve geri Switch ismine geri dönmek için ise no hostname komutunu kullanbilirsiniz.
hostname-2
Hostname isimlendirme de programlama dillerindeki gibi değişken isimleri “sayı ile başlayamaz, noktalama işaretleri ile başlanamaz” gibi kurallar yoktur, kullanılabilir. Sadece isimde boşluk bırakmamız gerekmektedir.
Komutlarla ilgili ufak pratikler yapıp, daha iyi oturtalım kafamıza yapıyı.
Örnek olarak show komutu ile bazı parametreleri kullanalım.
İlk olarak version parametresini kullanalım. Bunun için terminal ekranına show version yazıyoruz.
show-komutu-7
show-komutu-8
Show mac-address-table komutu ile Switch’teki MAC adres tablosunu görebiliriz.
show-komutu
Belki sizde bu tablo boştur, bunun sebebi bilgisayarlar iletişim kurmamışlardır. Bu iletişimi sağlamak için ping attırabiliriz. Arayüze gelip, P tuşuna basarak PC0’a tıklayalım, ardından PC1’e tıklayalım.
show-komutu-2
show-komutu-3
Bende bir değişiklik olmayacak çünkü switch’im zaten PC0 ve PC1’in MAC adreslerini biliyordu.
Fakat şöyle bir şey yapabiliriz, MAC adres tablosunu temizleriz ve tekrar bakarız. MAC adres tablosunu temizlemek için ise clear mac-address-table komutunu kullanıyoruz.
show-komutu-4
Tekrar ping attıralım ve tabloya tekrar bakalım.
show-komutu-5
show-komutu-6
MAC tablomuz tekrardan doldu.
Bir başka parametremiz interface brief parametresidir. Bu komut sayesinde interface’lerin ayakta mı yoksa kapalı mı olduğunu, IP adreslerini ve durumlarını anlayacağız.
show-komutu-9
Veyahut şu şekilde de bakabiliriz interface’lere; show interfaces fastEthernet 0/1
show-komutu-10
Şimdi farklı bir konuya değineceğim, hafıza yapıları. Hepsini şimdi göstermeyeceğim fakat şu anda öğrenirsek iyi olabilecekleri göstereceğim.
Flash yapısında cihazın IOS imaj dosyası saklanmaktadır. Bunu da görebilmek için show flash: yazmamız yeterlidir. Fakat bazı sorularda çalışan switch ve router’ın konfigürasyon verilerinni Flash’te saklandığı da yazmaktadır.
flash_memory
Bir başka hafıza türü de RAM memory’dir. RAM’de çalışan switch ve router’ın konfigürasyon bilgileri saklanmaktadır.
Bu verileri görüntülemek için ise show running-config yazmamız yeterlidir.
ram_memory
Current configuration: Çalışan konfigürasyon dosyasının boyutu (ne kadar konfigüre edersek o kadar bu boyut artacaktır.)
Version 15.0: IOS versiyonu
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption: Bu da varsayılan olarak kullanılan bazı konfigürasyon ayarlarıdır.
hostname: cihazın ismi
Aşağıya doğru uzanan satırlarda cihazın arayüzü ile ilgili verilerdir.
Buradaki hafıza geçicidir, aynı bizim bilgisayarlarımızdaki gibi. Konfigürasyon ayarlarını yaptıktan sonra mutlaka kaydetmemiz gerekemektedir. Yoksa cihazın kapanma gibi bir durumunda bütün konfigürasyon ayarları gidecektir.
Peki konfigürasyon ayarlarını kaydedeceğiz de nereye kaydedeceğiz? Bunun cevabı da NV-RAM.
NV: Non-volatile yani geçici olmayan anlamına gelmektedir. Buradaki veriler de kalıcı bir şekilde saklanmaktadır. Bu hafızayı görüntülemek için show startup-config yazmamız yeterlidir.
nv-ram
Herhangi bir kayıt yapmadığımız için kaydedilmiş bir veri yok.
Peki nasıl kaydedeceğiz? Bunun için copy komutunu kullanacağız.
copy
Burada nereden sorusu soruluyor bizlere. Biz running-config deki dosyaları kaydetmek istiyoruz bu yüzden copy running-config diyoruz.
copy-2
Şimdi de nereye kaydetmemi istiyorsun diyor. Bunun cevabı da startup-config olacaktır, komutun son hali copy running-config startup-config dir.
copy-3
Bize hedef dosyanın isminin değişip değişmeyeceğini sordu, enter‘a tıklayarak devam edebiliriz.
Şimdi startup-config bilgilerine bir bakalım tekrardan.
startup
Gözüktüğü gibi running-config’deki verileri startup-config’e aktarılmış. Veya bir başka yol deneyebiliriz.
Biz illaki *running-config’*i *startup-config’*e aktaracaksak write memory yazdığımızda da aynı işlem olacaktır.
Hiçbir
write
soru sorulmadan direkt olarak running-config’deki veriler, startup-config’e atandı.
Artık Switch’in ne olduğunu, ne gibi komutların kullanabileceğini öğrendik. Şimdi sırada güvenliğin önemine geldi. Bir kişi switch’e izinsiz bir bağlantı yaptığında aşağıdaki komutların hepsine erişerek, IOS hakkında bilgi olabilir, kullanıcılar hakkında bilgi alabilir gibi gibi. Bu yüzden güvenlik önemli bir nokta.
switch_guvenlik-1
Aşağıdaki giriş ekranında bir kimlik doğrulama(authentication) işlemi yapılırsa, dışarıdan gelen kullanıcılar direkt giriş yapamaz.
switch_guvenlik-2
Bu güvenliği sağlayabilmek için global console mode‘unda işlem yapmalıyız. Bunun için user-mode‘da enable yazıyoruz ve privilege mode’a giriş yapıyoruz sonrasında config terminal yazarak global config moduna geçtik. Sıra fiziksel konsola giriş yapmakta bunun içinde line console 0 yazıyoruz. Buradaki 0’ın anlamı; programlama dillerinde indeks numaraları 0’dan başlar ve 1. değeri simgeler. Aynı şekilde switch’de de bir kişi buraya bağlanabileceği için bu değeri simgelemektedir.
switch_guvenlik-3
Default switch’lerde giriş yapılırken şifre sorulmaması için ayarlanmıştır. Biz ilk olarak bunu şifre sor dedirtmeliyiz. Bunun için login komutunu kullanıyoruz.
switch_guvenlik-4
Şifre belirlemek için ise password komutunu kullanacağız. Kullanımı oldukça basit, password parola şeklinde yazıyoruz.
switch_guvenlik-5
Çıkış yapalım ve deneyelim, çıkış yapmak için logout komutunu kullanalım user-mode’da.
Gördüğünüz gibi bizlere şifre sordu.
switch_guvenlik-6
“Konsolumuz artık güvende!” mi acaba? Tam olarak maalesef değil, çünkü dışarıdan SSH ile girildiğinde user-mode‘a direkt olarak giriş yapılabiliyor, buradan da privilege-mode’a giriş yapılabilir.
switch_guvenlik-7
Tam bu noktada bir şifre daha sorulsa, çokta tatlı olur. Bunun içinde *global-configuration-mode’*a giriş yapıyoruz ve enable password parola yazıyoruz.
switch_guvenlik-8
User-mode’a gelelim ve privilege mode’a girmeyi deneyelim, gördüğünüz gibi bizden şifre istedi.
switch_guvenlik-9
Peki ben local olarak packet tracer gibi ortamda çalışıyorum, birisi girse de bir sorun teşkil etmiyor benim için diyorsanız ve şifreyi kaldırmak istiyorsanız da no enable password komutunu kullanarak parolayı kaldırabiliriz.
switch_guvenlik-10
switch_guvenlik-11
Bu yaptığımız ayarları kaydedlim bunun için privilege mode’da write yazalım ve switch’i run sh komutu ile baştan başlatalım.
switch_guvenlik-12
Biz o kadar şifreyi ayarladık fakat burada verimiz clear-text yani hiçbir şifreleme işleminden geçmeden burada duruyor ve bunun ismi TYPE 0‘dır. Bunun sebebi enable password komutundan kaynaklanıyor. Bu komutta veriler okunabilir bir değer olarak saklanıyor. Bunun önüne geçebilmek için enable secret komutunu kullanacağız.
Tekrardan global-config moduna geçelim ve enable secret parola yazalım.
switch_guvenlik-13
switch_guvenlik-14
Görüldüğü gibi parolamız şifrelenmiş bir şekilde duruyor. secret 5‘teki 5’in anlamı MD5’den gelir. Bu bir şifreleme yöntemidir ve buna TYPE 5 denir. Birde TYPE 7 vardır onu da aşağıda göstereceğim.
password ile secret parola yöntemlerinin ikisini de aynı anda kullanabiliyoruz ancak secret daha öncelikli kullanımdadır, yani giriş yaparken secret ile yazdığımız parolayı kullanmak durumundayız.
TYPE 7’yi tanımlamam gerekirse, sistemde clear-text olarak bulunan parolaları CISCO’nun kendi algoritması ile şifrelenmesine denmektedir. Bunu kullanabilmek için ise service password-encryption komutunu kullanıyoruz.
switch_guvenlik-15
switch_guvenlik-16
Konsol güvenliğinden sonra Telnet’e de bir bakalım
Switch’lerde varsayılan olarak telnet açıktır ve kullanılabilir. Sadece bazı konfigürasyon ayarları yapılması gerekmektedir, örnek olarak kaç kişi oturum açacak gibi.
Oturum sayısını ayarlamak için global config modun da line vty 0 1’den 15’e kadar sayı yazıyoruz. Burada 0 dahil olarak toplam kaç kişinin giriş yapabileceğini belirtiyoruz. Örnek olarak line vty 0 3 dersek toplam 4 kişi bağlanabilir, 0-1-2-3 şeklinde.
telnet_guvenligi-1
Parola belirlemek için ise password parola şeklinde yazıyoruz. Ayrıca login olabilmemiz için login komutu ile bunu aktif hale getirmemiz gerekiyor.
telnet_guvenligi-2
Güvenlik kısımları bu kadardı. Şimdi birkaç özelleştirme ile ilgili bilgi verip bitireceğim.
Switch’te oturum kapandı diyelim ve giriş yapacağız. Giriş yaparken bir açıklama yazdırabiliriz, bunun adına banner message denmektedir. Mesaj burada tam olarak gözükecektir.
banner
Burada bizlere c karakterinin sınırlayıcı karakter olduğunu belirtiyor, başına ve sonuna c karakterini yerleştirerek, araya mesajımızı yazıyoruz.
banner-2
banner-3
Bu ana kadar Console kablosu üzerinden işlemler yaptık. Şimdi Telnet bağlantısı yapacağız ve bunu çapraz kablo ile yapacağız. İlk olarak console kablo ile switch’e bağlamış olduğumuz PC’yi, çapraz kablo ile bağlayalım.
telnet-1
Telnet bağlantısı için yukarıda yapmış olduğumuz ayarlar önemlidir. Yapmadığımız taktirde telnet bağlantısını başarılı bir şekilde yapamayız. Peki bunlar neydi?
line vty password ve enable password ya da enable secret komutlarıdır. Parola koymamızdaki amaç telnet bağlantısı yapıldığında user mode’a direkt giriş yapılmasıdır. User mode’dan da parolasız bir şekilde privilege mode’a giriş yapmasını istemediğimiz için parolayı eklemeliyiz.
Parola eklemek için enable password parola yazıyoruz ardından console modunda iken line vty 0 1 ve parola koymak için pass parola yazıyoruz.
telnet-2
Switch layer 2 cihazı olduğu için IP ataması yapamaktadır, bunun önüne VLAN1 geçmektedir. VLAN1 sayesinde Layer 3 cihaza dönüşür. Fakat varsayılan olarak kapalı haldedir, bunu açmamız gerekiyor.
VLAN1 interface’ine bağlanmak için global config modunda interface vlan 1 yazalım ve VLAN1’e bağlanalım.
telnet-3
IP atamak için ip address IP Adresi subnet mask şeklinde yazıyoruz.
telnet-4
no shutdown komutunu yazarak, VLAN1’i aktif hale getiriyoruz.
telnet-5
IP atanıp atanmadığını kontrol etmek içinde show ip interface brief komutunu kullanıyoruz.
telnet-6
Bu arayüze SVI arayüz (Switch virtual interface) denmektedir. Ping atmayı deneyelim, acaba işlem yapılacak mı?
telnet-7
Switch’ten ping attığımızda başarılı bir şekilde ping atabildiğimizi görüyoruz. Şimdi console kablo bağlantısını keselim. Ardından Console PC’nin Command Prompt‘una giriş yapalım.
Telnet bağlantısı için telnet Switch’in IP adresini yazalım.
telnet-9
Gördüğünüz gibi başarılı bir şekilde telnet bağlantısını yaptık, user mode’dan privilege mode’a giriş yapmayı deneyelim.
telnet-10
Privilege mode’a da giriş yaptık. Bu da demek oluyor ki Switch’e uzaktan bağlantı yapabiliriz.
https://www.udemy.com/course/cisco-ag-uzmanligi/
https://www.tutorialspoint.com/what-are-hub-and-switch-in-computer-network
https://blog.netwrix.com/2019/01/08/network-devices-explained/#:~:text=Hubs connect multiple computer networking,LAN components with identical protocols.
https://www.cloudflare.com/learning/network-layer/what-is-a-network-switch/
https://www.cemaltaner.com.tr/2017/10/10/arp-protokolu-nedir/
https://buse-koseoglu13.medium.com/temel-switch-konfi̇gürasyonu-53dd68f48ede
https://www.cisco.com/E-Learning/bu...ware/02_cisco_ios_hierarchy.htm#:~:text=There are five command modes,IOS Software are hierarchically structured.
https://sistemdostu.com/cisco-ios-ve-modlari-nelerdir/
https://community.cisco.com/t5/networking-documents/ccna-command-summary/ta-p/4041776
https://www.cisco.com/c/en/us/td/do...tml#GUID-5302FD00-BF25-41FF-89D3-7C25E05CB4EB
[TR] CCNA Ders Notları – 3
Doğru Cihazların Seçimi
Normal şartlarda 2 adet bilgisayarı kolayca birbirine bağlayıp network’ü tamamlayabiliyorduk ancak 2’den fazla bilgisayarı bağlamaya kalktığımızda işler biraz karışıyor. Çünkü iki bilgisayar kendi aralarında Ethernet bağlantısı yapıyor zaten, 3. bilgisayar gelince, başka ethernet girişi olmadığı için dışarıda kalıyor.
Doğru-cihaz-secimi-1
Bu gibi durumlar yaşanmaması için farklı bir şeyler yapmamız gerekiyor haliyle. Araya bir HUB koyabiliriz. PC0 ile PC1 arasındaki bağlantıyı koparttım ki HUB’a bağlayarak aradaki iletişimi sağlayabilelim.
Doğru-cihaz-secimi-2
İlk olarak bir önceki yazıdaki kablo seçimini hatırlayalım. Farklı cihazlar genel itibari ile düz kabloyu tercih etmektedir. Bu yüzden bizde PC-Hub arasında düz kabloyu tercih edeceğiz.
Doğru-cihaz-secimi-3
Doğru-cihaz-secimi-4
Peki neden Hub kullandık ve Hub tam olarak nedir?
Hub Nedir?
Birden fazla cihazı birbirine bağlamak için kullanılan fiziksel bir katman ağ cihazı olarak geçmektedir. Genel kullanım itibari ile LAN ağındaki cihazları bağlamak için kullanılmaktadır. Hub’ın birçok portu bulunmaktadır ve bu sayede birden fazla cihazı birbirine bağlayabilir.
Ve mesajları Broadcast olarak yayınlar. Yani ağda bulunan herkese gönderilen mesajı gönderir.
Şimdi bütün cihazlara IP atadığımızdan ve başarılı bir şekilde bağlantı kurduğundan emin olalım.
Bunda da bir önceki yazıdan öğrendiğimiz ping komutu ile anlayabiliriz.
Ping-1
Şimdi buraya baktığımızda iki bilgisayar ile bağlantı kurduğumuzdaki halinden bir fark yok gibi duruyor. Birde Simulation Tab kısmından buna bir bakalım.
Ping attığımızda bir hareketlilik oldu, PC0’dan bir paket oluştu ve hazırda bekliyor.
ping-2
Ping-3
Mesaj Hub’a ulaştı ve gideceği rotayı izleyelim birlikte.
İlginçtir ki mesaj iki cihaza da gitti peki neden? Hub’ı tanımlarken söylemiş olduğum gibi Hub broadcast yayın yapan bir ağ cihazıdır ve herkese mesajı iletir. Peki PC1’e bu mesaj ait değil ve nasıl bir tepki verecek?
Ping-4
Fotoğraf olduğu için tam gözükmüyor ancak üstünde çarpı işareti oluyor. Bu da “bana ait değil bu paket” anlamına geliyor. PC2’ye gelen paket açıldı ve bir cevap oluşturulup Hub’a geri gönderildi.
Ping-5
Fakat Hub yine aldığı mesajı aktif olan cihazlara iletti.
Ping-6
Peki birden fazla paket aynı anda harekete geçerse ne olabilir acaba? Paketler çakışır ve bir işlevi kalmaz.
ping-6-2
Bu olaya da Collision Domain (Çakışma Alanı) denmektedir.
Ping-8
Hub’da bozulan mesaj duraksamadan cihazların hepsine ulaştı fakat mesaj bozuk. Bu mesajların ulaştığı son yer dahil bütün alana Collision Domain deniyor. Şimdi ağımızı biraz genişletelim birlikte.
2 yeni PC ve 2 yeni Hub ekledim network’e ve aynı şekilde birden fazla paket gönderimi yapalım ne olacak bakalım.
Aynı şekilde PC0 ve PC2’den paketler gelip 1. Hub’da bozuldu.
Ping-9
Farklı olan olay şu, Hub’dan sadece bilgisayarlara gideceğini düşünürken diğer bağlı Hub’a da gitti ve Collusion Domain’imiz daha da büyüdü.
Ping-10
Bu durumun önüne geçebilmek için iki Hub arasına yine bir Hub koymak yerine Switch koymamız daha mantıklı olacaktır. Peki Switch nedir?
Switch Nedir?
Switch, bir network’de cihazların birbiri ile iletişime geçebilmesi için bağlantı yapan cihazdır. Hub’dan farklı olarak broadcast yayın yapmaz, unicast yayın yapar. Yani hedefi kimse sadece ona gider ve işlemi bitirir.
2 Hub arasına Switch’i ekleyelim.
switch-baglantisi
Şimdi tekrardan paketleri gönderelim ve nasıl bir sonuç alacağımıza bakalım.
switch-baglantisi-1
Aynı şekilde Hub’da paketler bozuldu ve yoluna devam ediyor.
switch-baglantisi-2
Switch Hub’dan aldığı mesajı diğer Hub’a iletmedi çünkü unicast işlem yapıyor ve hedef kendisi değil.
NOT: Aziz Bektas hocamın bir notu, Switch’in her bir Interface’i bir Collision Domain’dir.
Cihazların bağlantısından, hangi kablo türü ile bağlantı yaptığından ve bağlantı da ne gibi durumlar olduğuna değinmiştim şimdi de ARP’ın ne olduğundan ve Switch konfigürasyonundan bahsedeceğim.
ARP Nedir?
ARP (Address Resolution Protocol), temel olarak bir yerel ağda, IP adresi bilinen cihazın MAC adresinin bulunması için kullanılmaktadır. MAC adresinin bulunma sebebi, yerel ağda cihazlar MAC adreslerini kullanarak iletişim kurarlar. Bu MAC adresi bilgileri bilgisayarların RAM belleğinde tutulmaktadır. Bu tutulduğu yere ARP tablosu denmektedir.
Örnek bir network oluşturalım, bunun için 1 adet switch, 3 adet bilgisayar kullanalım. Burada Switch kullanmamızın amacı, Switch’in kendisine gelen paketlerdeki MAC adreslerini kayıt ediyor olması. Yani kendisine gelen paketleri inceliyor, hangi cihazdan geldiğine bakıyor ve o cihazın MAC adresini alıp, kendi içerisindeki MAC tablosuna yazıyor.
arp-1
Simulation Tab’ı açalım ve filter kısmından sadece ARP ve ICMP’yi seçelim. Daha sonrasında bir bilgisayara IP ataması yapalım.
IP atamasını, bilgisayarın üstüne bir kere tıklayıp Desktop > IP Configuration seçeneğine tıklayalıp yapıyorduk.
arp-2
Gördüğünüz gibi bir paket oluştu ve sağda bunun bir ARP paketi olduğu yazıyor.
arp-3
Haydi bu paketin içeriğine bakalım.
arp-4
Burada Source MAC: 0009.7C38.9E44 MAC adresi PC0’ın yani paketi oluşturan cihazın MAC adresidir.
Destination MAC: FFFF.FFFF.FFFF çünkü yerel ağda bulunan bütün cihazlara bu paket gidecek. Bunun sebebi de PC0’a atadığımız IP adresinin diğer cihazlarda kullanılıp kullanılmadığına bakılacak ve bu gönderim türü broadcast‘tir.
Source IP: 192.168.1.10 PC0’a atadığımız IP adresi.
Destination IP: 192.168.1.10 buradaki amaç ise ağda bulunan bütün cihazlara “192.168.1.10 IP adresli cihaz sen misin?” diye soru sormaktır. Eğer ki böyle bir IP adresine sahip bilgisayar yoksa, bu paketi alan bütün bilgisayarlar paketi drop’layacak.
arp-5
arp-6
Paket Switch’e geldi ve diğer bilgisayarlara iletildi, diğer bilgisayarlarda bu IP adresine sahip olmadıkları için paketi drop’ladı. Fakat iki cihaz aynı IP adresi kullanırsa ne olur?
arp-7
İkisi de kullanmayı denedi ve ilk olarak atadığımız IP’li bilgisayar o IP’yi kullanmaya devam etti. İkinci olarak atadığımız bilgisayarda ise “Başka bir cihazda bu IP adresi kullanılıyor” gibi bir dönüt verdi.
Yukarıda belirtmiştim Switch interface’lerden gelen paketleri inceleyip, MAC tablosunu doldurmaktadır diye, şimdi bu tabloya bir bakalım. Tabloya bakabilmek için klavyeden “I” harfine tıklayalım ve Switch’in üstüne tıklayalım.
arp-8
Buradan da MAC Table seçeneğine tıklayalım.
arp-9
FastEthernet0/2 ve FastEthernet0/1’e bağlı iki adet MAC adresi olduğunu gösteriyor bizlere.
ARP’ın bir başka kullanıldığı yerde ping atarkendir.
PC0’dan PC1’e ping atacağız bunun için ping PC1’in IP adresi yazdık ve ICMP ve ARP paketleri göründü.
arp-10
Bu paketi forward ettiğimizde ilk olarak ARP paketi gitti.
ARP-11
Buradaki amaç şu, ARP paketi sayesinde karşı tarafın MAC ve IP adresi bilgilerini alıp, ICMP’yi ona göre tek bir hedefe göndermektir.
PC1’e giden ARP paketi drop’lanmadı görüldüğü gibi.
arp-12
Ayrıca bilgisayarlarda ARP tablosu olduğunu söylemiştim yukarıda, bir bakalım PC1’in ARP tablosunda PC0’a ait bilgiler var mı diye.
arp-13
PC0’ın IP ve MAC bilgileri tabloda kayıtlı fakat PC0’ın ARP tablosuna baktığımızda boş olduğunu göreceğiz çünkü PC0’a herhangi bir paket daha gelmedi.
arp-14
PC0’a paket geldi ve ARP tablosuna baktığımızda PC1’in IP ve MAC bilgilerinin yazıldığını görüyoruz.
arp-15
arp-16
Bu şekilde ARP’ı bitirmiş olduk.
Switch Yapılandırması
2960 Switch ile işlem yaptık bu zamana kadar ve şimdi de bununla devam edeceğiz. 2960 Switch local network’lerde kullanılmaktadır.
2960 Switch bir Layer 2 switch’tir ve MAC adres bilgisini okuyabilir. Çünkü MAC bilgisi Layer 2 bilgisidir.
Switch yapılandırılmasındaki neden güvenlik ve kaliteli bir iletişim kurabilmektir. Switch’in içerisindeki işletim sistemi yardımıyla konfigüre edeceğiz. Switch’i konfigüre edebilmek için bir bilgisayar ve Console kablosu gerekmektedir.
switch-yapılandırma
Normal bir bilgisayarı sürükle bırak ile bıraktık, şimdi sıra kablo bağlantısında.
switch-yapılandırma-2
Connections tabında turkuaz renkteki Console kablosunu seçip, Console Bilgisayar ile Swich‘i bağlayalım. Bunun içinde Switch’te bulunan Console Interface‘ini seçelim.
switch-yapılandırma-3
Diğer ucunu da bilgisayardaki RS-232 interface’ine bağlıyoruz.
switch-yapılandırma-4
Şöyle bir kablo oluyor RS232 kablosu. Büyük olan kısım RS232 olarak geçmektedir ve bu ucu bilgisayarımıza takıyoruz. Bu uca uygun giriş yerine sahip cihaz bulmak zor bu yüzden dönüştürücüler ile bunu USB girişi haline getiriyorlar.
switch-yapılandırma-5
Switch ile bilgisayar arasında kablosal anlamdaki yapıyı kurduk, şimdi konfigürasyon sırasında fakat direkt olarak bu işlemi kendi bilgisayarımızda konfigüre edemiyoruz. Yardımcı terminal uygulamaları ile bunu yapacağız, benim en çok kullandığım PuTTY dir. Fakat biz Packet Tracer’dan devam edelim ve bize sunduğu Console‘dan yararlanalım.
Bilgisayarımıza tıklayalım Desktop > Terminal seçeneğine gelelim.
switch-yapılandırma-6
Default yapılandırma bu şekildedir.
switch-yapılandırma-7
Okey diyelim ve devam edelim.
switch-yapılandırma-8
Bu şekilde bir terminal ekranı bizleri karşıladı, enter’a basarak kod yazma alanına gelebiliriz. Bağlantımızı da sağladık şimdi yavaş yavaş konfigüre etmeye başlayalım. İlk olarak hangi komutları kullanabileceğimize ve bu komutların ne olduğuna bakacağız.
Help
İlk komutumuz yardım almak için ” ? ” olacak, yardım isteyerek başlamak en iyisi çünkü bir yerde veya bir komutta takıldığımızda help komutu imdadımıza yetişecek.
Komut satırına ? yazdığımızda bizlere kullanabileceğimiz komutları ve açıklamalarını gösteriyor.
switch-yapılandırma-9
Örnek olarak bir komutun parametrelerine bakmak için ise, komut ? yazıyoruz.
switch-yapılandırma-10
Show komutunda daha çok parametre var mesela.
switch-yapılandırma-11
Normal terminal gibi tab tuşuna bastığımızda sadece o harflerle başlayan tek komut var ise tamamlıyor fakat birden fazla komut var ise tamamlama yapmıyor.
Komutu tamamlamadan basarsak Incomplete Command çıktısını alırız yani tamamlanmamış komut.
switch-yapılandırma-12
Bir işlemi iptal etmek istiyorsak CTRL + SHIFT + 6 kombinasyonunu yapıyoruz. Ayrıca aşağıdaki gibi bir lookup süreci yaşarsanız 60 saniye kadar beklemelisiniz. Buradaki olay şu, “b” isimli yazıyı bir isim çözümlemesi yapılmaktadır.
switch-yapılandırma-13
Bu lookup işleminin önüne geçebilmek için global config modunda no ip domain-lookup komutunu yazabiliriz.
nolookup
nolookup-2
Birde mode‘lardan bahsedeyim. Bunlar üç tanedir; user mode, privilege mode ve global config mode‘dur.
User Mode
İlk başta biz command line’a girdiğimizdeki mod USER MODE‘dur.
Switch> şeklinde bir girdisi vardır.
switch-yapılandırma-14
Privilege Mode
Yetkili kullanıcı modudur. Switch’i yapılandırma ve yönlendirme işlevlerine sahip moddur. Enable yazdığımızda ise privilege mode‘a geçmiş oluruz.
Komut girdi ekranı Switch# şekline dönüyor.
switch-yapılandırma-15
Global Config Mode
Switch’in bütün arayüzünü ilgilendiren değişikliklerde kullanılmaktadır. Configure terminal yazarakta global config mode‘una giriş yaparız.
switch-yapılandırma-16
Interface Mode
Bu modda ise port ile ilgili komutları yazacağız. Girmek için Global config modunda ise interface fastEthernet 0/2(bu hangi porta gireceğinize bağlı olarak değişkenlik gösterir.)
switch-yapılandırma-17
Global moddan privilege moda dönmek için exit komutunu kullanıyoruz.
switch-yapılandırma-18
Privilege moddan user moda dönmek için ise disable komutunu kullanıyoruz.
switch-yapılandırma-19
Kısaca modlardaki satır görüntüleri şu şekildedir.
- User-mode: Switch>
- Privilege-mode: Switch#
- Global-config-mode: Switch(config)#
- Interface-mode: Switch(config-if)#
Haydi gelin cihazın ismini değiştirelim.
Hostname
Cihazın ismini değiştirmek için hostname komutunu kullanıyoruz. Global configuration modunda bu komutu kullanacağız.
Kullanımı oldukça kolaydır, hostname isim şeklindedir.
hostname-1
Bu ismi silmek ve geri Switch ismine geri dönmek için ise no hostname komutunu kullanbilirsiniz.
hostname-2
Hostname isimlendirme de programlama dillerindeki gibi değişken isimleri “sayı ile başlayamaz, noktalama işaretleri ile başlanamaz” gibi kurallar yoktur, kullanılabilir. Sadece isimde boşluk bırakmamız gerekmektedir.
Komutlarla ilgili ufak pratikler yapıp, daha iyi oturtalım kafamıza yapıyı.
Örnek olarak show komutu ile bazı parametreleri kullanalım.
İlk olarak version parametresini kullanalım. Bunun için terminal ekranına show version yazıyoruz.
show-komutu-7
show-komutu-8
Show mac-address-table komutu ile Switch’teki MAC adres tablosunu görebiliriz.
show-komutu
Belki sizde bu tablo boştur, bunun sebebi bilgisayarlar iletişim kurmamışlardır. Bu iletişimi sağlamak için ping attırabiliriz. Arayüze gelip, P tuşuna basarak PC0’a tıklayalım, ardından PC1’e tıklayalım.
show-komutu-2
show-komutu-3
Bende bir değişiklik olmayacak çünkü switch’im zaten PC0 ve PC1’in MAC adreslerini biliyordu.
Fakat şöyle bir şey yapabiliriz, MAC adres tablosunu temizleriz ve tekrar bakarız. MAC adres tablosunu temizlemek için ise clear mac-address-table komutunu kullanıyoruz.
show-komutu-4
Tekrar ping attıralım ve tabloya tekrar bakalım.
show-komutu-5
show-komutu-6
MAC tablomuz tekrardan doldu.
Bir başka parametremiz interface brief parametresidir. Bu komut sayesinde interface’lerin ayakta mı yoksa kapalı mı olduğunu, IP adreslerini ve durumlarını anlayacağız.
show-komutu-9
Veyahut şu şekilde de bakabiliriz interface’lere; show interfaces fastEthernet 0/1
show-komutu-10
Şimdi farklı bir konuya değineceğim, hafıza yapıları. Hepsini şimdi göstermeyeceğim fakat şu anda öğrenirsek iyi olabilecekleri göstereceğim.
Flash Memory
Flash yapısında cihazın IOS imaj dosyası saklanmaktadır. Bunu da görebilmek için show flash: yazmamız yeterlidir. Fakat bazı sorularda çalışan switch ve router’ın konfigürasyon verilerinni Flash’te saklandığı da yazmaktadır.
flash_memory
RAM Memory
Bir başka hafıza türü de RAM memory’dir. RAM’de çalışan switch ve router’ın konfigürasyon bilgileri saklanmaktadır.
Bu verileri görüntülemek için ise show running-config yazmamız yeterlidir.
ram_memory
Current configuration: Çalışan konfigürasyon dosyasının boyutu (ne kadar konfigüre edersek o kadar bu boyut artacaktır.)
Version 15.0: IOS versiyonu
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption: Bu da varsayılan olarak kullanılan bazı konfigürasyon ayarlarıdır.
hostname: cihazın ismi
Aşağıya doğru uzanan satırlarda cihazın arayüzü ile ilgili verilerdir.
Buradaki hafıza geçicidir, aynı bizim bilgisayarlarımızdaki gibi. Konfigürasyon ayarlarını yaptıktan sonra mutlaka kaydetmemiz gerekemektedir. Yoksa cihazın kapanma gibi bir durumunda bütün konfigürasyon ayarları gidecektir.
Peki konfigürasyon ayarlarını kaydedeceğiz de nereye kaydedeceğiz? Bunun cevabı da NV-RAM.
NV-RAM Memory
NV: Non-volatile yani geçici olmayan anlamına gelmektedir. Buradaki veriler de kalıcı bir şekilde saklanmaktadır. Bu hafızayı görüntülemek için show startup-config yazmamız yeterlidir.
nv-ram
Herhangi bir kayıt yapmadığımız için kaydedilmiş bir veri yok.
Peki nasıl kaydedeceğiz? Bunun için copy komutunu kullanacağız.
copy
Burada nereden sorusu soruluyor bizlere. Biz running-config deki dosyaları kaydetmek istiyoruz bu yüzden copy running-config diyoruz.
copy-2
Şimdi de nereye kaydetmemi istiyorsun diyor. Bunun cevabı da startup-config olacaktır, komutun son hali copy running-config startup-config dir.
copy-3
Bize hedef dosyanın isminin değişip değişmeyeceğini sordu, enter‘a tıklayarak devam edebiliriz.
Şimdi startup-config bilgilerine bir bakalım tekrardan.
startup
Gözüktüğü gibi running-config’deki verileri startup-config’e aktarılmış. Veya bir başka yol deneyebiliriz.
Biz illaki *running-config’*i *startup-config’*e aktaracaksak write memory yazdığımızda da aynı işlem olacaktır.
Hiçbir
write
soru sorulmadan direkt olarak running-config’deki veriler, startup-config’e atandı.
Switch Konsol Güvenliği
Artık Switch’in ne olduğunu, ne gibi komutların kullanabileceğini öğrendik. Şimdi sırada güvenliğin önemine geldi. Bir kişi switch’e izinsiz bir bağlantı yaptığında aşağıdaki komutların hepsine erişerek, IOS hakkında bilgi olabilir, kullanıcılar hakkında bilgi alabilir gibi gibi. Bu yüzden güvenlik önemli bir nokta.
switch_guvenlik-1
Aşağıdaki giriş ekranında bir kimlik doğrulama(authentication) işlemi yapılırsa, dışarıdan gelen kullanıcılar direkt giriş yapamaz.
switch_guvenlik-2
Bu güvenliği sağlayabilmek için global console mode‘unda işlem yapmalıyız. Bunun için user-mode‘da enable yazıyoruz ve privilege mode’a giriş yapıyoruz sonrasında config terminal yazarak global config moduna geçtik. Sıra fiziksel konsola giriş yapmakta bunun içinde line console 0 yazıyoruz. Buradaki 0’ın anlamı; programlama dillerinde indeks numaraları 0’dan başlar ve 1. değeri simgeler. Aynı şekilde switch’de de bir kişi buraya bağlanabileceği için bu değeri simgelemektedir.
switch_guvenlik-3
Default switch’lerde giriş yapılırken şifre sorulmaması için ayarlanmıştır. Biz ilk olarak bunu şifre sor dedirtmeliyiz. Bunun için login komutunu kullanıyoruz.
switch_guvenlik-4
Şifre belirlemek için ise password komutunu kullanacağız. Kullanımı oldukça basit, password parola şeklinde yazıyoruz.
switch_guvenlik-5
Çıkış yapalım ve deneyelim, çıkış yapmak için logout komutunu kullanalım user-mode’da.
Gördüğünüz gibi bizlere şifre sordu.
switch_guvenlik-6
“Konsolumuz artık güvende!” mi acaba? Tam olarak maalesef değil, çünkü dışarıdan SSH ile girildiğinde user-mode‘a direkt olarak giriş yapılabiliyor, buradan da privilege-mode’a giriş yapılabilir.
switch_guvenlik-7
Tam bu noktada bir şifre daha sorulsa, çokta tatlı olur. Bunun içinde *global-configuration-mode’*a giriş yapıyoruz ve enable password parola yazıyoruz.
switch_guvenlik-8
User-mode’a gelelim ve privilege mode’a girmeyi deneyelim, gördüğünüz gibi bizden şifre istedi.
switch_guvenlik-9
Peki ben local olarak packet tracer gibi ortamda çalışıyorum, birisi girse de bir sorun teşkil etmiyor benim için diyorsanız ve şifreyi kaldırmak istiyorsanız da no enable password komutunu kullanarak parolayı kaldırabiliriz.
switch_guvenlik-10
switch_guvenlik-11
Bu yaptığımız ayarları kaydedlim bunun için privilege mode’da write yazalım ve switch’i run sh komutu ile baştan başlatalım.
switch_guvenlik-12
Biz o kadar şifreyi ayarladık fakat burada verimiz clear-text yani hiçbir şifreleme işleminden geçmeden burada duruyor ve bunun ismi TYPE 0‘dır. Bunun sebebi enable password komutundan kaynaklanıyor. Bu komutta veriler okunabilir bir değer olarak saklanıyor. Bunun önüne geçebilmek için enable secret komutunu kullanacağız.
Tekrardan global-config moduna geçelim ve enable secret parola yazalım.
switch_guvenlik-13
switch_guvenlik-14
Görüldüğü gibi parolamız şifrelenmiş bir şekilde duruyor. secret 5‘teki 5’in anlamı MD5’den gelir. Bu bir şifreleme yöntemidir ve buna TYPE 5 denir. Birde TYPE 7 vardır onu da aşağıda göstereceğim.
password ile secret parola yöntemlerinin ikisini de aynı anda kullanabiliyoruz ancak secret daha öncelikli kullanımdadır, yani giriş yaparken secret ile yazdığımız parolayı kullanmak durumundayız.
TYPE 7’yi tanımlamam gerekirse, sistemde clear-text olarak bulunan parolaları CISCO’nun kendi algoritması ile şifrelenmesine denmektedir. Bunu kullanabilmek için ise service password-encryption komutunu kullanıyoruz.
switch_guvenlik-15
switch_guvenlik-16
Konsol güvenliğinden sonra Telnet’e de bir bakalım
Telnet Güvenliği
Switch’lerde varsayılan olarak telnet açıktır ve kullanılabilir. Sadece bazı konfigürasyon ayarları yapılması gerekmektedir, örnek olarak kaç kişi oturum açacak gibi.
Oturum sayısını ayarlamak için global config modun da line vty 0 1’den 15’e kadar sayı yazıyoruz. Burada 0 dahil olarak toplam kaç kişinin giriş yapabileceğini belirtiyoruz. Örnek olarak line vty 0 3 dersek toplam 4 kişi bağlanabilir, 0-1-2-3 şeklinde.
telnet_guvenligi-1
Parola belirlemek için ise password parola şeklinde yazıyoruz. Ayrıca login olabilmemiz için login komutu ile bunu aktif hale getirmemiz gerekiyor.
telnet_guvenligi-2
Güvenlik kısımları bu kadardı. Şimdi birkaç özelleştirme ile ilgili bilgi verip bitireceğim.
Banner Message
Switch’te oturum kapandı diyelim ve giriş yapacağız. Giriş yaparken bir açıklama yazdırabiliriz, bunun adına banner message denmektedir. Mesaj burada tam olarak gözükecektir.
banner
Burada bizlere c karakterinin sınırlayıcı karakter olduğunu belirtiyor, başına ve sonuna c karakterini yerleştirerek, araya mesajımızı yazıyoruz.
banner-2
banner-3
Bu ana kadar Console kablosu üzerinden işlemler yaptık. Şimdi Telnet bağlantısı yapacağız ve bunu çapraz kablo ile yapacağız. İlk olarak console kablo ile switch’e bağlamış olduğumuz PC’yi, çapraz kablo ile bağlayalım.
telnet-1
Telnet Bağlantısı
Telnet bağlantısı için yukarıda yapmış olduğumuz ayarlar önemlidir. Yapmadığımız taktirde telnet bağlantısını başarılı bir şekilde yapamayız. Peki bunlar neydi?
line vty password ve enable password ya da enable secret komutlarıdır. Parola koymamızdaki amaç telnet bağlantısı yapıldığında user mode’a direkt giriş yapılmasıdır. User mode’dan da parolasız bir şekilde privilege mode’a giriş yapmasını istemediğimiz için parolayı eklemeliyiz.
Parola eklemek için enable password parola yazıyoruz ardından console modunda iken line vty 0 1 ve parola koymak için pass parola yazıyoruz.
telnet-2
Switch layer 2 cihazı olduğu için IP ataması yapamaktadır, bunun önüne VLAN1 geçmektedir. VLAN1 sayesinde Layer 3 cihaza dönüşür. Fakat varsayılan olarak kapalı haldedir, bunu açmamız gerekiyor.
VLAN1 interface’ine bağlanmak için global config modunda interface vlan 1 yazalım ve VLAN1’e bağlanalım.
telnet-3
IP atamak için ip address IP Adresi subnet mask şeklinde yazıyoruz.
telnet-4
no shutdown komutunu yazarak, VLAN1’i aktif hale getiriyoruz.
telnet-5
IP atanıp atanmadığını kontrol etmek içinde show ip interface brief komutunu kullanıyoruz.
telnet-6
Bu arayüze SVI arayüz (Switch virtual interface) denmektedir. Ping atmayı deneyelim, acaba işlem yapılacak mı?
telnet-7
Switch’ten ping attığımızda başarılı bir şekilde ping atabildiğimizi görüyoruz. Şimdi console kablo bağlantısını keselim. Ardından Console PC’nin Command Prompt‘una giriş yapalım.
Telnet bağlantısı için telnet Switch’in IP adresini yazalım.
telnet-9
Gördüğünüz gibi başarılı bir şekilde telnet bağlantısını yaptık, user mode’dan privilege mode’a giriş yapmayı deneyelim.
telnet-10
Privilege mode’a da giriş yaptık. Bu da demek oluyor ki Switch’e uzaktan bağlantı yapabiliriz.
Kaynaklar
https://www.udemy.com/course/cisco-ag-uzmanligi/
https://www.tutorialspoint.com/what-are-hub-and-switch-in-computer-network
https://blog.netwrix.com/2019/01/08/network-devices-explained/#:~:text=Hubs connect multiple computer networking,LAN components with identical protocols.
https://www.cloudflare.com/learning/network-layer/what-is-a-network-switch/
https://www.cemaltaner.com.tr/2017/10/10/arp-protokolu-nedir/
https://buse-koseoglu13.medium.com/temel-switch-konfi̇gürasyonu-53dd68f48ede
https://www.cisco.com/E-Learning/bu...ware/02_cisco_ios_hierarchy.htm#:~:text=There are five command modes,IOS Software are hierarchically structured.
https://sistemdostu.com/cisco-ios-ve-modlari-nelerdir/
https://community.cisco.com/t5/networking-documents/ccna-command-summary/ta-p/4041776
https://www.cisco.com/c/en/us/td/do...tml#GUID-5302FD00-BF25-41FF-89D3-7C25E05CB4EB
Moderatör tarafında düzenlendi: