Cisco Statik Yönlendirme (Static Route) Kofigürasyonu

Router’lar bilindiği üzere network’ler arası yönlendirme yapan cihazlardır. Router’lar interface’lerine direkt bağlı olan networkler için herhangi bir yapılandırmaya ihtiyaç duymadan yönlendirme işlemini yaparlar. Farklı network’lere bağlanmak için ise yönlendirme tablosuna rotaların tanımlanması gerekmektedir. Rota tanımlamaları statik ve dinamik olarak yapılabilir. Bu yazımızda Cisco router‘lar da statik yönlendirme (static routing) nasıl yapılır onu göreceğiz.

Yapılandırmaya geçmeden önce küçük bir notu da iliştireyim: Statik yönlendirme için Administrative Distance değeri 1‘dir. Routing tablosunda yönlendirme yapılırken, direkt bağlantılardan (directly connected) sonraki öncelik Static Routing’dedir.  Direkt bağlantı (directly connected) için AD değeri 0’dır. AD değeri 0 ile 255 arasında değer almaktadır ve bu değer ne kadar düşük olursa yönlendirme tablosunda (routing table) yönlendirme için o kadar öncelikli olacaktır.

Cisco static routing (statik yönlendirme) yapılandırması için aşağıda bulunan topolojiyi kullanacağım.

cisco static routing

Statik yönlendirme yapılandırmasına geçmeden önce router interface yapılandırmasını yapalım.

R1 için interface yapılandırması

R1(config)#interface ethernet 0/0
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface ethernet 0/1 
R1(config-if)#no shutdown 
R1(config-if)#ip address 172.16.1.1 255.255.255.252

R2 için interface yapılandırması

R2(config)#interface ethernet 0/0
R2(config-if)#no shutdown 
R2(config-if)#ip address 172.16.1.2 255.255.255.252
R2(config-if)#exit
R2(config)#interface ethernet 0/1 
R2(config-if)#no shutdown 
R2(config-if)#ip address 172.16.2.2 255.255.255.252

R3 için interface yapılandırması

R3(config)#interface ethernet 0/0
R3(config-if)#no shutdown 
R3(config-if)#ip address 192.168.2.1 255.255.255.0
R3(config-if)#exit
R3(config-if)#interface ethernet 0/1 
R3(config-if)#no shutdown 
R3(config-if)#ip address 172.16.2.1 255.255.255.252

PC’ler için yapılandırma

PC1> ip 192.168.1.10/24 192.168.1.1

PC2> ip 192.168.2.10/24 192.168.2.1

Gelelim statik yönlendirme yapılandırmasına; yapılandırma işlemi oldukça basit. Router’da tanımlı olmayan hedef ağlar için tek tek rota yazılır.

cisco static route destination network

R1 router’ına baktığımızda 192.168.1.0/24 ve 172.16.1.0/30 ağını bildiğini; 172.16.2.0/30 ve 192.168.20.0/24 ağını bilmediğini görebiliyoruz.

show ip route

172.16.2.0/30 ve 192.168.20.0/24 ağlarına ulaşabileceğim iki nokta bulunuyor.

cisco static route next hoop address

Bunlardan bir tanesi R1’in çıkış interface’si olan e0/1 portu, diğeri ise next hoop (atlama noktası) olarak adlandırılan ilgili paketi hedef ağa iletebilecek olan router’ın interface’sidir. Next hoop tanımlaması yapılırken, rota yazılacak adresin ulaşılabilir olması gerekmektedir. R1 için bu tanımlamaya uyan iki seçenek bulunmaktadır: Kendi çıkış interface’si olan Ethernet0/1 ve next hoop adresi olan R2’nin Ethernet0/0 interface’si. (Next hoop belirtilirken interface numarası değil, interface’nin IP adresi belirtilir.)

Statik yönlendirme config modda yapılır ve statik yönlendirme için kullanılacak olan komut dizisi şu şekildedir:

ip route [hedef ağ] [hedef ağ subnet maskı] [next-hoop adresi veya çıkış interface'si]

R1 için static route yazalım. Örnek olması açısından bunlardan birisini next-hopp ile diğerini ise çıkış interface’si ile yapacağım.

R1#configure terminal
R1(config)#ip route 172.16.2.0 255.255.255.252 172.16.1.2
R1(config)#ip route 192.168.2.0 255.255.255.0 ethernet 0/1

Yazdığımız rotayı kısaca açıklamak gerekirse; 172.16.2.0 ağı için 172.16.1.2 adresine gidilmesini, 192.168.2.0 ağı için ise ethernet 0/1 interface’sinden gidilmesi gerektiğini belirtmiş olduk. Aslında günün sonunda aynı kapıya çıkacağımız için bir şey değişmeyecek. Sadece iki kullanım şeklini de görmek için böyle bir rota yazdık. Statik rota yazılırken genellikle next-hoop IP adresinin yazıldığını da bilelim.

Sıradan gidelim ve R2 için statik route yazalım. R2 Router’ı 192.168.1.0 ve 192.168.2.0 ağını bilmiyor.

cisco static route next hoop address

R2’nin bu ağlara erişebilmesi için next-hoop IP adreslerimiz ise şu şekilde olacaktır.

R2#configure terminal
R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.1
R2(config)#ip route 192.168.2.0 255.255.255.0 172.16.2.1

Default Route

R3 için yapılandırmamızı  default route yöntemi ile yapacağız. Default route nedir öncelikle onu öğrenelim: Router yönlendirme tablosunda bulunmayan paketleri tek bir noktaya yönlendirmek için kullanılan yöntemdir. R1 ve R3’e baktığımızda, dış ağlara bağlanabileceği tek bir nokta bulunmaktadır. Bu gibi durumlarda, tek tek rota yazmak yerine tüm rotayı tek bir noktaya yazmak yeterli olacaktır.

Default route, statik rota gibi yazılır. Hedef ağ ve subnet için 0.0.0.0 değeri girilir.

ip route 0.0.0.0 0.0.0.0 [next-hoop adresi]

R3 için default route şu şekilde olacaktır:

R3#configure terminal
R3(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2

Tüm Router’lar için statik rota yapılandırmalarını yapmış olduk. Rotaların doğru olup olmadığını görmek için PC1’den PC2’ye ping atalım. eğer bir sorun yok ise, yapılandırmamız başarılı olmuş demektir.

static-route-test

Görüldüğü gibi bir sorun bulunmuyor. Son olarak kullanabileceğimiz show komutlarına bakalım.

show ip route komutu ile router üzerinde bulunan tüm yönlendirme tablolarına bakılabilir.

cisco show ip route

Eğer sadece statik rotaların görünmesi isteniyorsa show ip route static komutu kullanılır.

show ip route static

Başka bir yazıda görüşmek dileğiyle…

Cisco EIGRP Konfigürasyonu

EIGRP (Enhanced Interior Gateway Routing Protocol – Artırılmış Dahili Ağ Geçidi Yönlendirme Protokolü) : Cisco tarafından geliştirilen ve uzun bir süre Cisco tarafından kullanıldıktan sonra diğer firmaların da kullanımına sunulan; bandwidth (bant genişliği),  delay (gecikme), yük ve güvenirlik gibi metrik hesaplarını yaparak yönlendirme yapan dinamik yönlendirme protokolüdür.

Protokol çalıştığında, yönlendiriciler arayüzlerinden (interface) “Hello” paketi göndererek komşuluk kurarlar ve komşuluk tabloları oluştururlar. 5 saniyede bir komşu routera hello paketi gönderilir ve 15 saniye içerisinde cevap alınamazsa komşuluk silinir. Yapılan komşuluklar “Acknowledgement” paketi ile onaylanır. Query(sorgu) paketi ile ağda herhangi bir değişiklik olup olmadığı kontrol edilir ve gelen Reply(yanıt) paketine göre yeni tablolar oluşturulur. Tüm bu işlemler RTP (Reliable Transport Protocol – Güvenilir Taşıma Protokolü) ile gerçekleştirilir.

Yönlendirme tablosu yapılırken bir tane ana rota, bir tane de yedek rota yazılır. Böylece ana rotada herhangi bir problem olduğunda hızlıca yedek rotaya geçilir. Ayrıca yedek rotaya geçildiğinde de ayrıca yeni bir yedek rota daha hesaplanır.

Protokolün genel yapısını inceledikten sonra Cisco EIGRP yapılandırmasını aşağıdaki basit örnek üzerinden yapalım.

cisco eigrp configuration

EIGRP yapılandırmasına geçmeden önce Router interface ve VPC için gerekli ayarlamaları yapalım.

R1 için yapılandırma

R1(config)#interface gigabitEthernet 0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-if)#no shutdown
R1(config-if)#ip address 1.1.1.1 255.255.255.252
R1(config-if)#exit
R1(config)#interface gigabitEthernet 0/2
R1(config-if)#no shutdown
R1(config-if)#ip address 2.2.2.1 255.255.255.252
R1(config-if)#do write

R2 için yapılandırma

R2(config)#interface gigabitEthernet 0/0
R2(config-if)#no shutdown
R2(config-if)#ip address 1.1.1.2 255.255.255.252
R2(config-if)#exit
R2(config)#interface gigabitEthernet 0/1
R2(config-if)#no shutdown
R2(config-if)#ip address 3.3.3.1 255.255.255.252
R2(config-if)#do write

R3 için yapılandırma

R3(config)#interface gigabitEthernet 0/0
R3(config-if)#no shutdown
R3(config-if)#ip address 2.2.2.2 255.255.255.252
R3(config-if)#exit
R3(config)#interface gigabitEthernet 0/1
R3(config-if)#no shutdown
R3(config-if)#ip address 4.4.4.1 255.255.255.252
R3(config-if)#do write

R4 için yapılandırma

R4(config)#interface gigabitEthernet 0/0
R4(config-if)#no shutdown
R4(config-if)#ip address 192.168.2.1 255.255.255.0
R4(config-if)#exit
R4(config)#interface gigabitEthernet 0/1
R4(config-if)#no shutdown
R4(config-if)#ip address 3.3.3.2 255.255.255.252
R4(config-if)#exit
R4(config)#interface gigabitEthernet 0/2
R4(config-if)#no shutdown
R4(config-if)#ip address 4.4.4.2 255.255.255.252
R4(config-if)#do write

VPC1 için yapılandırma

VPCS> ip 192.168.1.10/192.168.1.1
Checking for duplicate address...
PC1 : 192.168.1.10 255.255.255.0 gateway 192.168.1.1

VPC2 için yapılandırma

VPCS> ip 192.168.2.10/192.168.2.1
Checking for duplicate address...
PC1 : 192.168.2.10 255.255.255.0 gateway 192.168.2.1

Gelelim EIGRP yapılandırmasına. Configure terminaldeyken router eigrp komutunu gireceğiz ve ardından 1 ila 65535 arasında bir numarayı otonom sistem numarası olarak verilecek. Verilen numara tüm yönlendiricilerde aynı kullanılmalı. Ayrıca routerları tanımlamak için bir ID’de tanımlanabilir. ID tanımlamak için IP adresi isteyecektir. Bu adres sisteme etki edecek bir adres olmadığı için ne verildiğinin önemi yok. Ama kolay hatırlanması açısından router hostname’ye uygun bir isim olması daha iyi olur. Örnek; R1 routerı için 1.1.1.1 gibi.

R1(config)#router eigrp ?
    <1-65535> Autonomous System
     WORD EIGRP Virtual-Instance Name

R1(config)#router eigrp

Öncelikle AS (Autonomous System) numarası verilir. Ben örnekte AS numarası olarak 100 vereceğim. AS numarası verildikten sonra ? ile kullanabileceğimiz parametrelere bir bakalım:

eigrp parametreleri

Kullanılabilecek çok fazla parametre var. Biz basit bir EIGRP konfigürasyonu yapacağımız için öncelikle Router’ın bildiği ağları (network) tanımlayacağız. Böylece EIGRP komşuluğu kuran Router’lar birbirleri arasında network paylaşımları yapacak ve metrik değerlerine göre yönlendirme tablolarını otomatik olarak oluşturacaktır.

Networkler tanımlarken, 3 şekilde tanımlama yapılabilir:

1- Direkt Network ID yazılarak : R1’deki 192.168.1.0 network için network 192.168.1.0 yazılarak tanımlama yapılabilir.

2- Wildcard Mask tanımlaması yapılarak: Network ID girildikten sonra wildcard maskesi yazılarak da network tanımlaması yapılabilir. network 192.168.1.0 0.0.0.255

3- Interface IP’si belirtilerek : Bu tanımlamada Interface IP’leri yazılarak tanımlama yapılır. Interface EIGRP mesajlarına açılmış olur. network 192.168.1.1 0.0.0.0

Network tanımlaması yapılırken bu 3 yöntemi deneyebilirsiniz. Ben wildcard masklı olanı tercih edeceğim.

R1(config)#router eigrp 100
R1(config-router)#network 192.168.1.0 0.0.0.255
R1(config-router)#network 1.1.1.0 0.0.0.3
R1(config-router)#network 2.2.2.0 0.0.0.3

Son olarak Router-ID tanımlaması yapacağım. Bu ID’nin topolojiye herhangi bir etkisi bulunmamaktadır. Show parametresiyle komşuluklara bakıldığında, topolojinin daha anlaşılabilir olmasını sağlamaktadır. Router-ID girilirken IP formatında girilmektedir.

R1(config-router)#eigrp router-id ? 
    A.B.C.D EIGRP Router-ID in IP address format

R1(config-router)#eigrp router-id 1.1.1.1

R1 için yapılandırmamız şimdilik tamam. Diğer router’lar için de yapılandırmayı yapalım. (Diğer router’larda yapılandırmayı yaparken komşuluk mesajları CLI ekranına düşmeye başlayacaktır.)

R2 için EIGRP yapılandırması

R2(config)#router eigrp 100
R2(config-router)#network 1.1.1.0 0.0.0.3
R2(config-router)#network 3.3.3.0 0.0.0.3
R2(config-router)#eigrp router-id 2.2.2.2

R3 için EIGRP yapılandırması

R3(config)#router eigrp 100
R3(config-router)#network 2.2.2.0 0.0.0.3
R3(config-router)#network 4.4.4.0 0.0.0.3
R3(config-router)#eigrp router-id 3.3.3.3

R4 için EIGRP yapılandırması

R4(config)#router eigrp 100
R4(config-router)#network 3.3.3.0 0.0.0.3
R4(config-router)#network 4.4.4.0 0.0.0.3
R4(config-router)#network 192.168.2.0 0.0.0.255
R4(config-router)#eigrp router-id 4.4.4.4

cisco eigrp configuration change topology

Üstteki görselde de görüldüğü üzere network tanımlamaları yapıldıkça komşuluklar kuruldu.

show ip route parametresi ile yönlendirme tablomuza bakalım.

cisco show ip route

R1’in yönlendirme tablosun baktığımızda; 3.3.3.0, 4.4.4.0 ve 192.168.2.0 networklerini komşu router’lardan öğrenmiş olduğunu görüyoruz. Ayrıca 192.168.2.0 networkü için aynı metrik değerine sahip iki rotanın olduğu da görünmekte.

Networkler anons edildiğine göre, 192.168.1.0 ile 192.16.2.0 networkleri arasında erişim sağlayabilmem gerekiyor. 192.168.1.10 IP adresine sahip PC’den 192.168.2.10 IP adresine sahip PC’ye ping atalım ve kontrolü sağlayalım.

Yönlendirme tablosunda sadece EIGRP rotalarının görünmesi isteniyorsa, show ip route eigrp komutu kullanılabilir.

show ip route eigrp

EIGRP Passive Interface

EIGRP Hello mesajları 5 saniyede bir atılmaktadır. Router komşuluğu kurulmayacak interface’lerde bu mesajların atılması gereksiz trafik oluşturacağı için iç ağa bakan interface’lerin Passive Interface yapılması faydalı olacaktır. Örneğimizde bu tanıma uyan iki ağ bulunmaktadır. (192.168.1.0 ve 192.168.2.0 ağı)

R1 için yapılandırma

R1(config)#router eigrp 100
R1(config-router)#passive-interface gigabitEthernet 0/0

R4 için yapılandırma

R4(config)#router eigrp 100
R4(config-router)#passive-interface gigabitEthernet 0/0

EIGRP komşuluklarını görmek

EIGRP komşuluklarını görmek için show ip eigrp neighbors parametresi kullanılır.

show ip eigrp neighbors

Kısaca bu çıktıyı yorumlamak gerekirse;

H sütunu komşu sayısını belirtmektedir. Sayım işlemi sıfırdan başlar.

Adress sütununda bulunan IP adresi, komşuluk kurulan Router’ın interface IP’sini belirtmektedir.

Interface sütununda bulunan bilgi ise, komşuluğun hangi interface ile yapıldığını göstermektedir.

Hold sütunu, kaç saniye içinde Hello paketi gelmezse komşuluğun bitirileceği süreyi göstermektedir.

Uptime sütunu, kurulan komşuluğun ne kadar süredir olduğunu göstermektedir.

EIGRP Topolojisini görmek

EIGRP topolojisini görmek için show ip eigrp topology parametresi kullanılır. Bu parametre ile tüm EIGRP rotaları ve metrik değerleri görülür.

show ip eigrp topology

Eğer tüm networkler değil de belirli bir network için arama yapılmak isteniyorsa show ip eigrp topology parametresinden sonra hedef network  bilgisi girilmesi gerekmektedir.  Örnek; show ip eigrp topology 192.168.2.0/24 gibi.

show ip eigrp topology network

EIGRP metrik hesabı nasıl yapılır?

Metrik hesabında normalde 5 tane parametre bulunur (K1 : bandwidth ,K2 : load, K3 : delay, K4 :reliability, K5 : MTU (Maximum Transmission Unit)) fakat genellikle K1 (Bandwidth) ve K3 (delay) parametreleri kullanılır. Bu parametreler ön tanımlı olarak metrik hesabında tanımlanmıştır. Çok gerekli olmadıkça diğer parametrelerin aktifleştirilmesi tavsiye edilmez. Çünkü metrik değerlerin aynı olmaması durumunda yönlendiriciler arasında komşuluk kurulamayabilir.

Router’da kullanılan metrik değerlerini görmek için show ip protocols ya da show eigrp protocols parametresi kullanılabilir.

Örneğimizde kullandığımız Router’da K1 ve K3 yani Bandwidth( Bant Genişliği) ve Delay (Gecikme) parametrelerinin kullanıldığını görüyoruz. Bu durumda metrik hesabı aşağıdaki gibi olacaktır.

Metrik = [(10 000 000 / Min Bandwidth) + (Toplam Gecikme/10)] * 256

Min Bandwidth : Hedef ağa ulaşıncaya kadar geçilen interface’ler arasındaki en düşük bandwidth.

Delay (Gecikme) : Hedef ağa ulaşıncaya kadar geçilen tüm çıkış interface’lerdeki gecikmelerin toplamı.

Formülü örneğimiz üzerinden işleyelim;

R1 router’ının routing tablosuna ya da EIGRP topolojine baktığımızda, 192.168.2.0/24 ağı için 3328 metrik değerini oluşturduğunu görebiliriz. Peki ya bu değer nasıl bulundu?

Tüm hesaplamalar route’ların ilgili ağa ulaşmak için kullandığı çıkış interface’lerinde bulunan BW ve delay değerlerine bakılarak hesaplanmakta.  Bu durumda R1’den 192.168.2.0 ağına gitmek için öncelikle R1’in çıkış interface’si olan Gi0/1, sonra R2’nin çıkış interface’si olan Gi0/1 ve son olarak da R4’ün çıkış interface’si olan Gi0/0 interface’sinin BW ve delay değerlerine bakmamız gerekecek.

eigrp metrik hesaplama

R1 Gi0/1 – BW: 1 000 000 , Delay: 10

R2 Gi0/1 – BW: 1 000 000 , Delay: 10

R4 Gi0/0 – BW: 1 000 000 , Delay: 10

Değerler tüm interface’ler için aynı. Formülde bize en düşük BW değeri gerekiyordu, tüm interface’lerde değer 1 000 000 olduğu için bu değeri hesaplamaya alıyoruz. Ayrıca hesaplamalarda toplam gecikme süresi de yer almaktaydı. Tüm gecikme sürelerini topladığımızda 10+10+10 = 30 değerini elde ediyoruz.

Son olarak elde ettiğimiz değerleri formülde kullanalım :

[( 10 000 000 / 1 000 000) + ( 30 / 10)] * 256

[ (10) + (3) ] * 256

13 * 256 = 3328


Kısaca Cisco EIGRP konusuna değinmiş olduk. Bir sonraki yazıda görüşmek üzere.

Cisco IP NAT/PAT Konfigürasyonu

IPv4’te kullanılabilecek IP sayısının yetersiz olmasından dolayı, IP’ler sınıflara ayrılmıştır. Bu sınıflandırma neticesinde iç ağlarda ve dış ağlarda kullanılmak üzere IP adresleri gruplandırılmıştır.

Belki dikkatinizi çekmiştir, iç ağlarda genellikle 192.168 ile başlayan IP adresleri görürüz. Misal, şu an evinizde bağlı olduğunuz ağın IP adresine bir bakın. Büyük bir ihtimal, 192.168 ile başlıyordur. Benim IP adresim 192.168.1.21 imiş.

local ip address

İç ağlarda kullanılabilecek IP adresleri Private IP adresleri olarak adlandırılmıştır. İç ağlarda kullanılabilecek IP adresleri aşağıdaki gibidir.

10.0.0.0 – 10.255.255.255

172.16.0.0. – 172.31.255.255

192.168.0.0 – 192.168.255.255

Bu IP adresleri iç ağlarda kullanılmak üzere ayrılmıştır ve yönlendirici (router) tarafından bu IP adresleri yönlendirilmez. Yönlendirme işlemi, bu IP adresleri Public IP adresine çevrilerek yapılır. Bu işlemlere de NAT (Network Address Translation – Ağ Adresi Çevirisi) denir.

Basit bir topoloji üzerinden NAT konfigürasyonu yapalım.

cisco ip nat-pat configuration

Konfigürasyona başlamadan önce, router ayarlarımızı yapalım.  Interface IP adreslerini verdikten sonra, ağların haberleşmesi için statik route yazacağım.

Home router için yapılandırma

HOME(config)#interface ethernet 0/1
HOME(config-if)#ip address 192.168.1.1 255.255.255.0
HOME(config-if)#no shutdown
HOME(config-if)#exit
HOME(config)#interface ethernet 0/0
HOME(config-if)#ip address 12.0.0.2 255.255.255.0
HOME(config-if)#no shutdown 
HOME(config-if)#exit
HOME(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.1
HOME(config)#do write

ISP router için yapılandırma

ISP(config)#interface ethernet 0/0
ISP(config-if)#ip address 12.0.0.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#interface ethernet 0/1
ISP(config-if)#ip address 4.4.4.1 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#exit
ISP(config)#ip route 192.168.1.0 255.255.255.0 12.0.0.2
ISP(config)#do write

Router’lar için yapılandırmayı yaptık. Yazının başında Router’lar tarafından Private Network’ler için yönlendirme yapılmadığından bahsetmiştim. Örnekte ISP router tarafından iç ağa route yazmış olsam da, gerçek dünyada böyle bir şey olmadığını bilelim.

Cisco Statik IP NAT Konfigürasyonu

Statik IP NAT işleminde, her Private IP adresi tek tek Public IP adresine çevrilir. Tabii ki elimizde çok fazla Public IP olmadığı için bu işlem her zaman yapılamaz. Statik IP NAT işlemi, genellikle kullanıcı IP adresi çevriminden ziyade hizmet veren servisler için kullanılır. (Örneğin, dışarıya hizmet veren sunucular gibi)

Şimdi gelelim yapılandırmaya. Öncelikle hangi tür NAT işlemi ya da PAT işlemi yapılırsa yapılsın, iç ve dış taraflar Interface’lere tanıtılır.

HOME routerı için ethernet 0/1 iç taraf, ethernet 0/0 dış taraftır. Bunu belirtmek için interface içinden bu atamalar yapılır.

HOME(config)#interface ethernet 0/1
HOME(config-if)#ip nat inside 
HOME(config-if)#exit
HOME(config)#interface ethernet 0/0
HOME(config-if)#ip nat outside

NAT için iç ve dış taraflar belirtildikten sonra, dönüşün yapılacak IP adresleri belirtilir.

Komut yapısı : ip nat inside source static Yerel IP adresi Dönüştürülecek IP adresi

Örnek olarak, topolojimizde bulunan 192.168.1.3 adresini statik olarak 12.0.0.3 adresine dönüştürecek yapılandırmayı yapalım.

HOME(config)#ip nat inside source static 192.168.1.3 12.0.0.3

Görüldüğü gibi yapılandırma çok basit. Dönüştürülmek istenen Private IP adresi ve Public IP adresi tek tek belirtilir. Şimdi test için VPC2’den 4.4.4.2 nolu IP adresine sahip sunucuya ping atalım ve router üzerinden NAT işlemine bakalım.

Yapılan NAT işlemlerini görmek için show ip nat translations komutu kullanılır.

show ip nat translation - static nat

Çıktıya baktığımızda, çevrim ile ilgili 4 kısım görünmektedir.

Inside global : Bizim tarafımızda bulunan Dış IP adresidir. (Public IP Address)

Inside local : Bizim tarafımızda bulunan yerel ağ IP adresidir (Private IP Address)

Outside local : Karşı tarafın yerel ağ IP adresidir.

Outside global : Karşı tarafın Dış IP adresidir.

Örneğimizde, yerelde bulunan 192.168.1.3 IP adresi, internete 12.0.0.3 IP adresi ile çıkmıştır. Karşı tarafta NAT işlemi yapılmadığı için Outside global ve outside local IP adresleri 4.4.4.2 olarak görünmüştür.

Cisco Dinamik IP NAT Konfigürasyonu

Dinamik NAT işleminde, kullanılabilecek Public IP’ler için havuz oluşturulur ve NAT yapılacak Private IP adresi havuzda bulunan boş IP adresi ile NAT’lanır. Burada da iç ağda fazla kullanıcı olması ve Public IP adresinin az olması nedeniyle sorunlar olabilir. Biz yine de nasıl yapıldığını görelim.

NAT işlemine tabii tutulacak ağlar için Access-List hazırlanır. Örneğimizde bu ağ 192.168.1.0 ağıdır.

HOME(config)#access-list 10 permit 192.168.1.0 0.0.0.255

NAT işleminde kullanılacak IP adresleri için pool (havuz) oluşturulur.

Ben, havuz ismi DNAT olan ve 12.0.0.10 ile 12.0.0.20 arasındaki IP adreslerinin dönüştürüleceği bir havuz oluşturacağım:

HOME(config)#ip nat pool ?
WORD Pool name

HOME(config)#ip nat pool DNAT ?
A.B.C.D Start IP address
netmask Specify the network mask
prefix-length Specify the prefix length

HOME(config)#ip nat pool DNAT 12.0.0.10 ?
A.B.C.D End IP address

HOME(config)#ip nat pool DNAT 12.0.0.10 12.0.0.20 ?
netmask Specify the network mask
prefix-length Specify the prefix length

HOME(config)#ip nat pool DNAT 12.0.0.10 12.0.0.20 netmask ?
A.B.C.D Network mask

HOME(config)#ip nat pool DNAT 12.0.0.10 12.0.0.20 netmask 255.255.255.0

Son olarak izin verilen ağı ve NAT havuzunu tanımlayacağım.

HOME(config)#ip nat inside ?
destination Destination address translation
source Source address translation

HOME(config)#ip nat inside source ?
list Specify access list describing local addresses
route-map Specify route-map
static Specify static local->global mapping

HOME(config)#ip nat inside source list ?
<1-2699> Access list number for local addresses
WORD Access list name for local addresses

HOME(config)#ip nat inside source list 10 ?
interface Specify interface for global address
pool Name pool of global addresses

HOME(config)#ip nat inside source list 10 pool ?
WORD Pool name for global addresses

HOME(config)#ip nat inside source list 10 pool DNAT

Test için tüm PC’lerden sunucuya (4.4.4.2) ping atacağım ve show ip nat translation komutu ile dönüşümlere bakacağım.

show ip nat translation - dynamic nat
Cisco PAT Konfigürasyonu

Gelelim PAT (Port Address Translations) yapılandırmasına. PAT dönüşümünde, Private IP adresleri tek bir IP üzerinden çıkış yapar. Bunun için ise, IP adresine ilave olarak port numarası atanır. Böylece birden fazla IP adresi kullanmak yerine, tek bir IP adresi kullanılır ve IP adresleri efektif bir şekilde kullanılmış olunur.

PAT işleminden önce yine bir ACL yapılır.

HOME(config)#access-list 10 permit 192.168.1.0 0.0.0.255

Yapılandırmada izin verilecek iç ağ belirtilir. Ardından çıkış interface’si belirtilir ve overload parametresi eklenir.

HOME(config)#ip nat inside source list 10 interface ethernet 0/0 overload 

Yapılandırma bu kadar basit. Test için 3  PC’den de sunucuya (4.4.4.2) ping atalım ve dönüşümlere bakalım.

show ip nat translation - pat

Temel olarak NAT ve PAT yapılandırması bu şekildeydi. Yapmış olduğunuz yapılandırmayı silmek için, komutun başına no parametresini ekleyerek silebilirsiniz. Örnek olarak yapmış olduğumuz PAT yapılandırmasını silelim.

no ip nat inside source list 10 interface ethernet 0/0 overload

Başka bir yazıda görüşmek üzere. Yazıyı beğendiyseniz, sosyal medya hesaplarınızda paylaşarak destek olabilirsiniz.

Cisco HSRP Konfigürasyonu

Cisco tarafından geliştirilen ve Cisco’ya özel olan  HSRP (Hot Standby Router Protocol) protokolü, router  yedeklilik için geliştirilmiş olan bir protokoldür . Birden fazla routerın tek bir router gibi davranmasını sağlar. Bunun için de sanal IP adresi oluşturulur ve bu sanal IP gateway olarak işlev görür.  Routerlardan bir tanesi active(ana) router seçilir ve diğeri standby(yedek) olarak seçilir. Trafik active router üzerinden geçer ve active routera bir şey olması durumunda standby router devreye girer. Böylece trafik akışı minimal düzeyde kesintiye uğrayarak devam eder.

Routerlar arasında 3 saniyede bir ‘hello’ mesajları gönderilir. 10 saniye boyunca active router’dan cevap gelmemesi durumunda standby router görevi üstlenir ve active router olarak işlev yapmaya başlar. HSRP active router seçimi priority (öncelik) değerine göre belirlenir. Priority değeri yüksek olan router, active router seçilir. Priority değerinin aynı olması durumunda ise, yüksek IP adresine sahip olan router, active router olarak seçilir.

cisco hsrp configuration

HSRP yapılandırması için yukarıda bulunan basit örnek üzerinden gidelim.

VRRP yapılandırmasına başlamadan önce Router interface’lerine IP adreslerini verelim.

R1 interface yapılandırması

interface Ethernet0/0
ip address 192.168.10.253 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.20.253 255.255.255.0

R2 interface yapılandırması

interface Ethernet0/0
ip address 192.168.10.254 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.20.254 255.255.255.0

PC’ler için yapılandırma

PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1
PC2 : 192.168.20.10 255.255.255.0 gateway 192.168.20.1

Interface yapılandırmasından sonra ilgili interface’lere girip HSRP yapılandırmasını yapıyoruz. Burada ilgili interface’lerde sanal IP adresini aynı yapmamız gerek. Ben 192.168.10.0 networkü için 192.168.10.1’i, 192.168.20.0 networkü için 192.168.20.1 IP adresinin kullanacağım.

Interfaceye girelim.

R1(config)#interface ethernet 0/0

standby ? yaptığımızda HSRP için kullanılabilecek parametreler gösterilecektir.

vhsrp options

Yapılandırma için ilk önce grup numarası isteyecektir. 0-255 arasında bir değer verebiliriz. Yalnız vermiş olduğumuz bu grup numarasını diğer routerda da aynı vermemiz gerekecek. Ben grup numarası olarak 10’u kullanacağım. Grup numarasını yazdıktan sonra tekrar soru işareti ile hangi parametreleri kullanabileceğimize bakalım.

R1(config-if)#standby 10 ?

hsrp group number options

Kullanılabilecek birçok parametre bulunmakta. Biz temel ayarları yapacağız. Öncelikle sanal IP adresini tanımlayacağım. 192.168.10.0 networkü için 192.168.10.1 adresini kullanacağım.

R1(config-if)#standby 10 ip 192.168.10.1

Ben R1 routerının birinci router olmasını istediğim için priority değerini yükselteceğim. Böylece R1 routerı üzerinden trafiğin akmasını sağlayacağım. Priority değeri olarak 0-255 arasında değer girilebilmekte. Varsayılan olarak değer 100’dür. Bu değer ne kadar yüksek olursa öncelik daha da artar. R1 için priority değerini 200 yapacağım.

R1(config-if)#standby 10 priority 200

Öncelik değeri R1’de yüksek olduğu için R1 active router olacak ve trafik bu router üzerinden gidecektir. R1’de bir problem olması durumunda R2 görevi üstlenecek ve trafik R2 üzerinden gidecektir. Eğer R1 tekrardan aktif duruma geçtiğinde trafiğin bu router üzerinden geçmesini istiyorsak preempt komutu ile bunu belirtmemiz gerekiyor.

R1(config-if)#standby 10 preempt

Böylelikle R1 routerının 192.168.10.0’lı network için ilk yol olduğunu ve R1’de bir problem oluşmasından sonra tekrar ayağa kalktığında trafiği tekrardan üstleneceğini belirtmiş olduk.

R2 için de 192.168.10.0’lı network için HSRP yapılandırmasını yapalım.

R2(config)#interface et0/0
R2(config-if)#standby 10 ip 192.168.10.1

192.168.10.0’lı network için R1 ve R2’de yapılandırmamızı yaptık. 192.168.20.0 networkü için de Router’larda yapılandırmamızı yapalım.

R1(config)#interface ethernet 0/1
R1(config-if)#standby 20 ip 192.168.20.1
R1(config-if)#standby 20 priority 200
R1(config-if)#standby 20 preempt
!
R2(config)#interface ethernet 0/1
R2(config-if)#standby 20 ip 192.168.20.1

Basitçe yapılandırmayı yaptık. 10’lu ve 20’li network için R1 routerı öncekli oldu.

Şimdi show komutları ile nelere bakabiliriz onları görelim.

show standby

show standby

Çıktıya baktığımızda; HSRP durumunu (active/standby), sanal IP ve MAC adresini, priority ve preempt durumunu görebilmekteyiz.

Daha kısa bir çıktı isteniyorsa eğer, show standby brief komutu kullanılır.

show standby brief

show standby neighbors

show standby neighbors

Aynı komutları R2’de de çalıştıralım:

show standby

show standby

show standby brief

show standby brief

show standby neighbors

show standby neighbors

Son olarak yedeklilik testimizi yapalım. VPC1(192.168.10.10)’den VPC2(192.168.20.10)’ye sürekli ping atacağım ve bu esnada R1 routerını yeniden başlatacağım. Böylece kesinti esnasındaki iletişimi görmüş olacağız.

Kesinti yapmadan önce VPc1 ile VPC2 arasındaki rotaya bakalım.

hsrp trace test

trace komutuyla yolu izlediğimizde trafik 192.168.10.253 üzerinden yani R1 üzerinden gidiyor. Seri ping atmayı başlattıktan sonra R1’i yeniden başlatacağım ve ardından rotaya yeniden bakalım:

hsrp trace test

Gördüğünüz gibi R1 ile R2 arasındaki geçiş o kadar hızlı olmuş ki kesinti bile yaşamadan trafik R2 üzerinden geçmeye başlamış.

Bu yazımızda HSRP ile router yedekliliğini yapmış olduk. Bir sonraki yazıda görüşmek dileğiyle…

 

Cisco Router DHCP Konfigürasyonu

Bu yazımızda Cisco Router üzerinde DHCP yapılandırmasını yapacağız. DHCP işlemi için genelde server (sunucu) kullanılsa da, ihtiyaç duyulması halinde DHCP işlemi Router üzerinden de yapılabilir.  Router üzerinde birkaç komut ile kolay bir şekilde DHCP işlemi yapılabilmekte. Aşağıdaki topoloji üzerinden DHCP konfigürasyonunu yapalım.

cisco router dhcp configuration

Öncelikle Router’da portu aktif edelim.

Router#configure terminal 
Router(config)#hostname R1
R1(config)#interface ethernet 0/0
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.10.1 255.255.255.0

Artık DHCP konfigürasyonuna başlayabiliriz. DHCP servisini kullanabilmek için DHCP servisi aktifleştirilir.

R1(config)#service dhcp 

DHCP ile ilgili bilgiler bir havuzda (pool) tutulur. Bunun için bir pool oluşturulur.

Ben  VLAN10 adında bir pool oluşturacağım.

R1(config)#ip dhcp pool VLAN10

Pool oluşturulduktan sonra, bu havuz için nelere kullanabileceğimize bakalım:

cisco dhcp options

Görüldüğü üzere birçok seçenek bulunmakta. Biz temel ayarları yapacağız.

Network

Network tanımlaması yapılır. Örneğimizdeki network (ağ) 192.168.10.0/24

R1(dhcp-config)#network 192.168.10.0 255.255.255.0

Gateway

Netwrok için gateway tanımlaması yapılır. Bu tanımlama default-router parametresi ile yapılır.

R1(dhcp-config)#default-router ?
  Hostname or A.B.C.D Router's name or IP address

R1(dhcp-config)#default-router 192.168.10.1

Domain-name

Eğer ortamda Domain (etki alanı) var ise Domain-name belirtilir. Şu anki yapıda domain olmasa da örnek olarak salihaltuntas.com’u ekleyeceğim.

R1(dhcp-config)#domain-name ?
  WORD Domain name

R1(dhcp-config)#domain-name salihaltuntas.com

DNS-Server

Eğer ortamda DNS Server varsa DNS-Server adresi belirtilir.  Ben örnek olarak 192.168.10.10 adresini DNS-Server olarak tanımlayacağım.

R1(dhcp-config)#dns-server ?
   Hostname or A.B.C.D Server's name or IP address

R1(dhcp-config)#dns-server 192.168.10.10

Kiralama süresi (Lease Time)

Burada dağıtılan IP adreslerinin ne kadar süre ile verileceği ayarlanır. Süre sonsuz olarak ayarlanabildiği gibi gün, saat ve dakika olarak da belirtilebilir.

R1(dhcp-config)#lease ?
  <0-365> Days
  infinite Infinite lease

Zaman ayarlı verilecekse, lease parametresinden sonra aralarında boşluk olacak şekilde 3 haneli sayı girilerek belirtilebilir. Burada ilk değer günü, ikinci değer saati, üçüncü değer dakikayı belirtir. Örnek olarak 14 gün 12 saat 30 dakikalık bir kiralama süresi yapmak isteseydik parametremiz şu şekilde olacaktı:

R1(dhcp-config)#lease 14 12 30

Adım adım incelemek gerekirse;

R1(dhcp-config)#lease ?
  <0-365> Days
  infinite Infinite lease

R1(dhcp-config)#lease 14 ?
  <0-23> Hours
  <cr>

R1(dhcp-config)#lease 14 12 ?
  <0-59> Minutes
  <cr>

R1(dhcp-config)#lease 14 12 30

excluded-address

Harici adresler: DHCP’de istek geldiğinde boşta olan ilk IP adresi dağıtılır. Bizim örneğimizde 192.168.10.2 adresi kullanılmadığı için ilk DHCP istediğinde bu adres atanacaktır. Bu IP adresini ileride statik olarak bir hosta verdiğimde IP çakışması olacaktır. Bu gibi durumların yaşanmaması için adresler hariç tutulabilir. Adresler tek tek belirtilebildiği gibi, aralık vererek de belirtilebilir.

Örnek olarak ilk 10 IP adresini hariç tutacağım. (Harici adreslerin yapılandırması Global Config Modda yapılmaktadır.)

Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10

Harici adreslerimizi de belirledik. Artık  DHCP isteği geldiğinde adresler 192.168.10.11’den itibaren dağıtılmaya başlanacaktır.

Temel olarak konfigürasyonu yaptık. Yaptığımız konfigürasyonu temize çekmek gerekirse;

ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool VLAN10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1 
dns-server 192.168.10.10 
domain-name salihaltuntas.com
lease 14 12 30

Konfigürasyonumuz tamam. Şimdi testimizi yapalım. VPC1’den IP DHCP isteği yapacağım.

dhcp request

PC sorunsuz bir şekilde IP adresini Router’da oluşturmuş olduğumuz yapılandırmadan aldı. VPC2’den de DCHP isteği gittiğinde sorunsuz bir şekilde yapılandırmasını alacaktır. Yalnız bu sefer IP adresini otomatik olarak değil de manuel olarak atayacağım.

Cisco Router DHCP Reservation

Cisco Router’larda DHCP yapılandırmasında rezervasyon işlemi de yapılabilmekte. Yani IP havuzundan boşta olan IP adresini vermek yerine, istemciye istenilen IP adresi de atanabilmekte. Bunun için yeni bir pool (havuz) oluşturulur.

Ben PC2 adında bir pool oluşturacağım.

Router(config)#ip dhcp pool PC2

Ardından hosta verilecek IP adresi belirtilir. Ben 192.168.10.50 adresini kullanacağım.

Router(dhcp-config)#host ?
      A.B.C.D IP address in dotted-decimal notation

Router(dhcp-config)#host 192.168.10.50

Ardından istemcinin client-identifier  adresi belirtilir. client-identifier ise içinde istemcinin MAC adresinin olduğu bir adrestir. Bu adresleme MAC adresinin başına 01 sayısı getirilerek oluşturulur. Örnekte bulunana PC2’nin MAC adresi 0050.7966.6804 şeklindedir. Bunu client-identifier şeklinde kodladığımızda, adresimiz 0100.5079.6668.04 olmaktadır.

Router(dhcp-config)#client-identifier 0100.5079.6668.04

Manuel olarak IP adresini belirledik. PC2’den de IP DHCP isteğinde bulunalım.

cisco dhcp reservation

PC2, kendisine atamış olduğumuz IP adresini aldı.  Genel olarak Cisco Router DHCP konfigürasyonu bu şekilde idi. Kullanabileceğimiz diğer komutlara da bakalım.

show ip dhcp binding

show ip dhcp binding

DHCP tarafından atanan tüm veriler bu tabloda görünmektedir. Çıktıya baktığımıza hangi IP adresinin hangi istemciye atandığı, kiralama süresi ve atamanın ne şekilde yapıldığı bilgisi yer almaktadır. Bu komutta atanan tüm bilgiler yer alır. Özel olarak IP adresi belirtilerek de detaylara bakılabilir. Örneğin sadece 192.168.10.50 adresine bakılmak istenseydi komut şu şekilde olacaktı:

show ip dhcp binding 192.168.10.50

show ip dhcp pool

show ip dhcp pool

Bu komutla oluşturulan pool’lar hakkında bilgi edinilebilir. Çıktıya baktığımızda pool’larda toplam kullanılabilecek adres sayısı, kullanılan adres sayıları ve verilmeye hazır IP adresleri görünmektedir. Bu komut oluşturulan tüm pool’ların görüntülenmesini sağlar. Özel olarak pool araması yapılmak istenildiği taktirde; komutun devamında Pool Name belirterek arama yapılabilir. Örnek komut: show ip dhcp pool VLAN10

clear ip dhcp binding ?

clear ip dhcp binding

DHCP tarafından oluşturulan bağlantıları temizlemek için kullanılır. Tek tek adres belirtilebileceği gibi tüm bağlantılar da temizlenebilir. Temizleme işleminden sonra, istemci  IP talebinde bulunduğunda yeni bir IP adresi verilecektir. Topolojimizde PC1 192.168.10.11 adresini almıştı. Temizleme işleminden sonra PC1 IP isteğinde bulunduğunda, sırada bulunan adres verilecektir; yani 192.168.10.12 adresi.

clear ip dhcp binding komutu tek başına kullanılamamakta ve parametre girmek gerekmektedir.

Eğer tüm bağlantıların temizlenmesi isteniyorsa clear ip dhcp binding *

Özel olarak IP adresi belirtmek isteniyorsa clear ip dhcp binding 192.168.10.11  şeklinde kullanılabilir.

Yazımızın sonuna geldik. Yazıyı beğendiyseniz sosyal medya hesaplarında paylaşarak destek olabilirsiniz.

Cisco Router/Switch SSH konfigürasyonu

SSH (Secure Shell – Güvenli Kabuk), ağ cihazlarına uzaktan bağlanmak için kullanılan bir araçtır. TCP/IP protokolünü kullanan SSH , 22. port üzerinden haberleşmektedir. SSH‘de veriler şifrelenerek iletildiğinden dolayı güvenlidir. Bir önceki yazımızda Telnet ile uzak bağlantı yapmış ve verilerin şifrelenmeden iletildiği için güvenli olmadığını görmüştük.

cisco ssh configuration

Kendi bilgisayarımdan Putty ile bağlantı yapabilmek için EVE-NG üzerinde yukarıdaki topolojiyi oluşturdum.

Cisco Router SSH yapılandırması

Router>enable
Router#configure terminal 
Router(config)#hostname R1
R1(config)#interface ethernet 0/0
R1(config-if)#ip address 192.168.43.10 255.255.255.0
R1(config-if)#no shutdown

Kullanıcı adı, parola ve enable parolası oluşturalım.

R1(config)#username salih secret salih
R1(config)#enable secret level 15 salih

Cisco cihazlarda uzak bağlantı için vty(Virtual Teletype) yapılandırması yapılması gerekmektedir. Bu yapılandırma da iletişim tipi, açılacak oturum sayısı gibi birçok parametre bulunmaktadır. Yapılandırma yapılırken öncelikle aynı anda kaç tane oturum açılabileceği ayarlanır.

R1(config)#line vty ?
<0-4> First Line number

Parametreye baktığımızda 0-4 arasında değer girmemiz gerektiğini görüyoruz. Buda demektir ki, en fazla aynı anda 5 tane oturum açılabilmektedir. (0 değeri 1. oturumu temsil ediyor.)

Ben maksimum değeri kullanacağım.

R1(config)#line vty 0 4

Burada ilk değer başlangıç, son değer ise bitiş oturumunu belirtmekte. Böylece aynı anda 5 oturum açılabileceğini seçmiş olduk.

Oturum sayısını belirttikten sonra erişim türünü belirteceğiz. Öncelikle kullanabileceğimiz protokollere bakalım:

R1(config-line)#transport input ?
    all All protocols
    lapb-ta LAPB Terminal Adapter
    lat DEC LAT protocol
    mop DEC MOP Remote Console Protocol
    none No protocols
    pad X.3 PAD
    rlogin Unix rlogin protocol
    ssh TCP/IP SSH protocol
    telnet TCP/IP Telnet protocol
    udptn UDPTN async via UDP protocol
    v120 Async over ISDN

Kullanılabilecek çok fazla protokol var. Biz buradan protokol olarak SSH seçeceğiz.

R1(config-line)#transport input ssh

Son olarak girişi aktifleştireceğiz.

R1(config-line)#login local

Bu parametre ile girişin lokal kullanıcı ile yapılacağını belirttik. Şu ana kadar ki yaptığımız konfigürasyon Telnet ile aynıydı. Gelelim SSH’nin aktifleştirilmesine. Öncelikle domain-name belirtmek gerek. Domain ismi olarak salihaltuntas.com vereceğim.

R1(config)#ip domain-name salihaltuntas.com

SSH’de verilerin şifrelendiğinden bahsetmiştik. Şifreleme için açık kaynak olan RSA algoritması kullanılmakta. Bunun için bir kripto anahtarı oluşturmak gerekecektir. Config modda iken crypto key generate rsa yazalım ve enter tuşuna basalım.

R1(config)#crypto key generate rsa
The name for the keys will be: R1.salihaltuntas.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:

RSA key oluşturmak istediğimizde yukarıdaki bir bilgi ekranı gelecektir. Burada şifrelemenin kaç bit olması belirtilir. 1024 bit bizim için yeterli.

How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Şifreleme için 1024 bitlik anahtar oluşturuldu. Son olarak SSH versiyonunu belirteceğiz. SSH için 2 versiyon bulunmaktadır.  İlk versiyonda açıklar olduğu için, güncel ve daha güvenli olan versiyon 2’yi seçeceğiz.

R1(config)#ip ssh version ?
<1-2> Protocol version
R1(config)#ip ssh version 2

Yapılandırma bu kadar. Artık SSH bağlantısı ile Router’a bağlanabiliriz.

Cisco switch SSH yapılandırması

Switch için SSH yapılandırmamız router’daki ile aynı olacaktır. Tek fark, Switch’lere uzaktan erişebilmek için VLAN arayüzüne ihtiyaç vardır. Bundan dolayı VLAN arayüzüne girip IP adresi vereceğiz.

Öncelikle cihaz ismini verip ardından kullanıcı adı/parola ve enable parolası oluşturalım.

Switch#configure terminal
Switch(config)#hostname SW
SW(config)#username salih password salih
SW(config)#enable secret level 15 salih

Uzaktan erişim için IP adresine ihtiyacımız olacak. VLAN arayüzüze girip IP adresi vereceğiz. Ben örneğimde default VLAN’ı yani VLAN 1’i kullanacağım.

SW(config)#interface vlan 1
SW(config-if)#ip address 192.168.43.20 255.255.255.0
SW(config-if)#no shutdown

Son olarak uzak bağlantıyı etkinleştirelim.

SW(config)#line vty 0 4
SW(config-line)#transport input ssh
SW(config-line)#login local

Temel yapımızı yaptık. SSH için altyapıyı da hazırlayalım.

SW(config)#ip domain-name salihaltuntas.com

SW(config)#crypto key generate rsa

The name for the keys will be: SW.salihaltuntas.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

SW(config)#ip ssh version 2

SSH yapılandırması Cisco Router ve Swtich için bu şekildeydi. Telnet yazımızda verilerin açık olduğunu görmüştük. Wireshark ile SSH trafiğine bakalım. Burada verilerin şifrelendiğini de görmüş olalım.

wireshark ssh tcp stream

Görüldüğü gibi SSH paketinde veriler şifrelenmiş halde. Başka bir yazıda görüşmek üzere.

Diğer Cisco konularına buradan bakabilirsiniz: Cisco R&S

Cisco Router/Switch Telnet konfigürasyonu

Telnet (Telecommunication Network – İletişim Ağı), ağ cihazlarına uzaktan bağlanmak için kullanılan bir araçtır. TCP/IP protokolünü kullanan Telnet, 23. port üzerinden haberleşmektedir. Telnet’te veriler şifrelenmeden açık metin (Clear Text) olarak iletildiğinden dolayı güvenilir değildir ve günümüzde pek kullanılmamaktadır. (Bu konumuzda her ne kadar Telnet yapılandırmasını anlatacak olsam da, günlük hayatta kesinlikle Telnet kullanılmaması gerektiğini de hatırlatmak isterim.)

cisco telnet

Kendi bilgisayarımdan Putty ile bağlantı yapabilmek için EVE-NG üzerinde yukarıdaki topolojiyi oluşturdum.

Cisco Router Telnet yapılandırması

Öncelikle routera isim ve IP adresi vererek yapılandırmaya başlayım.

Router>enable
Router#configure terminal 
Router(config)#hostname R1
R1(config)#interface ethernet 0/0
R1(config-if)#ip address 192.168.43.10 255.255.255.0
R1(config-if)#no shutdown 

Kullanıcı adı, parola ve enable parolası oluşturalım.

R1(config)#username salih password salih
R1(config)#enable secret level 15 salih

Cisco cihazlarda uzak bağlantı için vty(Virtual Teletype) yapılandırması yapılması gerekmektedir. Bu yapılandırma da iletişim tipi, açılacak oturum sayısı gibi birçok parametre bulunmaktadır. Yapılandırma yapılırken öncelikle aynı anda kaç tane oturum açılabileceği ayarlanır.

R1(config)#line vty ?
<0-4> First Line number

Parametreye baktığımızda 0-4 arasında değer girmemiz gerektiğini görüyoruz. Buda demektir ki, en fazla aynı anda 5 tane oturum açılabilmektedir. (0 değeri 1. oturumu temsil ediyor.)

Ben maksimum değeri kullanacağım.

R1(config)#line vty 0 4

Burada ilk değer başlangıç, son değer ise bitiş oturumunu belirtmekte. Böylece aynı anda 5 oturum açılabileceğini seçmiş olduk.

Oturum sayısını belirttikten sonra erişim türünü belirteceğiz. Öncelikle kullanabileceğimiz protokollere bakalım:

R1(config-line)#transport input ?
    all All protocols
    lapb-ta LAPB Terminal Adapter
    lat DEC LAT protocol
    mop DEC MOP Remote Console Protocol
    none No protocols
    pad X.3 PAD
    rlogin Unix rlogin protocol
    ssh TCP/IP SSH protocol
    telnet TCP/IP Telnet protocol
    udptn UDPTN async via UDP protocol
    v120 Async over ISDN

Kullanılabilecek çok fazla protokol var. Biz buradan protokol olarak telnet’i seçeceğiz.

R1(config-line)#transport input telnet

Son olarak girişi aktifleştireceğiz.

R1(config-line)#login local

Bu parametre ile girişin lokal kullanıcı ile yapılacağını belirttik. Şimdide yapılandırmanın çalışıp çalışmadığına bakalım.

telnet bağlantısı

telnet bağlantısı

Bağlantım başarılı bir şekilde gerçekleşti. Oluşturmuş olduğum kullanıcı adı ve şifre ile giriş yaptım. Artık cihazı uzaktan yönetebilirim.

Cisco switch Telnet yapılandırması

Switch için Telnet yapılandırmamız router’daki ile aynı olacaktır. Tek fark, Switch’lere uzaktan erişebilmek için VLAN arayüzüne ihtiyaç vardır. Bundan dolayı VLAN arayüzüne girip IP adresi vereceğiz.

Öncelikle cihaz ismini verip ardından kullanıcı adı/parola ve enable parolası oluşturalım.

Switch#configure terminal
Switch(config)#hostname SW
SW(config)#username salih password salih
SW(config)#enable secret level 15 salih

Uzaktan erişim için IP adresine ihtiyacımız olacak. VLAN arayüzüze girip IP adresi vereceğiz. Ben örneğimde default VLAN’ı yani VLAN 1’i kullanacağım.

SW(config)#interface vlan 1
SW(config-if)#ip address 192.168.43.20 255.255.255.0
SW(config-if)#no shutdown

Son olarak uzak bağlantıyı etkinleştirelim.

SW(config)#line vty 0 4
SW(config-line)#transport input telnet 
SW(config-line)#login local

Yapılandırma bu kadar. Bağlantı testimizi de yapalım.

telnet bağlantısı

Uzak bağlantımız sorunsuz bir şekilde gerçekleşti.

Neden Telnet kullanılmamalı?

Telnet’in verileri açık metin olarak ilettiğini ve bunun güvensiz olduğunu yazının başında belirtmiştim. Şimdi neden güvensiz olduğunu görelim.

Uzak bağlantıyı yaptıktan sonra switch üzerinde birkaç şey yapalım.

telnet bağlantısı

Wireshark programı ile paketleri yakalayalım ve içinde neler olduğuna bakalım:

wireshark follow tcp stream

Wireshark ile paketi yakalayıp paket detaylarına baktığımızda, yapmış olduğumuz bağlantı ile ilgili bütün bilgilerin açık bir şekilde göründüğünü görüyoruz. Verilerin açık bir şekilde iletilmesi ağ güvenliği açısından oldukça tehlike oluşturmaktadır. Bundan dolayı uzak bağlantı için Telnet kullanılmamalı, daha güvenli olan SSH tercih edilmelidir.

Cisco VRRP Yapılandırması

Router yedeklilik ve yük dengeleme protokolü olan VRRP (Virtual Router Redundancy Protocol – Sanal Yönlendirici Yedekliliği Protokolü), IEEE standardında bir protokoldür. Birden fazla routerın tek bir router gibi davranmasını sağlar. Bunun için de sanal IP adresi oluşturulur ve bu sanal IP gateway olarak işlev görür.  Routerlardan bir tanesi master(ana) router seçilir ve diğerleri backup(yedek) olarak seçilir. Trafik master router üzerinden geçer ve master routera bir şey olması durumunda backup router devreye girer. Böylece trafik akışı minimal düzeyde kesintiye uğrayarak devam eder.

Bu arada, Cisco cihazlarda Cisco’ya özel olan HSRP protokolünün daha çok kullanıldığını da hatırlatmakta fayda var. VRRP Cisco harici cihazlarda kullanılan bir protokoldür. Ayrıca CCNA konularında da geçmez. Fakat yine de bu protokolü öğrenmekte fayda var. Çünkü iki farklı üreticiye ait routerları yedeklemek istediğimizde bu protokolü kullanmamız gerekecek.

vrrp configuration

VRRP yapılandırması için yukarıda bulunan basit örnek üzerinden gidelim.

VRRP yapılandırmasını yapmadan önce interfacelere IP adreslerini verelim.

R1 interface yapılandırması

interface Ethernet0/0
ip address 192.168.10.253 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.20.253 255.255.255.0

R2 interface yapılandırması

interface Ethernet0/0
ip address 192.168.10.254 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.20.254 255.255.255.0

PC’ler için yapılandırma

PC1 : 192.168.10.50 255.255.255.0 gateway 192.168.10.1
PC2 : 192.168.20.50 255.255.255.0 gateway 192.168.20.1

interface yapılandırmasından sonra ilgili interfacelere girip VRRP yapılandırmasını yapıyoruz. Burada ilgili interfacelerde sanal IP adresini aynı yapmamız gerek. Ben 192.168.10.0 networkü için 192.168.10.1’i, 192.168.20.0 networkü için 192.168.20.1 IP adresinin kullanacağım.

Interfaceye girelim.

R1(config)#interface ethernet 0/0

vrrp ? yaptığımızda bize VRRP için grup numarası isteyecektir. 1-255 arasında bir değer verebiliriz. Yalnız vermiş olduğumuz bu grup numarasını diğer routerda da aynı vermemiz gerekecek.

R1(config-if)#vrrp ?
<1-255> Group number

Grup numarasından sonra sanal IP adresini tanımlayacağız. Ben grup numarası olarak 10 vereceğim. Grup numarasından sonra sanal IP adresini tanımlayacağız.

R1(config-if)#vrrp 10 ip 192.168.10.1

vrrp

Tanımlamamızı yapar yapmaz log düştü. Ben R1 routerının birinci router olmasını istediğim için priority değerini yükselteceğim. Böylece R1 routerı üzerinden trafiğin akmasını sağlayacağım. Priority değeri olarak 1-254 arasında değer girilebilmekte. Varsayılan olarak değer 100’dür. Bu değer ne kadar yüksek olursa öncelik daha da artar. R1 için priority değerini 200 yapacağım.

R1(config-if)#vrrp 10 priority 200

Öncelik değeri R1’de yüksek olduğu için R1 master router olacak ve trafik bu router üzerinden gidecektir. R1’de bir problem olması durumunda R2 görevi üstlenecek ve trafik R2 üzerinden gidecektir. Eğer R1 tekrardan aktif duruma geçtiğinde trafiğin bu router üzerinden geçmesini istiyorsak preempt komutu ile bunu belirtmemiz gerekiyor.

R1(config-if)#vrrp 10 preempt

Böylelikle R1 routerının 192.168.10.0’lı network için ilk yol olduğunu ve R1’de bir problem oluşmasından sonra tekrar ayağa kalktığında trafiği tekrardan üstleneceğini belirtmiş olduk.

R2 için de 192.168.10.0’lı network için VRRP yapılandırmasını yapalım.

R2(config)#interface et0/0
R2(config-if)#vrrp 10 ip 192.168.10.1

192.168.10.0’lı network için R1 ve R2’de yapılandırmamızı yaptık. 192.168.20.0 networkü için de yapılandırmamızı yapalım.

R1(config)#interface ethernet 0/1
R1(config-if)#vrrp 20 ip 192.168.20.1
R1(config-if)#vrrp 20 priority 200
R1(config-if)#vrrp 20 preempt
!
R2(config)#interface ethernet 0/1
R2(config-if)#vrrp 20 ip 192.168.20.1

Basitçe yapılandırmayı yaptık. 10’lu ve 20’li network için R1 routerı öncekli oldu.

Şimdi show komutları ile nelere bakabiliriz onları görelim.

show vrrp

Bu komut ile genel VRRP yapılandırmasına bakabiliriz.

show vrrp

Çıktıya baktığımızda; VRRP durumunu (master/backup), sanal IP ve MAC adresini, priority ve preempt durumunu, master routerın IP adresinin ve priority değerini görebilmekteyiz. Daha kısa bir çıktı isteniyorsa eğer,  show vrrp brief komutu kullanılır.

show vrrp brief

R2’ye de bakalım.

show vrrp brief

Çıktılara baktığımızda R1’in master(ana), R2’nin backup(yedek) durumunda olduğunu görüyoruz.

Son olarak yedeklilik testimizi yapalım. VPC1(192.168.10.50)’den VPC2(192.168.20.50)’ye sürekli ping atacağım ve bu esnada R1 routerını yeniden başlatacağım. Böylece kesinti esnasındaki iletişimi görmüş olacağız.

vrrp ping test

Görüldüğü gibi, çok kısa bir kesintinin ardından trafik sorunsuz bir şekilde devam etti. Son olarak kesinti durumundaki rotaya bakalım.

Kesinti olmadan önce VPC1-VPC2 arası rota:

vrrp trace test

trace komutuyla yolu izlediğimizde trafik 192.168.10.253 üzerinden yani R1 üzerinden gidiyor. Kesinti esnasında trace komutuyla rota bakalım:

vrrp

R1 pasif durumda iken trafik 192.168.10.254 üzerinden yani R2 üzerinden gitmiş.

VRRP ile router yedekliliğini yapmış olduk. Bir sonraki yazıda görüşmek üzere…