RİP (ROUTING İNFORMATION PROTOCOL)

 

 

Merhaba arkadaşlar bugün sizlere elimden geldiğince RİP protokolünü anlatmaya çalışacağım.Günümüzde cok fazla kullanılmasa da bilimesi gereken bir protokoldür.Uzaklık vektör algoritmasıyla çalışır ve Bellman-Ford algoritmasını kullanır.Administrative Distance (yönetim mesafesi) 120 dir.

En iyi yol seçiminde Hop Sayısını kullanır ve maksimum 15 hop gidebilir.

30 saniyede bir güncelleme paketi yollar.

İki versiyonu bulunmaktadır.Bunlar RİPV1 ve RİPV2 dir.

Öncelikle RİPV1 den başlayalım,ve kıasaca özelliklerinden bahsedelim.

-Classfull çalışır.

-Güncelleme paketlerini yollarken genel yayın adresi(255.255.255.255) kullanır.

-Kimlik doğrulama özelliği yoktur.

Yönlendiricide RİP etkinleştirmel için;

-enable

-conf t

-router rip

Devre dışı bırakmak için;

-no router rip

Komutlarını kullanırız. “Router rip” yazarak rip yönlendirme protokolünü etkinleştirmiş olduk fakat yönlendirici diğer yönlendiricilerle iletişim için

hangi arayüzlerini kullanarak bağlantı sağlayacağını  henüz bilmiyor.Bu yüzden yönlendiricinin kendisine bağlı yerel ağlarını bidirmesi gerekir.Şimdi konfigürasyonun geri kalan kısmına bakalım.

 

R1 in burada kendine ait yerel ağlarını “network” komutuyla tanıtması gerekir.

-network 192.168.1.0

-network 192.168.2.0

Aynı işlemler R2 ve R3 içinde yapılır.

RİPV1 network komutuyla bir altağ adresi girildiğinde bu adres otomatik olarak sınıflı ip adreslerine dönüştürülür.

Örneğin network 192.168.1.16 ip adresi girersek IOS bunu 192.168.1.0 olarak tanıtacaktır.Peki sınıflı ip adresleri nelerdir?

 

KLAS ADRESİ REZERV ADRES ARALIĞI
KLAS A 10.0.0.0 dan  10.255.255.255 e kadar
KLAS B 172.16.0.0 dan 172.31.255.255 e kadar
KLAS C 192.168.0.0 dan 192.168.255.255 e kadar

 

Şimdi birazda RİPV2 ye bakalım.RİPV1’e getirilen bazı yeni özelliklerle RİPV2 geliştirilmiştir.RİPV2 için getirilen bazı ek özellikler;

1)Sınıfsız yönlendirme

Altağ maskelerini yönlendirme güncellemelerine eklediği için vlsm ve cıdr destekler.

2) Daha yüksek verimlilik

Güncellemeleri genel yayın adresi yerine çoklu yayın adresiyle gönderir.

3) Daha az yönlendirme girişi

Tüm arayüzlerde el ile rota özetlemesini destekler.

4) Güvenlik

Kimlik doğrulama mekanizması destekler.

Ayrıca RİPV2 güncelleme paketlerini genel yayın adresiyle değil çoklu yayın adresiyle iletir.(224.0.0.9)

Şimdi RİPV2 konfigürasyonuna bakalım.

-enable

-conf t

-router rip

-version 2 (version 2 yazarak RİPV2 yi etkinleştirmiş olduk.)

RİPV2 de varsayılan otomatik özetleme ayarını devre dışı bırakmak için no auto summary komutu girilmelidir.Otomatik özetleme devre dışı bırakıldığında

RİPV2 artık alt ağ adreslerini sınıflı ip adreslerine çevirmez.

PASİF ARAYÜZLER

RİP güncellemeleri 30 saniyede bir bütün  RİP özellikli arayüzlerden gönderilir.Fakat RİP güncellemelerinin sadece RİP’in etkin olduğu yönlendiricilere bağlı arayüzlerden gönderilmesi daha uygun olurdu.

Örneğin şekile baktığımızda R1 g0/0 arayüzüne  bağlı RİP cihazı yoktur,fakat güncellemeler buradan da yollanır.

Bu durum boşa bant genişliği harcar, gereksiz kaynak tüketir ve genel yayınla gönderilen güncellemeler güvenlik riskleri oluşturur. Bu yüzden bu durumu engellemek için PASSIVE INTERFACE komutu kullanılır.Bu komut ilgili arayüze girildiğinde o arayüze güncelleme paketi gitmez fakat o ağın RİP ile tanıtılmasına da engel olmaz.

Şimdi pasif arayüz konfigürasyonuna bakalım.

-enable

-conf t

-router rip

-passive-interface g0/0

Alternatif olarak tüm arayüzler passive-interface default komutu kullanılarak pasif yapılabilir.Tekrar aktif edilecek olan arayüzler no passive-interface komutu kullanılarak yeniden etkinleştirilebilir.

RİP İÇİN VARSAYILAN ROTA OLUŞTURMA VE YAYMA

Şekile baktığımız zaman R1 in internete bağlanabilmesi için varsayılan bir statik rotaya ihtiyacı vardır.R2 ve R3 için de ayrı ayrı varsayılan statik rota girilebilir fakat buna gerek yoktur.

Sadece R1 için bir varsayılan statik rota yazıp bunu diğer yönlendiricilere yaymak daha akıllıca ve pratik bir çözüm olacaktır.

Şimdi bir varsayılan statik rota yazıp bunu diğer yönlendiricilere duyuralım.

ip route 0.0.0.0 0.0.0.0 s0/1 209.165.200.226 (çıkış arayüzü ve sonraki sıçrama adresi)

Varsayılan statik rotayı oluşturduk, şimdi bunu diğer RİP yönlendiricilerine yaymamız gerekecek.

 

-router rip

-default-information originate

Bu komutu da yazdığımız zaman artık R2 ve R3 route tablosuna varsayılan statik rotanın işlendiğini göreceksiniz.

Yeni bir yazıda tekrar görüşmek üzere.Hepinize iyi çalışmalar dilerim…

 

 

Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN

Merhaba arkadaşlar… Bugün sizlere Juniper Netscreen’de nasıl site-to-site VPN yapılacağını anlatacağım ama öncelikle site-to-site VPN den biraz bahsedeceğim.

Site-to-site VPN iki uzak bölgenin birbileri arasında Wide Area çözümü olmadan internet üzerinden güvenli bir şekilde erişim sağlamasına denir. Bunu yaparken altında yatan teknolojilerden çok bahsetmeyeceğim çünkü bu konuda internette hali hazırda tonlarca döküman bulunmaktadır :). Firewall operasyonlarında gördüğümüz bir çok cihazdan VPN konusunda biraz sıkıntılı bir arayüze de sahip olmasından dolayı bu yazımda Netscreen de site-to-site VPNnin nasıl yapılacağından bahsedeceğim. FW üzerinde policy based ve route based olmak üzere iki şekilde VPN kurulabilir. Bunlardan policy based olarak VPN kurmak belki göreli olarak daha basitse de ölçeklenebilirlik açısından daha route based VPN e göre daha kötüdür. Policy based VPN de faz 2 parametresi olan Proxy-ID belirlenmez bunun yerine policy üzerinde yazılır ve tünele doğru yönlendirilir. Bu şekilde yapınca routing ve tünel interface oluşturmak gibi işlemlerden kaçınmış oluyoruz. Biraz resimler ile konfigürasyon anlatımı yaparsam daha anlaşılır olacak sanırım 🙂
Okumaya devam et “Juniper Netscreen Route Based vs. Policy Based Site-to-Site VPN”

FlexVPN

Önceki yazımda IKEv2’den bahsetmiş ve point-to-point VPN topolojilerinde kullanımına örnekler vermiştik. Bu yazımda da multipoint topolojilerde kullanımını inceleyeceğiz. DMVPN ile çok uçlu routing alt yapısı oluşturabileceğimizi zaten biliyoruz. IKEv2 ve IPSEC kullanarak da bunun güvenliğini sağlamamız mümkün. Ancak DMVPN’in yapabildiklerinin fazlasını da yapabilen, dolayısıyla IKEv2 kullanılırken tercih edilebilen FlexVPN adını verdiğimiz bir yapı da mevcut. Bu yazıda da aslında daha çok bu yapıyı inceliyor olacağız.
Okumaya devam et “FlexVPN”

Checkpoint Firewall İnceleme 1. Kısım

Merhaba arkadaşlar, uzun bir aradan sonra yeni bir yazı ile tekrar karşınızdayım:). Yeni başladığım işim sayesinde birden fazla firewall ( güvenlik duvarında ) çalışma yapma şansı buldum. Bu yüzden ara ara çalıştığım cihazlar hakkında basit konfigürasyon ve tanıtım şeklinde geçecek olan güvenlik duvarı yazı serisine Checkpoint firewall ile başlıyorum.
Okumaya devam et “Checkpoint Firewall İnceleme 1. Kısım”

IKEv2 (Internet Key Exchange version 2)

Merhaba

Bu yazımda IKEv2’den bahsedeceğim. Daha önceki yazılarda incelediğimiz üzere ISAKMP protokolü IPSEC bağlantısını güvenli bir şekilde başlatma görevini üstlenen bir protokoldür. Önceden çok detaylı bahsetmemiş olsam da ISAKMP aslında daha geniş ve IKE adını verdiğimiz bir protokolün bir parçası. İkisi aynı şey olmasa da yapılandırma perspektifinden hemen hemen aynı şeyi ifade etmekte ve neticede cümle içinde kullanılırken de çoğu kez birbirlerinin yerine kullanılmaktadır. İşte IKEv2 de IPSEC için aynı amaca yönelik tasarlanmış yeni bir protokol.
Okumaya devam et “IKEv2 (Internet Key Exchange version 2)”

Enhanced Easy VPN

Daha önce Cisco IOS’ta Easy VPN yazımda sadece software client’ların değil router’ların da bir istemci gibi davranıp Remote-access VPN gateway’lerine bağlanabileceğinden bahsetmiş ve farklı istemci yapılandırmalarını incelemiştik. Bunun yanı sıra DVTI yazımda da Remote-access VPN’i dinamik crypto map yerine dinamik VTI kullanarak nasıl yapılandırabileceğimizi açıklamıştık. DVTI sayesinde VPN gateway’de her istemci için ayrı bir Virtual-access interface’i elde ediyorduk. Aynı şekilde router’ların istemci olarak davrandığı Easy VPN senaryosunda da DVTI kullanabiliriz. İstemci router’ların da bir tunnel interface aracılığıyla VPN’e dahil oldukları bu yapıya da Enhanced Easy VPN adı veriliyor.
Okumaya devam et “Enhanced Easy VPN”

DMVPN (5): Faz 3

Önceki yazılarımda DMVPN Faz 1’de spoke’ların tüm rotaları hub üzerinde bildiğini ve tüm trafiğin hub üzerinden geçtiğini, Faz 2’de ise tüm spoke’ların tüm rotaları bildiğini ve spoke’ların birbirleriyle doğrudan haberleşebildiğini söylemiştim. Faz 2’nin avantajı ortada; trafik hub’ın bant genişliğini harcamaz ve gecikme daha küçük tutulur. Faz1’de ise genellikle özetleme yapıldığı için spoke’ların routing table’larının küçük olması gibi bir avantaj var. Faz 3’te bu iki avantaj bir araya getirilmeye çalışılır: Tüm rotalar yine merkezde bilinir ama trafik doğrudan spoke’lar arasında akar.
Okumaya devam et “DMVPN (5): Faz 3”

Wireless Sniffing

Network’te sniffing yöntemi , ağ yönetimi yapanlar için sıkça başvurulan bir yöntemdir. Fakat söz konusu network wireless altyapısından oluşuyorsa işler biraz karışmaktadır, yazının  karışıklığı biraz gidereceğini düşünüyorum..

Wireless sniffing nedir  , sorusuna  kısaca Wireless sniffing ile trafik havadan  yakalanır ve decode etmeyi sağlar şeklinde cevaplayabiliriz. Okumaya devam et “Wireless Sniffing”