Distribute List ile Routing Update Trafiği Kontrolü

Distribute List komşu routerlardan bir interface’e gelen veya bir interface’den komşu routerlara giden routing update’lerini kontrol etmek için kullanılır. Routing update trafiği distribute list ve ACL kullanılarak filtre edilebilir.

Outbound update’lerin kontrolü için aşağıdaki komut işletilir:

Router(config-router)#distribute-list {access-list-number | name} out [interface-name | routing process [autonomous-system-number]]

Burada;
Okumaya devam et “Distribute List ile Routing Update Trafiği Kontrolü”

BGP Attribute

BGP routerları, diğer BGP routerlarına network rotalarına erişimle ilgili BGP update mesajları gönderirler. BGP update mesajları, bu network rotalarına erişimin bir ölçüsü olarak BGP Path Attribute diye adlandırılan metrik bilgisini barındıran mesajlardır. BGP Path Attribute’leri dört kategoriye ayrılır. Bunlar well-known mandatory, well-known discretionary, optional transitive ve optional nontransitive’dir.

Well-Known Mandatory: Her BGP update mesajında zorunlu olarak bulunması gereken BGP attribute’leri bu kategoriye dahildir. Autonomous system path, next-hop, origin; bu kategoriye dahil olan attribute’lerdir.

Well-Known Discretionary: Her BGP update mesajında bulunması zorunlu olmayan BGP attribute’leri bu kategoriye dahildir. Local preference ve atomic aggregate, bu kategoriye dahil olan attribute’lerdir.

Optional Transitive: Bu kategorideki attribute’ler üzerinde optional transitive attribute uygulanmamış routerlar tarafından üzerinde değişiklik yapılmadan komşu BGP routerlarına iletilirler. Aggregator ve community, bu kategoriye dahil olan attribute’lerdir.

Optional Nontransitive: Bu kategorideki attribute’ler üzerinde optimal nontransitive attribute uygulanmamış routerlar tarafından silinirler ve komşu routerlara iletilmezler. Multi-exit discriminator(MED), originator ID ve cluster-list; bu kategoriye dahil olan attribute’lerdir.

Temel bazı BGP Path Attribute’leri ve özellikleri şu şekildedir:

Okumaya devam et “BGP Attribute”

IPSec

IPSec (Internet Protocol Security) protokolü, IP paketlerini kimlik doğrulamasına(authentication) ve şifrelemeye(encryption) tabi tutarak IP iletişimini güvenli hale getiren bir protokol takımıdır. IPSec, network katmanında çalışır ve routerlar,VPN istemcileri, PIX Firewall’lar ve IPSec uyumlu cihazlar arasında iletişimi güvenli kılar. IPSec açık bir standart olduğundan ötürü birçok kimlik doğrulama(authentication) ve şifreleme(encryption) algoritmasını içinde barındırır.

Okumaya devam et “IPSec”

IP NGN Carrier Ethernet Mimarisi ve Mobil İnternet

2G”nin ardından 3G”nin de hızlıca yaygınlaşmaya başlamasıyla GSM operatörleri, internet servis sağlayıcı olmak yolunda iddialı bir biçimde ilerlemeye başladılar. Yakın gelecekte, 4. Nesil teknolojilerin de hayata geçmesiyle internet pazarında daha da baskın hale gelecekleri son derece açık. Operatörlerin tüm bu gelişmeleri destekleyecek biçimde ağ alt yapılarını revize etmeleri gerekiyor.

Okumaya devam et “IP NGN Carrier Ethernet Mimarisi ve Mobil İnternet”

IPv6

İnternet kullanıcılarının, IP tabanlı uygulamaların ve cihazların sayılarındaki hızlı artış IPv4 adreslemesini yetersiz kılmıştır. IPv6, IPv4 adreslemesinin dezavantajı olan adres sayısı darboğazını ortadan kaldırmak amacıyla tasarlanmıştır.

Okumaya devam et “IPv6”

OSPF Router ve LSA Türleri

RIP,IGRP ve EIGRP gibi distance vector routing protokolleri ailesine dahil protokollerde yönlendirme kararı, doğrudan bağlı komşu routerlardan alınan bilgiye göre yapılır. Fakat OSPF gibi link-state routing protokolleri ailesine dahil protokollerde, her router aynı area(bölge) içindeki tüm networkün topolojisini barındıran ve LSDB(Link-State Database) adı verilen bir veri tabanında barındırılan bilgiye göre yönlendirme kararını verir. Routerların sahip oldukları LSDP, aynı area içindeki diğer routerlardan alınan LSA”ler (Link-State Advertisement) vasıtasıyla oluşturulur.  LSA”ler periyodik olarak değil, networkte herhangi bir değişiklik olduğunda gönderilirler ve routerların ve linklerin durumlarıyla ilgili gerekli bilgileri barındırırlar. LSA”ler routerları çeşitli açılardan bilgilendirmek amacıyla çeşitlere ayrılmışlardır. Bu çeşitleri incelemeden önce OSPF “te görev alan router türlerini inceleyelim:

Okumaya devam et “OSPF Router ve LSA Türleri”

Ağda Nirvana'ya Varmanın Yeni Adı "Cisco Certified Architect" :)

Ağ ile ilgilenenler bilirler. Cisco sertifikasyon aşamalarını sembolize eden bir piramit yapısı vardır. İşin ABC’si öğrenmeye başlandığında bu piramidin sembolize ettiği sertifikasyon basamakları kafalara kazınır. Henüz yeni, Cisco bu piramidin tepesine bir basamak daha ekledi. Yeni basamağın adı “Architect”.

Okumaya devam et “Ağda Nirvana'ya Varmanın Yeni Adı "Cisco Certified Architect" :)”

Kablosuz Ağlarda EAP Tabanlı Güvenlik Metotları

EAP(Extensible Authentication Protocol)

EAP(Extensible Authentication Protocol), birçok kablosuz ağ güvenliği metodunun temelini oluşturan protokoldür. EAP  protokolü üzerinden geliştirilen PEAP, LEAP, EAP-TLS, EAP-FAST  metotları bunlara örnek olarak gösterilebilir. Bunlardan her biri EAP’i temel alır, fakat kimlik denetimi için farklı referanslar kullanırlar. Bazılarında ek güvenlik özellikleri mevcuttur.

LEAP(Lightweight EAP)

Cisco tarafından geliştirilmiş bir protokol olan LEAP’te AP’ler kullanıcıların kimlik denetimlerini bir RADIUS(Remote Authentication In User Server/Service) üzerinden gerçekleştirirler. Kimlik denetimi için kullanıcı adı ve şifre kullanılır.

LEAP ayrıca WEP’i kullanarak veri güvenliğini de sağlar. Her kablozuz ağ kullanıcısı için dinamik olarak RADIUS sunucu tarafından bir WPA anahtarı üretilir. Böylece kullanıcı bazlı veri güvenliği sağlanmış olur.

Okumaya devam et “Kablosuz Ağlarda EAP Tabanlı Güvenlik Metotları”

GVRP(GARP VLAN Registration Protocol-Generic VLAN Registration Protocol)

GVRP network cihazları arasında VLAN bilgilerinin paylaşılmasını sağlayan IEEE tarafından 802.1Q standardı üzerinde geliştirilmiş  bir uygulamadır. VTP (VLAN Trunking Protocol) ile işlevi aynıdır. Fakat VTP Cisco cihazlara özgü bir protokol olduğundan dolayı sadece Cisco cihazlar arasında çalışabilir durumdadır. Bu noktada GVRP, Cisco harici cihazlarda VLAN bilgisi paylaşımında görev alır. GVRP, VLAN bilgisi eklemek veya VLAN’leri yönetmek maksadıyla dinamik olarak konfigüre edilebilir.

GVRP,  VLAN bilgilerinin paylaşımı için GARP’ı(Generic Attribute Registration Protocol) kullanır. GARP protokolü birtakım özellikleri(attribute) GARP PDU’ları içinde duyurulması temelli bir uygulamadır. GARP protokolü başka protokoller tarafından kullanılarak yapılması istenilen işlevler gerçekleştirilebilir. GVRP’de GARP PDU’ları içinde taşınan özellik(attribute) VLAN bilgileridir. Bunun sayesinde VLAN bilgileri paylaşılır.

Okumaya devam et “GVRP(GARP VLAN Registration Protocol-Generic VLAN Registration Protocol)”

Cisco IOS ve PIX Firewall ACL Konfigürasyonu

Cisco IOS ACL Konfigürasyonu

ACL (Access Control List), network ataklarını engellemek ve network trafiğini kontrol etmek için kullanılan bir yapıdır. ACL’ler sayesinde networkümüze giren ve networkümüzden çıkan trafiği adres ve port bazlı olarak filtreleyebiliriz. Bu işlemi yapmak için kullanılan iki tür ACL vardır. Bunlar Standard ACL ve Extended ACL’dir.

Standard ACL

Standard ACL’ler 1-99 veya 1300-1999 arası numaralandırılan ve trafiği kontrol etmek için IP başlıklarındaki kaynak IP bilgisini inceleyen ACL’lerdir. Standard ACL’ler filtreleme işlemini sadece Layer 3 bilgisine bakarak gerçekleştirirler. Standard ACL’ler şu şekilde oluşturulur:

Router(config)# access-list {1-99}  {permit|deny} source-addr [source-wildcard]

İlk bölüm, ACL numarasını ifade eder. İkinci bölüm, belirtilen kaynak IP adresine izin verilip verilmeyeceğini belirtir. Üçüncü bölüm, üzerinde işlem yapılacak kaynak IP adresini gösterir. Dördüncü kısımdaki wildcard maskesi ise üzerinde işlem yapılacak ip adres aralığını belirler.

AGCIYIZ_ACL(config)# ip access-list standard 70
AGCIYIZ_ACL(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Okumaya devam et “Cisco IOS ve PIX Firewall ACL Konfigürasyonu”