Ağcıyız 4 Yaşında!

Herkese selamlar,

Hazır duygusalken, gecikmiş olan yaş günü yazısını yazayım diye düşündüm ve uykumun arasında kalkıp başladım yazmaya. 16 Ağustos saat 02:00. Bildiğiniz üzere Ağcıyız 4 yaşına girdi bu sene. Söylenecek ve anlatacak çok şey var aslında. Nasıl toparlayıp anlatıcam bilmiyorum ama bi ucundan girişmek lazım. Aslında pek tarzımız değil ama, fonda şu şarkıyla bu yazının daha bi güzel olacağını düşünüyorum: http://www.youtube.com/watch?v=hs8y3kneqrs .

Öncelikle Ağcıyız’ın hikayesi ile başlayalım. 2009 yılında, bir grup Network sevdalısı İTÜ Bilgi İşlem çalışanının, “abi biz niye Network ile ilgili yazıların bulunduğu bir blog site Okumaya devam et “Ağcıyız 4 Yaşında!”

Çakışan IP blokları arasında IPSEC VPN

Merhaba

IPSEC VPN’in uzak noktalardaki iki site arasında güvenli bağlantı sağlayan bir teknoloji olduğunu biliyoruz. IPSEC VPN bir kurumun uzak noktalardaki şubeleri arasında güvenli bağlantı sağlamak amacıyla kullanılabileceği gibi, iki farklı kurumun karşılıklı anlaşmasıyla bu kurumlar arasındaki belli bir trafiğin güvenliğinin sağlanması amacıyla da kullanılabilir. Bu “kurumlar arası” VPN türünde “kurum içi” VPN’de karşılaşılması pek olası olmayan bir durum ortaya çıkabilir: İki kurumun da aynı private IP aralığını kullanıyor olması.
Okumaya devam et “Çakışan IP blokları arasında IPSEC VPN”

Kablolu Bağlantılar İçin 802.1x Doğrulama -1

Merhabalar.

Port tabanlı ağ erişim denetimi, noktadan–noktaya bağlantı özelliklerine sahip bir yerel ağ portuna takılan cihazların kimlik doğrulaması ve yetkilendirme için ve bu sayede kimlik doğrulaması ve yetkilendirmesi başarısız olması durumunda o portu erişimden koruyarak IEEE 802 yerel ağ altyapılarının fiziksel erişim özelliklerinin kullanımına olanak sağlar. Bu bağlamda bir port, yerel ağ altyapısına ekli tekil bir no Okumaya devam et “Kablolu Bağlantılar İçin 802.1x Doğrulama -1”

Cisco IOS'ta Easy VPN

Merhaba

Bildiğiniz gibi bir Cisco router’ı VPN geçidi olarak tanımlayıp, uzak istemcileri bu router ile IPSEC bağlantısı kurmaları suretiyle iç ağa güvenli bir şekilde dahil etmek mümkündür. Genel adı remote-access olan bu yapı Cisco terminolojisinde Easy VPN olarak geçiyor.

Easy VPN kavramı sadece üzerinde bir VPN yazılımı olan son kullanıcı cihazlarını kapsamamaktadır. Uzak noktalardaki router’lar da bir IPSEC VPN istemcisi olarak yapılandırılabilir. Yani IPSEC VPN gateway olarak yapılandırılan bir router’a son kullanıcıların yanı sıra başka ağ cihazları da bağlanabilir. Bu yazıda ben daha çok istemci router yapılandırmasını ve farklı istemci yapılandırmalarındaki özellikleri inceleyeceğim.
Okumaya devam et “Cisco IOS'ta Easy VPN”

Generic Routing Encapsulation

Merhaba,
Yazımda GRE (Generic Routing Encapsulation) protokolünün çalışma şeklinden, faydalarından ve konfigürasyonundan bahsedeceğim. Bu yazının benim için bir ilk olmasından dolayı yaşadığım heyecan ve tecrübesizlik umarım yazıma da yansımaz 🙂

GRE bir kapsülleme protokolü olarak çalışır. GRE, üzerine IP başlığı eklenip IP paketi haline gelmiş veriyi kapsüller ve üzerine yeni bir IP başlığı ekler. Yeni eklenen IP başlığında ise paketin gideceği hedefin IP adresi bulunmaz. Onun yerine GRE tünelinin uç IP adresleri bulunur. Üçüncü katmanda çalışan cihazlar bu paketi yönlendirirken kapsülün dışındaki Okumaya devam et “Generic Routing Encapsulation”

IOS router'larda PKI konfigürasyonu

Merhaba

Bu zamana kadarki yazılarımda ISAKMP’de kimlik denetimini hep önceden paylaştırılmış gizli anahtar ile (Pre-shared Secret Key ve Pre-Shared Key, kısaca PSK) yaptık. ISAKMP kimlik denetimi için PSK sıklıkla kullanılır çünkü çok basit bir yöntemdir. PSK’nın yeterince ölçeklenebilir olmadığı durumlarda ise kimlik denetimi sertifikalarla yapılabilir. Asimetrik şifreleme ve hash algoritmalarıyla çalışan bu mekanizmaya PKI (Public Key Infrastructure) adı verilir.
Okumaya devam et “IOS router'larda PKI konfigürasyonu”

Catalyst 4500/6500 Switchlerde Supervisor Engine Yedekliliği

Herhese merhaba, şu sıralar ağcıyız ekibi olarak yoğun bir dönemden geçiyoruz ancak yazılarımız hız kesmeden devam ediyor :), Bu yazımda kampüs backbone’nunda yada genel olarak söylememiz gerekirse distribution katmanında kullanılan Catalyst 4500/6500 serisi modüler switchlerin supervisor yedekliliğinden bahsedeceğim, Okumaya devam et “Catalyst 4500/6500 Switchlerde Supervisor Engine Yedekliliği”

VPN High Availability

Merhaba

Son yazımı 2013’te görüşürüz diye bitirip Mart ayına kadar beklediğimi fark edince uzun bir yazı yazmaya kadar verdim 🙂 Bu yazımı şimdiye kadar basitlik adına hiç değinmediğim bir konuya, VPN bağlantılarında yedekliliğe ayıracağım ve çeşitli yedeklilik konfigürasyonlarını inceleyeceğiz.

Öncelikle link yedekliliğini inceleyelim. VPN tünelini sonlandırdığımız router’lar birbirlerine farklı interface’lerinden ulaşabiliyorlarsa her interface için bir tünel oluşturulması ölçeklenebilir olmayacaktır. Bunun yerine her iki router’da da birer loopback oluşturup tünelleri bu interface’lerde sonlandırabiliriz. Aşağıdaki topolojiyi inceleyelim:

 

 

Okumaya devam et “VPN High Availability”

DVTI (Dynamic Virtual Tunnel Interface)

Önceki yazımda SVTI’dan bahsetmiştim. Kısaca hatırlatmak gerekirse: Crypto map yerine VTI kullandığımızda elimizde hemen hemen tüm interface komutlarını uygulayabileceğimiz bir tunnel interface oluyordu. Bu sayede sadece VPN’e özgü security ve QoS konfigürasyonları yapabiliyorduk. (Ayrıca bu tünellerin multicast desteği de oluyordu). İşte remote access VPN’i dinamik crypto map değil de dinamik VTI kullanarak yapılandırırsak bu bahsettiğimiz yetenekleri remote access bağlantılarda da kullanabiliriz.
Okumaya devam et “DVTI (Dynamic Virtual Tunnel Interface)”