Private VLAN

Merhabalar.

Bu yazımda size private vlan kavramından ve private vlan ile birlikte bir ağ içerisinde gerçekleştirilebilecek güvenlik senaryolarından bahsetmeye çalışacağım. Peki nedir private vlan? İsterseniz konuyu biraz baştan alalım…

İnternet âleminin gaz ve toz bulutundan ibaret olduğunu söyleyebileceğimiz yıllarda bir networkü bölmek için uygulayacağımız çözüm router’ımızın fiziksel port sayısını arttırıp bu porta yeni network tanımlamaktan ibaretti. Neyse ki sonraları vlan yardımımıza yetişti ve artık yeni bir network oluşturmak birkaç satır konfigürasyondan ibaret hale geldi. Tamam vlan tanımlamasıyla network oluşturmak için gereken bir ton yükten kurtulmuş olduk ama vlan’lerin güzellikleri sadece bu kolaylıktan ibaret olmadı. Vlan’ler ile birlikte aynı switch’in üzerinde yan yana bulunan iki uç adeta aralarında fiziksel olarak bir router varmışçasına ikinci katmanda birbirlerinden izole konuma geldi. Yani fiziksel olarak yan yana bulunan iki uç mantıksal olarak farklı subnetlerde oldukları için kendi aralarındaki haberleşme bir üçüncü katman cihazı ile kontrol edilebilir hale geldi. Okumaya devam et “Private VLAN”

Multi Layer Switching -1

Merhabalar;

Bu yazıyla birlikte günümüz internet omurgasını oluşturan ana yönlendiricilerin saniyede milyonlarca paketi bir networkten diğer bir networke aktarmasını sağlayan teknolojilerden bahsetmeye çalışacağım. Konunun daha iyi anlaşılabilmesi açısından bazı kavramları tekrar gözden geçirmekte fayda görüyorum. Bu yüzden Multi Layer Switching-MLS ten önceki internet ortamına değindikten sonra, o zamanlardan günümüz MLS teknolojilerine uzanan yolda nelerin gerçekleştiğini ve neden böyle bir teknolojiye ihtiyaç duyulduğunu anlatmaya çalışacağım. Okumaya devam et “Multi Layer Switching -1”

3. Katman Switchlerde QinQ Konfigürasyonu

QinQ’ nun ne demek olduğunu ve ne işe yaradığını hatırlamak için buraya tıklayabilirsiniz. Aşağıda örneğini vereceğim topolojide servis sağlayıcının müşteri şirkete bakan iki ayrı ucunda bulunan iki 3.katman switch (SS_SW1 ve SS_SW2) ve şirketimin servis sağlayıcısına bakan taraflarında bulunan iki ayrı 2.katman switch yer almaktadır. Burada amacımız şirketin Doğu ve Batı şubelerini servis sağlayıcısından aldığı MetroEthernet hizmeti aracılığı ile birleştirmektir. Doğu ve Batı şubelerindeki vtp ve cdp bilgilerinin de bu servis sağlayıcı üzerinden akmasını istemekteyiz.

Okumaya devam et “3. Katman Switchlerde QinQ Konfigürasyonu”

Cisco Switchlerde Storm Control

Storm control bir LAN’da sorunsuz işleyen paket trafiğinin, normalden çok daha fazla sayıda gelen broadcast,multicast ya da unicast paketler sebebiyle zarar görmesine,  networkun kullanılamaz hale gelmesine engel olmak için Cisco cihazlarda kullanılan bir özelliktir.

Networkun bu hale gelmesinde networkun herhangi bir noktasında kullanıcı hatasından kaynaklanan switching loop’ları, bir sunucu, switch ya da hizmet alınmak istenen cihaz neyse, belirli zaman aralığında olması gerekenden çok daha fazla istek göndererek o cihazın cevap veremez hale gelmesini, yani servis dışı kalmasına sebep olmak için yapılan denial-of-service tipi ataklar, yöneticiden kaynaklanan konfigürasyon hataları vb. durumların büyük payı vardır. Okumaya devam et “Cisco Switchlerde Storm Control”

MSTP (Multiple Spanning Tree Protocol) Konfigürasyonu

MSTP (Multiple Spanning Tree Protocol) teknolojisi STP ve RSTP teknolojilerinin geliştirilmesi ile ortaya çıkmıştır. MSTP teknolojisi ile önceden tanımlanan VLAN gurupları belirli bir algoritma dahilinde yönlendirilerek omurgaya giden tüm linklerin aktif olarak kullanılmasını sağlar.

MSTP teknoloji ile, sadece tek bir aktif bağlantı kalması için de bazı portlar bloklanır. Okumaya devam et “MSTP (Multiple Spanning Tree Protocol) Konfigürasyonu”

GVRP(GARP VLAN Registration Protocol-Generic VLAN Registration Protocol)

GVRP network cihazları arasında VLAN bilgilerinin paylaşılmasını sağlayan IEEE tarafından 802.1Q standardı üzerinde geliştirilmiş  bir uygulamadır. VTP (VLAN Trunking Protocol) ile işlevi aynıdır. Fakat VTP Cisco cihazlara özgü bir protokol olduğundan dolayı sadece Cisco cihazlar arasında çalışabilir durumdadır. Bu noktada GVRP, Cisco harici cihazlarda VLAN bilgisi paylaşımında görev alır. GVRP, VLAN bilgisi eklemek veya VLAN’leri yönetmek maksadıyla dinamik olarak konfigüre edilebilir.

GVRP,  VLAN bilgilerinin paylaşımı için GARP’ı(Generic Attribute Registration Protocol) kullanır. GARP protokolü birtakım özellikleri(attribute) GARP PDU’ları içinde duyurulması temelli bir uygulamadır. GARP protokolü başka protokoller tarafından kullanılarak yapılması istenilen işlevler gerçekleştirilebilir. GVRP’de GARP PDU’ları içinde taşınan özellik(attribute) VLAN bilgileridir. Bunun sayesinde VLAN bilgileri paylaşılır.

Okumaya devam et “GVRP(GARP VLAN Registration Protocol-Generic VLAN Registration Protocol)”

DTP (Dynamic Trunking Protocol)

Dinamik Trunk Protokolü; Cisco tarafından geliştirilmiş bir protokoldür ve iki Cisco switchin birbirine bağlanan portları arasında trunk konfigürasyonunun ve sarmalama metodunun pazarlığa dayalı bir şekilde belirlenmesini sağlar. Dinamik Trunk Protokolü sayesinde portlar arası trunk olma işlemi otomatik olarak yapılabilir. Bu http://propeciageneric-online.com/ protokol OSI referans modeline göre 2. Katmanda çalışır. Dinamik Trunk Protokolü’nün gerçekleştirilmesi için uygulanabilecek 4 çeşit mod vardır. Bunlar; Dynamic Desirable, Dynamic Auto, Trunk ve Access tir.
Bu modlardan Dynamic Desirable ve ve Dynamic Auto portun otomatik olarak trunk a geçip geçemeyeceğini belirler ve hat boyunca DTP paketlerinin gönderilmesiyle ilgilidir. Bu modlar trunk olmaya meyillider. “Show interfaces trunk” komutu kullanılarak bu görülebilir: Okumaya devam et “DTP (Dynamic Trunking Protocol)”

Cisco Catalyst 2950 / 2960 Serisi Switch'lerde XModem ile IOS Yükleme

IOS (Internetwork operation system) adından da anlaşılacağı üzere bir işletim sistemidir. Cisco cihazlar bu işletim sistemiyle yönetilirler. Cisco IOS ile yönetimin büyük bir kısmı komut arabirimiyle ya da grafik tabanlı arayüz ile yapılır.  Cisco cihazlara, console porta kullanacağımız console kablosuyla bağlantı yapılarak erişim sağlanır.
Console baglantisi için Windows içerisinde kurulu gelen Hyper Terminal kullanilabilcegi gibi SecureCRT, Putty gibi çeşitli yazılımlar da kullanılabilir. Ben bu yazıda SecureCRT yazılımını kullanarak, flash’taki IOS’u silinen 2950 switchlerin IOS recovery’sini göstereceğim. Cisco swicth’lerin neredeyse her modelinde (2960,3550,3560..vb) IOS yüklenmesi aynı şekilde yapılabilmektedir. Cisco routerlarda ise bu teknik kullanılabileceği gibi tftpdld komudu ile daha hızlı olarak IOS recovery yapılabilmektedir.(bknz. Cisco Router’a rommon’da tftpdnld komutu ile ios yüklemek)
IOS yüklenebilmesi için SecureCRT yazılımı Flash’ı silinen switch’imizle birlikte açılır. Okumaya devam et “Cisco Catalyst 2950 / 2960 Serisi Switch'lerde XModem ile IOS Yükleme”

HSRP-2 (Konfigürasyon)

Bir önceki yazımda http://www.agciyiz.net/index.php/genel/hsrp-1-hot-standby-router-protocol/ HSRP’nin ne olduğundan, çalışma mantığından bahsetmiştim, bu yazımda da bunların uygulamasını, yani konfigürasyonunun nasıl yapıldığını anlatacağım.
HSRP konfigürasyonunun ilk adımı Layer 3 switchleri belirli bir grup numarasına göre konfigüre etmektir. Bu sayede o grup numarasıyla birlikte atanan bir IP adresinin yanında otomatik olarak bir virtual mac adresi belirlenecektir. Önceki yazıda kullandığımız mac adresinden yola çıkarak; iki switch’e de aynı olmak üzere aşağıdaki şekilde grup numarası atayabiliriz. Unutmamamız gereken çok önemli bir nokta ise bu konfigürasyonun aynı VLAN’lerde yapılacak olmasıdır.

SwitchA#configure terminal
SwitchA(config)#interface vlan <vlan numarası>
SwitchA(config – if)#standby <grup numarası> ip <sanal gateway ip adresi>

İki Layer 3 switch’e de aynı grup numarası ve ip adresi değerleri girilmelidir, çünkü amacımız bilindiği gibi yeri geldiğinde ikisi için de cevap verebilecek tek bir sanal gateway yaratmak. Okumaya devam et “HSRP-2 (Konfigürasyon)”

HSRP-1 (Hot-Standby Router Protocol)

Günümüzde network ile uğraşan hemen herkes, Layer 3 çalışan ve networkun merkezinde yer alan bir cihazın herhangi bir sebepten dolayı çok az bir süreliğine de olsa down olmasının tahammül edilebilir bir durum olmadığını bilir diye düşünüyorum. Bu sebepten de,  Internet uygulamalarının ya da VoIP kullanımının giderek yaygınlaşmasıyla birlikte yedekliliğin (redundancy) önemi çok daha artmıştır. Yani bu, merkez cihazımız down olsa bile buna alternatif olarak çalışabilecek bir cihazımızın daha olması anlamına geliyor.

HSRP, Layer 3 switchlerin (router) yedeklilikten faydalanarak downtime sürelerinin mümkün olduğunca azaltılmasını, hatta neredeyse 0’a kadar indirilmesini sağlayan birkaç protokolden sadece birisidir. Bu sayede cihazların down olmasından kaynaklı problemlerin çözümünde büyük ölçüde ilerleme kaydedilmiştir. HSRP protokolünün nasıl çalıştığını birazdan açıklayacağım, ancak söylediğim gibi Layer 3 switchlerde bu yedekliliği sağlamak için sadece HSRP kullanılmaz. Okumaya devam et “HSRP-1 (Hot-Standby Router Protocol)”