Network (IP v4) ve CCNA’e Giriş
OSI MODELİ (open system interconnection model)
7 katmandan oluşmaktadır. OSI iletişim protokolü network üzerindeki iletişimde kullanılmaktadır. Gönderilen data capsulation yapılarak paketlenir ve iletimin son noktasında da encapsulation ile paket açılır.
|
7-Application Layer: Datayı transfer ettiğimiz uygulama bilgisinin tutulduğu kısımdır. (Browser, FTP programı, vs.) 6-Presentation Layer: Transfer edilen datanın hangi protokolü kullandığı bilgisini barındırır.(FTP, HTTP, SMTP, vs.) 5-Session Layer: Transfer edilen datanın kaynak ve hedef port bilgisinin tutulduğu katmandır. 4-Transport Layer: Data transferinin TCP mi yoksa UDP mi olduğu bilgisinin barındırıldığı katmandır. 3-Network (IP) Layer: Transfer edilen datanın hedef ve kaynak IP adreslerinin tutulduğu katmandır. 2-Data Link Layer: Kaynak ve hedef MAC adreslerinin tutulduğu katmandır. 1-Physical Layer: Data transferinin fiziksel kısmını bilgilendiren kısımdır. Data DSL den mi, fiberden mi ya da nereden transfer ediliyorsa bilgileri bu katmanda tutulur. |
Basit bir örnek verecek olursak; örneğin ADSL kullanıcısıyız ve bir web sayfasını internet explorer üzerinden görüntüledik. Bu işlem esnasında OSI katmanlarında neler olduğuna bakalım.
1-Fiziksel Katman (Physical Layer): ADSL kullanıcısıyız ve bu katmanda bizim bu web sayfasına ulaşırken kullanacağımız bağlantının bir DSL bağlantısı olduğu bilgisi bulunuyor.
2-Veri Bağlantısı Katmanı (Data Link Layer): Web sayfasını görüntülemek için kullandığımız bilgisayarımızın MAC adresi ve web sayfasını barındıran sunucunun MAC adres bilgileri bu katmanda bulunuyor.
3-Ağ Katmanı (Network (IP) Layer): Web sayfasını görüntülemek için kullandığımız bilgisayarımızın IP adresi ve web sayfasını barındıran sunucunun IP adres bilgisi bu katmanda bulunuyor.
4-Taşıma Katmanı (Transport Layer): Web hizmeti TCP protokolü üzerinden verildiğine göre, bu katmanda da bizim web sayfasına erişimde kullandığımız protokolün TCP olduğu bilgisi bulunuyor.
5-Oturum Katmanı (Session Layer): Özel bir değişiklik olmadığı sürece web sayfaları, üzerinde bulundukları sunucuların 80 numaralı portlarından hizmet verirler. Ancak bizler kendi bilgisayarlarımızdan bu web sayfalarını görüntülemek istediğimizde boşta olan ve özel bir hizmete tabi olmayan rastgele bir porttan çıkış yaparız. Aynı web sayfasına açtığımız farklı oturumlar bilgisayarımızdaki rastgele farklı portlardan çıkış yaparlar. Web hizmeti sunucunun 80 numaralı portundan sabit olarak verilmektedir, diyelim ki bize de bu web sayfasını görüntülemek için bilgisayarımız rastgele 21578 numaralı porttan çıkış verdi. Oturum katmanında gideceğimiz port olan 80 ve çıkış yaptığımız port olan 21578 numaralı port bilgileri yer alır. Ağ veri transferlerinde bilgisayarınızın hangi portundan çıkış yapıldıysa dönen bilgiler yine aynı porttan size ulaşır. Bu yüzden çıkış portunuz rastgele verilse bile, sizin istekte bulunduğunuz web sayfanı görmeniz için sunucunun 80 numaralı portundan gönderilen veriler sizin talepte bulunduğunuz 21578 numaralı portunuza gelecektir.
6-Sunum Katmanı (Presentation Layer): Bir web sayfasını görüntülemek istemiştir. Standart bir web sayfası HTTP protokolü üzerinden çalışmaktadır. Bu durumda sunum katmanımızda da HTTP protokol bilgisi yer almakta.
6-Uyguama Katmanı (Application Layer): İlk başta da belirttiğim gibi web sayfamızı Internet Explorer üzerinden açtık. Uygulama katmanında web sayfası isteğinin bir tarayıcıdan gönderildiği ve bu tarayıcının da Internet Explorer olduğu bilgisi yer aldı.
BİLGİ: TCP connection oriented bir bağlantı türüdür.TCP bağlantıları öncesinde “three way handshake” denilen, üç yönlü el sıkışma yapılarak bağlantıya geçilir. IP paketleri numaralandırılarak gönderilirler. TCP bağlantılarda her iki taraf da sürekli iletişim ve kontrol halinde olmak durumundadır. Örneğin download işlemlerinde.
UDP bağlantılar ise connection oriented bağlantılar değildirler. Örneğin ses, video streaming, radyo yayınları ve bu tür yayımlar UPD bağlantıları üzerinden yapılır. Yani karşı tarafın gönderilen paketleri alıp almaması paketleri yayımlayan host tarafından önemli değildir. Bu yüzden UDP bağlantılarda sürekli iletişim ve kontrol yapısı yoktur.
(TCP) three way handshake
CTL = Which control bits in the TCP header are set to 1
OSI katman yapısı içerisinde, karşı tarafa katmanlarla bir takım bilgiler gönderiyor ve alıyoruz. Her iki tarafta kendi bilgilerini biliyor fakat bu OSI katmanları karşı tarafın bilgisini nasıl bilebiliyor? Karşı tarafa erişebilmek için giden paketler OSI modeline göre kapsüllenip, gönderiliyor demiştik. Peki, giden ilk paket, nereye gideceğini ve karşı tarafın bilgisini nasıl bilebilir? Detay isteyenler için akla gelen ilk soru işaretlerinden biridir bu konu. Aslında basit bir cevabı var. Şöyle ki, biz iletişime geçmeden hemen önce ARP protokolü devreye girip, iletişime geçeceğimiz yeri aramaya başlar ve broadcast ile ARP paketleri göndermeye başlar. Doğru kaynağa ulaşan paketler iletişime geçmek istediğimiz kaynağın bilgilerini bize getirir ve biz de OSI katmanlarımız için ihtiyaç duyduğumuz karşı tarafın bilgilerini biliyor oluruz.
TCP / IP
Günümüzde OSI referans modeli temel alınarak oluşturulan TCP / IP sürüm 4 ya da sürüm 6 kullanılmaktadır. Bu modelin adı TCP /IP protokol takımıdır.
IP(ver.4)
IP adresleri iki gruptan oluşurlar. Bunlar HOST ID ve NETWORK ID dir. IP paketlerinin büyüklüğü 32 bittir. X.X.X.X şeklinde yazdığımız IP adreslerinde noktalar arasındaki her alan 8 bit büyüklüğündedir. IP adresi dört bloktan oluştuğuna göre 8 x 4 = 32 bit bir IP paketinin büyüklüğünü açıklamakta yeterli olacaktır.
255.255.255.255 IP sinin ikili düzendeki açılımı:
27+26+25+24+23+22+21+20 . 27+26+25+24+23+22+21+20 . 27+26+25+24+23+22+21+20 . 27+26+25+24+23+22+21+20
255 . 255 . 255 . 255
27+26+25+24+23+22+21+20 = 255
Subnet Mask (Alt Ağ Maskesi)
IP adresinin NETWORK ID sini belirlemek için alt ağları kullanırız. Ancak asıl amaç ağları bölmek ve daha kullanışlı bir hale getirmektir. Tüm dünya üzerindeki IP tabanlı cihazların hepsinin tek bir alt ağ maskesi üzerinde olduğunu düşündüğünüzde, yapılan gereksiz netwok paket kirliliği tüm networklerin işlevselliğini kaybetmesine ve tıkanıp durmasına yol açacaktır.
Alt ağ maskesi sıralı birler ve sıralı sıfırlardan oluşur. Birlerin içerisine sıfırlar, sıfırların içerisine de birler olamaz.
255.255.255.0 bir alt ağ maskesinin IP sidir. Bu ip adresini /24 şeklinde de ifade edebiliriz. (255.255.255.0 – /24) 24 rakamı alt ağ maskesinin bit sayısını vermektedir. 11111111.11111111.11111111.00000000 = 24 bit
IP başlığı altında yaptığımız hesaplamaları hatırlarsak;
Alt ağ maskesinin ilk bloğunu ele alalım 11111111 ( 8 tane bir)
İkili düzende ilk bloğun sayı değerini hesapladığımızda aşağıdaki sonuçla karşılaşırız.
(1 x 27) + (1 x 26) + (1 x 25) + (1 x 24) + (1 x 23) + (1 x 22) + (1 x 21) +(1 x 20) = 255
Alt ağ maskesinin son bloğunu ele alalım 00000000 ( 8 tane sıfır)
İkili düzende son bloğun sayı değerini hesapladığımızda aşağıdaki sonuçla karşılaşırız.
(0 x 27) + (0 x 26) + (0 x 25) + (0 x 24) + (0 x 23) + (0 x 22) + (0 x 21) +(0 x 20) = 0
Alt ağ maskesinde yer alan sıfırlar kadar o ağda IP adresi dağıtılabilir.
Elimizde 10.160.240.13 IP adresi ve 255.255.255.0 alt ağ maskesi olsun. Bu network ün NETWORK ID si 192.168.240.0 HOST ID si de 13 dür. Konuyu biraz açalım. Alt ağ maskemiz 255.255.255.0 yani 10.160.240.13/24. Alt ağ maskemizi yukarıdaki örnekte olduğu gibi bit seviyesinde açalım. 11111111.11111111.11111111.00000000 = 255.255.255.0 Gördüğünüz gibi alt ağ maskemiz 24 adet 1 ve 8 adet sıfırdan oluşuyor ve toplam 32 bit.
Alt ağ maskemizin sıralı 1 ve sıralı 0 lar dan oluştuğunu söylemiştik. Bu durumda alt ağ maskemizde sıralı birlerin bittiği bloğa baktığımızda bunun 3 blok olduğunu görüyoruz. Elimizdeki IP adresinin aynı bloğa denk gelen kısmına o network ün NETWORK ID si diyoruz yani 10.160.240 kısmına. Tabi bunu 10.160.240.0 olarak ifade ediyoruz. Elimizdeki IP adresinin kalan kısmı da (13) o network de bu IP adresini taşına host olduğundan HOST ID adını alıyor.
Elimizdeki IP ve alt ağ maskesi bilgileri ile o network ün NETWORK ID sini bulmanın en kesin yolu, IP adresini ve alt ağ maskesini ikili düzende çarpmaktır. Çarpımın sonucu bize NETWORK ID sini verecektir.
Network ID hesaplamanın diğer bir yolu da o network üzerindeki herhangi bir IP adresi ile bu IP adresinin bulunduğu network ün alt ağ maskesini (Subnet Mask) çarpmaktır.
Örnek:
IP adresimiz 10.160.240.13, Alt ağ maskemiz de 255.255.255.0 olsun. Bu bilgiler doğrultusunda Network ID sini hesaplayalım.
Çarpım bit düzeyinde yapılır
10 160 240 13
00001010 10100001 11110000 00001101
255 255 255 0
X
11111111 11111111 11111111 00000000
00001010 10100001 11110000 00000000 Çıkan sonucu ikili düzende yerlerine koyalım;
1.Blok 00001010 (0 x 27) + (0 x 26) + (0 x 25) + (0 x 24) + (1 x 23) + (0 x 22) + (1 x 21) +(0 x 20) = 10
2.Blok 10100001 (1 x 27) + (0 x 26) + (1 x 25) + (0 x 24) + (0 x 23) + (0 x 22) + (0 x 21) +(1 x 20) = 160
3.Blok 11110000 (1 x 27) + (1 x 26) + (1 x 25) + (1 x 24) + (0 x 23) + (0 x 22) + (0 x 21) +(0 x 20) = 240
4.Blok 00000000 (0 x 27) + (0 x 26) + (0 x 25) + (0 x 24) + (0 x 23) + (0 x 22) + (0 x 21) +(0 x 20) = 0
1.bloktan itibaren çıkan sonuçları peş peşe yazdığımızda 10.160.240.0 IP adresini elde ederiz ve bu IP adresi birim NETWORK ID mizdir.
Örnek:
IP adresimiz 192.168.10.17 / 29 olsun. 29 bitlik bir alt ağ maskemiz (Subnet Mask) var. Bu network ün NETWORK ID sini hesaplayalım.
Önce 29 bitlik bir alt ağ maskesinin IP olarak değerini bulalım. Daha önce de belirttiğim gibi 29 rakamı, bize alt ağ maskesindeki 1 lerin kaç adet olduğunu belirtiyor. Bir IP bloğu 32 bit olduğuna göre ve bizim alt ağ maskemizde 29 olduğuna göre demek ki alt ağ maskemizde 29 adet bir(1) ve 32 biti tamamlayabilmek için de 3 adet de sıfır(0) var demektir.
Alt ağ maskelerinin ikili düzende sıralı birler ve sıfırlardan oluştuğunu ve bu sıfırlar ile birlerin asla birbirlerinin arasına girmediğini söylemiştik.
Bu durumda önce 1 leri sonrada sıfırları yerlerine koyalım;
11111111.11111111.11111111.11111000
1.,2.,3.Blok 11111111 (1 x 27) + (1 x 26) + (1 x 25) + (1 x 24) + (1 x 23) + (1 x 22) + (1 x 21) +(1 x 20) = 255
4.Blok 11111000 (1 x 27) + (1 x 26) + (1 x 25) + (1 x 24) + (1 x 23) + (0 x 22) + (0 x 21) +(0 x 20) = 248
1,2 ve 3. Bloklar aynı değere sahipler, 4. Blok da ise 3 adet sıfır olduğundan 248 değerine sahip. Bu durumda alt ağ maskemi olan 29 değeri bize 255.255.255.248 IP sini ifade ediyor demektir.
192.168.10.17 IP adresi ve 255.255.255.248 alt ağ maskesi adresini kullanarak Network ID sini hesaplayacağız. Hesap işlemimizi biraz daha pratik bir hale getirelim. Alt ağ maskemizin ilk 3 bloğu 255 olduğundan bunun ikilik sistemdeki değeri sekiz adet birdir (11111111), bu durumda Network ID si hesaplarken elimizdeki IP adresi ve alt ağ maskesinin değerlerini ikilik düzende çarptığımıza göre ve alt ağ maskesinin ilk üç bloğu ikili düzende sekiz adet 1 olduğuna, demek ki bu çarpım sonucunda IP adresinin ilk 3 bloğu 1 ile çarpılacağından değişmeden kalacaktır. Yanı ilk üç blok 192.168.10. olarak kalacaktır.
Şimdi geçelim Network ID sini hesaplamaya. IP adresi üzerinde ilk üç blok sabit olduğundan hem alt ağ maskesinin hem de IP adresinin dördüncü (4.) bloklarını ikilik düzene çevirip alt alta azıp çarpıyorum.
00010001
X
11111000
00010000 24 = 16
192.168.10.16 bu örneğimizde bulmamız gereken Network ID sidir. Alt ağ maskemiz /29 (255.255.255.248) idi. Bir IP bloğu 32 bitten oluşur bizim alt ağ maskemiz 29 bit, bu durumda 32-29 = 3 bit boşluğumuz var gibi düşünebiliriz. Yani diyebiliriz ki elimizde bulunan /29 (255.255.255.248) alt ağı için 23= 8 adet IP adresi kullanabiliriz.
Gelelim bu IP adreslerinin neler olduğuna. Bize verilen IP 192.168.10.17 / 29. Biz yaptığımız hesaplamalar sonucunda 192.168.10.16 olarak network id sini bulduk. Aynı zamanda verilen alt ağ maskesine göre yaptığımız hesaplamada da bu network için 8 (sekiz) adet IP adresi kullanabileceğimizi hesapladık. Bu adresler; 192.168.10.(16,17,18,19,20,21,22,23) şeklindedir.
Ancak bu adreslerin hepsini cihazlar üzerine tanımlayamayız. Çünkü; 192.168.10.16 zaten bizim network id miz, 192.168.10.23 network broadcast adresimiz olduğundan bu iki IP adresi cihazlar üzerinde tanımlanamaz.
IP Class
Public IP Addresses
Private IP Addresses
APIPA: Ortamda IP dağıtımı yapan DHCP bulunmadığında bilgisayarların aldığı 169.253.0.0 şeklindeki IP adresine APIPA denir.
CAM TABLOSU: Switch içerisinde interfacelerin MAC adreslerinin tutulduğu tablo.
Router ve Switch
arp -a: Router ya da Switch içerisinde bağlantı kurduğu MAC adreslerini görüntülemenizi sağlar.
Bir router üzerindeki farklı interface lerde farklı network ler olmak zorundadır. Router lar da routing table bulunur ve farklı networkler arasındaki yönlendirmeler bu tablodaki değerlere göre yapılırlar. Router bir network e nasıl gideceğini bilmiyorsa, ulaşmak istediğiniz network deki bir IP ye ping attığınızda Ureachable hatası alırsınız. Şayet ping attığımızda Request Time Out hatası alıyorsak, gitmek istediğimiz IP ye sahip olan cihaz kapalı olabileceği gibi firewall ve benzeri bir cihaz tarafında da erişimi engelleniyor olabilir.
ICMP ping paketleri TTL süreleri:
255 ve altı………. Cisco, Airties
128 ve altı………. Microsoft
64 ve altı………….MAC, UniX, LinuX, SUN, Oracle
CSMA / CD: Bilgisayar ağlarında birçok bilgisayar aynı (ortak) taşıyıcı üzerinden bilgi göndermek zorundadırlar. Bu taşıyıcı elektrikli ya da optik kablo, WLAN’da frekans olabilir. Birden çok bilgisayarın aynı anda gönderme yapma isteği çakışmalara sebep olacaktır. CSMA/CD bu iletişimi kontrol eden bir protokoldür. Bu protokol OSI modelinin 2. katmanında MAC bölümünde bulunur.
MAC Adresi: MAC adresi ağ bağlatışı yapan donanımsal cihazın değişmeyen fiziksel adres bilgisidir. Bu bilgi her cihaz için tektir. 48 bitten oluşan bu fiziksel adres bloğunun ilk 24 biti cihazı yapan vendor u belirtir.
CISCO IOS SOFTWARE
Boot step switch ve routerlar üzerindeki IOS öncesi yüklenen alt işletim sistemidir. Bu alt işletim sistemi bize bir nevi back door (arka kapı) görevi görür. Şifre unutma ve benzeri durumlarda oldukça kullanışlıdır. Ancak Boot Step üzerinde işlem yapabilmek için fiziki olarak cihazın yanında olmanız gerekmektedir. Cisco SDM programı ile ara yüz kullanarak router ve switch konfigürasyonu yapmak mümkündür. Ancak SDM ile komut satırında yaptıklarınız gibi detaylı bir yapılandırma yapamazsınız.
Putty ve benzeri araçları kullanarak switch ya da router üzerine komut satırından; seri bağlantı, telnet ve ya SSH ile bağlanabilirsiniz.
Cihaza bağlandığınızda komut satırı Router> ya da Switch> şeklinde olacaktır. Buna USER MODE denir. Cihaz ilk açıldığında ya da uzun süre bir bekleyişten sonra cihaza bağlandığınızda cihaz komut satırı USER MODE olarak karşınıza çıkacaktır. Bu modda çok az komut girebilir ve çok yüzeysel işler gerçekleştirebilirsiniz.
Temel konfigürasyonu değiştirmek, cihazın çalışmasını etkileyebilecek olan komutları girmek istiyorsak user modda ilen enable konumutu yazıp enter tuşuna basarak komut satırımızı ENABLE MODA a almamız gerekmektedir.
Ancak cihazımızın asıl konfigürasyonu global configuration modda yapılır. Bu moda geçebilmemiz için enable moda geçtikten sonra configure terminal komutu yazılarak enter tuşuna basılır. Bu moda geçildikten sonra komut satırını; Router(config)# ya da Switch(config)# şeklinde dönecektir.
Cisco Ruter/Switch İçin Giriş Komutları:
enable enable moda geçişi sağlar
configure terminal configure moda geçişi sağlar
interface cihaz üzerindeki interfacelere girişi sağlar. interface fastEthernet 0/0 komutu config modda iken fast Ethernet 0/0 portuna erişmenizi sağlar. Komut satırı Router(config-if)# şeklini alır ve siz fast Ethernet 0/0 için işlem yapabilir durumda olursunuz.
hostname cihazın adını değiştimeye yarar. Kullanımı: hostname SwitchKadikoy01
Cisco Konfigürasyonu:
Config modda iken;
hostname SwitchAdı ile switch in adını değiştiriyoruz.
Default olarak switch ler üzerinde VLAN1 bulunmaktadır ancak pasif konumdadır. Switch üzerinde herhangi bir vlan yapmayacak olsak bile IP erişimi ile switch ulaşmak istiyorsak bu VAN1 i aktif hale getirmeliyiz. Bunun için;
İnterface vlan 1 (vlan 1 in içine girdik)
ip address 192.168.1.1 255.255.255.0 (vlan a ip adresini subnet ms ile birlikte verdik )
no shutdown (vlan 1 interface ini UP duruma getirdik)
ip default-gateway 10.1.1.2 (erişim için default gateway tanımlar)
do write (yaptıklarımızı kaydettik)
Enable modda iken;
Show version (IOS versiyonunu gösterir)
show running-config (switch üzerindeki çalışan konfigürasyonu gösterir)
Show interface (switch üzerindeki interfaceleri gösterir üzerindeki bir takım verileri gösterir)
show ip interface brief (cihaz üzerindeki interfaceleri detaylarıyla gösterir, tablo şeklinde.)
show ip interface brief komutu ile hangi interface hangi IP de, hangi interface UP ya da hangisi down gibi detayları görmemiz mümkün.
copy running-config startup-config (bu komut kaydetmediğimiz ama yeni komutlar ekleyerek düzenlediğimiz konfigürasyonu cihazın startup olarak adlandırılan yerleşik konfigürasyonuna kaydeder)Yukarıda da bahsettiğim gibi bu işlem enable modda iseniz write, config modda iseniz do write komutuyla da yapılır. Örneğin VLAN 1 için ip adresi tanımlamıştık, şayet biz copy running-config startup-config demez isek bu konfigürasyon çalışsa da, switch kapatılıp açıldığında yeni yaptığımız tanımlar gidecektir.
Komut satırında komutlar TAB tuşuna basıldığında tamamlanırlar. Enable modda çalışan komutlar Show gibi, config modda çalıştırılmak istenirse başlarına do eklenerek do Show running-config şeklinde çalıştırılabilirler. Ancak başına do eklenen komutlar TAB tuşuna basıldığında tamamlanmazlar.
show mac-address-table (switch üzerine bağlı olan cihazların mac adreslerini getirir)
Konsol İçin Şifre Belirleme
Config modda iken;
line cosole 0 (0-16 arasında bir değer verilebilir bağlanacak konsol sayısı için ancak genelde 0 kullanılır ve tek bir konsolbağlantısı kullanılır.)
login (login edilebilir hale geldi)
password 123456 (konsol şifresi belirlendi)
Virtual Terminal İçin Şifre Belirleme
Windows komut satırından telnet ile cihaz üzerine bağlanabilmeniz için gerekecektir. Tabi bunun için daha önce yapmış olduğumuz gibi cihazın bir IP adresi olması gerekiyor ki erişebilelim. Config modda iken;
line vty 0 4 (0 dan 4 e kadar kullanıcının aynı anda bağlanabileceğini belirtiyoruz.)
login (login edilebilir hale geldi)
password 123456 (konsol şifresi belirlendi)
Enable Mode İçin Şifre Belirleme
enable password 123456 (enable moda girişte 123456 şifresini bilmemiz gerekecek, artık enable moda şifresiz giremeyeceğiz.)
Enable Mode İçin Gizli Şifre Belirleme
enable secret 123456 (enable moda şifresini secret ile belirlersek bu şifre Show runnin-cofig komutunu verdiğimizde switch konfigürasyonu içerisinde enable secret 5 $1$mERr$H7PDxl7VYMqaD3id4jJVK/ benzeri bir satır ile görüntülenir böylece enable şifremiz konfigürasyonumuz görüntülendiğinde dahi görüntülenmez.)
service password-encryption (bu komut cihaz üzerinde oluşturulan kullanıcı şifrelerini default olarak encrypt eder. Komutun no service password-encryption olarak kullanılması tavsiye edilir.)
banner motd “KADIKOY GIRIS KAT” (konsol ekranına girdiğinizde karşılama ya da açıklama bilgisini görüntülenmesini sağlar.)
Cihazlar üzerinde default olarak SSH kapalı olarak gelir.
Switch Port Security
Aktif hale getirildiği port üzerinde çeşitli güvenlik ayarları yapmanızı sağlayacak olan bir kontroldür.
interface fastEthernet 0/1 (fast Ethernet 0/1 portuna girdik)
switchport mode Access (bu portun bir Access portu olduğunu belirttik)
switchport port-security (port security yi enable yaptık)
switchport port-security maximum 1 (porta en fazla hatırlaması gereken erişim bilgisini belirtiyoruz bu değer 1ile 132 arasında. Biz burada porta en fazla 1 adet erişim bilgisi (MAC adresi olarak tutulur) tutması gerektiğini belirttik)
switchport port-security mac-address sticky (bu komutu porta verirsek, o port, kendisine ilk bağlanan cihazın MAC adres bilgisini tutar ve o port üzerinden başka bir cihaz bağlanmaya kalktığında ona izin vermez.)
switchport port-security violation {protect, restrict, shutdown } (bu komut protect, restrict ya da shutdown komutlarından birinin arkasına getirilmesi ile çalışır. Komutla portun herhangi bir erişim engelleme durumunda ne yapacağını belirtiyoruz. Port herhangi bir erişimi engellediğinde shutdown olarak ayarlandıysa, normale döndürmek için o portu shutdown ardından no shutdown komutları ile açabiliriz.)
switchport mode Access Port printer, bilgisayar benzeri bir cihaza bağlı ise kullanılır.
switchport mode trunk Port başka bir switch ile ya da router ile bağlı olduğunda kullanılır.
Portlara ulaşıp o portlar altında işlem yaparken porta erişmek için interface fastEthernet 0/1 komutunu kullanıyoruz. Tabi bu port fast Ethernet olmaya bilir de ama biz örnek olarak buradan gideceğiz. Enable modda show ip interface brief komutunu yazarsak switch ya da router üzerindeki portlarımızı ve türlerini görebiliriz.
Birden çok aynı tipteki porta aynı işlemi yapmak istediğimizde her porta interface fastEthernet 0/1 komutunu vererek tek tek bağlanıp işlem yapmak oldukça zamanımızı alacaktır. Bu işlemi kolaylaştırmak için interface range fastEthernet 0/1-10 komutu verirsek config modda iken komut satır başının Switch(config-if-range)# olarak değiştiği göreceğiz. Bu da bize sıfırıncı slottaki fast Ethernet modülünün 1 den 10 uncu portuna kadar yaptığımız tüm işlemlerin uygulanacak olduğunu gösterir. (interface range fastEthernet 0/1-10). Peki işlemi bir port aralığı olarak değil de belirli portlara yapmak istediğimizi varsayalım. Örneğin fast Ethernet portlarından 1,5 ve 7 inci portları yapılandırmak istiyoruz. Bunun için de yapılandırma öncesi interface range fastEthernet 0/1, fastEthernet 0/5, fastEthernet 0/7 komutunu kullanmamız yeterli olacaktır.
Not: 802.1X bağlantıları RADIUS server kullanılarak yönetilebilir. VLAN lar MAC adreslerinin yönetimi bu RADIUS serverlar ile mümkündür.
Cisco Router:
show ip route (Komut router üzerindeki yönlendirme tablosunu görmemizi sağlar. Enable modda iken çalışır, config modda çalıştırmak için komutun başına do eklenmelidir.)
logging synchronous (komut satırındayken log bilgilerinin görüntülenmesini sağlar)
Show version (IOS versiyonunu gösterir)
Routerlar yönlendirmelerde en kısa yolu metric hesabına göre yaparlar. Metric hesabı yapılırken dikkate alınması gereken önemli değerler vardır. Bandwidth, Delay, Hop Count, Cost değerleri bu hesabın yapılmasında önemlidir.
subinterface Routerlar için geçerli, bir alt ağ kavramıdır. Bir interface üzerinde, o interface in alt interface leri oluşturulabilir.
Switchler üzerindeki portlar default olarak açık olarak gelirken routerlar üzerindeki portlar default olarak kapalı (shutdown) durumdadırlar. Router üzerinde interface lere konfigürasyon yapıldıktan sonra no shutdown komutu ile açılmalıdır.
Cisco Router DHCP:
Router üzerinde DHCP servisini devreye sokup DHCP üzerinden ip dağıtımını sağlaya biliriz. Bunun içi uygulamamız gereken komutları aşağıda bulabilirsiniz.
ip dhcp pool SIRKETDHCP (DHCP havuzumuzu oluşturuyoruz ve SIRKETDHCP olarak isimlendiriyoruz. Bu komutu girdikten sonra komut satırı başı Router(dhcp-config)# şekline olur. Artık DHCP için konfigürasyon yapacağız demektir.)
network 192.168.1.0 255.255.255.0 (ip dağıtımını hangi IP bloğundan yapacağımızı ve bu bloğun alt ağ maskesini belirtiyoruz. Komut bu haliyle 192.168.1. IP bloğundan 1 den başlayarak 255 e kadar IP dağıtacaktır.)
default-router 192.168.1.1 (Oluşturduğumuz DHCP havuzumuzun default route unu giriyoruz ki IP dağıtımı router ın hangi interface inden yapılacak onu belirtelim.)
dns-server 19.168.1.2 (Oluşturduğumuz DHCP havuzumuzun DNS için IP sini belirliyoruz, IP dağıtılırken cihazlara DNS bilgisinin doğru gitmesi gerekiyor.)
Yukarıdaki işlemleri tamamladıktan sonra router ımız IP dağıtmaya başladı. Ancak 192.168.1 networkünden bazı IP leri dağıtmak istemiyoruz. Bu durumda config moda geçip aşağıdaki komutu yazmamız yeterli olacaktır.
ip dhcp excluded-address 192.168.1.1 192.168.1.100 (192.168.1.1 ve 192.168.1.100 aralığını dağıtmayacaktır.)
show ip dhcp binding (Komutuyla dağıtılan IP adreslerini ve o IP adreslerini alan cihazların MAC adreslerini bir tabloda görebiliriz.)
show sessions (kimin bağlı olduğunu gösterir)
show users (kullanıcıları gösterir)
show ssh (ssh durumunu gösterir)
CDP Cisco Discovery Protocol (Cisco cihazların birbirleriyle konuştukları protokoldür. Interface üzerine direk bağlı olan komşuları görebiliriz.)
show cdp (komut bize cihazın komşularını gösterir.)
Cisco IOS Güncelleme ve Unutulan Şifre Resetlenmesi
Router İçin Unutulan Şifre İşlemleri:
Cihaz üzerinde iki adet konfigürasyon modu vardır. Bunlar 0X2102 ve 0X2142 modlarıdır.
0X2102 Normal konfigürasyondur. Startup konfigürasyonunu açar.
0X2142 Factory default konfigürasyonu getirir.
Cihazı restart yaptıktan sonra cihaz açılırken konsol ekranındayken PAUSE (break) tuşuna basıyoruz. Cihaz Rommon modunda açılıyor.
Bu moddayken aşağıdaki komutu yazarak enter tuşuna basıyoruz.
Rommon> confreg 0X2142
Daha sonra;
Reset komutunu yazarak enter tuşuna basıyoruz.
Bu işlemlerden sonra cihaz yeniden açıldığında 0X2142 olan factory default konfigürasyonu ile açılacaktır.
Cihaz factory default modda açıldıktan sonra enable moda geçiyoruz.
copy startup-config running-config komutunu yazarak o an çalışan konfigürasyona normal modda açtığımızda gelen startup konfigürasyonunu kopyalıyoruz. Artık şifrelerimizi değiştirebilir ya da şifreleri kaldırabiliriz. Tabi işlemleri yaptıktan sonra kaydetmeyi unutmamamız grekiyor.
Gerekli işlemleri tamamladıktan sonra cihazı reboot ediyoruz ve ilk başta nasıl 0X2142 moduna aldıysak, bu sefer de cihazı 0X2102 moduna aldıktan sonra resetleyerek yeniden cihazı başlattığımızda cihaz üzerinde yapmış olduğumuz şifre değişiklikleri ile normal modda açılarak çalışmaya devam edecektir.
Router Üzerine IOS Atma:
Flash Rom, XMODEM üzerinden konsol kablosuyla ya da TFTP sunucu aracılığı ile interface üzerinden IOS atma işlemleri yapılabilir.
- Cihazın üzerindeki Flash Rom çıkartılarak, kart okuyucunun üzerine takılır ve IOS dosyası Flash Rom içerisine yüklenir. Daha sonrasında Flash Rom router üzerine takıldığında ve cihaz açıldığında IOS cihaz üzerine yüklenir.
- TFTP kullanılabilmesi için router üzerinde en az 1 adet interface aktif durumda olmalıdır ve o interface üzerinden cihaza IP adresi ile erişebiliyor olmamız gerekmektedir. (TFTP server olarakhizmet veren ve bilgisayarlar üzerinde çalışan programlar bu interface üzerinden route a bağlanarak IOS dosyasını router üzerine atmak için kullanılabilir.)
Router komut satırında enable modda geçiyoruz;
Router conf export
Copy ? (nerelere kopyalayabileceğimizi görebiliriz.)
Copy startup-config tftp: 192.168.1.1
Cihaz üzerinde ISO kopyalama işlemleri için;
Copy tftp: flash: (tftp e flash a kopyala)
Flash yoksa
Copy tftp: 192.168.1.1 nvram:
Flash üzerinde 2 adet IOS dolduğunu varsayalım. İstediğimiz IOS u yükleyip cihazı başlatabilmek için, diğer IOS un flash üzerinden ya da nvram üzerinden silinmesi gerekmektedir.
delete flash: dosya adını yazdıktan ve onayladıktan sonra istediğimiz dosyayı silebiliriz. Sonrasında yeni IOS ile sistemi başlatabilmek için reload etmemiz gerekiyor.
- XMODEM konsol kablosuyla IOS atma işlemi SecureCRT üzerinden yapılabilir. Connect deyip serial seçerek cihaz üzerine bağlanmamız gerekmekte.
copy xmodem: flash: yazdıkan ve enter tuşuna bastıktan sonra menüden send xmodem kısmından cihazın flash ına göndermek istediğimiz IOS dosyasını seçiyoruz ve dosya transfer işlemi başlıyor.
Konfigürasyon dosyası dışarıdan router ya da switch üzerine atılacaksa dosya startup-config üzerine atılabilir ya da running-config üzerine atılarak do write / write komutuyla geçerli hale getirilebilir.
Switch Üzerine Kayıp Şifre / Export-Inport / IOS ve Konfigürasyon Atma:
Switch üzerinde şifreyi resetlemek için önce cihazın power kablosunu söküp yeniden takıyoruz. Cihaz açılırken, cihazın ön panelindeki mod düğmesine konsol ekranımda Switch: satırı gelinceye kadar basılı tutuyorum.
Komut satırım Switch: şeklinde geldikten sonra;
flash-init yazarak flashı initialize ediyorum.
dir flash: komutuyla flash ın içini görebilirim.
Flash içerisinde config dosyasının hangisi olduğunu bu şekilde görebiliriz.
cat flash: config.txt komutu ile text dosyanın içerisini görüntüleyebiliriz. Görüntülediğimiz bu dosyayı da konsol ekranından kopyalayarak not defteri üzerine yapıştırıp kaydedebiliriz.
delete flash: config.txt komutuyla dosyayı siliyoruz. Konfigürasyon dosyası cihaz üzerinden silindi ama biz içeriği not defteri üzerine kopyalamış ve kaydetmiştik. Şimdi cihazı yeniden başlatıyoruz. Cihaz tekrar başladığında yeni, boş bir konfigürasyon dosyası oluşturacak.
Switch ler üzerinde herhangi bir şifre unutma olayında mevcut konfigürasyonu bir kenara kopyaladıktan sonra cihaz üzerinden silip cihazı yeden başlattığımızda cihaz fabrikadan yeni gelmiş hali ile açılıyor. Elimizdeki konfigürasyon dosyası üzerinde (not defterine yapıştırıp kaydettiğimiz) şifrelerin olduğu satırları silerek boş konfigürasyon olarak açılan switch üzerinde config moda geçerek yapıştırıyoruz. Böylece şifreleri çıkarttığımız eski konfigürasyon dosyamız olduğu gibi switch üzerine uygulanıyor.
Switching (VLANs – Trunks)
802.1q trunk standartıdır. !!!!!!
Cihazlar üzerlerinde native VLAN 1 ile gelirler. Yani VLAN 1 cihazların default vlan ıdır.
native VLAN = VLAN 1 (default VLAN)
Konfigürasyon yapılmamış bir cihazda bütün portlar VLAN 1 üzerindedir. VLAN 1 üzerinde default ta IP adresi yoktur ve VLAN 1 in default olarak statüsü shutdown haldedir.
VTP (vlan trunking protocol) Domain:
Merkezdeki switch üzerinden kenar switch lerin VLAN yönetiminin yapılmasını sağlar. Merkez switch üzerinde oluşturulan VTP domain sayesinde bu merkeze bağlı kenar switch ler üzerine de o VLAN yapısı geçmiş olur.
VTP Modları:
–Server modu
–Client modu
–Transparent modu
Switch üzerinde config moda geçilerek VTP domain i oluşturulabilir.
vtp domain TESTDOMAIN (TESTDOMAIN adında bir VTP domain oluşturduk.)
vtp mode {client, server, transparent} (Cihazın VTP modunu belirliyoruz)
vtp pruning {enable, disable} (Vtp çalışan switchler üzerinde gereksiz broadcast trafiğini engellemek amacıyla Vtp pruning modu aktif edilebilir. Örneğin VTP server switch üzerinde 20 tane VLAN ım olsun ve kenar switch lerden biri sadece 2,3,5 ve 7 inci VLAN ları içeriyor. Bu durumda benim bu kenar switch üzerine 20 VLAN nın tümünün paketlerini göndermeme gerek yok sadece o switch üzerindeki VLAN lara ait paketlerin gitmesi yeterli olacaktır. Bu işlem için de pruning kullanılır. Bir network üzerinde broadcast paketleri ve bilinmeyen paketler tüm switch üzerinde tüm portlara gönderilir.)
vtp password 123456 (VTP domainine katılmak için şifre koyabiliriz. Örneğin burada 123456 şifresini oluşturduk.)
vtp version {1-2} (VTP versiyonu belirlemeye yarar, versiyon 2 kullanımı daha stabil olmaktadır.)
Portu TRUNK moda Almak:
Trunk port o switch üzerindeki VLAN ların hepsinin paketlerini üzerinde geçirir. Başka bir switch ya da router ile bağlantı kuracaksak portumuz trunk modda değilse diğer cihaza VLAN ların paketlerini gönderemeyiz.
Config moda geçerek Trunk moda almak istediğimiz interface in içerisine giriyoruz.
interface gigabitEthernet 1/1
Ardından portun trunk olduğunu aşağıdaki komutu girerek belirtiyoruz.
switchport mode trunk (komut kullanımı switchport mode {access, dynamic, trunk })
VLAN Oluşturmak:
Config moda geçiyoruz.
vlan 2
Önce vlan ardından da o VLAN ın id sini (biz burada ID yi 2 olarak yazdık) yazarak enter tuşuna basıyoruz. Bu işlemin ardından komut satır başımız Switch(config-vlan)# olarak değişiyor. Artık VLAN 2 nin içerisindeyiz.
VLAN nın içerisindeyken aşağıdaki komut satırını kullanarak o VLAN a bir isim verebilirsiniz.
name DENEME
Az önce porttan tüm VLAN paketlerini göndermek için switchport mode trunk komutunu kullanarak portumuzu trunk moda almıştık. Şimdi ise portumuz üzerinden sadece VLAN 2 ye ait olan paketlerin geçmesini istiyoruz ve portumuzu konfigürasyonunu buna göre yapmak istiyoruz. Bu durumda aşağıdaki komutları sırasıyla kullanarak önce o portun içine giriyor ve portun modunu Access olarak değiştiriyoruz ve Access moda VLAN ID belirterek portun hangi VLAN ı geçireceğini yazıyoruz.
interface gigabitEthernet 1 / 2 (portuniçeriine girdik)
switchport mode access (port Access moda alındı)
switchport access vlan 2 (porta VLAN 2 de bir Access port olduğunu belirttik)
Omurga switch imizin (backbone) kenar switch ile bağlantı kurduğu portu trunk modda ise kenar switch in de omurgaya bağlı olan portunun trunk modda olma zorunluluğu yoktur. Ancak omurga ve kenar switch in birbirlerine bağlandıkları portların her iki tarafta a trunk olması çok daha doğru bir yapıyı oluşturur ve VLAN konfigürasyonları yapılırken her iki tarafında birbirleriyle iletişim kurdukları portlar trunk modda yapılandırılır. Portlar default olarak dynamic moddadırlar. Dynamic mod trunk a yatkındır ancak sıkıntı çıkarası çok muhtemeldir.
VLAN yapısında switch ve router birbirine bağlanırken aradaki bağlantı 802.1Q Trunk olmalıdır.
ROUTER VLAN Yapısı
2 subnetimiz var ve bu subnet ler switch üzerinde VLAN lara ayrılmış durumda. Bu iki subnet in birbirleriyle konuşabilmelerini sağlamak istiyoruz ancak router üzerinde 1 adet interface mevcut. Yani switch imizin trunk modda olan portundan çıkan kablo router ın üzerinde yer alan fast ethenet interface ine giriyor. Bizim router üzerindeki interface imizin altında sub interface ler oluşturmamız gerekiyor.
interface fastEthernet 0/0 (Router üzerindeki interface in içerisine giriyoruz.)
no shutdown (inerface i ayağa kaldırıyoruz.)
exit (fastEthernet 0/0 dan çıkıp config moda dönüyoruz.)
interface fastEthernet 0/0.1 (fastEthernet 0/0 ın altına .1 olarak sub interface oluşturuyoruz.)
encapsulation dot1Q 2 (fastEthernet 0/0.1 sub interface içindeyken bu sub interface için switch den gelen trunk paketlerin VLAN 2 olanlarının bu interface üzerine gelmesini sağladık. Komutun sonundaki 2 değei VLAN ID sini belirtmektedir.)
Network üzerinde bulunan VLAN larımız kadar router üzerinde sub interface oluşturmamız gerekmektedir. Başka türlü VLAN lar arası yönlendirme yapamayız.
Switch Tarafı:
Router interface ine giden portu trunk olarak yapılandırmamız gerektiğinden daha öncede bahsetmiştik.
Ancak kullanmakta olduğumuz switch Layer 3 multilayer bir switch ise;
Router tarafına giden portu trunk moda almak için daha aşağıdaki komutları sırasıyla uygulamamız gerekmektedir.
interface fastEthernet 0/1
switchport trunk encapsulation dot1q
switchport mode trunk
Multilayer (Layer 3) switch ler üzerinde routing yapabilmek için interface lere IP adresi vermek gerekir ama IP adresini multilayer switch lerde fiziksel portlara değil VLAN lara veriyoruz.
interface vlan 10
no shutdown
ip address 192.168.2.3 255.255.255.0
interface vlan 20
no shutdown
ip address 192.168.3.3 255.255.255.0
Multilayer switchlerde portlar default ta switch porttur, bu yüzden portlara IP verilemez.
Aşağıdaki komutlar multilayer switch in portunu switch port modundan çıkartır ve port bu şekilde IP verilebilir bir hal alır.
interface fastEthernet 0/2
no switchport
ip address 100.100.100.1 255.255.255.0 (switchport modundan çıkan porta bu şekilde IP verebiliriz.)
ip route 192.168.2.3 255.255.255.0 100.100.100.1 (komutuyla statik route oluşturabiliriz.)
Spanning Tree Protocol (STP):
Route bridge seçilirken bridge ID önemlidir. Bridge ID si düşük olan route bridge dir.
Bridge ID = Bridge Priority + MAC Adresi
Cihazlar üzerinde default bridge priority değeri 32768 dir. Switch ler route bridge seçimi için kendi aralarında haberleşirken BPDU paketlerini kullanırlar.
STP (spanning tree protocol) BPDU paketlerini sadece switchler için gönderir. Şayet portta bir Access olduğuna eminse (bilgisayar, printer, vs.) port fast yapılarak up time azaltılır.
spanning-tree portfast komut interface içerisinde yazılır. STP protokolü 2 yöntem ile çalışır bunlar bpduguard ve bpdufilter yöntemlerinir. Port üzerine BPDU paketleri geldiğinde port bloklanır. Komut aşağıdaki gibi kullanılır.
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
Bloklanan port admin tarafından shutdown neno shutdown komutu ile yeniden açılabilir.
STP cisco switch ler üzerinde default olarak çalışan ir protokoldür.
WAN (Wide Area Network):
Wan üzerinde ikinci katmanda Frame Relay, ATM, HDLC ve benzeri protokoller kullanılır. LAN üzerinde ikici katman (Layer 2) MAC adresi iken WAN da değildir ve WAN tarafında MAC adresinin pek bir önemi kalmaz.
DTE (Data Terminal Equipment): Wan tarafındaki router portudur. Servis sağlayıcının router üzerindeki bağlantı noktasıdır.
DCE (Data Communications Equipment): Wan tarafında son kullanıcının bulunduğu kısımdır. DTE clock veren taraftır ve DTE bir modemdir. DSL değildir ama frame relay, lease line gibi bir bağlantı alındığında DTE-DCE bağlantısı kurmamız gerekmektedir.
WAN Protokolleri:
- -HDLC
- -PPP
- -Frame Relay
- -ATM
CSU/DSU(Channel Service Unit/Data Service Unit): Modemler üzerinde dönüşüm sağlayan protokollerdir. Telefon hatları E1 ya da T1 için servis vermeyi sağlayan yapıdadırlar. Telefon hattı üzerinden data taşımak için bir dönüşüm gerekmektedir. Bu dönüşüm modemler üzerindeki CSU/DSU protokolleri ile sağlanır. CSU telefon hattı tarafınd, DSU ise data hattı tarafında işleyen protokollerdir ve modem üzerinde bulunurlar.
ROUTING (Statik Routing / Dinamik Routing)
show ip route komutu bize router üzerindeki yönlendirme tablosunu gösterir. Tabloda yazan IP adreslerinin yanında C harfi varsa bu IP bloğu router üzerindeki bir interface in IP bloğudur ve C harfi direk bağlı olan yani router ın kendi üzerindeki IP adresini ifade eden connected manasına gelmektedir. Diğer yandan yine yönlendirme tablosundaki bir IP adresinin yanında L harfi varsa bunun anlamı da o IP adresinin router tarafından başka bir router üzerinden öğrenildiğini gösteren learned yani öğrenilmiş IP adresi anlamındadır.
Static Routing yönlendirme tablosuna yöneticinin elle girdiği kayıttır.
Dynamic Routing Router lar kendi aralarında routing tablolarını paylaşırlar.Bu duruma dinamik routing denir. Bu işlen routing protokolü kullanılarak gerçekleştirilir ve bu güncelleştirme belli aralıklarla yapılır.
Yönlendirme tablosuna statik bir yönlendirme kaydı girmek için aşağıdaki komut grubunu kullanabiliriz.
ip route network [mask] {address | interface} [distance][permanent]
ip route 172.16.1.0 255.255.255.0 172.16.2.1
ip route 172.16.1.0 255.255.255.0 s 0/0/0 burada yönlendirme tablosuna ip yerine serial interface i yazdık
distance değeri düşük olan yol öncelikli olan yoldur ancak biz statik bir yönlendirme girerken distance değeri zorunlu bir değişken değildir yani yukarıdaki örnekte olduğu gibi de bir yönlendirme kaydı girebiliriz.
Router üzerindeki default route aşağıdaki gibidir;
ip route 0.0.0.0 0.0.0.0 172.2.16.1 Bu tüm network ü 172.16.2.2 den çıkart anlamına gelmektedir.
ip route (bu adresi ve)(bu subnet i) (buraya gönder)
Routing router lar üzerinde statik olarak girilebildiği gibi aynı zamanda kullanmakta olduğumuz bilgisayarlarımızın ve bu yapıya izin veren IP tabanlı cihazların üzerine de yönlendirme girmemiz mümkündür. Bir bilgisayarın işletim sistemi komut satırından aşağıdaki örnekte göreceğiniz gibi bir yönlendirme ekleyebilirisiniz.
route add 0.0.0.0 mask 255.255.255.0 192.168.13.1
İki router birbirlerine seri porttan bağlandığında clock rate kavramı devreye girer. Seri DCE kablonun dişi tarafının takıldığı router a clock rate verilmesi gerekmektedir. Clock rate seri bağlantıda tarafların bir tanesi verilir.
Seri bağlantılarda clock rate aşağıdaki gibi tanımladır;
clock rate 12000
Routing protokolleri üçe ayrılır:
- Distance-Vector Protokoller
- Link-state Protokoller
- Hybrid Protokoller
Dinamik Routing Protokolleri:
- RIP (Router Interface Protocol)
- RIPv2
- IGRP
- EIGRP
- IS-IS
- OSPF
- BGP
- RIPNG (IP v6)
- OSPFv3 (IPv6)
Interior routing protokolleri (EIGRP, OSPF, RIP, IGRP) Bu protokollerde otonom sistem numarası vardır. Örneğin Maltepe otonom sistem numarası 100 ise Kadıköy otonom sistem numarası 200 olabilir ve sistemi yapılandırırken otonom sistem numaralarını bilmemiz gerekir.
Exterior routing protokolleri (BGP) Bu protokolde ise Maltepe ve Kadıköy bağlatısında arada BGP routing protokolleri çalışır.
Interior routing protokolleri Distance ve Link-State olmak üzere ikiye ayrılırlar.
Distance
A,B,C router
Interior protokol Distance kullanılırsa ve yukarıdaki gibi 3 router birbirlerine bağlanırsa. Cihazlar sadece komşuluk kurdukları routerlar ile routing tablolarını paylaşırlar.
A B |
Yukarıdaki router ların routing tablo paylaşımları yandaki gibidir. |
B A,C |
|
C B |
Link State:
A,B,C,D,E router
Interior protokol Link-State kullanılırsa, otonom sistem içerisinde bulunan tüm router lar tablo bilgilerini birbirleriyle paylaşırlar.
Administrative distance ranking: Gidilmek istenilen yola en hızlı erişim güzergâhının hesaplanması için gerekli olan değerlerdir. Administrative distance ranking değeri düşük olan router ilk tercih edilen yol olur. Aşağıdaki şekli baz alarak konuyu biraz daha netleştirelim.
A router ı üzerinden E network üne gitmek istiyoruz. A router hem B hem de C router ı ile komşu ve hem B hem de C üzerinden E network üne gidebiliriz. Ancak biz en hızlı yol gerekiyor. Bu aşamada administrative distance ranking değerleri devreye giriyor. Baktığımızda A ve B birbirlerine IGRP protokolü ile bağlılar ve IGRP protokolünün default administrative distance ranking değeri 100 dür. A ve C de birbirlerine RIP protokolü ile bağlılar ve RIP protokolünün default administrative distance ranking değeri 120 dir. Bu durumda A dan çıkan ve E ye gitmek isteyen paketler administrative distance ranking değeri düşük olan yolu yani IGRP protokolü ile birbirine bağlanmış olan B router ını takip ederek E network üne ulaşırlar.
EIGRP protokolünün default administrative distance ranking değeri 90 dır.
Sınıflı Routing Protokolleri:
RIPv1 ve IGRP
5.0 / 24
4.0 / 24
3.0 / 24
2.0 / 24
172.16.1.0 / 24
A,B,C,E router
Sınıflı routing protokolleri subnet bilgisi göndermez. Yönlendirmeyi sınıfına göreyapar.
Yukarıdaki şekli göz önünde bulundurduğumuzda sınıflı routing protokollerinin dezavantajlarını şu şekilde açıklayabiliriz:
Sınıflı roting protokollerde router paketi 172.16.0.0/16 a göndermek istiyor ve çevresindeki router lara bunu soruyor.
B router ı 172.16.0.0/16 benden geçer bilgisini diğer router lara gönderiyor. Ancak yukarıdaki şekle bakarsak A,C ve D router larının da aynı blokları taşıdığını görürüz. Bundan dolayı 172.16.0.0/16 ya nereden gideceğim sorusuna A,C ve D router ları da benden geçer olarak yanıt verirler. Sınıflı routing protokolü kullandığımızda ve bu tip bir durumla karşılaştığımızda, sınıflı routing protokolleri subnet bilgisini göndermedikleri için hepsi birden istenilen yere gidiş için benim üzerimden geçeceksin bilgisini dönecektir. A,B,C ve D router larının gidilmek istenen yol için hep birlikte benim üzerimden geçeceksin bilgisini göndermesi ağ da sorunlar yaşanmasına sebep olacaktır.
Sınıfsız Routing Protokolleri:
RIPv2, EIGRP, OSPF, IS-IS
Sınıfsız routing protokollerinde subnet bilgisi de gönderilir.
Yukarıdaki şekli temel alarak alırsak, kısaca şu şekilde örnekleyebiliriz; 172.16.1.0/24 – eth1 den 172.16.2.0/24 – eth2 ye gidersin şeklinde subnet ile birlikte tüm bilgi gönderilir.
Çalışan routing protokolüne göre sınıflı ya da sınıfsız routing adlandırması yaparız.
RIP:
RIP protokolü çalıştırılıp routing yapıldığında hop sayımız 16 dır yani RIP protokolü ile en fazla 16 adet router geçebiliriz. Atlama sayısı metric hesabıdır, router lar routing tablolarını 30 saniye de bir güncellerler.
Router lar arasında RIP protokolü ile bağlantı kurulduysa, networkler arasındaki erişim hop sayısına göre tercih edilir. Yani en az hop sayısı tercih edilecek ilk yol olur. Protokol aradaki band genişliği ile ilgilenmez, önemli olan hop sayısıdır. Bu durumda 4 hop ile gidilecek olan noktalar arasında 100 Mbps bağlantı olsun, 1 hopla gidilecek olan notalar arasındaki bağlantı da 1 Mbps olsun. RIP protokolü en az hop sayısına göre çalıştığı için bağlantı hızı %1 i olmasına rağmen 1 hop olduğu için hızlı olan yolu değil 1 Mbps olan ama 1 hopla gidebileceği diğer yolu seçer.
RIPv1 |
RIPv2 |
classful |
classless |
broadcast |
multicast |
Manuel automatic summarization yok |
Manuel automatic summarization var |
Ruoter Üzerinde RIP Tanımı:
Router üzerinde rip default V1 olarak çalışır. Rip tanımlamak için aşağıdaki adımları takip edebiliriz.
router rip (komut yazıldığında komut satır başı Router(config-router)# olarak değişir.)
version 2 (default V1 olduğundan rip i v2 ye olarak ayarlamamız gerekmektedir. Bu komutu girerek rip de subnet bilgisinin de gönderilmesini sağlıyoruz.)
network 10.0.0.0 (router üzerinde kendisine bağlı olan networkler girilir.)
network 172.16.0.0 (router üzerinde kendisine bağlı olan networkler girilir.)
Router üzerindeki yönlendirme tablosunun show ip route komutuyla görüntülenebildiğinden bahsetmiştik. Aynı şekilde dinamik route tablosunuda show ip rip komutu ile görüntüleyebiliriz.
Enable modda debug ip rip komutu ile router üzerinde konfigürasyonunu tamamladığımız rip protokolünü debug edebiliriz. İşlemi kaldırman için no debug ip rip komutunu kullanmamız yeterli olacaktır.
Router üzerinde dinamik routing yapılandırması auto-summary özelliğini default olarak aktif hale getirir. Bu özellik no auto-summary komutuyla kapatılmazsa router üzerindeki IP bilgisini özetleyerek gönderir. Özetlenen IP bilgisi birbirine benzer subnetlerde gidilecek yolun bulunmasında problemlere yol açar ve yönlendirme çalışmaz. Örneğin 192.168.3.0 ve 192.168.4.0 subnet leri auto-summary özelliği açıkken tüm 192.168.0.0 subnetinin o router üzerinden geçiyormuş gibi davranır. Aslında router üzerinde sadece 192.168.3.0 ve 192.168.4.0 vardır. Bu durumda 192.168.5.0 a gitmek isteyen paket de auto-summary özelliği açık olduğundan bu router üzerine gönderilir ancak router bu subnet i barındırmadığından istenen yere ulaşılamaz. no auto-summary komutu ile bu özellik kapatılmalıdır. Özetleme kapatıldığında paketler tüm IP bilgisi, subnet, interface ve diğer tüm bilgilerle gönderilir. Böylece gidilmek istenen yere erişimin sağlanması sorunsuzca gerçekleştirilir.
auto-summary özelliği router rip komutu girilip rip ayarlarının içine girildiğinde yazılabilir.
no router rip (ayarlanmış olan tüm rip ayarlarını kapatır.)
EIGRP:
Hem distance-vector (en hızlı en istikrarlı yol) hem de link-state (önceki sayfalarda anlatımını yapmıştık) protokollerin özelliklerini göstermektedir. Sınıfsız bir routing protokolüdür. EIGRP ile load balancing yapılabilir. Network için 16 âdete kadar alternatif yollar eklenebilir.
Toplamda üç adet tablosu vardır:
- IP EIGRP neighbour table
- The IP Routing table
- IP EIGRP topology table
Komşuluk kurduğu router ların üzerinden aldığı tüm network destination ları topology tablosuna yazar. Topology tablosundaki kaydı, en iyi yolu öğrendikten sonra Routing tablosuna yazar.
Ruoter Üzerinde EIGRP Tanımı:
router eigrp autonomous-system-number (Routerlarin EIGRP yönlendirme update lerini alabilmeleri için aynı otonom sistemde yer almaları gerekmektedir. Komut belirlediğimiz bir otonom sistem numarı vererek girilmelidir ya da var olan sistemin otonom numarası kullanılmalıdır router eigrp 10 şeklinde )
network 10.0.0.0 0.0.0.255( komut network network-number [wildcard-mask] şeklinde kullanılır. Router kendisine bağlı olan networkleri EIGRP’ ye tanıtır. Wildcard mask değeri ise “inverse mask” olarak adlandırılmaktadır. Mask’ ın 255’ e tamamlanmış halidir.)
no auto-summary (komutu IEGRP protokolünde de girilip kapatılmalıdır.)
255.255.255.0 alt ağ maskesinin wildcard-mask olarak değerinin hesaplamak için 255 e tamamlamamız yeterlidir. Blok blok gidecek olursak, 1,2 ve 3 üncü blok değerleri 255 olan alt ağ maskesinin bu bloklarının 255 e tamamlanması için gerekli değer 0 dır. 4 üncü blok değeri 0 olduğundan bu bloğu da 255 tamamlamak için 255 değeri gerekir. Yani 0.0.0.255 bizim wildcard-maskdeğerimiz olur.
Başka bir örnek ile açıklayalım. 255.255.252.0 alt ağ maskesinin wildcard-mask değeri için 1.blok 0, 2.blok 0, 3.blok 3 ve 4.blok 255 değerleri girildiğinde tüm değer 255 e tamamlanır. 0.0.3.255 bu alt ağ maskesinin wildcard-mask değeridir.
EIGRP nin izlenmesi için yaralı bazı komutları aşağıda bulabilirsiniz:
- show ip route eigrp
- show ip protocols
- show ip eigrp interfaces
- show ip eigrp neighbors [detail]
- show ip eigrp traffic
EIGRP routing protokolünün metric hesabı birden fazla veriye dayalıdır. EIGRP metric değerinin hesaplanması sırasında aşağıdaki veriler kullanılabilir:
- Bandwidth (Band Genişliği)
- Delay (Gecikme)
- Reliability (Güvenilirlik)
- Loading (Yüklenme Oranı)
- MTU ( Maks. Layer 2 frame boyutu)
RIP en kısa yol hesabında hop sayısını baz alırken EIGRP en kısa yolu hesaplamak için yukarıda yazmış olduğumuz verilerle işlem yapar ve en kısa yolu hesaplar. RIP protokolü hop sayısı fazla ama band genişliği diğerlerinden çok daha fazla olan yolu asla tercih etmiyordu, EIGRP protokolü ise birçok niteliği işlemden geçirerek, en kısa erişim için hesaplamalar yapar ve en kısa yola bu şekilde ulaşır. EIGRP üzerinde md5 ile hashing yapmakta mümkündür.
OSPF (open short path first):
Hello paketleriyle ortamdaki router lar ile iletişim kurar. LSA (link state advertisement) ile çalışır. LSA nın 6 adet tipi vardır. Ortamdaki bütün router larla haberleşir. EIGRP ye göre çok daha hızlıdır. LSA veri tabanı barındırır. OSPF de alanlar (area) oluşturarak OSPF in router kapsam alanı daraltılarak hız kazandırmak mümkündür. LSA veri tabanı SPF algoritmasından oluşur.
Tüm router ların bağlanabilmesi için oluşturulan ilk area ya backbone area denir ve area 0 olarak isimlendirilir. Her zaman area 0 yapılması gereken bir konfigürasyondur ve bütün router lar area 0 a bağlanmak zorundadırlar.
İki farklı IP kullanır; 224.0.0.5 tüm router ların haberleşmek için kullandığı multicast ip dir. 224.0.0.6 DR (Designated Router)router ların haberleştiği ip dir. OSPF işlemini başlatmak için kullanacağımız numara ise Process ID dir. 1 ile 65535 arasında bir numara verilir, sıfır verilemez. Process ID lerin eşit olmasına gerek yoktur, herkes ayrı bir process id numarası kullanabilir. OSPF sistemi haberleşmek için senkronizasyon(eşit zamanlı)ister.
Ruoter Üzerinde OSPF Tanımı:
router ospf process-id (router ospf 100) process-id otonom sistem numarasının eşdeniğidir.
network address wildcard-mask area area-id (network 110.154.155.156 0.0.0.3 area 3)
Router üzerinde OSPF tanımı yaplırken, bağlı interface ler yukarıdaki network komutuna uygun biçimde tanımlanmalıdır.
Redistribute İşlemi:
Bir tarafı OSPF diğer tarafı EIGRP olan networklerde her iki tarafında birbirleriyle routing yapabilmeleri için redistribute işlemi yapmak gerekir.
redistribute ospf 100 metric 1 1 1 1 1 (komutta 100 OSPF in process-id sini belirtir. Hangi OSPF için bu komutu oluşturduğumuzu bununla belirtiriz. Komutun en sonunda yer alan beş adet bir değeri aslında metrik değerinin hesaplanmasında kullanılan değişkenlerdir. Bandwidth (Band Genişliği),Delay (Gecikme),Reliability (Güvenilirlik),Loading (Yüklenme Oranı), MTU ( Maks. Layer 2 frame boyutu))
redistribute eigrp 10 metric 1 subnets (komutta 10 eigrp otonom sistem numarasını belirtir. Hangi EIGRP otonom sistem için oluşturduğumuzu belirtiriz. 1 değeri de metrik hesaplanmasında kullanılan değişkendir.)
Bir taraf OSPF diğer taraf EIGRP ise; iki bağlantı arasındaki ara bağlantıyı OSPF ile kurmak istersek, OSPF tarafındaki router üzerindeki tabloya ara bağlantı IP si girilerek OSPF tablosuna eklenmelidir. Sonra EIGRP tarafında OSPF enable edilir ve bağlantı IP si OSPF tablosuna eklendikten sonra re-distribute işlemi her iki protokolünde olduğu router üzerinde çalıştırılır.
Access Control Lists
Router lar üzerinde NAT ve PAT yapılabilir. Giriş – çıkış trafiğinde kısıtlamalar yapmak için filtreleme ve sınıflandırma yapmak amacıyla kullanılır. Bir nevi firewall gibi bir kullanım sağlar. Gelen – giden tüm paketleri ACL ile yönetebiliriz.
Standart ACL |
Extended ACL |
Kural yazarken sadece kaynak önemlidir. X.X.X.X den geliyorsa izin ver ya da yasakla şeklinde tanımlamalar yapılır. 1-99 ve 1300-1999 sıra numaraları arasındaki liste standart ACL içindir. |
Kural yazarken hem kaynak hem de hedef önemlidir. Aynı zamanda port ve protokol bazlı kurallar da oluşturulabilir. 100-199 ve 2000-2699 sıra numaraları arasındaki liste extended ACL içindir. |
Router Üzerinde ACL Tanımlama:
1– Erişim kuralı tanımlanır.
router(config)#access list [ACL NO(1-99)] [permit/deny] [kaynak ip] [kaynak wildcard]
2– Erişim kuralı atanır.
router(config)#interface [s0/s1/fa0]
router(config-if)#ip access-group [ACL NO] [in/out]
erişim kuralı paketin yonune göre inbound veya outbound olarak tanımlanır.Atanan erişim listelerini izlemek için
router#show ip access-list
R1(config)#access-list 50 deny 192.168.1.2 0.0.0.255
işlemi ile 192.168.1.0 networkünü engelleyen erişim listesi yazıldı.
R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0
işlemi ile 192.168.1.2 ip adresini engelleyen erişim listesi yazıldı. aynı komut
R1(config)#access-list 50 deny host 192.168.1.2
0.0.0.0 wildcard yerine “host” yazılabilir.
R1(config)#interface serial 0/0
R1(config-if)#ip access-group 50 in
komutu ile arabirime atanır.
no access-list access-list-number (ACL numarası yazılırak kural kaldırılabilir.)
line vty 04 e girildikten sonra access-class 12 in dersek telnet için bir Access oluşturmuş oluruz.
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Destination port numarası
destination
Source portu bu araya istenirse yazılabilir
source
protokol
access-list 101 deny tcp 172.16.4.0 0.0.0.255 21 172.16.3.0 0.0.0.255 eq 21
access-list 1 deny 192.168.1.0 0.0.0.255
outbound kuralı interface in dışından gelenler için yazılan kurallar içindir.
İnbound kuralı interface in içerisinden gelenler için yazılan kurallar içindir.
NAT – PAT :
NAT yapılırken iç IP adresi kadar dış IP adresi olmalı. NAT yapılırken iç IP adresinin dışarıya çıkışı global bir IP den sağlanmalıdır. NAT ve PAT ADSL modem mantığındaki gibi oluşturulur. Gelen adreslerle beraber portlarda dönüştürülür. Böylelikle içeride ne kadar çok local IP olursa olsun dışarıya tek bir IP ile çıkılır.
Dynamic Translation (dinamik dönüştürme) :
Pool u ve pool suz olarak yapılır. Pool lu olan dönüştürmede dış IP adresi 1 den fazladır. Pool suz olan dönüştürmede tek IP adresi vardır.
Router üzerinde dinamik NAT oluşturmak için aşağıdaki komutları kullanabiliriz;
ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length}
ip nat pool albitane 10.1.1.10 10.1.1.50 netmask 255.255.255.0
access-list access-list-number permit source [source-wildcard]
access-list 1 permit 172.16.0.0 0.0.255.255
ip nat inside source list access-list-number pool name
ip nat inside source list 1 pool albitane
show ip nat translations Komutuyla adres dönüşümlerini görebiliriz.
IP NAT kuralının sonuna overload komutunu ilave edersek aynı zamanda PAT yapmış oluruz.
NAT’a inside ve outside ın neresi olduğunu belirtmemiz gerekiyor. Bunun için interface ler üzerinde aşağıdaki komutları girmemiz yeterli olacaktır;
interface fastethernet 0/0
ip nat inside
interface serial 0/0/0
ip nat outside
ip nat inside source lit 1 interface serial 0/0/1 overload (dinamik NAT örneği)
Port Forwarding (Port Yönlendirme) :
Cisco üzerinde bu olay static mapping olarak adlandırılır. Conf modunda yazılır.
ip nat inside source tatic tcp 192.168.1.2 80 90.66.90.1 80 (bu komutla içerideki 192.168.1.2 IP sine sahip olan cihazın 80 numaralı portuna dış bacak IP adresinin 80 numaralı portunu yönlendirmiş olduk)
LAN Extension into WAN:
LCP Link Control Protocol
NCP Network Control Protocol
Yaptığı en önemli iş kimlik doğrulamasıdır. Kimlik doğrulaması protokollerinden PAP ve CHAP kullanır. Dünya üzerinde en fazla kullanılan kimlik doğrulama protokolleri; PAP, SPAP, CHAP, MS-CHAP, MS-CHAPv2, EAP ve PEAP dır.
İşlemler config modda iken yapılır.
RouterX(config-if)# encapsulation ppp
RouterX(config)# hostname name
RouterX(config)# username name password password Karşı tarafın bilgileri girilmeli.
RouterX(config-if)# ppp authentication {chap | chap pap | pap chap | pap} CHAP karşı tarafta yoksa PAP olarak bağlanabilmesi için hem CHAP hem de PAP komut içerisinde yazılırsa sorun oluşmaz.
interface serial 0/0/0
encapsulation PPP
ppp authentication chap pap
show interface serial 0/0/0 komutu ile o interface üzerinde yapmış olduğumuz değişiklikleri görebiliriz.
Frame Relay:
Şubeler arasındaki bağlantıyı kurarak, şubeleri birleştirmek için kullanılan bir yöntemdir. TT alt yapısı kullanılarak, farklı networkleri, aynı networteymiş gibi kullanılmasını sağlayan noktadan noktaya haberleşme sağlar.
Frame Relay Layer 2 protokolündeki MAC adresine eşdeğer bir protokol kullanır. Protokolün adı DLCI dır.
PVC (permanent virtual circuit) 2 DLCI ın birleştiğinde ortaya çıkan yapıya PVC dedir.
Frame Relay devreleri en fazla 2 Mbps kadar çıkabilirler.
Multi-point bir yapılandırma yapıyorsak, interface e IP verilir. Ancak yapılandırmamız point-to-point ise interface e direk IP verilmez, sub – interfaceler oluşturulup onlara IP adresi verilir.
Frame relay yapımız içerisinde broadcast istiyorsak multi-point, sadece kendi arasında konuşacak bir bağlantı yapısı kuracaksak point-to-point bir yapı oluşturmamız gerekmektedir.
Router üzerinde Frane Relay yapılandırmasını config modda iken aşağıdaki örnek kodlardaki gibi yapmamız mümkündür.
interface serial 0/0/0
encapsulation frame-relay
frame-relay lmi-type ansi
no shutdown
interface serial 0/0/0.102 point-to-point
ip address 172.16.1.1 255.255.255.0
frame-relay interfce-dlci 102
NOTLAR:
http://www.9tut.com adresinden simülasyon sorularını alabilir ve aışabilirsiniz.
680-802 CCNA sınavı