Bu örnekte router cihazı uzaktan yönetime hazırlamak için gerekli temel yapılandırmayı göreceğiz.

  • Switch ve Router Yapılandırmasını Temizlemek
  • Switch Başlangıç Yapılandırması
  • Client Başlangıç Yapılandırması
  • Cihazlar Üzerinde Telnet Bağlantısı Gerçekleştirmek
  • SSH Servisini Aktif Hale Getirmek
  • Cihaz Üzerindeki Arayüzleri Kontrol Etmek

Simülasyonlarda GNS3 kullanıyoruz. GNS3 üzerinden otomatik olarak telnet bağlantısı gerçekleştirebiliyoruz. Fakat gerçek bir cihaz üzerinde yapılandırma yaparken ilk bağlantıyı konsoldan gerçekleştireceğiz. Öncelikle switch ve router’a konsoldan bağlanıp cihazları sıfırlıyoruz.

Yine gerçek bir lab ortamında cihazlara konsoldan bağlanmak yerine uzaktan IP adreslerini kullanarak SSH bağlantıları gerçekleştirebileceğimiz bir arayüzü tercih ederiz. Bu nedenle uzak bağlantı yapılandırması yapıyoruz.

Bu yazıda aşağıdaki gibi bir topoloji kullanacağız. 10.1.1.0/24 network’ü üzerinde bir adet Switch ve bir ader Router yer alıyor. Switch’i uzaktan yönetmek için bir management IP adresi, Router’ın ise ağımıza bakan arayüzüne  ise 10.1.1.1 IP adresini vereceğiz.

Burada sanal bir host yerine kendi bilgisayarımızı kullanmak isteyebiliriz. GNS3 kurulumunu tamamladıktan sonra VMware ve GNS3 bize iki tane network adapter veriyor. Bu network adapterlerden biri VM sunucularının bulunduğu sanal ağda diğeri ise GNS projesine bağlı. Cloud nesnesi üzerinde bu adapterleri interface olarak görebiliyoruz. GNS’e ait olana bağlayıp bilgisayarımız üzeriden aşağıdaki gibi IP verdiğimize network’e gerçek cihazımız üzerinden erişebilir oluyoruz.

Bilgisayarımdaki VMnet8 adaptörüne IP verdiğimde cihazlar ana bilgisayardan ulaşılabilir oluyor.

Switch ve Router Yapılandırmasını Temizlemek

Öncelikle switch’e bağlanıp aşağıdaki gibi başlangıç durumuna getiriyoruz. Bunun için startup-config ve vlan.dat dosyasını siliyoruz. Başlangıç yapılandırmasını temizlemek için hem write erase hem de erase startup-config komutları kullanılabilir.

Reload komutundan sonra yapılandırmayı kaydedeyim mi diye soruyor. Eğer yes dersek running-config’i startup-config olarak kaydedecek ve silmemiz anlamsız olacak. Bu nedenle no diyoruz.

Ardından router’a geçelim. write erase ve reload komutları ile onu da başlangıç durumuna getiriyoruz.

Switch’e geri döndüğümüzde önceki konfigürasyonlardan kalan vlan bilgisini sildiğimizi görebiliriz.

1002, … , 1005 VLAN’ları endüstri standardı olarak konulmuş durumda. Default olarak bütün interface’lerin VLAN 1 içerisinde olduğunu görüyoruz.

Switch Başlangıç Yapılandırması

Switch üzerinde aşağıdaki işlemleri gerçekleştireceğiz.

  • Switch ismini S1 olarak tanımla.
  • Priviledged mode’a parola ver. Parola: cisco.
  • line vty parola ver. Parola: cisco.
  • Yazarken loglamanın satırları bölmesini engelle
  • Konsol bağlantısında timeout’u kaldır.
  • Switch’e uzaktan erişimin sağlanabilmesi için vlan 1‘e IP ver.

Komutların temizlenmiş hali aşağıdaki gibi:

Client Başlangıç Yapılandırması

Daha sonra bilgisayara IP adresini vererek bağlantı sağlamayı deneyelim.

Gerçek bir bilgisayarda bu yapılandırmayı Control Panel > Network and Internet > Network Connections altından yapacağız.

Cihazlar Üzerinde Telnet Bağlantısı Gerçekleştirmek

Bağlantı telnet ile gerçekleştirildiğinde şifreleme olmadan aktarıldığından Wireshark ile içeriği görüntülenebilir. Bunun için wireshark içerisinden Analyze > Follow > TCP Stream seçeneğini seçiyoruz.

Mavi kısım client’ın yolladığı datayı temsil ederken kırmızı kısım server’ı temsil ediyor.

eenpaa gibi bir string’in oluşma sebebi her bir harfin server’a yollanmasından sonra server’ın harfi geri yollaması. Ekrana bu şekilde basılıyor.

Switch1’a bir IP adresi atamış olduk. Artık uzaktan yönetim için hazır durumda.

Router Başlangıç Yapılandırması

Konsol portuna geri dönüyorum. Router Switch’in daha önce bulunduğu yerde.

No diyerek initial configuration dialog’u kapattık. C2600 15 yıllık bir router bu nedenle fiziksel bir router kullandığımızda yüklenmesi biraz zaman alacaktır. Birtakım status mesajları yolluyor.

Rouret üzerinde aşağıdaki işlemleri gerçekleştireceğiz.

  • Rouret ismini R1 olarak tanımla.
  • Priviledged mode’a parola ver. Parola: cisco.
  • line vty parola ver. Parola: cisco.
  • Yazarken loglamanın satırları bölmesini engelle
  • Konsol bağlantısında timeout’u kaldır.
  • R1’e uzaktan erişimin sağlanabilmesi için ilgili interface‘e IP ver.

Bu yapılandırma ile router’ımıza 10.1.1.1 ip adresini verdikten sonra bilgisayardan telnet ile erişilebilir olduğunu görüyoruz.

Telnet’in güvenliksiz olduğunu bildiğimizden SSH‘ı aktif hale getireceğiz.

SSH Servisini Aktif Hale Getirmek

Şimdi topolojimiz üzerinde aşağıdaki kontrolleri gerçekleştireceğiz.

  • Cihazlar üzerinde SSH yapılandırması,
    • Cihaza domain name ver. (SSH key için gerekli.)
    • SSH key oluştur.
    • vty line larını ssh için ayarla, local kullanıcı hesabı talep et.
    • local kullanıcı hesabı oluştur.
  • Bağlantı sağlamak ve SSH’in çalıştığının doğrulanması
  • Bağlı bulunan SSH kullanıcılarını görüntülenmesi.

SSH yapılandırması Telnet ve diğer başlangıç yapılandırmalarından daha karmaşık görünebilir.

İlk olarak swtich’e bir domain name veriyoruz. SSH uses encryption, generates SSH keys and associates with devices using FQDN.

www.example.com gibi bir websitesine gittiğimizde www kısmı hostname oluyor. example.com ise domain-name oluyor. Bu ikisini ardada sıraladığımızda ise FQDN’i elde ediyoruz.

Switch’imizin hostname’i S1.  Encription key’leri elde etmek için bir domain adresi vermemiz gerekiyor. Böylece client’dan SSH bağlantısı gerçekleştirilirken S1.___.com‘a erişmek istediğimizde S1 encription-key’lerini yollayacak. Böylece client karşısındakinin erişmeye çalıştığı host olduğunu anlayacak. Switch hayır bu keyler foo.___.com ile eşleşmiş derse client bunun yanlış adres olduğunu anlayacak. Bunun bir örneğini tarayıcımız ile web sayfalarını açarken görüyoruz. Web sitesinin güvenlik sertifikasında bir problem var, isim sertifika üzerindeki FQDN ile eşleşmiyor gibi bir hata verdiğinde aslında aynı durum gerçekleşiyor.

Kısaca encription-key’leri üretmek için switch üzerinde bir domain adına ihtiyacımız var. Hostname veya domain-name’i encription-key’leri ürettikten sonra değiştirirsek onları tekrar üretmemiz gerekecek. 

conf mode’a geldikten sonra aşağıdaki gibi domain-name veriyoruz.

FQDN’imiz S1.example.com olacak. Şimdi encription-key’leri üretebiliriz.

Aşağıdaki gibi bize encription-key’leri ne kadar kompleks yapmak istersin diye soruyor. 512 biraz zayıf kalabilir. 1024 orta. 2048 ise aşırı güvenlik. Burada bir takas yapıyoruz. Şifrelemenin seviyesi ne kadar yüksek, ne kadar güvenli olursa key’leri üretmek her bir mesajı şifrelemek ve şifresini açmak  o kadar kaynak harcayak. Genellikle 1024 yeterli olacaktır.

Böylece SSH cihazımızda çalışır hale geliyor. Şimdi telnet ve SSH mesajlarını alacak olan port’lara erişeceğiz. line vty 0 4 tüm telnet ve ssh portlarını aynı anda yapılandırmak için kullanacağımız komut olacak.

transport input komutu bu line’ların ne alacağını belirtiyor. Güvenlik sebebiyle sadece ssh’a izin verebiliriz. Bu organizasyonumuzun güvenlik kurallarına göre belirlenir.

Password ile parolayı verip. login komutu ile login işleminin gerekli olduğunu belirtebiliriz. Sorun şu ki SSH yalnızca parola gerektirmiyor, hem kullanıcı adı hem parola gerektiriyor. Bu nedenle login local’ı kullanacağız. Böylece cihaz gelen isteği authenticate etmek için local user database’ini kullanacak. Fakat bu noktada bırakırsak henüz bir kullanıcı olmadığından kimse cisco parolasını bilse dahi login olamaz. 

Burada parola yazarken secret kullanmamız enable password ve enable secret arasındaki fark gibidir. Enable password yazdığımızda parola cleartext olarak tutulup show run ile görülebiliyor olurken secret yazdığımızda şifrelenir.

SSH username’i case-sensitive değil. Yani büyük veya küçük harf kullanabiliriz fark etmiyor. Bu noktadan sonra cihaza client üzerinden ssh bağlantısı gerçekleştirebiliriz. Bu işlemi Putty benzeri programla ya da Windows komut satırında SSH’ı aktif hale getirip SSH komut satırı istemcisi ile gerçekleştirebiliyoruz.

Eğer bir DNS Server’ımız olsaydı oraya ekleyeceğimiz kayıtla aşağıdaki gibi de ulaşabilirdik.

SSH şifreli olduğundan Telnet’in aksine trafiği ele geçiren biri yalnızca şifrelenmiş içeriği görecektir.

Cihaza bağlı kullanıcıları aşağıdaki gibi görebiliriz:

Aşağıdaki gibi kullanıcıları sonlandırabiliyoruz. (kill)

Benzer ssh konfigürasyonunu router üzerinde de gerçekleştirelim.

Cihaz Üzerindeki Arayüzleri Kontrol Etmek

Son olarak bir cihaz üzerindeki interface’leri özet olarak görüntülememize yarayan show ip interface brief komutunu inceleyeceğiz.

priviledged mode’da bile olmamıza gerek yok user mode’da kullanabiliyoruz.

Bu komut bir cihazın ne yaptığı ile alakalı hızlı bir bilgi verir. Çıktı 6 adet kolondan oluşan bir tablodur. Cihazın arayüzleri bu tablonun satırları olarak sıralanır. 

Interface: Bu kolon cihazın kaç tane interface’i olduğunu. Bu interface’lerin çeşitlerini söyler. Bu örnekte 2 serial 2 FastEthernet interface’imiz var.

IP-address: Bu kolondan cihazın aslında çıkmaz sokakta olduğunu görüyoruz. Yalnızca tek bir arayüzüne ip atanmış. Diğerleri kapalı. Yani bu router hiçbir yere routing yapamıyor.

Methot: Burada cihazın tek açık interface’ine manual olarak IP atandığını görüyoruz diğer opsiyonlar TFTP ve DHCP olabilir. TFTP ile cihaz configuration için broadcast yapar. Ya da dinamik olarak bir DHCP sunucusundan IP alabilir. 

Son iki kolon en önemlileridir denebilir çünkü bu cihazın nasıl çalıştığı konusunda bilgi verirler.

Status: OSI modelindeki fiziksel katmanı temsil eder. Opsiyonlar Up, Down ve Administatively Down’dur. Up, arayüzün (interface) ayakta olduğunu Down ise kapalı olduğunu gösterir. Üçüncü seçenek Administratively Down ise Shutdown anlamına gelir. Bir cisco router’ı kutudan çıkardığınızda bütün interfaceleri kullanmaya başlamadan önce no shutdown kullanarak aktif hale getiriyoruz.

Protocol: Son katman data-link katmanını temsil eder. Bu interface tarafından anlaşılabilecek bir sinyal alınıyor mu? sorusuna cevap verir.

Cihaz üzerindeki interface’ler sınıflandırılırken aşağıdaki gibi genel bir adlandırma yöntemi kullanılır.

Cihazlar zaman içerisinde geliştikçe syntax’da çeşitli hale gelmiştir.

  • Cisco 2551 : interface ethernet 0 (yalnızca tip ve port numarası var)
  • Cisco 2621 : interface fastethernet 0/0 (blade yok, module numarası, port numarası var)
  • Cisco 2921 : interface gigabitethernet 0/1/1 (blade,module ve port numarası var)

Modüllerin modülleri olduğunda blade kullanılır. Stackable switchler blade numarası barındırır.

Umarım faydalı olmuştur. Bir sonraki yazıda görüşmek dileğiyle.