CCNA: VLAN, Trunking, VTP, STP, RSTP, Switch Security and Troubleshooting 2

CCNA: VLAN, Trunking, VTP, STP, RSTP, Switch Security and Troubleshooting 2

CCNA: VLAN, Trunking, VTP, STP, RSTP, Switch Security and Troubleshooting 2 inci yazımızda ise Switch securutiy ve troubleshooting hakkında bilgi vereceğiz.

Switch Security

Cisco Catalyst switch lerde aşağıdaki güvenlik metodlarını uygulayabiliriz.

  1. Access Control List: Cisco 3 tür access list desteklemektedir. Standart, Extended ve Named .Ayrıca Named MAC ACL ler 2 inci katman adreslerine dayalı trafiği filtrelemeyi destekler. Named ACL’ler IP dışı trafiğin filtrelenmesini de destekler.
  2. IEEE 802.1X Port Based Authentication : İstemci sunucu tabanlı erişim kontrolü kimlik doğrulamasına izin verir. Doğrulanmayan kullanıcıların ağa girmesine engel olur. İstemci kimlik doğrulaması yapana kadar sadece CDP, STP ve Extensible Authentication Protocol over LAN (EAPoL) özelliklerinin porttan geçmesine izin verir.
  3. Port Security: Bağlantı noktasına sadece belirli sayıda MAC adresinin bağlanmasına izin verir. İstemci ilk kez porta takıldığında öğrenilebilir veya tanımlanabilir. Bağlantı noktasında bir ihlal görülürse aşağıdaki 3 eylemden birisi yapılır:

    • Protect: Bilinmeyen MAC adresinden gelen trafik kesilir ve bildirim oluşturulmaz. Bağlantı noktası BPDU paketleri gönderip alabilir.
    • Restrict: Bilinmeyen MAC adresinden gelen trafik kesilir ve bildirim oluşturulur. Genellikle bir SNMP Trap oluşturulur, bağlantı noktası veri çerçevelerini gönderebilir ve alabilir.
    • Shutdown: Bağlantı noktası ERROR-DISABLE durumuna geçer ve port kapatılır.Bir SNMP Trap ve syslog mesajı oluşturur. ERROR-DISABLE modundaki port yapılandırılarak düzeltilebilir. İnterface altında shutdown ve no shutdown kumutu girilerel port düzeltilebilir.

Konfigürasyon Örnekleri:

Vlan Oluşturma :

 

Cisco Vlan Oluşturma
Cisco Vlan Oluşturma

Vlan’lar bir arayüze switcport access vlan <vlan id> şeklinde direk oluşturulabilir.

Switcport mode access komutu erişim modunda portu statik olarak yapılandırır.

Doğrulama ve Sorun Giderme

Aşağıdaki komutlar yardımı ile oluşturduğumuz vlan ları doğrulayabilir veya sorunları tespit edebiliriz.

1. show vlan brief
2. show switchport interface <int-id>
3. show running-configuration

Trunking( Trunk Port Oluşturtma)

Aşağıdaki komutlar yardımı ile Trunk port oluşturabilliriz.

1. configure terminal
2. interface <int-id>
3. switchport trunk encapsulation <isl | dot1q | negotiate>
4. switchport mode <trunk | dynamic desirable | dynamic auto>
5. switchport nonnegotiate

“Switchport nonegotiate” komutu, anahtar çifti arasındaki kanalın görüşülmesini devre dışı bırakır. Genellikle, dinamik kanal protokolünü desteklemediğinden yönlendiricilere bağlanan arayüzde kullanılır.

Tunking Mode:
  • Trunk: Her zaman Trunk
  • Dynamic Desirable:Mesajlaşma müzakerelerini başlatır ve müzakere mesajlarına sevap verir (active mode)
  • Dynamic Auto: Sadece görüşme mesajlarına cevap verir.(passive mode)

Örnek konfigürasyon

Cisco Vlan Trunk Oluşturma
Cisco Vlan Trunk Oluşturma

Doğrulama ve Sorun Giderme

Aşağıdaki komutlar yardımı ile oluşturduğumuz Trunkları doğrulayabilir veya sorunları tespit edebiliriz.

1. show vlan brief
2. show interface status
3. show interfaces trunk

VTP

Aşağıdaki komutlar yardımı ile VTP yapılandırabiliriz.

Cisco VTP oluşturma
Cisco VTP oluşturma

Doğrulama ve Sorun Giderme

SW2# show vtp status
VTP Version : 2
Configuration Revision : 8
Maximum VLANs supported locally : 36
Number of existing VLANs : 11
VTP Operating Mode : Client
VTP Domain Name : CCNA
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xFD 0x93 0x2B 0xB2 0x8F 0x46 0xFD 0xC3
Configuration last modified by 10.1.1.1 at 3-1-02 00:06:17

Eğer MD5 yapılandırma yapılır ise 2 switch de de digest aynı olmalı. Show vlan brief çıktısındaki vlan sayısı, VTP sunucusundaki vlanlara eriş olmalıdır.

 STP and RSTP

STP ve RSTP konfigürasyonunu aşağıdaki şekilde yapabilirsiniz.

Cisco diagram
Cisco diagram
Cisco stp ve rstp
Cisco stp ve rstp

Yukarıdaki diagrama göre senaryomuz aşağıdaki şekilde:

  1. SW2 Vlan 100 için root bridge olmalı ve SW yedek root olmalı.
  2. SW1 Vlan 200 için root olmalı
  3. Vlan 100 için hello time ve forward delay süreleri 5 ve 25 saniye olmalıdır.
Config stp ve rstp konfig
Config stp ve rstp konfig

Doğrulama ve Sorun Giderme

STP ve RSTP konfigürasyonlarımızı aşağıdaki şekilde doğrulayabilir veya sorunları tespit edebiliriz.

Cisco stp dogrulama
Cisco stp dogrulama
Cisco stp dogrulama
Cisco stp dogrulama

Port Security

Switch portlarında aşağıdaki şekilde port güvenliği uygulayabiliriz.

Cisco port security
Cisco port security

Doğrulama ve Sorun Giderme

Port güvenliği ile ilgili aşağıdaki komut ile dogrulama yapabiliriz.

Cisco port security dogrulama
Cisco port security dogrulama

Böylelikle serimizin 2!inci bölümü de tamamlanmış oldu. Sonraki makalemizde buradaki konfigürasyonları Cisco Packet Tracer üzerinde uygulamaları  yapacağız.

Önceki makale için tıklayınız.

İlhan Çiçek

İlhan Çiçek

İlhan ÇİÇEK 2007 yılında Kırgızistan Türkiye Manas Üniversitesi Bilgisayar Mühendisliği bölümünden mezun oldum. 2007 yılından bu yana Ağ, Sistem ve Güvenlik ürünlerine üzerine çalışmaktayım. http://www.kalbenbilisim.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir