Layer 2 Güvenlik. Велосипед vtp


VLAN Trunking Protocol (VTP) Nedir

Bu makalemizde VLAN Trunking Protocol (VTP) Nedir anlamaya  çalışacağız.

Network yapımızda kullandığımız vlan’larımızı tek bir merkezden yönetebilmek ve hatalardan kaçınmak için VTP kullanırız. Lokal networkumuzu gereksiz broadcast trafiğinden kurtarmak , yönetimi kolaylaştırmak , güvenlik sağlamak amacıyla Vlan lar oluştururuz.VTP bize oluşturduğumuz bu Vlan’ları tek bir yönetim merkezinden oluşturabilmemizi ve bu bilgilerin diğer switchlere de dağıtılmasını sağlar.

Tek bir yönetim merkezinden kasıt ; server-client mimarisi gibi düşünebilirsiniz.Vtp içerisinde çalışan switchler 3 farklı modda çalışırlar.Server , Client ve Transparent modlarıdır.Ayrıntılarına ilerleyen kısımlarda değinilcektir. Yönetim merkezi olarak adlandırdığımız yapı ; Vtp server olarak konfigure ettiğimiz switchdir.Vtp server çalışan switch özel bir switch değildir.Yani firmadan satın alırken vtp server modunda çalışan bir switch istiyorum , yada cisco 3550 almalıyım vtp server olarak çalışıyor gibi bir anlam çıkarılmasın.

Her switch Vtp server olarak çalışabilir.Yeterki switch üzerinde vtp çalıştırılsın . Bir switch’in Vtp yapısında yer alabilmesi için Vlan desteği bulunuyor olması gerekiyor.Bunu Switch arastırması yaparken dikkate almalıyız.Vtp çalıştırabiliyorsak ve switch’i bir Vtp grubu içerisine dahil etmişsek ( Vtp domain bunada ayrıntılı değineceğiz ) , default olarak tüm switchler Vtp server modunda çalışırlar.Yani fabrikadan gelen ve kutusundan yeni cıkarılmıs bir switch Vtp server modunda çalışır , isteğe bağlı olarak Client yada Transparent olarak sonradan değiştirilebilir.

Vtp içerisinde birbirleriyle haberleşecek olan switchler mutlaka aynı grub içerisinde olmalıdır bu gruba Vtp domaini adı verilir.Switch Server , Client yada Transparent modunda olabilir ama eğer diğer switchlerle haberleşme içinde olacaksa ve bilgileri alıp gönderecekse mutlaka aynı grup yani aynı Vtp domaini içerisinde yer almalıdır. Vtp’ye Cisco layer 2 mesajlasma protokolu ismide verilir ve vtp calısan switchler vtp bilgilerini mutlaka trunk portlarından alıp gönderirler. Vtp server modunda çalışan bir switch’in vtp yapısı içerisinde üstlendiği rolü artık biliyoruz bir resim üzerinde açıklayacak olursak ;

Şekildeki yapıda bir Vtp domain oluşturulmuş ve domaine ICND ismi verilmiş.Alttaki switch vtp server modunda çalışan bir switch olduğu acıktır.Yeni bir vlan ekleniyor ve vlan bilgileri diğer switchlere gönderiliyor.Daha öncede belirttik trunk portları üzerinden gönderiliyor.

Vtp yapısı içerisinde switch’lerin 3 modda çalışabileceğini söyledik , default olarak gelen her switch’in Vtp server modunda olduğunu söyledik.Şimdi bu bahsettiğimiz modları bir resim üzerinde inceleyelim.

.

Şekil-1 Vtp domaini içerisinde bir switch Server , Client yada Transparent modlarının herhangi birinde çalışabilir.Aynı anda 2 modda calısamaz ve bir switch yalnızca tek bir Vtp domainine üye olabilir.

Yapımızda birden cok vtp domaini bulunabilir.Ancak bir switch 2 domaine aynı anda üye olamaz.

Şekil-1 deki resimde gösterilenlerinden bahsedelim. Vtp server modunda çalışan bir switch üzerinde Vlan oluşturabilir , var olan vlanları değiştirilebilir , isim değişikliği yapabilir , var olan valanları silebilirsiniz.

Vtp server modundaki switch Client modundaki switch ile senkronize çalışır . Vlan bilgilerini database lerine yazması için Client ve Transparent modunda çalışan switchlere gönderir. Vlan bilgilerini Nvram’inde saklar.Yani cihaz üzerindeki konfigurasyon dosyası , siz switch’i kapatıp açsanız dahi bu bilgilerde kayıp olmayacaktır.“sh flash “ komutu ile vlan.dat dosyasını görebilirsiniz.

Vtp client modundaki switch üzerinde vlan oluşturamaz , değiştirilemez ve silinemez

.Vtp server’den gelen Vtp advertisementları ( duyuruları ) database’inde saklar ve diğer switchlere forward eder.Unutulmamalıdır ki Vtp Client modunda çalışan switch bilgileri Nvram de değil Ram’inde saklar.Yani cihazı kapatıp açarsanız Vtp bilgileri kaybolur ve Vtp server tarafından tekrar gönderilmesi beklenir.

Bilgiler ram ‘inde saklanır ve switch üzerinde “ sh flash “ komutunu kullandığınızda vlan.dat dosyasını görebilirsiniz. Vtp server 5 dakika ara ile vtp bilgilerini diğer tüm switchlere  update eder.

Bir değişiklik yapıldığında ise ( Ekleme , değiştirilme , silme ) Vtp bilgileri anında tüm switchlere gönderilir.

Vtp Transparent modunda çalışan bir switch üzerinde  ; aynı Vtp server modunda çalışan bir switch gibi Vlan oluşturabilir , değiştirebilir ve silebilirsiniz.Ancak bu yapılan değişiklikleri diğer switchlere iletmezler sadece kendi üzerinde saklarlar ve bilgileri Nvram’inde tutarlar.Bridge modda calısır gibi düşünebilirsiniz.Ancak vtp serverden gelen bilgileri kendi databaseine yazmaz , forward eder. Vtp Transparent calısan switchler Vtp version 2 den sonra bu şekilde çalışmaya başlamıstır.Daha önceki Vtp versionu version 1 de ; Vlan oluşturulabiliyor , değiştirilebiliyor ve silinebiliyordu ancak Vtp serverden gelen bilgiler forward edilmiyordu.Vtp domaininden izole şekilde çalışıyordu.Vtp versionu ile detay bilgiyede ilerleyen kısımda değinilecektir.

Bu anlatılanları bir resim üzerinde inceleyelim.

.

Şekil-2 Şekil-2 de Vtp server üzerinde yeni bir vlan oluşturulmus ve Vtp client modunda calısan switch lere bu bilgiler anında gönderilmiştir. Şimdi bir süreliğine vlan bilgilerimizi hatırlayalım.

Switch üzerinde vlanlar oluşturup , portlarımızı vlanlara üye yapıyorduk.Vtp calısma mantığında client modundaki switch üzerinde vlan oluşturamıyoruz.

Vlan ları Vtp server’de oluşturuyoruz.Portları vlanlara üye yapma işlemini yine vtp client üzerinde yapıyoruz , yani Vtp Serverden gelen vtp bilgileri içerisinde Portların vlan üyelikleri gibi birşey söz konusu değildir.

Vtp çalışan switchler üzerinde gereksiz broadcast trafiğini engellemek amacıyla Vtp pruning modu aktif edilebilir.Bandgenişliğimizi sömüren gereksiz broadcast trafiğinin azaltılması amacıyla Vlanlar oluşturduk ve Vtp uygulayarak yönetimi tek bir merkezden yapabilmeyi sağladık.

Vtp pruning modunu çalıştırarak trafiğimizi dahada verimli kullanmamız mümkün. Vtp pruning işlemini şekil üzerinde inceleyerek açıklayalım.

Şekil-3 deki yapıya baktığımızda Red Vlan isimli bir vlan tanımlanmıs.

Bu vlana üye portu olan switch yalnızca Switch 4 . Pruning terim olarak budamak anlamına geliyor ve bir vlan üzerinde aktif portu olmayan bir switch’e vtp pruning enable edilmişse broadcast trafiği gitmiyor.

Şekil-3 dede aynı şekilde Switch 3 , Switch 5 ve Switch 6 nın Red Vlan’a üye olan bir portu yok. Red vlan’da aktif portları bulunmuyor.Dolayısıyla broadcast trafiği prune edilecektir.A hostundan gönderilen bir arp request paketi ( Arp requestler broadcast calısır.) B’ye giderken Switchler üzerinde FFFF.FFFF.FFFF.FFFF broadcast adresi üzerinden hareket edecektir ve sadece Switch 2 ile Switch 4 ‘e bu trafik uğrayacaktır.

Vtp pruning çalışabilmesi için vtp domainindeki tüm switchlerde uygulanmalıdır.Switch üzerinde “ vtp pruning enable “ komutuyla enable edilebilir.Default olarak disable durumdadır. Vtp üzerinde version numarası ile ilgili bilinmesi gereken bir nokta aynı vtp domaini içerisindeki tüm switchler aynı version numarasına sahip olmalıdır.

Vtp üzerinde revision number kısmından bahsedeceğim. “ sh vtp status” komutu ile üzerinde Vtp çalışan bir switchin vtp konfigurasyonunu görebiliriz.

Şekil-4 üzerinde Vtp server modunda çalışan bir switch üzerinde revision number hadisesine bakalım.

Şekil-4 Sh vtp status komutu ile Backbone switch üzerindeki revision numberı görebiliyorum. Vtp server üzerinde yapılan her değişiklikte revision number değeri 1 artar.

Vtp bilgilerinin vtp serverde olusturulduktan sonra anında diğer switchlere forward edildiğini söylemiştik , bu durumda vtp client calısan switchlere , vtp server tarafından gönderilen vtp advertisement ( vtp duyuruları ) bilgileri içerisinde revision number bilgiside yer alır.Vtp client üzerindeki revision number değeride 1 artar.

Şekil-4 deki vtp örneğinde revision number değeri 17 dir . Bu switch ilk konfigurasyonundan sonra 17 kez vlan parametrelerinde değişiklik olduğu anlamına gelir.Fabrikadan yeni gelmiş bir switchi kutusundan cıkarıp vtp domainine dahil ettiğimizde revision number 0 dır.

Ortamda revision number’ı Şekil-4 üzerindeki gibi 17 olan bir switch varsa yeni dahil edilen switch 5 dk içerisinde vtp bilgilerini Vtp serverdan alır.

Vtp client ancak kendisinden daha yüksek revision number’a sahip bir vtp server’in vtp bilgilerini database’ine yazar. Fabrikadan gelen bu switch , default olarak vtp server modunda olduğunu soylemiştik.

Ortama bu şekilde dahil edildiğinde bir problem cıkmayacaktır.Vtp server olmasına rağmen ortamdaki kendisinden daha yüksek revision number’a sahip  vtp server modunda calısan switch üzerindeki vtp bilgilerini database’ine işleyecektir.Tabiki çalışma modunu Vtp client olarak ayarlayıp vtp domainine dahil etmemiz ileride problem oluşmaması açısından önemlidir.

Özetle şunu söyleyebilirizki , revision number’ı dahil edildiği vtp domainindeki vtp server’ın revision numberından daha yüksek bir vtp server tüm sistemin bir anda çökmesine sebebiyet verebilir.Çünkü diğer vtp çalışan switchler artık yeni vtp serverın advertisementlarını dikkate alacaktır ve bu vtp server üzerindeki Vlan konfigurasyonu yapımızla alakasız olabilir.

Bu yazıda  vtp’nin calısma prensipleri , calısma modları ve mantığı anlatıldı ve dikkatli olunması gereken konular üzerinde duruldu.

Orhan ERGÜN (CCIE 26567)

www.ciscotr.com

VLAN Trunking Protocol (VTP) | SAMİ GÖNCÜ

Bu protokol sayesinde i çok fazla sayida switch bulunan network’larda,  trunk portlar sayesinde, VLAN’larinizi diger switchlere tasiyabilirsiniz. VTP’e bir anlamda VLAN Domain de diyebiliriz.VTP üç farkli modda çalismaktadir.

Server Mode : Bu modda çalisan switchte VLAN olusturulur ve silinebilir. Ayrica Layer 3?te VLAN interface konfigürasyonu Server modda olan switchte yapilandirilir.Transparent Mode : Bu modda çalisan switchler VTP’den VLAN bilgilerini alabildigi gibi, kendi üzerinde de VLAN olusturulabilir fakat bu VLAN bilgilerini diger switchler ile paylasmaz.

Client Mode : Bu modda olan switchler trunk portlari üzerinden VLAN listesini alirlar ve VLAN bilgilerini tasirlar. Ancak kendi üzerilerinde VLAN olusturamaz ya da silemezsiniz.

VTP Server Nasil Yapilandirilir?

VTP ayarlarinizi yapmadan önce sunu bilmelisiniz. Ag kullanicilariniz için VLAN’lar arasi erisim saglayacaksaniz Layer 3 bir cihaz üzerinde VTP’i Server modda çalistirmalisiniz.

Asagidaki komutlar ile VTP domaininizi (server) ayarlayabilirsiniz.

Kod:

Switch#configure terminalSwitch#Hostname switchASwitchA(config)#vtp domain ciscoSwitchA(config)#vtp mode serverSwitchA(config)#vtp password 123456

Simdi yukaridaki komutlarin neye yaradigini kisaca inceleyelim. vtp domain = VTP domaininize bir isim vermenizi saglar.

vtp mode server = VTP’nizin Server modda çalistigini belirten komuttur.vtp password = VTP domain için bir sifre belirlemenizi saglar.

Bu komutlari kosturdugunuz switch artik VTP Server Switch olarak çalisir.

Mevcut trunk portlari üzerinden diger switchlere, bu switch üzerinde olusturmus oldugunuz VLAN’lar otomatik olarak tasinir. Bunun için diger VLAN tasinacak switchleri de client olarak ayarlamalisiniz.

Ancak dikkat etmeniz gereken nokta, VTP Client Nasil Yapilandirilir? bölümünde de görebileceginiz gibi, vtp domain isminin ve vtp sifresinin client switch üzerinde de tanimlanmis olmasi gerekmesidir.

 

VTP Client Nasil Yapilandirilir?

Simdi diger switchimizi de Client modda çalisacak ve Server modda çalisan switchimizden VLAN listesini alacak sekilde konfigure edelim. Bunun için Cisco Systems’in üretmis oldugu Layer 2 2950 Catalyst marka switch kullaniyoruz.

Kod:

Switch#configure terminalSwitch#Hostname switchBSwitchB(config)#vtp domain ciscoSwitchB(config)#vtp mode clientSwitchB(config)#vtp password 123456 Switch#configure terminalSwitch#Hostname switchCSwitchC(config)#vtp domain ciscoSwitchC(config)#vtp mode clientSwitchC(config)#vtp password 123456 Switch#configure terminalSwitch#Hostname switchDSwitchD(config)#vtp domain ciscoSwitchD(config)#vtp mode clientSwitchD(config)#vtp password 123456

Yukaridaki komutlari girdikten sonra artik  switchimiz Client modda çalisacaktir ve Trunk port üzerinden VLAN listesini otomatik olarak alacaktir. Bunu yapabilmesi için yukarida da bahsettigimiz gibi Trunk Port’lara ihtiyaç vardir. Trunk port ik switch arasinda olusturulur ve her iki cihaz üzerindeki trunk portlar birbirine linklenir.

Yukaridaki örnegimizden devam edecek olursak; Cisco  switchimizin üzerinde zaten 2 adet VLAN olusturmustuk. Bu VLAN’lari A switchimize tasimak için Cisco B switchimizin gigabitethernet0/1 portu ile Cisco A switchimizin gigabitethernet0/1 portunu trunk port olarak asagidaki komutlarla ayarlayip birbirine linkliyoruz.

Kod:

SwitchA#configure terminalSwitchA(config-if)#int gigabitethernet0/1SwitchA(config-if)#switchport mode trunkSwitchA(config-if)#switchport trunk encapsulation dot1qSwitchA(config-if)#description Bu port Trunk Port olarak B’in giga0/1 portuna baglanmistir.SwitchA(config-if)#endswitchA#wirte memory   switchB#configure terminalSwitchB(config)#int gigabitethernet0/1SwitchB(config-if)#switchport mode trunkSwitchB(config-if)#description Bu port Trunk Port olarak A’in giga0/1 portuna baglanmistir.SwitchB(config-if)#endSwitchB#write memory

Simdi yukaridaki komutlari kisaca açiklayalim. Burada port numaralari aklinizi karistirmasin, her iki switchin de (server  ve client ) gigabit 0/1 portlari trunk olarak yapilandirilmistir.

switchport mode trunk = Bu komut o switch portunun Trunk port oldugunu tanimlamaktadir.

description = Bu komutla portlara tanim girilebilir ve ileride kafaniz karismaz.

switchport trunk encapsulation = Bu komut sadece Layer 3 cihazlar üzerinde (Server) çalisir.VLAN datagramlarinin hangi tip frame içerisinde tasinacagini belirler.

Dot1q Nedir? IEEE tarafindan gelistirilmis bir VLAN encapsulation standartidir. Ethernet paketlerinin içerisine yerlestirdigi bitler sayesinde vlan id’sinin ne oldugunu belirler.

ISL Nedir?Açilimi Inter Switch Link’tir. Cisco Systems’in gelistirmis oldugu bir vlan encapsulation standartidir.

Yukaridaki adimlardan sonra VTP Server switchimiz olan Cisco switch A ve Client switchimiz olan Cisco switch B üzerinde VTP ayarlarini yapmis oluruz.

Trunk portlari birbirine cross linkledigimizde, Cisco switchA üzerinde olusturmus oldugunuz VLAN10 ve VLAN20?ün, otomatik olarak, Cisco switchB üzerine de tasindigini görebilirsiniz. Bunun için “show vlan” komutunu kullanabilirsiniz.

Bir switchin tüm portlarini trunk port olarak yapilandirabileceginiz gibi belirli portlari da trunk olarak ayarlayabilirsiniz. Genelde switchlerin birbirine olan yakinligi ve harcanacak kablo mesafesi göz önüne alinarak switch’ler üzerinde trunk portlar yapilandirilir.

Önemli Not: Burada hatirlatmak istedigim baska bir önemli not var.

Layer 2 switchimizin, VTP Client modda olmasina ragmen, bir baska portunu da trunk port olarak ayarlayabiliriz.

Baska bir switchi Client moda alip, onda da trunk port ayarlayarak, Switchimizin trunk portuna linkleyebiliriz. Dilediginiz kadar Trunk Port olusturabilir, bu portlara switch takarak aginizi genisletebilirsiniz. Ya da switchler üzerinde dilediginiz kadar Access Port tanimlayarak VLAN’lara atayabilirsiniz.

Ne kadar Trunk Port olusturacaginiz, kaç adet switchi Trunk porttan çalistiracaginiz ve Access Portunuzun ne kadar olacagi tamamen sizin Network Altyapiniza baglidir. Bir sinir veya limit yoktur. Ancak ne kadar VLAN olusturabileceginiz satin almis oldugunuz Cisco ürünlerinin kitapçiginda yer almaktadir.

Bunu beğen:

Beğen Yükleniyor...

İlgili

samigoncu.wordpress.com

Understanding VLAN Trunk Protocol (VTP)

VLAN Trunk Protocol (VTP) reduces administration in a switched network. When you configure a new VLAN on one VTP server, the VLAN is distributed through all switches in the domain. This reduces the need to configure the same VLAN everywhere. VTP is a Cisco-proprietary protocol that is available on most of the Cisco Catalyst series products.

Note: This document does not cover VTP Version 3. VTP Version 3 differs from VTP Version 1 (V1) and Version 2 (V2), and it is only available on Catalyst OS (CatOS) 8.1(1) or later. VTP Version 3 incorporates many changes from VTP V1 and V2. Make certain that you understand the differences between VTP Version 3 and earlier versions before you alter your network configuration. Refer to one of these sections of VLAN Trunking Protocol (VTP) for more information:

Requirements

There are no specific requirements for this document.

Components Used

This document is not restricted to specific software or hardware versions.

Conventions

Refer to Cisco Technical Tips Conventions for more information on document conventions.

Note: This document does not cover VTP Version 3. VTP Version 3 differs from VTP V1 and V2 and is only available on CatOS 8.1(1) or later. Refer to one of these sections of VLAN Trunking Protocol (VTP) for more information:

VTP Messages in Detail

VTP packets are sent in either Inter-Switch Link (ISL) frames or in IEEE 802.1Q (dot1q) frames. These packets are sent to the destination MAC address 01-00-0C-CC-CC-CC with a logical link control (LLC) code of Subnetwork Access Protocol (SNAP) (AAAA) and a type of 2003 (in the SNAP header). This is the format of a VTP packet that is encapsulated in ISL frames:

Of course, you can have a VTP packet inside 802.1Q frames. In that case, the ISL header and cyclic redundancy check (CRC) is replaced by dot1q tagging.

Now consider the detail of a VTP packet. The format of the VTP header can vary, based on the type of VTP message. But, all VTP packets contain these fields in the header:

Configuration Revision Number

The configuration revision number is a 32-bit number that indicates the level of revision for a VTP packet. Each VTP device tracks the VTP configuration revision number that is assigned to it. Most of the VTP packets contain the VTP configuration revision number of the sender.

This information is used in order to determine whether the received information is more recent than the current version. Each time that you make a VLAN change in a VTP device, the configuration revision is incremented by one. In order to reset the configuration revision of a switch, change the VTP domain name, and then change the name back to the original name.

Summary Advertisements

By default, Catalyst switches issue summary advertisements in five-minute increments. Summary advertisements inform adjacent Catalysts of the current VTP domain name and the configuration revision number.

When the switch receives a summary advertisement packet, the switch compares the VTP domain name to its own VTP domain name. If the name is different, the switch simply ignores the packet. If the name is the same, the switch then compares the configuration revision to its own revision. If its own configuration revision is higher or equal, the packet is ignored. If it is lower, an advertisement request is sent.

This list clarifies what the fields means in the summary advertisement packet:

  • The Followers field indicates that this packet is followed by a Subset Advertisement packet.

  • The Updater Identity is the IP address of the switch that is the last to have incremented the configuration revision.

  • The Update Timestamp is the date and time of the last increment of the configuration revision.

  • Message Digest 5 (MD5) carries the VTP password, if MD5 is configured and used to authenticate the validation of a VTP update.

Subset Advertisements

When you add, delete, or change a VLAN in a Catalyst, the server Catalyst where the changes are made increments the configuration revision and issues a summary advertisement. One or several subset advertisements follow the summary advertisement. A subset advertisement contains a list of VLAN information. If there are several VLANs, more than one subset advertisement can be required in order to advertise all the VLANs.

This formatted example shows that each VLAN information field contains information for a different VLAN. It is ordered so that lowered-valued ISL VLAN IDs occur first:

Most of the fields in this packet are easy to understand. These are two clarifications:

  • Code—The format for this is 0x02 for subset advertisement.

  • Sequence number—This is the sequence of the packet in the stream of packets that follow a summary advertisement. The sequence starts with 1.

Advertisement Requests

A switch needs a VTP advertisement request in these situations:

  • The switch has been reset.

  • The VTP domain name has been changed.

  • The switch has received a VTP summary advertisement with a higher configuration revision than its own.

Upon receipt of an advertisement request, a VTP device sends a summary advertisement. One or more subset advertisements follow the summary advertisement. This is an example:

  • Code—The format for this is 0x03 for an advertisement request.

  • Start-Value—This is used in cases in which there are several subset advertisements. If the first (n) subset advertisement has been received and the subsequent one (n+1) has not been received, the Catalyst only requests advertisements from the (n+1)th one.

VTP Modes

You can configure a switch to operate in any one of these VTP modes:

  • Server—In VTP server mode, you can create, modify, and delete VLANs and specify other configuration parameters, such as VTP version and VTP pruning, for the entire VTP domain. VTP servers advertise their VLAN configuration to other switches in the same VTP domain and synchronize their VLAN configuration with other switches based on advertisements received over trunk links. VTP server is the default mode.

  • Client—VTP clients behave the same way as VTP servers, but you cannot create, change, or delete VLANs on a VTP client.

  • Transparent—VTP transparent switches do not participate in VTP. A VTP transparent switch does not advertise its VLAN configuration and does not synchronize its VLAN configuration based on received advertisements, but transparent switches do forward VTP advertisements that they receive out their trunk ports in VTP Version 2.

  • Off (configurable only in CatOS switches)—In the three described modes, VTP advertisements are received and transmitted as soon as the switch enters the management domain state. In the VTP off mode, switches behave the same as in VTP transparent mode with the exception that VTP advertisements are not forwarded.

VTP V2

VTP V2 is not much different than VTP V1. The major difference is that VTP V2 introduces support for Token Ring VLANs. If you use Token Ring VLANs, you must enable VTP V2. Otherwise, there is no reason to use VTP V2. Changing the VTP version from 1 to 2 will not cause a switch to reload.

VTP Password

If you configure a password for VTP, you must configure the password on all switches in the VTP domain. The password must be the same password on all those switches. The VTP password that you configure is translated by algorithm into a 16-byte word (MD5 value) that is carried in all summary-advertisement VTP packets.

VTP Pruning

VTP ensures that all switches in the VTP domain are aware of all VLANs. However, there are occasions when VTP can create unnecessary traffic. All unknown unicasts and broadcasts in a VLAN are flooded over the entire VLAN. All switches in the network receive all broadcasts, even in situations in which few users are connected in that VLAN. VTP pruning is a feature that you use in order to eliminate or prune this unnecessary traffic.

Broadcast traffic in a switched network without pruning

This figure shows a switched network without VTP pruning enabled. Port 1 on Switch A and Port 2 on Switch D are assigned to the Red VLAN. If a broadcast is sent from the host connected to Switch A, Switch A floods the broadcast and every switch in the network receives it, even though Switches C, E, and F have no ports in the Red VLAN.

Broadcast traffic in a switched network with pruning

This figure shows the same switched network with VTP pruning enabled. The broadcast traffic from Switch A is not forwarded to Switches C, E, and F because traffic for the Red VLAN has been pruned on the links shown (Port 5 on Switch B and Port 4 on Switch D).

When VTP pruning is enabled on a VTP server, pruning is enabled for the entire management domain. Making VLANs pruning-eligible or pruning-ineligible affects pruning eligibility for those VLANs on that trunk only (not on all switches in the VTP domain). VTP pruning takes effect several seconds after you enable it. VTP pruning does not prune traffic from VLANs that are pruning-ineligible. VLAN 1 and VLANs 1002 to 1005 are always pruning-ineligible; traffic from these VLANs cannot be pruned. Extended-range VLANs (VLAN IDs greater than 1005) are also pruning-ineligible.

By default, all switches are configured to be VTP servers. This configuration is suitable for small-scale networks in which the size of the VLAN information is small and the information is easily stored in all switches (in NVRAM). In a large network, the network administrator must make a judgment call at some point, when the NVRAM storage that is necessary is wasteful because it is duplicated on every switch. At this point, the network administrator must choose a few well-equipped switches and keep them as VTP servers. Everything else that participates in VTP can be turned into a client. The number of VTP servers should be chosen in order to provide the degree of redundancy that is desired in the network.

Notes:

  • If a switch is configured as a VTP server without a VTP domain name, you cannot configure a VLAN on the switch.

    Note: It is applicable only for CatOS. You can configure VLAN(s) without having the VTP domain name on the switch which runs on IOS.

  • If a new Catalyst is attached in the border of two VTP domains, the new Catalyst keeps the domain name of the first switch that sends it a summary advertisement. The only way to attach this switch to another VTP domain is to manually set a different VTP domain name.

  • Dynamic Trunking Protocol (DTP) sends the VTP domain name in a DTP packet. Therefore, if you have two ends of a link that belong to different VTP domains, the trunk does not come up if you use DTP. In this special case, you must configure the trunk mode as on or nonegotiate, on both sides, in order to allow the trunk to come up without DTP negotiation agreement.

  • If the domain has a single VTP server and it crashes, the best and easiest way to restore the operation is to change any of the VTP clients in that domain to a VTP server. The configuration revision is still the same in the rest of the clients, even if the server crashes. Therefore, VTP works properly in the domain.

Refer to Configuring VLAN Trunk Protocol (VTP) for information to configure VTP.

Refer to Troubleshooting VLAN Trunk Protocol (VTP) for information to troubleshoot VTP.

There are some disadvantages to the use of VTP. You must balance the ease of VTP administration against the inherent risk of a large STP domain and the potential instability and risks of STP. The greatest risk is an STP loop through the entire campus. When you use VTP, there are two things to which you must pay close attention:

  • Remember the configuration revision and how to reset it each time that you insert a new switch in your network so that you do not bring down the entire network.

  • Avoid as much as possible to have a VLAN that spans the entire network.

www.cisco.com

Cisco : InterVLAN Routing

 

Pratikte ağ topolojimizi cihazları farklı fiziksel switchlere bağlayarak ta kurabiliriz.Bu durumda oluşturduğumuz subnet'leri birbirleri ile görüştürebilmek için router'ımızda switch sayısı kadar ara yüz olmalıdır. Buda hem fazla switch kullandığımız hem de router'a fazla interface takmamız gerektiğinden maliyeti arttıracaktır.VLAN yapısı burada devreye girmektedir.

 

 

VLan yapılandırırken bazı kavramlar karşımıza çıkmaktadır ve önce bunlardan bahsedelim.

 

 

Broadcast Domain

 

 

Broadcast domain'i aynı IP subnetinde (ağında) herhangi bir bilgisayarın yada diğer cihazların router a uğramak zorunda olmadan birbirlerine veri transferi yapabildikleri bir mantıksal network(ağ) segmentidir. Vlan yapılandırması ile broadcast domain'nini küçültürüz.

 

 

Trunk

 

 

Burada kullanılan anlamıyla trunk, 2 switch arasında yada switch ile router arasında çoklu Vlan trafiğini bir protokol ile (VTP) taşıyan hattır.Başka bir deyişle aynı hat -kablo- üzerinde çok sayıda Vlan ın haberleşebilmesini saglayan yapıdır. Bir hattan fazla vlan bilgisini geçirebilmek için çokça kullanılan IEEE 802.1Q yada ISL protokollerinden birini kullanabiliriz.ISL, Cisco'ya özel bir protokoldur.

 

 

VTP -Vlan Trunking Protocol-

 

 

VTP, Vlan ekleme,silme,yönetme konusunda kullanılan protokoldür ve yönetimsel eforu oldukça hafifletmektedir. VTP bilgilerinin switchler üzerinde bulunan aynı VTP domainlerine taşınması ile her VLAN ın her switchte oluşturulmasına gerek kalmaz.Vlan bilgileri (VTP advertisements) ISL , 802.1Q, IEEE 802.10 yada LANE trunk hatlarından yollanır.

 

 

Şimdi Vlan'lar arası yönlendirmenin (routing) nasıl çalıştığından bahsedelim.

 

 

Farklı Vlan'lardaki ağ cihazları router'ın yönlendirmesi olmadan birbirleri ile görüşemezler. SwitchA da bulunan Vlan 10 daki A ve B istemcisinin switchB de bulunan Vlan20 deki C istemcisi ile görüşmesi için bir yönlendirici gerekmektedir. Alttaki şekillerde ise Vlan lar yine bir trunk hattı üzerinden görüşüyor.

 

 

 

 

 

 

Sağdaki şekilde router ın bir fiziksel ethernet interface i üzerinde 2 tane alt interface oluşturarak trunk hattı üzerinden vlan 10 ve 20 nin kullanımına sunulmalıdır. Böylece router, vlan 10 den gelen ve vlan 20 ye gitmesi gereken paketi routing table ına bakarak uygun alt interface inden gönderebilir.

 

 

Başarılı bir vlan yapısı için Vlan trunking protocol düzgün yapılandırılmalıdır. VTP ile vlan lar için ; switchlerin hangi modda çalışacağını , hangi domain’e üye olduklarını, pruning’in açık yada kapalı olma durumunu yapılandırırız. Aynı domain içindeki VTP bilgilerinin switch’ler arasında kopyalanacağını unutmamak gerekir.

 

 

Pruning, switch’lere gelen ve alakasız yerlere giden trafiği keserek bant genişliğini daha efektif kullanmamızı sağlar.

 

 

 

 

Şekle bakacak olursak SW1’ ve SW4 e bağlı RED isimli vlan ı görmekteyiz. Alttaki bilgisayar broadcast paketlerini SW1 e gönderdiğinde SW1 görüldüğü gibi bu broadcast’ her yere ulaştırır. Halbuki sadece SW1 ve SW4 ün ışında port’ları RED isimli Vlan’a üye olan switch yoktur. Varsayılanda kapalı olan VTP Prunning server modda çalışan switch’te açılırsa alakasız trafik engellenmiş olur.Aşağıdaki şekilde görülebilir.

 

 

 

 

Yönetimsel amaçlı kullandığımız VLAN 1 in trafiği pruning tabi değildir !

 

 

Vlan 10 , Vlan 20 ve Vlan 30 dan oluşan konfigürasyonumuza geçebiliriz. Yapımızda; bir router , 2 switch ve 3 faklı vlan da bulanan 3 adet test cihazım (test amaçlı router kullanıyorum) bulunmaktadır.

 

 

172.19.20.0 / 24 bloğunu kullanacağız. Öncelikle bloğu parçalayarak vlan’lara tahsis edelim.

 

 

Vlan 10 da 11 istemcim olsun. 172.19.20.0 / 28 subnetini kullanırsam yeterli miktarda ip elde ederim. Vlan 10 için ağ geçiti (gateway) 172.19.20.14 /28 ip si olabilir.

 

 

Vlan 20 de 3 istemcim olsun. 172.19.20.16 / 29 subnetini kullanırsam sorun olmayacaktır. Vlan 20 için ağ geçitim 172.19.20.22 / 29 ip’si olabilir.

 

 

Vlan 30 de 1 istemcim olsun. 172.19.20.24 / 32 sunbetini kullanabilirim. Vlan 30 için ağ geçitim 172.19.20.26 / 32 ip si olabilir.

 

 

Test amacıyla kullanacağım routerlara isimlerini ve ip lerini vererek başlayalım.

 

 

R1 vlan 10 da bulunmaktadır

 

 

R2 vlan 20 de bulunmaktadır

 

 

R3 vlan 30 da bulunmaktadır.

 

 

R1 172.19.20.1 / 28 ipsini kullanıyor.

 

 

R2 172.19.20.17 / 29 ipsini kullanıyor.

 

 

R3 172.19.20.25 / 32 ipsini kullanıyor.

 

 

 

 

 

 

R1 isimli router’ın ismini ve ip sini yapılandırdık.

 

 

 

 

R2 isimli router’ın ismini ve ipsini yapılandırdık.

 

 

 

 

R3 isimli router’ın da ismini ve ip’sini yapılandırdık. Şimdi bu 3 router’ın bağlı bulunduğu SW1 e geçerek ismini verelim ve komşularını görüntüleyelim.

 

 

 

 

Client modunda çalışacak olan switch e ismini -SW1- verdik ve komşularını görüntüledik.Burada üstte görünen switch ileride SW0 olacak olan switch’tir. İlgili portlarından test amaçlı olarak kullanacağımız router lara bağlı olduğunu görebiliriz. Artık server modda çalışacak ve ismi SW0 olacak olan switch e geçerek vlan yapımızı oluşturalım.

 

 

 

 

İlgili vlan larımızı SW0 da oluşturduk. SW0 server modunda çalışmakta ve domain adımız CISCO olarak yapılandırılmıştır. Vlan larımızı görüntülemek istersek #show vlan komutunu kullanabiliriz.

 

 

 

 

Show komutunun çıktısı üstteki şekildedir. Bu bilgilerin diğer switch e taşınabilmesi için onda da ilgili ayarlarımızı yapmalıyız. Client modda olduğunu , domain bilgisini SW1 de yapılandırmalıyız. Bunları orada yapılandırmak yetmeyecektir. Trunk hatlarını belirlememiz ve yapılandırmamız gerekmektedir. SW0 in her iki interface’i , SW1 in ise SW0 a bakan interface i trunk olmalıdır. Ardından SW1 e SW0 dan bilgilerin gittiğini görebiliriz. Şimdilik SW0 ile SW1 in birbirlerine bakan interfacelerini trunk moduna alalım daha vlan lar arası haberleşmeyi sağlayacak R0 ı devreye alacağız. Öncelikle SW0 da ve SW1 de komşulara bakalım ve hangi interface i seçeceğim karmaşasından kurtulalım.

 

 

 

 

SW1’de de komşulara bakalım. Burada henüz R0’ı göremiyorum çünkü yapılandırmadım.

 

 

 

 

SW0’ın komşuları da görünmektedir.

 

 

 

 

Üstteki resimlerden bakacak olursak SW1’in 0/1 no lu portundan SW0 a bağlı olduğunu görebiliriz dolayısıyla burada trunk çalışacaktır. 

 

 

 

 

Yine SW0 in SW1 e giden 0/2 no lu interface inde trunk çalışmalıdır.

 

 

Trunk portlarını yapılandırdık. (SW1 in R0 a giden interface’i de trunk portudur ileride yapılandıracağız)

 

 

SW1 e CISCO domainde olduğunu ve client modda olduğunu söyleyelim ve ardından Vlan bilgilerini görüntüleyelim.

 

 

 

 

Artık SW1 de vlanlarımızı görebiliriz. Yine #show vlan komutu işimizi görecektir. Bu komutu her iki switch te çalıştırıp çıktılarını inceleyelim.

 

 

SW1 de;

 

 

 

 

SW0 da ;

 

 

 

 

Görüldüğü gibi SW0 dan SW1 vlan bilgilerimiz geçmiştir. Şimdi de Her iki switch te VTP yapısına bakalım. Bunun için #show vtp status komutunu kullanacağız.

 

 

SW0 da;

 

 

 

 

SW1 de;

 

 

 

 

Her iki switch deki vtp durumu üstteki gibidir.

 

 

Şimdi sıra SW1 de test cihazlarımı vlan lara dahil etmeye ve ilgili portları access port olarak belirlemeye geldi. SW1 de test cihazlarımıza giden port lar erişim portları olmalıdır. SW1 in komşularına bakarsanız 0/4 , 0/8 ve 0/11 nolu portarının erişim portaları olması gerektiğini görebilirsiniz. 0/4 portu vlan 10 a , 0/8 no lu portu vlan 20 ye, 0/11 no lu portu vlan 30 a dahil edelim.

 

 

 

 

İlgili portaları ilgili vlan lara atadık ve erişim portları olduğunu belirledik. Henüz birbirleri ile görüşemeyecekler. Çünkü her üç test cihazımızda farklı ağlarda bulunmaktadır. O halde R0’ı yapılandırabiliriz. R0’ın SW0 a bakan fiziksel interface’i üzerinde 3 adet alt interface açacağız ve iplerini daha önce belirlediğimiz gibi vereceğiz. Encapsulation’ı da belirleyeceğiz. Ne tür encapsulation yöntemleri kullanılabileceğini başta belirtmiştik. Burada dot1Q kullanacağız. Yapılandırmaya geçelim.

 

 

R0’ın yapılandırması

 

 

 

 

Görüldüğü gibidir. SW0’da artık R0 a bakan portu trunk’a alabiliriz.

 

 

 

 

SW0’da R0 a giden taraf ta trunk’a alınmıştır. Artık vlan’larımız birbirleri ile görüşebilir.Burada senaryomuza özel bir durumu açıklamak gerekebilir. Senaryoya bağlı kalarak uygularsanız R0'da vlan'larımızdaki test amaçlı kullandığımız routerlara ping atabilirsiniz buda vlan yapımızın başarılı olduğunu gösterir.Ama test amaçlı kullandığımız R1,R2,R3 den şu halleri ile birbirlerine ping atamazsınız. Çünkü herhangi bir routing protokolü yapılandırmadık!!!

 

 

www.cozumpark.com

Layer 2 Güvenlik - Cenker Çetin

Pek çok güvenlik ve network yöneticisi sistemlerinin güvenliğini sağlayabilmek için gelebilecek tehditleri üst katmanlara  kadar  taşımaktansa, olabildiğince alt katmanda yapılacak gerekli yapılandırma veya kısıtlamalarla çözüm arayışına gitmektedirler. Gelelim yönetilebilir bir switch’i sahada kullanmaya başlamadan önce bu cihaz üzerinde uygulanması gereken güvenlik aşamalarına. Öncelikle network’e dahil edilecek her cihazda olması gerektiği gibi, cihazın şifreleri belirlenmelidir. Bu şifreler belirlenirken, herkes tarafından kolayca tahmin edilebilen ya da herhangi bir sözlük atakla kolaylıkla tespit edilebilen bir şifre vermemeye özen gösterilmelidir. Birden fazla switch ve network yöneticisinin bulunduğu yerlerde, en iyi yöntem AAA Authentication modu aktive edilerek, bunun üzerinde kullanıcıların sorgularının yapılacağı yerel kullanıcı veritabanı, TACACS+ ya da RADIUS sunucu üzerinden kimlik doğrulaması yapılmasıdır.  TACACS+ bunlar arasında ayrıntılı log tutma özelliğiyle diğerlerinden bir adım önde olarak gözükse ihtiyaca göre kullanılacak yöntem de değişebilmektedir.

1) SSH erişimini aktive etme ve kimlik doğrulama yöntemi

Ayrıca, yine cihazı yönetebilmek için, cihazın performans ve yüküne göre ssh ya da telnet erişimleri aktif edilmelidir. Tercih daima kriptolu olan ssh bağlantısı olması gerekir fakat yine de belirlenecek güvenlik seviyesine göre telnet erişimi de tercih edilebilmektedir.

Cisco IOS üzerinde Örnek SSH Yapılandırması
KomutAçıklama
username deneme privilege 15 password 0 deneme-şifreKullanıcı eklenir ve şifre atanır.
aaa new-modelYerel veritabanı kullanılarak,AAA modu ayarlamaları yapılır.
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name cenkercetin.comAlan adı belirlenir.
crypto key generate rsaSertifika oluşturulur.(en az 768 bit Diffie-Hellman key kullanılır)
line vty 0 4İlgili vty belirlenir.
transport input sshYalnızca SSH bağlantılarına izin verilir.
Cisco Catalyst OS Üzerinde Örnek SSH Yapılandırması
KomutAçıklama
set crypto key rsa 10241024 bit RSA key oluşturur.
set ip permit 10.0.0.0 255.255.255.0 sshBelirlenen ip aralığıdaki SSH bağlantılarına izin verilir.
set ip enable

2)VTP ve SNMP yapılandırması

Kullanıcı sayısı ve bunun paralelinde cihaz sayısı yüksek networklerde VLAN yapılandırmasının network’ü rahatlatan ve düzeni sağlayan bir işlevi olsa  da, düzgün konfigüre edilmeyen bir VLAN yapılandırması çok ciddi güvenlik açıklarına neden olmaktadır.Bu konuda yapılabilecek en iyi düzenleme ise,, switch üzerinde oluşturulan vlan veritabanın paylaşımını gerekli etki alanı altında, belirlenen şifreyle sadece ilgili cihazlara aktarılmasını sağlamaktır. Ayrıca VTP pruning özelliğiyle de switchler arasında akan broadcast trafiği sadece  ilgili cihazlara yönelerek, cihazın üzerinden gereksiz trafiğin geçmesini engelleyecektir.

Cisco IOS Üzerinde Örnek VTP Konfigürasyonu
KomutAçıklama
vtp domain VTP-AdıVTP adı belirlenir
vtp password VTP-ŞifresiVTP şifresi belirlenir.
vtp pruningVTP pruning aktive edilir.
Cisco Catalyst OS Üzerinde Örnek VTP Konfigürasyonu
KomutAçıklama
set vtp domain VTP-AdıVTP adı belirlenir
set vtp passwd VTP-ŞifresiVTP şifresi belirlenir.
set vtp pruning enableVTP pruning aktive edilir.

Bunun yanına cihazın üzerinden anlık bilgileri okuyabilmek gibi pek çok farklı şekilde kullanılan SNMP’nin ayarlamaları da en düzgün şekilde belirlenmelidir. Cihaz üzerine gelen SNMP sorgularının kontrolü sağlanmadığı sürece, SNMP kullanılarak yapılabilen farklı uygulamalarla cihaz kolaylıkla ele geçirilebilir.  SNMP versiyonları arasında da en güvenli sürümü v3 sürümüdür. Bu sürümde v1 ve v2 de kullanılan topluluk belirleme ve kullanıcı işlemleri gibi işlemlere ek olarak şifreleme gibi özellikler eklenmiştir.

Cisco IOS Üzerinde Örnek SNMP Konfigürasyonu
KomutAçıklama
snmp-server community Read-Only- Sorgusu ro 10ACL 10 ile korunan read-only SNMP sorgusu belirlenir.
snmp-server community Read-Write-Sorgusu rw 11ACL 11 ile korunan read-write SNMP sorgusu belirlenir.
access-list 10 permit IP-adresi-ro_içinRead-only SNMP sorgusunun yapılabileceği ip(ler) belirlenir.
access-list 11 permit IP-adresi-rw_içinRead-write SNMP sorgusunun yapılabileceği ip(ler) belirlenir.
Cisco Catalyst OS Üzerinde Örnek SNMP Konfigürasyonu
KomutAçıklama
set snmp community read-only read-only-stringread-only sorgu belirlenir.
set snmp community read-write read-write-stringread-write sorgu belirlenir.
set snmp community read-write-all rwo-stringread-write-all sorgu belirlenir.

3) Port kısıtlamaları ve tanımlamaları

Cihaz üzerinde gerekmedikçe trunk port bırakılmamalıdır. Hatta, switch üzerinde kullanılmayan bir vlan oluşturularak, tüm kullanılmayan portlar bu vlan’e atanmalıdır. Ayrıca yine kullanılmayan portlar  gerek duyulmadıkça “shutdown” durumunda bırakılmalıdır ve “description PORTUN-AÇIKLAMASI” komutuyla  kullanılan her porta olası bir hata tespit durumunda sonuca daha çabuk ulaştırabilecek tanımlamalar yapılmalıdır. Son olarak bu konuda dikkat edilmesi gereken en önemli nokta ise, vlan yapılandırmasında pek çok konuda (native vlan) portlara varsayılan olarak atanan VLAN 1, gerekmedikçe kullanılmamalıdır.

Cisco IOS Üzerinde Temel Port Örnek Kısıtlamaları
KomutAçıklama
int range FastEthernet0/1 – 48interface 1 – 48 arasına komut girilebilecek interface moda girilir
switchport access vlan 8Portu VLAN 8’e atar.
switchport mode accessVLAN Trunking modunu disable eder.
ShutdownPortu kapatır.

4.) Allowed-Vlan belirleme

Trunk olarak belirlenen portlar dahil, üzerinden tüm vlanlerin geçmesine izin verilmeyip, sadece o porttan akması gereken vlan trafiklerine izin verilmelidir.

Cisco IOS Üzerinde Örnek VLAN Trunking Kısıtlamaları
KomutAçıklama
interface GigabitEthernet0/1Kısıtlama yapılacak interfacenin içine girilir.
switchport mode trunkPort trunk moda ayarlanır.
Switchport trunk encapsulation dot1qEncapsulation türü belirlenir.
switchport trunk allow 10-14, 26-2810-14 ve 26-28 arası vlanlere izin verilir.

Spanning Tree(STP) her nekadar oluşabilecek loop’ları engellemek için çalışan bir protokol olsa da, böyle güzel işler yapmaya çalışan bir protokolün de belli önlemler alınarak yapılandırılması gerektiği gerçeğini ortadan kaldıramamaktadır. Alınabilecek önlemlerden ilki, “Portfast” enable edilen porttaki BPDU paketlerini engellemek ya da bir şekilde filtrelemektir. Kısaca PortFast’i anlatmak gerekirse; PortFast,portları listening learning gibi loop önleyen aşamalardan geçirmeyerek, çok hızlı bir şekilde ilgili portun açılmasını sağlamaktadır. Bu portlardan BPDU mesajı alındığında topoloji tamamen bozulabilir ve hatta sorunun loop’a kadar büyümesine neden olabilir. Bununla beraber Cisco switchler üzerinde yapılacak RootGuard yapılandırması ile, bir porta bağlanan cihazın küçük olan bridge ID’si topolojiyi etkileyerek root olarak seçilmesini engelleyecektir.

Cisco IOS üzerinde STP BPDU ve Root Guard Kısıtlamaları
KomutAçıklama
spanning-tree portfast bpduguardSwitch üzerinde BPDU guard’ı aktif eder.
spanning-tree guard rootSwitch üzerinde Root guard’ı aktif eder.
spanning-tree rootguardFarklı IOS’larda ki kullanım şekli.

Switchlerin üzerinde sınırlı sayıda mac adresi kayıt altına alınabilir. Bu da saldırgan kişiler tarafından atak yapılabilecek bir açık olarak değerlendirilebilir. Switche bağlı kişi çok kısa sürede çokça kez mac adresini değiştirerek dchp sunucusundan ip isteğinde bulunur, bu sayede hem dhcp havuzunu hem de switch üzerindeki mac adres tablosunu doldurarak atağın ilk aşamasını tamamlamış olurlar. Switch üzerindeki mac addreslerinin tutulduğu veritabanı dolunca switch hub olarak görev yapmaya başlar. Bu da switch üzerindeki tüm trafiğin tüm portlara yönlendirilmesi anlamına gelmektedir. Artık bu aşamadan sonra cihaz üzerindeki tüm trafiği dinleyebilen saldırgan artık network’ün bir parçası haline gelmiştir:) Bu atağı engellemek için cisco cihazlarda aşağıdaki konfigürasyon kullanılabilir.

Cisco IOS Üzerinde  MAC Adres Tablosu Ataklarına Karşı Kısıtlama
KomutAçıklama
int range FastEthernet 0/1 – 24Değişiklik yapılacak interface’ler (ya da interface) belirlenir.
switchport port-securityPort-Security aktif edilir.
switchport port-security maximum 10İnterface üzerinde izinli sayılacak mac adresi sayısı belirlenir.
switchport port-security violation protectİzinsiz mac’lere switch tarafından uygulacak yaptırım belirlenir.
switchport port-security aging time 5Örnekte görüldüğü üzere, mac adresi 5 dakika “inactivity” modunda kaldıktan sonra tablodan silineceğini gösterir.
switchport port-security aging type inactivityİlgili mac adreslerinin tablodan silinmesini gerektirecek şart belirlenir.
NOT:Örnekte “range” komutuyla birden fazla porta uygulanmıştır, komutlar yalnızca istenilen interface’e de uygulanabilmektedir.

 

cenkercetin.com

Hakan Uzuner - InterVLAN Routing

Pratikte ağ topolojimizi cihazları farklı fiziksel switchlere bağlayarak ta kurabiliriz.Bu durumda oluşturduğumuz subnet’leri birbirleri ile görüştürebilmek için router’ımızda switch sayısı kadar ara yüz olmalıdır. Buda hem fazla switch kullandığımız hem de router’a fazla interface takmamız gerektiğinden maliyeti arttıracaktır.VLAN yapısı burada devreye girmektedir.

VLan yapılandırırken bazı kavramlar karşımıza çıkmaktadır ve önce bunlardan bahsedelim.

Broadcast Domain

Broadcast domain’i aynı IP subnetinde (ağında) herhangi bir bilgisayarın yada diğer cihazların router a uğramak zorunda olmadan birbirlerine veri transferi yapabildikleri bir mantıksal network(ağ) segmentidir. Vlan yapılandırması ile broadcast domain’nini küçültürüz.

Trunk

Burada kullanılan anlamıyla trunk, 2 switch arasında yada switch ile router arasında çoklu Vlan trafiğini bir protokol ile (VTP) taşıyan hattır.Başka bir deyişle aynı hat -kablo- üzerinde çok sayıda Vlan ın haberleşebilmesini saglayan yapıdır. Bir hattan fazla vlan bilgisini geçirebilmek için çokça kullanılan IEEE 802.1Q yada ISL protokollerinden birini kullanabiliriz.ISL, Cisco’ya özel bir protokoldur.

VTP -Vlan Trunking Protocol-

VTP, Vlan ekleme,silme,yönetme konusunda kullanılan protokoldür ve yönetimsel eforu oldukça hafifletmektedir. VTP bilgilerinin switchler üzerinde bulunan aynı VTP domainlerine taşınması ile her VLAN ın her switchte oluşturulmasına gerek kalmaz.Vlan bilgileri (VTP advertisements) ISL , 802.1Q, IEEE 802.10 yada LANE trunk hatlarından yollanır.

Şimdi Vlan’lar arası yönlendirmenin (routing) nasıl çalıştığından bahsedelim.

Farklı Vlan’lardaki ağ cihazları router’ın yönlendirmesi olmadan birbirleri ile görüşemezler. SwitchA da bulunan Vlan 10 daki A ve B istemcisinin switchB de bulunan Vlan20 deki C istemcisi ile görüşmesi için bir yönlendirici gerekmektedir. Alttaki şekillerde ise Vlan lar yine bir trunk hattı üzerinden görüşüyor.

Sağdaki şekilde router ın bir fiziksel ethernet interface i üzerinde 2 tane alt interface oluşturarak trunk hattı üzerinden vlan 10 ve 20 nin kullanımına sunulmalıdır. Böylece router, vlan 10 den gelen ve vlan 20 ye gitmesi gereken paketi routing table ına bakarak uygun alt interface inden gönderebilir.

Başarılı bir vlan yapısı için Vlan trunking protocol düzgün yapılandırılmalıdır. VTP ile vlan lar için ; switchlerin hangi modda çalışacağını , hangi domain’e üye olduklarını, pruning’in açık yada kapalı olma durumunu yapılandırırız. Aynı domain içindeki VTP bilgilerinin switch’ler arasında kopyalanacağını unutmamak gerekir.

Pruning, switch’lere gelen ve alakasız yerlere giden trafiği keserek bant genişliğini daha efektif kullanmamızı sağlar.

Şekle bakacak olursak SW1’ ve SW4 e bağlı RED isimli vlan ı görmekteyiz. Alttaki bilgisayar broadcast paketlerini SW1 e gönderdiğinde SW1 görüldüğü gibi bu broadcast’ her yere ulaştırır. Halbuki sadece SW1 ve SW4 ün ışında port’ları RED isimli Vlan’a üye olan switch yoktur. Varsayılanda kapalı olan VTP Prunning server modda çalışan switch’te açılırsa alakasız trafik engellenmiş olur.Aşağıdaki şekilde görülebilir.

Yönetimsel amaçlı kullandığımız VLAN 1 in trafiği pruning tabi değildir !

Vlan 10 , Vlan 20 ve Vlan 30 dan oluşan konfigürasyonumuza geçebiliriz. Yapımızda; bir router , 2 switch ve 3 faklı vlan da bulanan 3 adet test cihazım (test amaçlı router kullanıyorum) bulunmaktadır.

172.19.20.0 / 24 bloğunu kullanacağız. Öncelikle bloğu parçalayarak vlan’lara tahsis edelim.

Vlan 10 da 11 istemcim olsun. 172.19.20.0 / 28 subnetini kullanırsam yeterli miktarda ip elde ederim. Vlan 10 için ağ geçiti (gateway) 172.19.20.14 /28 ip si olabilir.

Vlan 20 de 3 istemcim olsun. 172.19.20.16 / 29 subnetini kullanırsam sorun olmayacaktır. Vlan 20 için ağ geçitim 172.19.20.22 / 29 ip’si olabilir.

Vlan 30 de 1 istemcim olsun. 172.19.20.24 / 32 sunbetini kullanabilirim. Vlan 30 için ağ geçitim 172.19.20.26 / 32 ip si olabilir.

Test amacıyla kullanacağım routerlara isimlerini ve ip lerini vererek başlayalım.

R1 vlan 10 da bulunmaktadır

R2 vlan 20 de bulunmaktadır

R3 vlan 30 da bulunmaktadır.

R1 172.19.20.1 / 28 ipsini kullanıyor.

R2 172.19.20.17 / 29 ipsini kullanıyor.

R3 172.19.20.25 / 32 ipsini kullanıyor.

R1 isimli router’ın ismini ve ip sini yapılandırdık.

R2 isimli router’ın ismini ve ipsini yapılandırdık.

R3 isimli router’ın da ismini ve ip’sini yapılandırdık. Şimdi bu 3 router’ın bağlı bulunduğu SW1 e geçerek ismini verelim ve komşularını görüntüleyelim.

Client modunda çalışacak olan switch e ismini -SW1- verdik ve komşularını görüntüledik.Burada üstte görünen switch ileride SW0 olacak olan switch’tir. İlgili portlarından test amaçlı olarak kullanacağımız router lara bağlı olduğunu görebiliriz. Artık server modda çalışacak ve ismi SW0 olacak olan switch e geçerek vlan yapımızı oluşturalım.

İlgili vlan larımızı SW0 da oluşturduk. SW0 server modunda çalışmakta ve domain adımız CISCO olarak yapılandırılmıştır. Vlan larımızı görüntülemek istersek #show vlan komutunu kullanabiliriz.

Show komutunun çıktısı üstteki şekildedir. Bu bilgilerin diğer switch e taşınabilmesi için onda da ilgili ayarlarımızı yapmalıyız. Client modda olduğunu , domain bilgisini SW1 de yapılandırmalıyız. Bunları orada yapılandırmak yetmeyecektir. Trunk hatlarını belirlememiz ve yapılandırmamız gerekmektedir. SW0 in her iki interface’i , SW1 in ise SW0 a bakan interface i trunk olmalıdır. Ardından SW1 e SW0 dan bilgilerin gittiğini görebiliriz. Şimdilik SW0 ile SW1 in birbirlerine bakan interfacelerini trunk moduna alalım daha vlan lar arası haberleşmeyi sağlayacak R0 ı devreye alacağız. Öncelikle SW0 da ve SW1 de komşulara bakalım ve hangi interface i seçeceğim karmaşasından kurtulalım.

SW1’de de komşulara bakalım. Burada henüz R0’ı göremiyorum çünkü yapılandırmadım.

SW0’ın komşuları da görünmektedir.

Üstteki resimlerden bakacak olursak SW1’in 0/1 no lu portundan SW0 a bağlı olduğunu görebiliriz dolayısıyla burada trunk çalışacaktır.

Yine SW0 in SW1 e giden 0/2 no lu interface inde trunk çalışmalıdır.

Trunk portlarını yapılandırdık. (SW1 in R0 a giden interface’i de trunk portudur ileride yapılandıracağız)

SW1 e CISCO domainde olduğunu ve client modda olduğunu söyleyelim ve ardından Vlan bilgilerini görüntüleyelim.

Artık SW1 de vlanlarımızı görebiliriz. Yine #show vlan komutu işimizi görecektir. Bu komutu her iki switch te çalıştırıp çıktılarını inceleyelim.

SW1 de;

SW0 da ;

Görüldüğü gibi SW0 dan SW1 vlan bilgilerimiz geçmiştir. Şimdi de Her iki switch te VTP yapısına bakalım. Bunun için #show vtp status komutunu kullanacağız.

SW0 da;

SW1 de;

Her iki switch deki vtp durumu üstteki gibidir.

Şimdi sıra SW1 de test cihazlarımı vlan lara dahil etmeye ve ilgili portları access port olarak belirlemeye geldi. SW1 de test cihazlarımıza giden port lar erişim portları olmalıdır. SW1 in komşularına bakarsanız 0/4 , 0/8 ve 0/11 nolu portarının erişim portaları olması gerektiğini görebilirsiniz. 0/4 portu vlan 10 a , 0/8 no lu portu vlan 20 ye, 0/11 no lu portu vlan 30 a dahil edelim.

İlgili portaları ilgili vlan lara atadık ve erişim portları olduğunu belirledik. Henüz birbirleri ile görüşemeyecekler. Çünkü her üç test cihazımızda farklı ağlarda bulunmaktadır. O halde R0’ı yapılandırabiliriz. R0’ın SW0 a bakan fiziksel interface’i üzerinde 3 adet alt interface açacağız ve iplerini daha önce belirlediğimiz gibi vereceğiz. Encapsulation’ı da belirleyeceğiz. Ne tür encapsulation yöntemleri kullanılabileceğini başta belirtmiştik. Burada dot1Q kullanacağız. Yapılandırmaya geçelim.

R0’ın yapılandırması

Görüldüğü gibidir. SW0’da artık R0 a bakan portu trunk’a alabiliriz.

SW0’da R0 a giden taraf ta trunk’a alınmıştır. Artık vlan’larımız birbirleri ile görüşebilir.Burada senaryomuza özel bir durumu açıklamak gerekebilir. Senaryoya bağlı kalarak uygularsanız R0’da vlan’larımızdaki test amaçlı kullandığımız routerlara ping atabilirsiniz buda vlan yapımızın başarılı olduğunu gösterir.Ama test amaçlı kullandığımız R1,R2,R3 den şu halleri ile birbirlerine ping atamazsınız. Çünkü herhangi bir routing protokolü yapılandırmadık!!!

Barış AYDOĞMUŞOĞLU

www.hakanuzuner.com

Cisco : VLAN Temel Konfigurasyonu

İlk makalemizde VLAN Temel Konfigürasyonundan bahsetmiş ve sizlere 2 switch arasındaki VLAN haberleşmesi için gerekli olan konfigürasyonu sunmuştum. Bu yazımda ise 2 veya daha fazla switch arasında VTP domain oluşturulmasını ele alacağım.

 

Kullandıklarım,

 

-          1 adet Layer2 veya Layer3 switch (VTP Server modda çalışacak)

-          4 adet Catalyst 2950 Switch

-          4 adet Server

 

Topolojimi bir bina içerisinde her biri için farklı serverların kullanıldığı 4 farklı Departmanı ele alarak oluşturuyorum.  Yapı itibariyle 5 katlı olan bu binamızda en üst katı sistem odası olarak ayırdım. Geri kalan katların yerleşimine müdürümüz karar verdi böylece 4.kat Muhasebe 3. kat Finans 2. kat Satış 1. kat Güvenlik departmanı olarak belirlendi. Böyle bir yapı için bizden istenen her departmanın kendine ait bir switchi ve kendisine ait bir VLAN’a sahip olması yönündeydi. Bu aşamada içinizi rahatlatacağım, her katta farklı switch ve VLAN’lar olmasına rağmen, siz ileride bir gün her hangibir departmandaki kullanıcıyı farklı departmanın olduğu bir katta çalıştırsanız bile kullanıcının PC’sini o katta bulunan switch üzerinden kendi çalıştığı departmana ait VLAN’a dahil edebilirsiniz. Böylelikle kullanıcı Fiziksel olarak farklı bir departmanda bulunsa bile network kablosu, daha önceki kullandığı VLAN’a dahil olan porta takılı olacağı için çalışmakta olduğu departmandaki kullanıcı PC’lerinden gelen Broadcast paketlerinden etkilenmeyecek hatta bu PC’lere erişemeyecektir. Yani biz istemediğimiz sürece sadece kendi dahil olduğu VLAN içerisinde haberleşecektir.

 

 

 

 

Şimdi konumuza geri dönelim farklı serverların olduğu en üst kattaki sistem odamıza 1 adet 3560 Layer 2 ve diğer tüm katlara Catalyst 2950 24 portluk switch koydum sırasıyla gidecek olursak;

 

I) Sistem odasındaki 3560 L2 switch’in VTP modunun server yapılması, VTP Domain adı ve şifresinin belirlenmesi, departmanlar için VLAN’ların oluşturulması, Switch üzerindeki “diğer switchlere VLAN bilgisini dağıtacak olan” Trunk portunun yapılandırılması.

 

II) Diğer katlardaki 2950 switchlerin VTP modunun Client yapılması, VLAN ve VTP Domain bilgisini iletecek olan trunk portunun yapılandırılması. 

 

 

Şimdi VTP modu server olarak yapılandıracağım. Belli bir düzende gitmek ve karmaşıklığı azaltmak için konfiurasyona en üst kattan başlıyorum.

 

Bildiğimiz gibi standartta tüm switchler server modda gelmektedir bunun için biz 3560 L2 switch dışındaki tüm Catalyst 2950 switchlerin VTP modunu client olarak yapılandıracağımızı unutmayalım.

 

1) 3560 L2 Switch VTP Domain Ayarlarının yapılması,

 

Önce switchimize diğer switchlerin fiziksel bağlantısını yapmadan önce notebook yada bilgisayar ortamından konsol yardımı ile switchimize bağlanıyoruz.  

 

 

Gördüğünüz gibi bir alışkanlık olarak ilk önce hostname komutu ile switch’imize 3560L2 ismini verdim. Şimdi VTP Domain ayarlarına geçelim. Switchimizin adını değiştirdikten sonra kaldığımız yerden devam ediyoruz.

 

3560L2(config)#vtp mode server

Device mode already VTP SERVER.

 

3560L2(config)#vtp domain cozumpark

Changing VTP domain name from NULL to cozumpark

 

3560L2(config)#vtp password cozumpark

Setting device VLAN database password to cozumpark

 

3560L2(config)#wri mem

Building configuration...

[OK]

 

Yukarıda gördüğünüz gibi konfigürasyon modundayken

“vtp mode server” komutu ile switchin VTP modunu server yaptık. Daha sonra

“vtp domain cozumpark” komutu ile switch üzerinde cozumpark domainimizi oluşturduk

“vtp password cozumpark” komutu ile switch üzerinde kurduğumuz cozumpark domainine cozumpark diye parola verdik.

 

Şimdi diğer switchlerin VTP domain ile haberleştirecek olan Trunk portunu belirleyip ve ayarlarını yapalım;

 

3560 L2 switch üzerinde 2 adet Gigabit Ethernet portu mevcut ben hızdan kazanmak için Gigabit Ethernet 0/1 arayüzünü Trunkport olacak şekilde ayarlıyorum. Şimdi;

 

 

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface gigabitEthernet 0/1

3560L2(config-if)#switchport mode trunk

3560L2#(config-if)#description Trunk Porttur

 

Şimdi açıklayarak anlatmak istiyorum Konfigurasyon moda girerek VTP Server modda çalışan switchimizin Trunk yapmasını istediğimiz Gigabit Ethernet 0/1 portunun switchport mode trunk olacak şekilde aynı isimli komutla ayarlamış olduk. Daha sonra description Trunk Porttur diyerek bu porta ait içerik bilgisi yazmış olduk. Bu sayede show running-config komutunu yazdığımızda karşımıza çıkacak olan arayüz listesinde Gigabit Port altında açıklamasını görmüş olacağız.

 

!

interface GigabitEthernet0/1

description Trunk Porttur

switchport mode trunk

!

gibi.

 

Bu kısıma kadar herşey anlaşılır sanırım. Şimdi gelelim 4-3-2 ve 1. katlardaki 2950 switchlerimizin yapılandırılmasına. Bu ayarlar tüm client switchlerimiz için aynı olacaktır.

 

Öncelikle switch’imizi açıyoruz ve

 

Switch>en

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#hostname Muhasebe

Muhasebe(config)#vtp mode client

Setting device to VTP CLIENT mode.

Muhasebe(config)#vtp domain cozumpark

Changing VTP domain name from NULL to cozumpark

Muhasebe(config)#vtp password cozumpark

Setting device VLAN database password to cozumpark

Muhasebe(config)#interface fa0/24

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

Muhasebe(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Muhasebe#wri mem

Building configuration...

[OK]

Muhasebe#

 

Şunu belirtmek istiyorum ilk olarak switch’e bağlanıp hostname komutu ile switchin adını muhasebe olarak değiştirdim. Daha sonra Konfigürasyon modundayken vtp mode client yazarak switchimizi client moda alıyoruz. Client olarak VTP Domainine dahil olmasını istediğimiz bu switchimizi, server switchimize yazdığımız komutların birebir aynısını yazıyoruz. Aslında ben bu aşamayı bluetooth’ta iki telefonun birbirini görmesi için yaptığımız işleme benzetiyorum.

 

Şimdi unutmadan ufak bir işlemimiz kaldı client switchlerde Trunk port iki tane olmak zorunda yani bu konfigürasyonunu yapmış olduğumuz switchin 24. portunu trunk yapmıştık şimdi de 23. portunu da Trunk yapıp diğer client switch ile haberleşebilmesi için yapılandıracağız.

 

Muhasebe(config)#interface fa0/23

Muhasebe(config-if)#switchport mode trunk

Muhasebe(config-if)#description Trunk Porttur

Muhasebe(config-if)#exit

 

Bu yapıda client switch’ler üzerindeki tüm 24. portlar alıcı, 23.Trunk portları ise bir sonraki client switche aktarıcı olarak yapılandırdım.

 

 

 

Yukarıda gördüğünüz yapıyı bir program aracılığı ile çizdim ancak site kuralları gereği ismini vermek istemiyorum. Görüdüğünüz gibi en üst katta, içerisinde 4 adet server ve ana switchimiz olan Cisco 3560’ın bulunduğu sistem odası ve alt katlarda herbirine 5 desktop pcnin bağlı olduğu VTP client modda çalışacak olan Cisco 2950 switchlerimizi yerleştirdim. Kısaca nasıl bağlandıklarından bahsedeyim Server ve Desktop PC’ler standart Category5 veya Category6 kablo ile Switchlerin portlarına bağlanır. Ana switch olan 3560 ile 4.kattaki 2950 switch arasındaki Trunk portlarını cat5 kablo ile birleştirdim isterseniz cross-over kabloyla da bağlayabilirsiniz. Son olarak 4. kat ve 1. kat arasında bulunan tüm 2950 switchler arası cross-over kablo ile bağladım.

 

Evet, şu ana kadar yaptığımız tüm işlemler ile aktif cihazları yani switchleri 1 server ve 4 client switch olacak şekilde VTP domain yapısına aldık. Bu sayede server switch olan 3560 üzerinde VLAN oluşturduğumuzda client olan switchler bundan haberdar olacak ve client switch üzerinde portları VLAN’a atamak dışında bir işlem yapmamıza gerek kalmayacak. Şimdi yapacağımız işlemler bu yapının amacımıza uygun hale getirilmesini sağlayacak.

 

Server switch olan 3560 üzerinde Muhasebe, Finans, Pazarlama ve Güvenlik VLAN’larımızı yaratalım.

 

3560L2>en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#vlan 2

3560L2(config-vlan)#name Muhasebe

3560L2(config-vlan)#exit

3560L2(config)#vlan 3

3560L2(config-vlan)#name Finans

3560L2(config-vlan)#exit

3560L2(config)#vlan 4

3560L2(config-vlan)#name Pazarlama

3560L2(config-vlan)#exit

3560L2(config)#vlan 5

3560L2(config-vlan)#name Guvenlik

3560L2(config-vlan)#exit

3560L2(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

3560L2#wri mem

Building configuration...

[OK]   

 

Şimdi show vlan komutu ile vlan tablomuzu görelim.

 

 

Şimdi artık VTP Domainimiz aktif olduğu için hangi switch’te show vlan yazarsanız yazın bu listeyi aynı şekilde göreceksiniz. Yani 3560 üzerinde yeni bir VLAN yaratılması ve silinmesi durumunda güncel bilgi VTP Domain yoluyla diğer switchlere de aktarılacaktır.

 

Bu yapıda sistem odamızda bulunan serverlarımızı yarattığımız VLAN’ların üyesi yapalım. Serverlarımız networke bağlı olduğu 3560 switch üzerinde olduğu için bu switch üzerinde aşağıdaki işlemleri yapmalıyız,

 

3560L2> en

3560L2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

3560L2(config)#interface fa0/1

3560L2(config-if)#switchport access vlan 2

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/2

3560L2(config-if)#switchport access vlan 3

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/3

3560L2(config-if)#switchport access vlan 4

3560L2(config-if)#no shutdown

3560L2(config-if)#interface fa0/4

3560L2(config-if)#switchport access vlan 5

3560L2(config-if)#no shutdown

3560L2(config-if)# 

 

Gördüğünüz gibi 1 den 4’e kadar olan tüm interface yani arayüzlerin konfigurasyonuna girip iletişimlerini

Arayüz                      VLAN ID

(fa0/1                   ->            VLAN 2) Muhasebe

(fa0/2                   ->            VLAN 3) Finans

(fa0/3                   ->            VLAN 4) Pazarlama

(fa0/4                   ->            VLAN 5) Güvenlik

 

Bu aşamada ana switchimize bağlı olan tüm serverlar kendilerine ait VLAN’ların üyesi oldular.

Tüm serverların DHCP ile IP dağıtacak şekilde konfigure edildiğini farzedin, merak etmeyin artık serverlarınız aynı switche bağlı olmasına rağmen farklı VLAN’lara üye oldukları için DHCP sorgulamaları sadece kendi VLAN’ları içerisinde gerçekleşecektir. Biz istemedikçe farklı VLAN’lar birbirleri ile haberleşmeyeceklerdir.

 

Şimdi en alt kata inerek Güvenlik departmanındaki 1 adet Client PC’mizi 2950 client switchimizin 1.portuna bağlayalım ve Güvenlik VLAN’ı yani VLAN 5’e dahil edelim sonrada VLAN 5’e dahil olan GVN-DC’den IP almasını sağlayalım.

 

Guvenlik>en

Guvenlik#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Guvenlik(config)#interface fa0/1

Guvenlik(config-if)#switchport access vlan 5

Guvenlik(config-if)#no shutdown

Guvenlik(config-if)#exit

Guvenlik(config)#exit

%SYS-5-CONFIG_I: Configured from console by console

Guvenlik#wri mem

Building configuration...

[OK]

Guvenlik#

 

İşte oldu, Güvenlik departmanındaki PC’mizi 2950 Client modda çalışan switchimizin 1. portuna taktık ve sonrasında bu portun ayarlarına girip, switchport access vlan 5 yazarak, bu port üzerine hangi PC’yi takarsak takalım artık bu portun VLAN 5 üzerinden haberleşecek şekilde ayarlamış olduk. Dolayısıyle siz VLAN 5’e dahil olan GVN-DC’niz üzerinde DHCP yapılandırması yaptıysanız ve bu VLAN’a sonradan dahil olacak client pclerin IP konfigurasyonu otomatik alacak şekilde yapılandırıldıysa, GVN-DC üzerinden yani DHCP üzerinden IP almaya başlayacaklardır ve bu durumdan switch üzerinde bulunan diğer VLAN’lar etkilenmeyeceklerdir. Bunun mantığında (Her VLAN kendi kendine broadcast domaindir) sözü yatmaktadır.

 

Arkadaşlar ne yazık ki makalemin sonuna gelmek zorundayım. Konfigurasyonu Tek server switch, tek client switch, tek server, tek client pc yapılandıracak şekilde anlattım. Tüm topolojiyi etkin kullanabilmeniz için client switch yapılandırmasını diğer switchlere de uygulayarak yapabilir ve diğer tüm pc’lerin bağlanacağı switchler üzerindeki ara yüzleri, üyesi yapmak istediğiniz VLAN’lana dahil ederek yapabilirsiniz.

 

Hepinize iyi çalışmalar diyorum.

 

Saygılarımla

www.cozumpark.com


Смотрите также