HP ProCurve 5412zl omurga anahtarları üzerine takılan TMS modüllerinin yedekli (High Avalability) olarak nasıl konfigüre edildiğini aşağıdaki videolarda bulabilirsiniz:
http://www.youtube.com/watch?v=r_SXgtIoKUk
http://www.youtube.com/watch?v=j0OwR5mWr_Q
http://www.youtube.com/watch?v=Cs5eM4Ga1AI
http://www.youtube.com/watch?v=ctSuJ4FGwmM
http://www.youtube.com/watch?v=uWBZGvGc5j8
http://www.youtube.com/watch?v=_bzQ90OLksU
http://www.youtube.com/watch?v=ZpPusf311qQ
Selçuk Şahin
Thursday, October 7, 2010
Wednesday, June 23, 2010
inter-vlan routing
Bu yazımızda "inter-vlan routing" diye bilinen VLAN'ler arası yönlendirmenin nasıl yapıldığını anlatmaya çalışacağız.
Normal şartlarda iki farklı VLAN'e üye olan bilgisayarlar birbirlerine erişemezler.
Birinci Çözüm:
İki farklı VLAN'e üye bilgisayarların birbirlerine erişebilmeleri için VLAN'ler arası yönlendirme yapılması gereklidir. Bu yönlendirmenin yapılabilmesi için de bir yönlendiriciye ihtiyaç vardır. Aşağıdaki şekilde yönlendiricimizin bir fastethernet0/0 portuna VLAN61 ağından bir IP numarası veriyoruz (192.168.61.1). Yönlendiricimizin fastethernet0/1 portuna da VLAN53 ağından bir IP veriyoruz (192.168.53.1). VLAN61 ağında yer alan bilgisayarların varsayılan ağ geçidi (default gateway) değerine de yönlendiricimizin fastethernet IP numaralarını veriyoruz. Yani A bilgisayarının IP numarası 192.168.61.61 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.61.1 veriyoruz. Aynı şekilde C bilgisayarının IP numarası 192.168.53.53 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.53.1 veriyoruz.
Bu durumda VLAN61'e bağlı olan bilgisayarlar, VLAN53'e bağlı olan bilgisayarlarla görüşebileceklerdir.
Bu topoloji geçerli ve çalışan bir topoloji olsa da pratik değildir ve oldukça önemli bir eksiği bulunmaktadır: Örneğin anahtarımıza yeni bir VLAN daha eklemeyi düşünüyor (VLAN99) ve bu VLAN'in de diğer VLAN'lerle görüşmesini istiyorsak, yönlendiricimize bir eternet arayüzü daha eklememiz gerekecektir. Anahtarımıza her yeni VLAN ekleme durumunda da yönlendiricimize bir başka yeni bir arayüz eklememiz gerekecektir. Bu da pratikte pek mümkün değildir. Çünkü yönlendiricilerin eternet arayüzü sayısı fiziksel kısıtlardan dolayı sınırlıdır. Eternet arayüz sayısı fazla olan yönlendiriciler de oldukça pahalıdır. Sırf VLAN'ler arası yönlendirme yapmak için de bu maliyet hiçbir zaman göze alınmaz.
Ayrıca anahtara eklenecek her bir VLAN için anahtarımızdan bir portu da yönlendirici bağlantısı için kaybedeceğiz demektir. Bu da pek verimli bir çözüm değildir.
İkinci Çözüm:
Birinci çözümdeki problemden kurtulabilmek için anhtarda ve yönlendiricide IEEE 802.1q portları kullanılacaktır. Özetle söyleyecek olursak, IEEE 802.1q portları birden fazla VLAN'i geçiren portlar olarak tanımlanabilir. (Bu çözümün anlaşılabilmesi için IEEE 802.1q kavramının iyi bilinmesi gereklidir. Bu kavram bilinmiyorsa ikinci çözüm tam anlaşılmayabilir. ) Anahtarımızın bir portunu IEEE 802.1q portu olarak belirleyip, bu portu yönlendiricimizin eternet portlarından birisine takacağız. Yönlendiricimizin portunu da yine IEEE 802.1q portu olarak belirleyeceğiz ve bu port üzerine de alt arayüzler (subinterface) tanımlayacağız.
Önce anahtar konfigürasyonundan başlayalım. Anahtarımızın üzerinde 24 adet port bulunduğunu varsayıyoruz. Anahtarın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız. Anahtar üzerindeki 1-12 arası portları VLAN61'e, 13-23 arası portları da VLAN53'e dahil edeceğiz. Şekilde de görüleceği gibi anahtarımızın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 23
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface fastethernet 0/24
ANAHTAR(config-if)#switchport mode trunk
Şimdi de yönlendiricimizin konfigürasyonunu yapalım. Aşağıda yine Cisco marka bir yönlendirici için yapılmış konfigürasyon yer almaktadır:
YONLENDIRICI#configure terminal
YONLENDIRICI(config)#interface fastethernet 0/0
YONLENDIRICI(config-if)#no shutdown
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.61
YONLENDIRICI(config-if)#ip address 192.168.61.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 61
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.53
YONLENDIRICI(config-if)#ip address 192.168.53.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 53
Yukarıdaki konfigürasyonlar haricinde VLAN61 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) adreslerinin de doğru olarak girilmesi grekmektedir. VLAN61'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak 192.168.61.1 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da 192.168.53.1 girilmesi gerekmektedir.
Yukarıdaki konfigürasyon çalışıyor olsa da yine ideal bir çözüm değildir. Çünkü VLAN'ler arası yönlendirme yapmak için bir adet yönlendirici satın almak gerekecektir. Bu da ekonomik yönden pratikte pek fazla kullanılmayan bir yöntemdir.
Bundan dolayı; VLAN'ler arası yönlendirme yapılması için bir yönlendirici almak yerine, yönlendirici özelliği olan anahtarlar (Layer 3 switch) tercih edilmektedir. Böylece konfigürasyon olarak daha az karmaşık bir yöntem seçilmiş olunur. Ayrıca bu çözüm daha ekonomiktir.
Üçüncü Çözüm:
En son değineceğimiz ve genellikle de kullanılan çözümde bir adet üçüncü katman anahtara (layer 3 switch) ihtiyacımız vardır. Üçüncü katman anahtar, yönlendirme yapabilen anahtar demektir. Bu çözümde anahtarlama cihazımızda yer alan VLAN'lere birer IP numarası vermemiz gereklidir. IP numarası verdiğimiz bu VLAN'ler, SVI (Switched Virtual Interface) olarak da tanımlanırlar. VLAN'lerde yer alan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da bu VLAN'lere atadığımız IP numaralarını girmemiz gerekecektir. Bu şekilde konfigürasyon yapıldığı takdirde VLAN'ler birbirlerine erişebileceklerdir.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#ip routing
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 24
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface vlan 61
ANAHTAR(config-if)#no shutdown
ANAHTAR(config-if)#ip address 192.168.61.1 255.255.255.0
ANAHTAR(config-if)#exit
ANAHTAR(config)#interface vlan 53
ANAHTAR(config-if)#ip address 192.168.53.1 255.255.255.0
ANAHTAR(config-if)#exit
Elimizde yönlendirme yeteneği olan bir anahtar bulunduğu takdirde herhangi bir yönlendiriciye ihtiyaç duymadan yukarıdaki konfigürasyon ile VLAN'ler arası yönlendirme yapılabilecektir.
Selçuk Şahin
Normal şartlarda iki farklı VLAN'e üye olan bilgisayarlar birbirlerine erişemezler.
Birinci Çözüm:
İki farklı VLAN'e üye bilgisayarların birbirlerine erişebilmeleri için VLAN'ler arası yönlendirme yapılması gereklidir. Bu yönlendirmenin yapılabilmesi için de bir yönlendiriciye ihtiyaç vardır. Aşağıdaki şekilde yönlendiricimizin bir fastethernet0/0 portuna VLAN61 ağından bir IP numarası veriyoruz (192.168.61.1). Yönlendiricimizin fastethernet0/1 portuna da VLAN53 ağından bir IP veriyoruz (192.168.53.1). VLAN61 ağında yer alan bilgisayarların varsayılan ağ geçidi (default gateway) değerine de yönlendiricimizin fastethernet IP numaralarını veriyoruz. Yani A bilgisayarının IP numarası 192.168.61.61 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.61.1 veriyoruz. Aynı şekilde C bilgisayarının IP numarası 192.168.53.53 ve maskesi 255.255.255.0 olurken, varsayılan ağ geçidine de 192.168.53.1 veriyoruz.
Bu durumda VLAN61'e bağlı olan bilgisayarlar, VLAN53'e bağlı olan bilgisayarlarla görüşebileceklerdir.
Bu topoloji geçerli ve çalışan bir topoloji olsa da pratik değildir ve oldukça önemli bir eksiği bulunmaktadır: Örneğin anahtarımıza yeni bir VLAN daha eklemeyi düşünüyor (VLAN99) ve bu VLAN'in de diğer VLAN'lerle görüşmesini istiyorsak, yönlendiricimize bir eternet arayüzü daha eklememiz gerekecektir. Anahtarımıza her yeni VLAN ekleme durumunda da yönlendiricimize bir başka yeni bir arayüz eklememiz gerekecektir. Bu da pratikte pek mümkün değildir. Çünkü yönlendiricilerin eternet arayüzü sayısı fiziksel kısıtlardan dolayı sınırlıdır. Eternet arayüz sayısı fazla olan yönlendiriciler de oldukça pahalıdır. Sırf VLAN'ler arası yönlendirme yapmak için de bu maliyet hiçbir zaman göze alınmaz.
Ayrıca anahtara eklenecek her bir VLAN için anahtarımızdan bir portu da yönlendirici bağlantısı için kaybedeceğiz demektir. Bu da pek verimli bir çözüm değildir.
İkinci Çözüm:
Birinci çözümdeki problemden kurtulabilmek için anhtarda ve yönlendiricide IEEE 802.1q portları kullanılacaktır. Özetle söyleyecek olursak, IEEE 802.1q portları birden fazla VLAN'i geçiren portlar olarak tanımlanabilir. (Bu çözümün anlaşılabilmesi için IEEE 802.1q kavramının iyi bilinmesi gereklidir. Bu kavram bilinmiyorsa ikinci çözüm tam anlaşılmayabilir. ) Anahtarımızın bir portunu IEEE 802.1q portu olarak belirleyip, bu portu yönlendiricimizin eternet portlarından birisine takacağız. Yönlendiricimizin portunu da yine IEEE 802.1q portu olarak belirleyeceğiz ve bu port üzerine de alt arayüzler (subinterface) tanımlayacağız.
Önce anahtar konfigürasyonundan başlayalım. Anahtarımızın üzerinde 24 adet port bulunduğunu varsayıyoruz. Anahtarın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız. Anahtar üzerindeki 1-12 arası portları VLAN61'e, 13-23 arası portları da VLAN53'e dahil edeceğiz. Şekilde de görüleceği gibi anahtarımızın 24 numaralı portunu IEEE 802.1q portu olarak tanımlayacağız.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 23
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface fastethernet 0/24
ANAHTAR(config-if)#switchport mode trunk
Şimdi de yönlendiricimizin konfigürasyonunu yapalım. Aşağıda yine Cisco marka bir yönlendirici için yapılmış konfigürasyon yer almaktadır:
YONLENDIRICI#configure terminal
YONLENDIRICI(config)#interface fastethernet 0/0
YONLENDIRICI(config-if)#no shutdown
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.61
YONLENDIRICI(config-if)#ip address 192.168.61.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 61
YONLENDIRICI(config-if)#exit
YONLENDIRICI(config)#interface fastethernet 0/0.53
YONLENDIRICI(config-if)#ip address 192.168.53.1 255.255.255.0
YONLENDIRICI(config-if)#encapsulation dot1q 53
Yukarıdaki konfigürasyonlar haricinde VLAN61 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) adreslerinin de doğru olarak girilmesi grekmektedir. VLAN61'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak 192.168.61.1 ve VLAN53'e bağlı olan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da 192.168.53.1 girilmesi gerekmektedir.
Yukarıdaki konfigürasyon çalışıyor olsa da yine ideal bir çözüm değildir. Çünkü VLAN'ler arası yönlendirme yapmak için bir adet yönlendirici satın almak gerekecektir. Bu da ekonomik yönden pratikte pek fazla kullanılmayan bir yöntemdir.
Bundan dolayı; VLAN'ler arası yönlendirme yapılması için bir yönlendirici almak yerine, yönlendirici özelliği olan anahtarlar (Layer 3 switch) tercih edilmektedir. Böylece konfigürasyon olarak daha az karmaşık bir yöntem seçilmiş olunur. Ayrıca bu çözüm daha ekonomiktir.
Üçüncü Çözüm:
En son değineceğimiz ve genellikle de kullanılan çözümde bir adet üçüncü katman anahtara (layer 3 switch) ihtiyacımız vardır. Üçüncü katman anahtar, yönlendirme yapabilen anahtar demektir. Bu çözümde anahtarlama cihazımızda yer alan VLAN'lere birer IP numarası vermemiz gereklidir. IP numarası verdiğimiz bu VLAN'ler, SVI (Switched Virtual Interface) olarak da tanımlanırlar. VLAN'lerde yer alan bilgisayarların varsayılan ağ geçidi (default gateway) olarak da bu VLAN'lere atadığımız IP numaralarını girmemiz gerekecektir. Bu şekilde konfigürasyon yapıldığı takdirde VLAN'ler birbirlerine erişebileceklerdir.
Aşağıda Cisco marka bir anahtar için konfigürasyon yer almaktadır:
ANAHTAR#configure terminal
ANAHTAR(config)#ip routing
ANAHTAR(config)#interface range fastethernet 0/1 - 12
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 61
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface range fastethernet 0/13 - 24
ANAHTAR(config-if-range)#switchport mode access
ANAHTAR(config-if-range)#switchport access vlan 53
ANAHTAR(config-if-range)#exit
ANAHTAR(config)#interface vlan 61
ANAHTAR(config-if)#no shutdown
ANAHTAR(config-if)#ip address 192.168.61.1 255.255.255.0
ANAHTAR(config-if)#exit
ANAHTAR(config)#interface vlan 53
ANAHTAR(config-if)#ip address 192.168.53.1 255.255.255.0
ANAHTAR(config-if)#exit
Elimizde yönlendirme yeteneği olan bir anahtar bulunduğu takdirde herhangi bir yönlendiriciye ihtiyaç duymadan yukarıdaki konfigürasyon ile VLAN'ler arası yönlendirme yapılabilecektir.
Selçuk Şahin
Monday, June 7, 2010
HP ProCurve Anahtarlari İçin "port mirroring" Yapılması
Selamlar,
Bu yazımızda HP ProCurve marka anahtarlama cihazlarında "port mirroring" konfigürasyonunun nasıl yapılacağını anlatacağız.
HP ProCurve marka anahtarlama cihazlarında "port mirroring" ayarı yapmak çok basittir. Aşağıdaki konfigürasyon, HP ProCurve 2848 anahtarlama cihazı için yaplmıştır.
Önce trafiklerini aynalayacağımız (mirroring) portları belirlememiz gerekiyor. Bizim kullandığımız anahtarlama cihazında toplam 48 adet port var ve biz bu portlardan ilk 20 tanesini (1-20), 48 numaralı porta aynalayacağız. Yani ilk 20 porttan geçen trafik, 48 numaralı porta yönlendirilecektir:
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#interface 1-20
ANAHTAR(config-1-20)#monitor
Yukarıda yapılan şey, aynalama (mirroring) yapılacak olan portların içerisinde girip "monitor" komutunu yazmaktan ibarettir.
Bundan sonra yapılacak tanım 1-20 arasındaki portların hangi porta ya da portlara yönlendirileceğidir (mirroring):
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#mirror-port ethernet 48
Yukarıdaki basit konfigürasyon adımlarıyla anahtarlama cihazının üzerindeki 1-20 portları, 48 numaralı porta yönlendirmiş (mirroring) oluyoruz.
Bu yazımızda HP ProCurve marka anahtarlama cihazlarında "port mirroring" konfigürasyonunun nasıl yapılacağını anlatacağız.
HP ProCurve marka anahtarlama cihazlarında "port mirroring" ayarı yapmak çok basittir. Aşağıdaki konfigürasyon, HP ProCurve 2848 anahtarlama cihazı için yaplmıştır.
Önce trafiklerini aynalayacağımız (mirroring) portları belirlememiz gerekiyor. Bizim kullandığımız anahtarlama cihazında toplam 48 adet port var ve biz bu portlardan ilk 20 tanesini (1-20), 48 numaralı porta aynalayacağız. Yani ilk 20 porttan geçen trafik, 48 numaralı porta yönlendirilecektir:
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#interface 1-20
ANAHTAR(config-1-20)#monitor
Yukarıda yapılan şey, aynalama (mirroring) yapılacak olan portların içerisinde girip "monitor" komutunu yazmaktan ibarettir.
Bundan sonra yapılacak tanım 1-20 arasındaki portların hangi porta ya da portlara yönlendirileceğidir (mirroring):
ANAHTAR>enable
ANAHTAR#configure terminal
ANAHTAR(config)#mirror-port ethernet 48
Yukarıdaki basit konfigürasyon adımlarıyla anahtarlama cihazının üzerindeki 1-20 portları, 48 numaralı porta yönlendirmiş (mirroring) oluyoruz.
Monday, December 14, 2009
Dinamik NAT Konfigürasyonu
Bu yazımızda Cisco marka bir yönlendiricide dinamik NAT (Network Address Translation) ayarının nasıl yapıldığını göstermeye çalışacağız. Topolojimiz aşağıdaki gibi. ANKARA yönlendiricisine bağlı NAT yapacağımız iki adet ağımız var: 192.168.1.0/24 ağı ve 192.168.2.0/24 ağı. Amacımız; bu iki ağa ait olan IP adreslerini 171.69.238.208/28 ağına ait olan IP adreslerine dönüştürmek ve TRABZON yönlendiricisine bağlı olan 194.99.2.0/24 ve 192.11.33.0/24 ağlarına eriştirebilmek.
İlk olarak NAT yapılacak IP adres bloklarını belirlememiz gerekiyor. Bunun için yönlendiricimizin konfigürasyonuna aşağıdaki gibi bir erişim kontrol listesi girmemiz gerekiyor:
Router(config)#access-list 61 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 61 permit 192.168.2.0 0.0.0.255
Yukarıdaki 61 numaralı erişim kontrol listesine yazılmış olan IP adres bloklarına NAT uygulanacaktır.
Bundan sonra adres dönüşümlerinin yapılacağı adres havuzunun yönlendiricinin konfigürasyonunda aşağıdaki gibi belirtilmesi gerekiyor:
Router(config)#ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.221 netmask 255.255.255.240
Yukarıdaki konfigürasyon satırında adres dönüşümlerinin yapılacağı IP adresi havuzunun ismi, "IP-HAVUZU" olarak belirtilmiştir. Sonra dönüşüm yapılacak adreslerin başlangıç ve bitiş IP adresleri belirtilmiştir. Yukarıdaki örnek için adres havuzunda bulunacak olan başlangıç IP adresi 171.69.233.210 ve bitiş IP adresi de 171.69.233.221 olarak belirtilmiştir.
Bundan sonra adres dönüşümü yapacağımız IP adreslerini IP adres havuzumuzla aşağıdaki gibi eşleştirmek olacaktır:
Router(config)#ip nat inside source list 61 pool IP-HAVUZU
Yukarıdaki konfigürasyon satırında söylenmek istenen şudur: 61 numaralı erişim kontrol listesine uyan IP paketleri "IP-HAVUZU" adı verilen IP havuzundan IP adres alacaktır. Yani 192.168.1.0/24 ve 192.168.2.0/24 IP adres blokları 171.69.233.210 ile 171.69.233.221 IP adres aralığında yer alan IP adreslerine dönüştürülecektir.
Bundan sonra yapılacak iş, arayüzlerin hangisinin "iç", hangisinin "dış" olduğunun belirlenmesidir. Toplojimize göre ANKARA yönlendiricisi üzerindeki 192.168.1.0/24 (FastEthernet 0/0) ve 192.168.2.0/24 (FastEthernet 0/1) ağları "iç ağ (inside)" ve dönüşüm yapılacak olan 171.69.233.208/28 (FastEthernet 0/2) ağı da "dış ağ (outside)" olacaktır. Aşağıda, yönlendiricide olması gereken arayüz ayarları gösterilmiştir:
ANKARA
!
interface FastEthernet 0/0
ip address 192.168.1.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/1
ip address 192.168.2.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/2
ip address 171.69.233.209 255.255.255.240
ip nat outside
192.168.1.0/24 ve 192.168.2.0/24 ağlarının 194.99.2.0/24 ve 192.11.33.0/24 ağlarına NAT yapılmış olarak erişebilmeleri için ANKARA yönlendiricisinde bu ağlar için aşağıdaki gibi yön girilmesi gerekir:
Router(config)#ip route 194.99.2.0 255.255.255.0 171.69.233.222
Router(config)#ip route 192.11.33.0 255.255.255.0 171.69.233.222
192.168.1.101 ve 192.168.2.101 IP numaralı bilgisayarlardan 194.99.2.101 ve 192.11.33.101 IP numaralı bilgisayarlara "ping" atıldığında bu ağların birbirleriyle görüşebildiği görülecektir.
ANKARA ve TRABZON yönlendiricilerinin NAT ve buna bağlı yönlendirme konfigürasyonları aşağıdaki gibi olacaktır:
ANKARA Yönlendiricisi
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
!
interface FastEthernet1/0
ip address 171.69.233.210 255.255.255.240
ip nat outside
!
ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.223 netmask 255.255.255.240
ip nat inside source list 61 pool IP-HAVUZU
!
ip route 194.99.2.0 255.255.255.0 171.69.233.222
ip route 192.11.33.0 255.255.255.0 171.69.233.222
!
access-list 61 permit 192.168.1.0 0.0.0.255
access-list 61 permit 192.168.2.0 0.0.0.255
****************************************************
TRABZON Yönlendiricisi
interface FastEthernet0/0
ip address 194.99.2.254 255.255.255.0
!
interface FastEthernet0/1
ip address 192.11.33.254 255.255.255.0
!
interface FastEthernet1/0
ip address 171.69.233.222 255.255.255.240
Not: Yukarıdaki toplojiye ait konfigürasyonlar "Packet Tracer 5.1" yazılımı üzerinde denenip, çalıştırılmış konfigürasyonlardır.
İlk olarak NAT yapılacak IP adres bloklarını belirlememiz gerekiyor. Bunun için yönlendiricimizin konfigürasyonuna aşağıdaki gibi bir erişim kontrol listesi girmemiz gerekiyor:Router(config)#access-list 61 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 61 permit 192.168.2.0 0.0.0.255
Yukarıdaki 61 numaralı erişim kontrol listesine yazılmış olan IP adres bloklarına NAT uygulanacaktır.
Bundan sonra adres dönüşümlerinin yapılacağı adres havuzunun yönlendiricinin konfigürasyonunda aşağıdaki gibi belirtilmesi gerekiyor:
Router(config)#ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.221 netmask 255.255.255.240
Yukarıdaki konfigürasyon satırında adres dönüşümlerinin yapılacağı IP adresi havuzunun ismi, "IP-HAVUZU" olarak belirtilmiştir. Sonra dönüşüm yapılacak adreslerin başlangıç ve bitiş IP adresleri belirtilmiştir. Yukarıdaki örnek için adres havuzunda bulunacak olan başlangıç IP adresi 171.69.233.210 ve bitiş IP adresi de 171.69.233.221 olarak belirtilmiştir.
Bundan sonra adres dönüşümü yapacağımız IP adreslerini IP adres havuzumuzla aşağıdaki gibi eşleştirmek olacaktır:
Router(config)#ip nat inside source list 61 pool IP-HAVUZU
Yukarıdaki konfigürasyon satırında söylenmek istenen şudur: 61 numaralı erişim kontrol listesine uyan IP paketleri "IP-HAVUZU" adı verilen IP havuzundan IP adres alacaktır. Yani 192.168.1.0/24 ve 192.168.2.0/24 IP adres blokları 171.69.233.210 ile 171.69.233.221 IP adres aralığında yer alan IP adreslerine dönüştürülecektir.
Bundan sonra yapılacak iş, arayüzlerin hangisinin "iç", hangisinin "dış" olduğunun belirlenmesidir. Toplojimize göre ANKARA yönlendiricisi üzerindeki 192.168.1.0/24 (FastEthernet 0/0) ve 192.168.2.0/24 (FastEthernet 0/1) ağları "iç ağ (inside)" ve dönüşüm yapılacak olan 171.69.233.208/28 (FastEthernet 0/2) ağı da "dış ağ (outside)" olacaktır. Aşağıda, yönlendiricide olması gereken arayüz ayarları gösterilmiştir:
ANKARA
!
interface FastEthernet 0/0
ip address 192.168.1.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/1
ip address 192.168.2.111 255.255.255.0
ip nat inside
!
interface FastEthernet 0/2
ip address 171.69.233.209 255.255.255.240
ip nat outside
192.168.1.0/24 ve 192.168.2.0/24 ağlarının 194.99.2.0/24 ve 192.11.33.0/24 ağlarına NAT yapılmış olarak erişebilmeleri için ANKARA yönlendiricisinde bu ağlar için aşağıdaki gibi yön girilmesi gerekir:
Router(config)#ip route 194.99.2.0 255.255.255.0 171.69.233.222
Router(config)#ip route 192.11.33.0 255.255.255.0 171.69.233.222
192.168.1.101 ve 192.168.2.101 IP numaralı bilgisayarlardan 194.99.2.101 ve 192.11.33.101 IP numaralı bilgisayarlara "ping" atıldığında bu ağların birbirleriyle görüşebildiği görülecektir.
ANKARA ve TRABZON yönlendiricilerinin NAT ve buna bağlı yönlendirme konfigürasyonları aşağıdaki gibi olacaktır:
ANKARA Yönlendiricisi
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 192.168.2.254 255.255.255.0
ip nat inside
!
interface FastEthernet1/0
ip address 171.69.233.210 255.255.255.240
ip nat outside
!
ip nat pool IP-HAVUZU 171.69.233.210 171.69.233.223 netmask 255.255.255.240
ip nat inside source list 61 pool IP-HAVUZU
!
ip route 194.99.2.0 255.255.255.0 171.69.233.222
ip route 192.11.33.0 255.255.255.0 171.69.233.222
!
access-list 61 permit 192.168.1.0 0.0.0.255
access-list 61 permit 192.168.2.0 0.0.0.255
****************************************************
TRABZON Yönlendiricisi
interface FastEthernet0/0
ip address 194.99.2.254 255.255.255.0
!
interface FastEthernet0/1
ip address 192.11.33.254 255.255.255.0
!
interface FastEthernet1/0
ip address 171.69.233.222 255.255.255.240
Not: Yukarıdaki toplojiye ait konfigürasyonlar "Packet Tracer 5.1" yazılımı üzerinde denenip, çalıştırılmış konfigürasyonlardır.
Friday, September 11, 2009
SNMP ile Cisco Yönlendiricinin Konfigürasyonunu Almak
Bu yazımızda, SNMP ile Cisco marka bir yönlendiricinin konfigürasyonunun uzaktan nasıl alındığını anlatmaya çalışacağız. Topolojimiz aşağıdaki gibi: Bir adet TFTP sunucumuz var, bir adet Cisco yönlendiricimiz var ve bir de komutları konsolundan yazdığımız LINUX CentOS işletim sistemine sahip bir bilgisayarımız var.
Şimdi LINUX CentOS işletim sistemi yüklü bilgisayardan yazacağımız komutlarla hedef yönlendiricinin konfigürasyonunu almaya çalışacağız. Bunun için bir "Perl script"i kullanacağız. "script"imizin adı copy-router-config.pl
Yönlendiricinin işletim sistemini aktarmayı planladığımız Windows XP işletim sistemi yüklü bilgisayarın üzerinde TFTP sunucu servisinin çalışıyor olması gereklidir. Yönlendiricinin konfigürasyonu TFTP ile alınacağı için bu gereklidir.
"script"in kullanımı aşağıdaki gibidir:
./copy-router-config.pl
Göstermeyi planladığımız örnekte yönlendiricimizin IP adresi 192.168.2.222, TFTP sunucumuzun IP adresi de 192.168.2.111 olarak belirlenmiştir. Yönlendiricinin SNMP "community name" değeri de "public"tir.
Aşağıdaki komutu yazdıktan sonra, yönlendiricinin konfigürasyonu TFTP sunucusuna aktarılmış olacaktır.
[root@SSS]#./copy-router-config.pl 192.168.2.222 192.168.2.111 public
"SNMP community" değeri üretilen tüm ağ cihazlarında "public" olarak gelmektedir. "SNMP community" değeri "public" olan Cisco yönşendiriclerin konfigürasyonlarını almak yukarıda da görülebilecği gibi oldukça basittir. Bu nedenle varsayılan değeri "public" olan bu değerin başka ve daha karmaışk bir değerler değiştirilmesi gerekmektedir.
Selçuk Şahin
Şimdi LINUX CentOS işletim sistemi yüklü bilgisayardan yazacağımız komutlarla hedef yönlendiricinin konfigürasyonunu almaya çalışacağız. Bunun için bir "Perl script"i kullanacağız. "script"imizin adı copy-router-config.plYönlendiricinin işletim sistemini aktarmayı planladığımız Windows XP işletim sistemi yüklü bilgisayarın üzerinde TFTP sunucu servisinin çalışıyor olması gereklidir. Yönlendiricinin konfigürasyonu TFTP ile alınacağı için bu gereklidir.
"script"in kullanımı aşağıdaki gibidir:
./copy-router-config.pl
Göstermeyi planladığımız örnekte yönlendiricimizin IP adresi 192.168.2.222, TFTP sunucumuzun IP adresi de 192.168.2.111 olarak belirlenmiştir. Yönlendiricinin SNMP "community name" değeri de "public"tir.
Aşağıdaki komutu yazdıktan sonra, yönlendiricinin konfigürasyonu TFTP sunucusuna aktarılmış olacaktır.
[root@SSS]#./copy-router-config.pl 192.168.2.222 192.168.2.111 public
"SNMP community" değeri üretilen tüm ağ cihazlarında "public" olarak gelmektedir. "SNMP community" değeri "public" olan Cisco yönşendiriclerin konfigürasyonlarını almak yukarıda da görülebilecği gibi oldukça basittir. Bu nedenle varsayılan değeri "public" olan bu değerin başka ve daha karmaışk bir değerler değiştirilmesi gerekmektedir.
Selçuk Şahin
Subscribe to:
Comments (Atom)