Ozgur's Blog

Random ramblings of personal nature

Cisco Temel Switch Operasyonları


Giriş

Layer 2 Switchler networkümüzün olmazsa olmaz parçalarından birisi. Bu yazımda bu switchleri nasıl konfigüre edeceğimizi belirtiyor olacağım. Değineceğim konular şöyle olacak:

  • Switch'i dışarıdan ayarlayabilmek için ip ve gateway atanması
  • MDIX ayarları (Cross kablo mu, düz kablo mu acısına son)
  • SSH Ayarlanması
  • Port Security
    • Kullanılmayan portların kapatılması
    • Maksimum makina sayısı belirtme ve güvenlik ihlalinde yapılacak işlem
    • Sticky ve Dinamik port güvenliği

Haydi başlayalım

Switch'e IP atanması

enable  # root/superuser moda geçiş
configure terminal  # global ayarlar
interface vlan 99  # virtual lan arabirimine geçiş
ip address <ip address> <subnet mask> # Switchin ip adresi
no shutdown  # ayağa kaldırış
exit  # bir önceki seviyeye dönüş
ip default-gateway <gateway ipsi>  # dışarıdan erişebilmek için gateway'ın belirtilmesi
end  # bitiriş
wr  # startup-config'e yazılması

MDIX Ayarları

enable
configure terminal
interface <interface>  # burada interface seçilecek
duplex auto  # duplex otomatik seçilsin
speed auto  # hızı da öyle yap
mdix auto  # mdix'te auto olsun, kablo farketmeksizin eğer karşıdaki makina destekliyorsa ona göre tavır al
end  # interface ayarından çıkış
wr  # ayarları sakla

SSH Ayarlanımı

enable
configure terminal
hostname <hostname>  # Makinanın adı olarak kullanılıyor genelde ama hostname işte
ip domain-name <domain adı>  # ssh anahtarı üretmek için gerekli!
crypto key generate rsa  # RSA ile kriptografik anahtar üret
username <username> secret <password>  # kullanıcı adı bu, şifresi şu olsun
line vty 0 16  # konsoldan (virtual teletype) bağlantıların hepsini ayarlamaya geç
transport input ssh   # ssh bağlantısı kullan
login local  # yerel kullanıcı adı / şifre deposunu kullan
ip ssh version 2  # SSH v2.0'ı aktive et
end 

Burada bitirirsek ve SSH ile girersek enable dediğimizde bize şifre soracak ve bulamadığı için superuser olamayacağız, dolayısıyla:

enable
conf t
enable secret <şifre> # enable modu için <şifre>'yi ata

adımlarını da atmamız gerekiyor.

Kullanılmayan Portların Kapatılması

Makina üzerinde kullanılmayan, boşta kalan girişlerin kapatılması güvenlik açısından elzem bir önlemdir. Bunu da:

enable
configure terminal
interface FastEthernet0/4 shutdown  # Tek bir interface kapatmak için
interface range Fa0/0-fa0/22 shutdown  # Birden çok interface kapatmak için

Port Security

Temel Ayarlar - Maksimum şu kadar makina bağlansın

    enable 
    configure terminal 
    interface fa 0/1  # Bu interface için

    # erişimi ACCESS moda al. Access modu, bilgisayarların bağlandığı bir switch ise, TRUNK modu ise switchler birbirine bağlanıyorsa kullanılıyor
    switchport mode access

    # Güvenliği aç! Varsayılan olarak kapalı geliyor
    switchport port-security 

    # Maksimum 3 makina bağlansın!
    switchport port-security maximum 3

Burada varsayılan güvenlik ihlali yanıdı portun kapatılmasıdır (shutdown) bunun haricinde, protect ve restrict opsiyonlarımız da bulunur. Protect 3. makinadan sonra geleni mac tablosuna yazdırmaz, yani paketlerini düşürür. Restrict ise güvenlik ihlali sayısını bir arttırarak protect'in yaptığı işi yapar.

İhlal yanıdı belirtme

enable 
configure terminal 
interface fa 0/1  # Bu interface için

# erişimi ACCESS moda al. Access modu, bilgisayarların bağlandığı bir switch ise, TRUNK modu ise switchler birbirine bağlanıyorsa kullanılıyor
switchport mode access

# Güvenliği aç! Varsayılan olarak kapalı geliyor
switchport port-security 

# Maksimum 3 makina bağlansın!
switchport port-security maximum 3

# Güvenlik ihlali yanıdını seç
switchport port-security violation shutdown   

end
wr

Bir portun güvenlik ayarlarını ise:

show port-security interface fa0/1 

komuduyla görebiliriz.

Güvenlik İhlalli Portu Açma

Bahsettiğim üzere port güvenliğini açıp yanıdı Varsayılan halde bıraktığımızda port ihlal anında kapanır ve otomatik olarak açılmaz. Bu portu açmak için makinaya girip yönetimsel kapama açma işlemini yapmamız gerekir:

enable
configure terminal
interface <kapanan port>
shutdown  # yönetimsel olarak kapat 
no shutdown  # yönetimsel olarak aç

MAC Adreslerini Sınırlama - Sticky kavramı

Son olarak switchimize girecek olan MAC adreslerini önceden yazabilir, veya otomatik olarak algılamasını sağlayabiliriz. Bu noktada kullanılacak sticky opsiyonu ile MAC adreslerinin running config'e yazılarak port kapanıp açılsa bile korunmasını sağlayabiliriz. Dinamik olarak öğrenilen adresler, port kapandığı anda unutulur; sticky halde ise unutulmaz!

Elle MAC Adresi Verme

enable
configure terminal
interface <interface>
switchport mode access  
switchport port-security 
switchport port-security maximum 3
switchport port-security violation shutdown 
switchport port-security mac-address <mac adresi>  # Elle verilen mac adresi yazılır
end

Sticky

enable
configure terminal
interface <interface>
switchport mode access  # OR trunk to access trunk mode. If computers are connected it is an access mode, switch to switch = trunk
switchport port-security  # Open security
switchport port-security maximum 3
switchport port-security violation shutdown 
switchport port-security mac-address sticky  # makinalar mac tablosuna yazıldıkça running config'e de yazılır

Dynamic - Varsayılan

enable
configure terminal
interface <interface>
switchport mode access
switchport port-security
switchport port-security maximum 3
switchport port-security violation shutdown