Temel Network - Nodrm

I
TEMEL
NETWORK
Sinan Balcı
Yayın Dağıtım Yazılım ve Eğitim

Hizmetleri San. ve Tic. Ltd. Şti.
®
II KODLAB 229
TEMEL NETWORK
SİNAN BALCI
ISBN 978-605-2118-31-3
Yayıncılık Sertifika No: 13206
1. Baskı: Şubat 2019
Yayına Hazırlık
Hüseyin Üstünel
Merve Nur Şengül
Grafik Tasarım
Mustafa Said Şahin
Sosyal Medya Sorumlusu

Mahmut İpek
Satış ve Pazarlama
Can Üstünel
Yavuz Şengönül
Baskı: İnkılâp Kitabevi Yayın San. Tic. A.Ş. Tel: (0212) 496 11 81
Çobançeşme Mah. Sanayi Cad. Altay Sk. No:8 Yenibosna/İSTANBUL
Sertifika No: 10614
Bu kitabın bütün yayın hakları Kodlab Yayın Dağıtım Yazılım ve Eğitim Hizmetleri
San. ve Tic. Ltd. Şti.’ne aittir. Yayınevimizin yazılı izni olmaksızın kısmen veya
tamamen alıntı yapılamaz, kopya çekilemez, çoğaltılamaz ve yayınlanamaz.
KODLAB Yayın Dağıtım Yazılım ve Eğitim Hizmetleri San. ve Tic. Ltd. Şti.
Merkezefendi Mah. Mevlana Cad. Tercüman Sit. B2 Blok K:6 D:26 Zeytinburnu / İSTANBUL
tel: 0(212) 514 55 66 web: www.kodlab.com

0(212) 514 66 61 e-posta: bilgi@kodlab.com
III
Sinan Balcı
IT dünyasına Commodore 64, Amstrad, 5 çeyrek disketlerin zamanında giren yazarımız 1993 yılında
Hacettepe Üniversitesi İstatistik, 1995 yılında da Marmara Üniversitesi Eğitim Bilimleri Pedagojik
Formasyon bölümlerini tamamladı. 6 yıl Türk Telekom’un ağ güvenliği ekibinde kıdemli uzman
/ takım lideri olarak görev yaptıkran sonra özel bir IT firmasında da Sistem Yöneticiliği ve Proje
Grubu Müdürlüğü yapmıştır. 1995 yılından günümüze IT alanında çeşitli seviyelerde eğitimler
vermiş, 2003 yılından sonra da Microsoft Ağ ve Sistem eğitimleri ve Cisco CNNA, CCNP eğitimleri
vermektedir. Yazarımız İngilizce ve Rusça bilmektedir.
IT sektörünün birçok alanında proje yapmış olan yazarımız, ağ güvenliği konusunda uzmandır.
Özel ilgi alanı günümüzün gelişen trendi IOT (Nesnelerin İnterneti) ‘dir. Aynı zamanda maceracı bir
seyyah olup, 43 ülke gezmiş ve hala da gezmektedir.
IV
V
ÖNSÖZ
Değerli arkadaşım,
Ağlarla uğraşmak zordur. Her babayiğidin harcı değildir, incelikleri vardır. Dikkat edilmezse
sorunlar büyür, büyür ve sistemi durduracak konuma gelebilir. Bu kitapta 25 yılı aşkın
tecrübelerimi sizinle olabildiğince paylaşmaya çalıştım. Şüphesiz her şey kelimelere
sığamıyor ama yine de tüm detayları olabildiğince yazıya döktüm. Talip olduğunuz,
ilgilendiğiniz ağlarla uğraşmak işini yalnızca okuyarak öğrenemezsiniz. Defalarca
uygulamasını da yapmalısınız. Kitapta adım adım anlatılan uygulamaları yazılanın aynısını
yaparak yapmak da marifet değildir. Kitaptaki örneklere yeni router’ler, switch’ler, sunucular
ekleyerek büyüterek, kendiniz kendi büyük örneklerinizi yapmalısınız.
Uygulamaları yapmak için çok kullanılan 2 simülasyon programı bulunmaktadır. Bir

tanesi Packet Tracer, diğeri de GNS3’tür. Packet Tracer programı Cisco’nun resmi eğitim
programıdır ve ücretsizdir. www.netacad.com adresinde üye olup, indirebilirsiniz.
GNS3 programı ise daha kapsamlı olup farklı cihazları (Firewall vs.) da desteklemektedir.
www.gns3.com adresinden ücretsiz inderebilirsiniz. GNS3 programı Packet Tracer’den çok
daha fazla komutu da destekler.
Kesinlikle şunu söylemeliyim ki, doğru yoldasınız. Ağlarla uğraşmak zevklidir de. Elbette
karşınıza çok zor çözülen sorunlar da çıkacaktır. Bu sorunları çözmek de size ayrıcalık sağlar.
Uygulamalarda ve hayatta kesinlikle sorunları çözmeden bırakmayın, vazgeçmeyin, hırslı
olun.
Size bu güzel yolda biraz da olsa yararlı olabilirsem ne mutlu bana 

Sinan BALCI
VI
TEŞ EKKÜR
Kitap ile alakalı teşekkür borçlu olduğum çok kişi var. Öncelikle kitabın yazılması
konusunda istek ve teşvikleri için Şemsettin Cankurtaran bey’e, yıllarca tüm network
projelerinde bana destek olan, tecrüberim de büyük katkı sahibi sayın Mehmet Güneş
bey’e, kitabın dizgi ve basımında yardımcı olan başta Barış Elitoğ ve tüm Kodlab ekibine,
beni sadece kitap yazımında değil tüm hayatım boyunca destekleyen, yanımda olan
eşim Melahat, kızlarım; Merve, Rümeysa ve Beyza BALCI’ya, canım annem Naciye
BALCI’ya, can dostum Ali KILIÇ’a içten teşekkürlerimi bir borç bilirim.
Sinan BALCI
İÇİNDEKİLER VII
İÇİNDEKİLER
1 NETWORK KABLO VE CIHAZLAR 1

Kablolar 1
Bakır Kablolar 1
Cat5 Türü Kablolar 1
Fiber Kablolar 3
Fiber Kablo renkleri 6
Fiber Patch Kablosu çeşitleri 6
Switches (Anahtarlar) 9
Unmanaged (Yönetilmez) Switch’ler 9
Web Managed / Smart (Web yönetilebilir ya da yarı yönetilebilir) Switch’ler 9
Managed (Yönetilebilir) Switch’ler 10
Industrial (Endüstriyel) 12
Ethernet Switches 12
POE (Power Over Ethernet) Switches 13
Routers 13
Access Points 14
IP Cameras 15
IP Telephones 15
Video Conference Systems 16
UTM (Unified Threat Management) Cihazı 17
2 BİR NETWORK OLUŞTURMAK 19

Network Tanımı 19
Network Hızı 19
Network Topolojileri 21
Fiziksel Topoloji 21
VIII TEMEL NETWORK
Bus Topology 21
Ring Topology 23
Star Topology 24
Mesh Topology 26
Bir Network Yöneticisinin Bilmesi Gereken Komutlar 27
Ping 27
Extended Ping 29
ARP 29
Tracert (Traceroute) 30
3 NETWORK KATMANLARI 33
Katmanlı Yaklaşım 33
OSI Modeli 33
Katmanlar (Layer) 34
OSI Modeline Göre Network Katmanları 35
Katmanlar Arasındaki İlişki 36
Application (Uygulama) Katmanı 37
Presentation (Sunuş) Katmanı 37
Session (Oturum) Katmanı 37
Transport (Taşıma) Katmanı 38
Connection-Oriented (Bağlantı-Temelli) Protokoller 38
Network Katmanı 39
Data Link (Veri Hattı) Katmanı 39
IEEE Standartlarına Göre Data Link Katmanı 40
Data Link Katmanındaki Switch ve Bridge’ler 40
Physical (Fiziksel) Katman 41
Network İletişiminde Paketlerin Yapısı 41
Cisco’nun Üç Katmanlı Hiyerarşik Modeli 43
Core Layer 44
Distribution Layer 44
Access Layer 44
İÇİNDEKİLER IX
Network Aygıtları Arasında Kablolama 45

Ethernet Bağlantıları 45
RJ-45 UTP Bağlantıları 45
Console Bağlantıları 47
Broadcast ve Collision Domain 47
Network Cihazlarının Tespiti 50
CDP Protokolü 50
Güncel CCNA Sınav Sorularından Örnekler 51
4 IPV4 - SUBNETTING 59
IP Sınıfları 66
LoopBack Adres 66
Apipa Adres 67
Zihinden Subnet’leme 73
VLSM (Variable Length Subnet Masking) 76
Classfull - Classless IP Adresleri 78
Broadcast, Multicast, Unicast 79
3 Way Handshake 80
5 IOS - (INTER-NETWORKING OPERATING SYSTEM) 87

IOS Modları 90
User Exec Mode (Router>) 90
Privileged Exec Mode (Router#) 91
Global Configuration 91
Mode (Router(config)#) 91
Interface Configuration 91
Mode (Router(if-config)#) 91
Router Confıguration 92
Mode (Router(config-router)#) 92
Line Configuration 92
Mode (Router(config-line)#) 92
X TEMEL NETWORK
Komut Hataları 92
% Incomplete command 92
% Ambiguous command 92
% Invalid input detected at ‘^’ marker 92
Translating ... 93
Temel CISCO IOS Komutları 93
Interface Komutları 98
Router’ler İçin Interface’lere IP Verme, Açıklama Girme 98
Switch’ler için VLan Interface’lere IP verme 99
Erişim Tanımlama Komutları 100
Telnet erişimi 100
SSH (Secure Shell) Erişimi 101
Console erişimi 102
Web Erişimi 103
Router Şifresini Sıfırlama /Kırma 104
Router - Switch’lerin IOS ve Konfigürasyon Yedeklerinin Alınması 104
Çok Kullanılan Komutların Özeti 111
6 ROUTER 115
Static Routing 118
Default Route 120
Dynamic Routing 121
RIP (Routıng Information Protocol) 121
RIP Versiyon 1 Özellikleri 122
RIP Version 1 konfigürasyonu 122
RIP Versiyon 2 Özellikleri 123
RIP Version 2 Konfigurasyonu 123
Passive - Interface 124
Sorun Giderme ve Takip İçin Ripv2 Authentication 124
Rip v2 Uygulama 125
İÇİNDEKİLER XI
Administrative Distance Değerleri 129

IGRP (Interior Gateway Routing Protocol) 129
IGRP’nin Özellikleri 130
IGRP konfigurasyonu 130
EIGRP (Enhanced Interior Gateway Routing Protocol) 130
EIGRP’nin Özellikleri 131
EIGRP Paket Türleri 132
EIGRP Update Örnek 133
EIGRP Konfigürasyonu 133
Sorun giderme komutları 134
EIGRP Örnek Uygulaması 134
OSPF (Open Shortest Path First) 137
OSPF’in Özellikleri 137
OSPF Hello Paketı İçeriği 138
OSPF Konfigürasyonu 138
OSPF Çalışma Adımları 139
OSPF Authentication 139
OSPF Sorun Giderme komutları 139
Routıng İle İlgili Dikkat Edilmesi Gereken Uyarılar 140
OSPF Örnek Uygulama 140
BGP (Border Gateway Protocol) 146
BGP’nin özellikleri 146
EBGP (Exterior Border Gateway Protocol) 146
IBGP (Interior Border Gateway Protocol) 147
BGP Tabloları 147
Neighbor (Komşu) Tablosu 147
BGP Tablosu 147
IP Yönlendirme Tablosu 147
BGP Öznitelikleri 148
Transitive Attributes 148
XII TEMEL NETWORK
Non Transitive Attributes 149

BGP Rota Seçimi 149
BGP Kullanmayı Gerektiren Durumlar 149
BGP Örnek Uygulama 150
REDISTRIBUTE (Farklı Dynamic Routing yöntemlerinin aynı network’ta kullanımı) 152
IP SLA Komutu İle Default Route’Nİn Değiştirilerek Wan Sıde Yedeklilik Sağlanması 154
HSRP (Hot Standby Routing Protocol) 156
Route Summarization With EIGRP 161
7 VLAN YAPISINA GIRIŞ - VTP DOMAIN 173

Dynamic Trunking Protocol (DTP) 181
DTP Uygulaması 183
Inter VLan Routing 184
EtherChannel 189
EtherChannel Algoritmaları 190
EtherChannel Komutları 191
EtherChannel Sorun Çözme Komutları 191
EtherChannel Örnek Uygulama 192
Şimdi Bir Uygulama Daha Yapalım 194
CDP (Cisco Discovery Protocol) 196
Güncel Sorulardan Örnekler 199
8 GRE TUNNEL VE GRE MULTILINK ROUTING 207

GRE Tunnel 207
GRE Multilink Routing 209
9 DHCP 215
DHCP Konfigürasyonları 215
L3 Switch Kullanarak VLan‘lara IP Dağıtmak 219
İÇİNDEKİLER XIII
Windows Sunucularda DHCP Oluşturma 227

10 NETWORK SECURITY 245

Internal Segmentation 245
Firewall Uygulaması 245
DHCP Snooping Ataklarını Engelleme 253
Port Security 254
Port Security Sorunlarını Giderme 260
11 STP - PVST+ 265

STP 265
Layer 2 Switching 265
Layer 2 Switch Fonksiyonları 265
1- Blocking Mode 270
2- Listening Mode 271
3- Learning Mode 271
4- Forwarding Mode 271
PVST (Per VLan Spanning Tree) 271
12 ACL (ACCESS CONTROL LIST) 285

Access List Türleri 286
Standard Access List 287
Uygulama 288
Extended Access Lıst (100 - 199) 290
Named Access List 291
Port Yapılandırma Örnekleri 292
ACL Kullanımında Önemli Uyarılar 293
ACL Uygulama 294
XIV TEMEL NETWORK
İstenilenlere Göre ACL’leri Tanımlayalım 295

13 NAT (NETWORK ADDRESS TRANSLATION) 301

Simple NAT 302
Static (One to One) NAT 304
14 FRAME RELAY 311

15 IPV6 319
IPv6 Adres Türleri 321
Pure IPv6 Uygulama 324
IPv6 Static Routing 326
IPv6 Default Route 331
IPv6 ACL 331
OSPF with IPv6 (OSPFv3) 333
16 LOGGING 343
SYSLOG 343
SNMP (Simple Network Management Protocol) 344
NETFLOW 346
NetFlow Versiyonları 346
Örnek Konfigürasyon 347
CISCO Cihazlarda Konfigürasyon Değişikliklerinin İzlenmesi 348
17 KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 359

Kablosuz İletişim Yöntemleri 360
Kablosuz Ağlar Nasıl Çalışır? 360
İÇİNDEKİLER XV
Kablosuz Ağlarda Güvenlik 360

Kablosuz Ağları Güvenli Hale Getirme 361
Kablosuz Ağ Band Genişlikleri 363
2.4 Ghz (2.4 - 2.4835 GHZ) 363
5 Ghz (5.725 - 5.850 GHZ) 363
Kablosuz Ağa Geçişin Planlaması 363
Noktadan Noktaya Kablosuz Erişimler 365
Wireless Controller 366
Packet Tracer 366
Wireless Uygulaması 366
18 TROUBLE-SHOOTING (SORUN ÇÖZME) 375

19 IOT (INTERNET OF THINGS) 391

Ev Kullanımları 392
Nesnelerin İnterneti Örnekleri Nelerdir? 393
Sanayi Kullanımlarından Örnekler 399
Çevre 399
Tarım 399
Enerji 400
Kamu Düzeni ve Güvenliği 400
Otomobil Sektörü 401
Packet Tracer IoT Uygulaması 402
XVI TEMEL NETWORK
1
NETWORK KABLO
VE CIHAZLAR
1
KABLOLAR
BAKIR KABLOLAR
Cat 5, Cat 6 ve Cat 7 Kablolar günümüzde kullanılan bakır kablo çeşitleridir.
Cat5E ve sonrası modeller Gigabit bağlantıyı desteklemektedir.
Cat5 Türü Kablolar

Standart 8 kablonun yer aldığı, 4 çift sarmal
(twisted pair) kablodan oluşan kablodur. 2 sarmal
(4 adet kablo) kablonun kullanıldığı bağlantılar
en fazla 100Mbps hıza erişebilir. Gigagibit
bağlantıların sağlanabilmesi için tümünün de
kullanılması, T568B standartına göre kablo
diziliminin yapılması ve CAT5E türü veya daha
yeni nesil bir kablo kullanılması gereklidir. Bunun dışında tüm network’un
gigabit olması için switch ve bilgisayar/notebook/sunucu’nun da gigabit
ethernetli olması gerekir.
2 TEMEL NETWORK

Cat5 türünden farklı olarak kablolarda ki oluşan
manyetik alanın birbirini etkilememesi için ortada
bir de plastik ayraç vardır. 2018 itibariyle en çok
kullanılan kablo türüdür.

Bu türde Cat6’dan farklı olarak her çiftte
ayrı bir şekilde izole edilmiştir. Bu türün
bazı modellerinde dışta da çelik muhafaza
kullanılmaktadır. Çelik muhafaza özellikle
fareler ve diğer dış etkenler içindir. Kablolar
asma tavandan, katlar arası boşluklardan geçtiklerinde, oradaki fareler
kablolara zarar verir. Bunun için bu türde ve birçok Fiber kablo çeşidinde bu tür
zırh kullanılmaktadır.
Bakır kablolar uzun metrajlı kullanılamazlar. 100 metreden daha uzun

kullanımlarda veri aktarımı garanti edilmez.
NETWORK KABLO VE CIHAZLAR 3
Network kablolarının hangi türü olursa olsun dizilişleri düz ve çapraz kablolar
için aşağıdaki şekildedir:
FIBER KABLOLAR
Fiber kablolar genelde uzun mesafeler için ve
daha çok hız / bant genişliği gerektiren
bağlantılar için kullanılır. Büyük ve çok katlı
yapılarda katlar arası iletişim; dağınık yapısı
olan üniversite gibi yerlerde de binalar arası
iletişim için sık kullanılır. Fiber kablolar CORE
ismi verilen saç teli kalınlığında optik kablolar
içerir. Her 2 Core bir Cat6-Cat7 kablo görevini
görür. Dolayısıyla 10 Core fiber kablo
çekildiğinde 5 adet Cat kablosu çekilmiş gibi performans alınabilir. Bu da hem
yedeklilik, hem de yüksek bant genişliği sağlar. Çünkü link Aggregation /
Etherchannel teknojisi ile bu 4-5 kablo yazılımsal birleştirilerek tek bir 5 Gbps,
4 TEMEL NETWORK
50 Gbps’lık kablo gibi de kullanılabilmektedir. Fiber kablolar 1, 10, 40, 100 Gbps
hızlarını destekler.
Fiber kablolar Singlemode ve Multimode olarak iki türlüdür. Multimode

kabloların genelde OM1, OM2, OM3, OM4 ve OM5 çeşitleri vardır. Singlemode
kablolarda ise OS1 ve OS2 çeşitleri vardır. Singlemode kablolar çoğunlukla LX
ile ifade edilir. 1300 nm-1550 nm arası dalga boyu kullanır ve uzun mesafeler
içindir. Multimode kablolar için tek parçada en büyük uzunluk 2 km iken,
Singlemode’de en büyük uzunluk 200 km’ye kadar erişebilmektedir.
ADI OS1 OS2

Standardı ITU-T G.652A/B/C/D ITU-T G.652C/D
Kablo Yapısı Sıkı Gevşek
Uygulama İç Ortam Dış Ortam
Max. Kayıp 1.0dB/km 0.4dB/km
Max. Uzunluk 10 km 200 km
Ücret Düşük Yüksek
Singlemode fiber kablonun çekirdek çapı, Multimode kablodan çok daha

küçüktür. Bu yüzden iletim daha hızlı, kayıp daha az ve daha uzun mesafelere
olabilmektedir.
Bu da daha uzun mesafelere veri aktarımını sağlar.

Çünkü aktarımdaki çarpışmalar azalır:
Kablo çeşidine bağlı olarak kilometredeki kayıplar ise şöyledir:
9/125 Singlemode Fiber Simplex 50/125 OM3 Multimode Fiber

Attenuation at 1310nm 0.36 dB/km Attenuation at 850 nm 3.0 dB/km
Attenuation at 1550nm 0.22 dB/km Attenuation at 1300 nm 1.0 dB/km
Kablo çeşitlerine göre maksimum uzunluk aşağıdaki gibidir:
Bağlantı Türü Fiber Kablo Türü Maks. Uzaklık

Fast Ethernet (100BASE-FX) 9μm Singlemode 1310nm 2 km
Gigabit Ethernet (1000BASE-SX) 9μm Singlemode 1310nm 5 km
Gigabit Ethernet (1000BASE-LX) 9μm Singlemode 1310nm 5 km
Gigabit Ethernet (1000BASE-EX) 9μm Singlemode 1310nm 40 km
Gigabit Ethernet (1000BASE-ZX) 9μm Singlemode 1550nm 70 km
Gigabit Ethernet (1000Base-LH) 9μm Singlemode 1550nm 70 km
10G Ethernet (10GBASE-LR) 9μm Singlemode 1310nm 10 km
10G Ethernet (10GBASE-SR) 9μm Singlemode 1310nm 10 km
10G Ethernet (10GBASE-ER) 9μm Singlemode 1550nm 40 km
10G Ethernet (10GBASE-ZR) 9μm Singlemode 1550nm 80 km
40 Gigabit Ethernet (40GBASE-LR4) 9μm Singlemode 1310nm 10 km
40 Gigabit Ethernet (40GBASE-ER4) 9μm Singlemode 1550nm 40 km
100 Gigabit Ethernet (100GBASE-LR4) 9μm Singlemode 1310nm 10 km
100 Gigabit Ethernet (100GBASE-ER4) 9μm Singlemode 1550nm 40 km
100 Gigabit Ethernet (100GBASE-CWDM4) Singlemode fiber 2 km
6 TEMEL NETWORK
Fiber Kablo renkleri

TIA-598C standartlarına göre Singlemode fiber kabloların rengi sarı, Multimode
fiber kabloların rengi ise turuncu yada turkuaz’dır.
Fiber Patch Kablosu çeşitleri

Fiber kablonun uçlarındaki konnektörlerden en sık kullanılanları aşağıdadır.
Normalde 100’e yakın konnektör çeşidi bulunmaktadır. En yaygın kullanılan
konnektör çeşitleri LC, SC, MU, ST, FC, MTRJ modelleridir. Konnektör türü ne
olursa olsun hepsi de aynı işi yapmaktadır. Ülkemizde en yoğun olarak LC tipi
kullanılmaktadır.
Simplex kablo çeşitleri tek yönlü; dublex kablo çeşitleri ise çift yönlü veri
iletişimi yapabilirler.
Fiber kabloların nasıl kullanıldığına, switch’e kadar nasıl geldiğine de açıklık

getireyim. Uçtan uca fiber bir bağlantının bileşenleri şunlardır:
• Fiber Kabloların uçlarının temizlenip, kesilip hazırlanması,
• Fiber Fussion işlemi ile Fiber Patch Panel’deki uçlarla birleştirilmesi,
• Fiber Patch Kablo ile patch panelden bir kablo ile switch’e kadar iletme,
• Patch Kablonun ucuna uygun Gibic modülün takılması,
• Gibic modülün switch’e takılması.
Fiber kablo kullanımlarında fiber kablodaki her bir core, switch’e girmeden
önce Fiber Pach Panel’lerde sonlandırılır. Fiber patch paneller önlerinde fiber
çıkışlar bulunan pasif (elektrik bağlantısı olmayan) yapılardır.
8 TEMEL NETWORK
Fiber Patch Panel
Fiber Fusion Cihazı Farklı Fiber Patch Kablolar
Gbic Modülün Switch’e Takılması

SWITCHES (ANAHTARLAR)
Yönetim özellikleri ve yapılarına göre switch çeşitleri:
Unmanaged (Yönetilmez) Switch’ler

En ucuz ve en çok kullanılan switch türleridir. Tak kullan cihazlardır. Kutusundan
çıkarıp fişe takıp hemen kullanabilirsiniz. Yönetme ve izleme yazılımlarını
desteklemezler, uzaktan ya da console ile bağlanılamazlar. Cihazdaki sorunları
ancak cihazın üzerindeki ve portlarındaki LED ışıklarından anlayabilirsiniz.
Küçük ölçekteki ev ve iş yerleri için önerilir. (Şahsi kanaatim 30-40 kişiye kadar
olan yerler, sunucu barındırmayan ofisler için uygundur.) Bu tür switch’lerin
genelinde fiber port olmaz.
Yönetilmez switch
Web Managed / Smart

(Web yönetilebilir ya da
yarı yönetilebilir) Switch’ler
Adında da anlaşılacağı üzere bu kategorideki switch’ler web arayüzünden
yönetilebilir. Bu yönetim ile switch’de ki temel bazı fonksiyonlar web
arayüzünden ayarlanabilir. Bunlar Vlan, Port Monitör, Link Aggregation gibi
temel fonksiyonlardır. Bu tür switch’ler genelde komut arayüzünü ve SNMP
yönetimlerini desteklemezler. Orta ölçekli iş yerleri için uygundur.
10 TEMEL NETWORK
Web tabanlı yönetimlere örnek bir arayüz
Managed (Yönetilebilir) Switch’ler

Büyük ağ yapıları ve büyük şirketler için idealdir. (Şahsi kanaatimce çok katlı
şirketler veya çalışan sayısının 70 - 100’ün üzerindeki işyerleri için.) Bu tür
switch’ler komut arayüzünden yönetilebildiği gibi, web arayüzü de aktif
hale getirilebilir ve bazı temel işlemler web arayüzünden yapılabilir. Bu tür
switch’lerin genelinde komut yönetimleri için bir console portu bulunur. Bu
port, switch’in önünde ya da arkasında olabilir.
CLI yönetilebilir bir switch’in console portu
Yönetilebilir switch’ler en azından aşağıdaki özellikleri destekler:

• SNMP monitoring
• Auto MDI/MDI-X portlar / devreye alma ya da çıkarma
• Port bandwidth ve duplex control
• IP address management
• MAC address filtering
• Spanning Tree
• Port mirroring
• Quality of service (QoS) / paketlerin önceliklendirilmesi
• Vlan ayarları
• 802.1X network access control
• IGMP snooping
• Link aggregation veya trunking
12 TEMEL NETWORK
Yönetilebilir switch’lerin en önemli avantajlarından birisi de merkezi olarak

yönetilebilmeleri ve monitör edilebilmelidir. Bu özellikler büyük bir network
için önemlidir. Yönetilebilir switch’lerin en önemli avantajlarından birisi de
Stack (Yığın) destekleyen modellerinin de olabilmesidir. Stack teknolojisi ile
8’e kadar switch, özel stack kablosu ile birbirine bağlanıp, tek bir switch’miş
gibi komple yapıyı yönetmek mümkün olabilmektedir. Stackable; switch’lerin
genelde arkalarında, bazı marka ve model switch’lerde ise önlerinde özel stack
portları vardır. Lütfen kabloların bağlanış şekillerine ve sonlandırma kablosuna
(en üstteki ile en alttaki arasındaki) dikkat ediniz.
Stack Yapısı Bağlantı Tipi 2 Switch için stack bağlantısı
Industrial (Endüstriyel)
Ethernet Switches
Genelde dış ortamdaki kamera (mobese), Access Point’ler için kullanılır.
Aşırı sıcak ve soğuğa (-40 ile +70 Derece arası gibi) dayanıklıdırlar. Geneli
yönetilebilirdir.
POE (Power Over Ethernet) Switches

Bu özellikteki portlar tek bir network kablosu üzerinden hem data hem de
elektriği iletmektedir. POE özellikli cihazlar ise kameralar, Access Point’ler ve
IP telefonlardır. POE switch kullanımında dikkat edilmesi gereken en önemli
konu bu switch’e bağlanacak cihazların güç tüketimlerinin bilinip, toplam güç
tüketimine uygun bir POE switch seçilmesidir.
Uzaktaki bir POE ile çalışan cihazınıza

(Örneğin; Access Point’e) tek bir network
kablosu gidiyor ve orada elektrik imkanı
yok ise ve sizin de switch’inizin POE
özelliği yok ise POE enjektör ile bu tek
kablodan hem data hem de elektriği
gönderebilirsiniz.
POE Enjektör
ROUTERS
Router’ler farklı network’ler arası iletişimi düzenlemek için kullanılan
cihazlardır. Bu yüzden bir router’in her bir portu farklı IP yapısında olmalıdır.
Router’ler aynı zamanda NAT, DHCP, ACL gibi işlemleri de yapabilir.
Giriş seviyesi bir router

14 TEMEL NETWORK
Access Poınts
Access Point
Kablolu yayını kablosuz yayına çevirmek için kullanılan cihazlardır. 802.11 b, c,

g, n, ac türlerinde yayınlar ile 1.7 Gbps hıza kadar bağlantı hızı sağlanabilmekte
iken, günümüz 2018 yılı itibariyle 802.11ah bağlantı türüyle 6,77 Gbps hızına
kadar ulaşılabilmektedir. Access Point’lerin yayınladıkları kablosuz kanal adına
SSID denir. Gelişmiş Access Point’ler birden fazla SSID’yi tek bir cihaz üzerinden
yayınlayabilmektedirler. Access Point’ler 2.4 Ghz ve 5 Ghz frekanslarında
yayın yapabilirler. 2.4 Ghz frekansı daha geniş, uzun bir alana yayın
verebiliyorken, 5 Ghz yayın ise
daha dar bir alanda, fakat daha
yüksek bir hız sunar. Her cihaz
5 Ghz bağlantısını desteklemez,
özellikle de notebook’lar.
Access Point’ler, iç ortam

olduğu gibi dış ortamda da
kullanılmaktadır. Dış ortamda
iki uzak mesafe (40-50 km’ye
kadar) arasında veri aktarımı
yapabilmektedir. Bu tür noktadan
noktaya olan erişimlerde her
iki Access Point’in de birbirini
karşılıklı görebilmesi, arada dağ,
tepe, bina gibi engelin olmaması
gerekir.
Harici Access Point
IP Cameras
IP kameralar aldıkları görüntüyü
kayıt cihazlarına ya da işlenmek
üzere workstation’lara aktarırlar. IP
kameralar; akıllı yazılımlar ile yüz
tanıma, plaka tanıma, kuyrukta
bekleyen insanları sayma, kaybolan
/ ortama bırakılan objeleri
belirleme gibi birçok yeteneğe
sahip olabilirler. IP kameralar da
network’u kullandıklarından bu cihazlara uzaktan erişmek, görüntüyü internet
üzerinden uzaktan izlemek de mümkündür.
IP Telephones
IP telefonlar standart telefon
görüşmelerinin dışında konferans
özelliği, sesli mesaj, web
arayüzünden gelen-giden-cevapsız
aramaları takip, birden fazla hat
kullanımı gibi yeteneklere de
sahiptir. IP telefonlar network
üzerinden haberleştiklerinden bir
personelin yeri değiştiğinde yeni
yerine kablo çekmek ihtiyacı olmaz,
personelin eski telefonunu yeni
yerinde telefon ağındaki bir kabloya bağlaması yeterlidir. IP telefonların
santrallerine de IP PBX denmektedir. Bunlar da yine akıllı cihazlar (yazılımlar)
olduğundan database ile haberleşmekte, örneğin; arayan bir kişinin borcu var
ise bunu database’den sorgulayıp o kişiyi aradığı kişiden önce muhasebeye
bağlayabilecek ilginç uygulamalar yapabilmektedir. Ayrıca günümüzde Bulut
Santraller sayesinde mevcut işyerinde bir santral konumlandırmadan dağınık
yapısı olan yerlerin birbirleri ile dahiliden haberleşmeleri mümkün
olabilmektedir.
16 TEMEL NETWORK
Bu sistem SoftPhone dediğimiz yazılımsal telefonları da desteklediğinden

cep telefonunuza uygulama olarak yükleyeceğiniz yazılım sayesinde dünyanın
neresinde olursanız olun; dahiliden şirket ile görüşme imkanınız da olabilir,
size arama aktarılabilir.
Vıdeo Conference Systems
Özellikle dağınık yapısı olan, il veya ilçelerde şubeleri olup, çok fazla seyahat
ve toplantı ihtiyacı olan yerler için idealdir. Sistemler sayesinde karşılıklı,
aynı masada oturuyormuş rahatlığında iletişim kurmak mümkündür. Sistem
konuşmacıya otomatik olarak odaklanıp, uzak uçlarda merkezdeki konuşan

kişiyi ekrana otomatik verebilmektedir. Ayrıca katılımcıların bilgisayarlarından
sunum yapmaları durumunda diğer katılımcılara hem sunumu, hem de
görüntüyü iletebilir. Çok fazla seyahat, konaklama, harcırah masraflarınız
oluyorsa sistem birkaç yılda kendi maliyetini çıkarabilir.
Utm (Unified Threat

Management) Cihazı
Bu cihazlar ile ağınızı saldıralara karşı konumanın yanında aşağıdaki imkanlara

da sahip olabilirsiniz:
• Birden fazla internetin yedekliliği
• Saldırılardan korunma
• Virüslerden korunma
• Spam maillerden korunma
• IP başına ya da bir grup için en fazla kullanılabilecek internet miktarı
belirleyebilmek
• Erişebilecek web sitelerinin kategori bazlı denetlenebilmesi
• Kullanılabilecek internet uygulamalarının kısıtlanması (Skype, WhatsApp, P2P,
torentlar, oyun programları, internet radyo ve televizyonları v.s.)
• VPN ile şubeler arası güvenli iletişim
• Network trafiğinin log’larının tutulması
• Bilgi sızıntısı (DLP) engelleme
• Routing (static, dynamic routing)
• DHCP, DNS
18 TEMEL NETWORK
19
BİR NETWORK
OLUŞTURMAK
2
Network Tanımı
Network birden fazla cihazın herhangi bir protokol ile birbiriyle haberleşmesi
sonucu oluşturdukları yapıdır. Genelde bir network’u oluşturan temel yapı taşı
switch, Access Point ve router’lerdir.
Network Hızı
Network hızını belirleyen bir kaç unsur vardır. Bunlar; kullanılan cihazın
ethernet hızı, network kablosunun türü ve switch portlarının hızıdır. 2018 yılı
itibariyle en çok kullanılan ağ hızları 100 Mbps (megabit per second • saniyede
maksimum gönderebildiği megabyte değeri) ve 1000 Mbps’dir. Bunun dışında
büyük network’larda özellikle katlar ile omurga arasında 10 Gbps (Gigabit per
second • saniyede gönderilen maks gigabyte miktarı) hızı da kullanılmaktadır.)
Örneklerle açıklamam gerekirse, en çok kullanılan hızlardan birisi de gigabit

network’lardır. Böyle bir network’u oluşturmak için kullanıcıların, sunucuların
ethernet kartlarının gigabit bağlantısını desteklemesi, network kablolarının
hepsinin en az Cat5E ya da üzeri olması ve kullanılan switch’lerin portlarının
gigabit olması gerekmektedir.
20 TEMEL NETWORK
Aynı şekilde iki switch arası 10Gbps hız isteniyorsa, switch’lerin her ikisinin de
10Gbps portu olmalı ve bağlantı bu portlarla yapılmalı, arada kullanılan fiber
yada bakır kablo 10Gbps desteklemeli, fiber kablo için uçlarındaki SFP’lerin
SFP+ yani 10Gbps destekli olması, bakır bağlantılar için ise en az Cat6 ve
uçlarının mümkünse metal connector olması gerekmektedir.
Wireless network’ler için de durum aynıdır. İstenen hızı uçtan uca tüm cihazların
desteklemesi gerekir. Örneğin aşağıdaki şekildeki network’te siz, kablosuz
bağlantınız en hızlısı olsun istediniz ve Access point’i 802.11ac Wave2 destekli
aldınız. Bu, Access Point 6.77 Gbps hıza kadar erişebilir demektir. Ancak Access
Point’i siz switch’in 100 Mbps’lik portuna bağlarsanız ya da kullanıcı tarafındaki
bilgisayardaki wireless kart bu hızı desteklemiyorsa ya da sunucu switch’e
100Mbps’lİk bir porttan bağlanıyorsa yada kullanılan kablolar düşük kalite/tür
Cat5 kablo ise yapılan yatırımın hiçbir anlamı olmayacaktır.
BİR NETWORK OLUŞTURMAK 21
Network Topolojileri
Fiziksel Topoloji
Fiziksel topoloji ağdaki cihazların birbirine nasıl bağlandıklarını, konumlarını
gösterir. Bus, Ring, Mesh ve Star çeşitleri vardır. Şimdi bunları inceleyip,
günümüzdeki kullanımları ve sık yapılan korkunç hatalara bakalım:
Bus Topology
Bus topology, bir kablo boyunca tüm terminallerin (Sunucular, iş istasyonları

ve diğer çevre birimlerinin) doğrusal bir kablo segmentine bağlanması
sonucu oluşur. Bu segmente Trunk adı verilir. Tipik olarak bu trunk yapısını ise
koaksiyel kablo oluşturur.
Bus topolojisinde, sinyal tüm istasyonları dolaşır. Her bir istasyon sinyalin
adresini kontrol eder ve bu sinyalin yol üzerinde geçtiği tüm istasyonlar bu
adresin kendileri ile ilgili olup olmamaları üzerine sinyali işlerler veya pasif
bir şekilde sinyali bırakırlar. Sinyal, istasyonların birbirlerine iletmesi şeklinde
değil, kendi başına dolaşarak yol alır.
22 TEMEL NETWORK
Bus topolojisinin avantajları;

• Bilgisayarların ve diğer çevre birimlerinin ağa kolayca bağlanabilmesi.
• Daha az kablo kullanılması.
• Tasarımı ve genişletilebilirliği kolay olması.
• Geçici amaçlı ve kalıcı olmayan ağların hızlı bir şekilde kurulabilmesi için ideal
olması.
• Switch veya Hub gibi çevresel bağlantı aygıtlarının kullanılmaması ve böylece
ek maliyetlerin ortadan kalkması.
• Bir istasyonun çalışmaması durumunda diğerlerini etkilememesi.
• Büyütülebilirlik açısından en ucuz topoloji olması.
Bus topolojinin dezavantajları ise;

• Sorunun kaynağının tespiti, çözümü ve yönetiminin zor olması
• Kısıtlı sayıda istasyon ve kısa mesafe kablo üzerinde olması.
• Ana kabloda oluşan bir kopmanın tüm ağın çalışmasını engellemesi.
• Eklenen her ilave istasyonun toplam ağ performansını kötü anlamda
etkilemesi.
• Omurga kablonun her iki ucunda sonlandırıcıların bulunma zorunluluğu.
Bu topolojide bilinen en yaygın kullanılan kablolama tipi Koaksiyel, Fiber ve

Twisted Pair Kablo ve yaygın kullanılan protokol ise Ethernet ve Localtalk
protokolleridir.
Rıng Topology
Günümüzde kullanılan bir
topoloji değildir. Bu topoloji
de cihazlar birbirine halka
oluşturacak şekilde bağlanır.
Cihazların arkasında T
şeklinde bir connector
bulunur, bu sayede cihaza bir
uçtan giriş, sonrasında diğer
uçtan çıkış sağlanır. Bus
topoloji gibi sonlandırılması
da gerekmez. Sağlıklı değildir.
Çünkü aradaki bir cihazın
arızalanması tüm sistemi
etkiler.
Ring topolojisinin avantajları;

• Ağın büyütülmesi, toplam sistem performansına çok az bir oranda olumlu etki
yapar.
• Tüm istasyonlar eşit erişim hakkına sahiptir.
Ring topolojinin dezavantajları ise;

• Bilinen en pahalı topolojidir.
• Oldukça karmaşıktır.
• Bir istasyonun arızası durumunda tüm istasyonlar etkilenir.
Bu topolojide yaygın olarak Twisted Pair ve Fiber Optik Kablolama tipi kullanılır.
Uygun protokol ise Token Ring’tir.
24 TEMEL NETWORK
Star Topology
Bir switch ya da hub yardımıyla cihazların birbirine bağlanmasıyla oluşan topo-

lojidir. Kurulumu kolay olduğundan en çok kullanılan topolojidir.
Star topolojisinin avantajları;

• Yeni istasyonların eklenmesi kolaydır.
• Yönetimi ve hata tespiti basittir, kısa zamanda halledilebilir.
• Birbirinden farklı kablolama metotları ile bağdaşabilir.
• Herhangi bir istasyondaki arıza veya yeni bir birimin eklenmesi halinde bundan
tüm ağ etkilenmez.
Star topolojisinin dezavantajları;

• Diğer topolojilere oranla, çok daha fazla kablo gereksinimi olur.
• Hub veya switch cihazlarında ortaya çıkan sorunlarda tüm ağ etkilenir.
• Bu cihazların kullanılması sonucunda, yol topolojisine göre maliyeti daha
yüksektir.
Star topolojide çok yapılan hata ve çözümü:
Bir star topolojisinin aşağıdaki şekildeki gibi genişlediğini düşünelim:
Burada kat 1 ile kat 2 arasındaki bağlantı tüm network’un trafiğini taşımaktadır
ve hem yavaşlık, hem de olası bir kabloda sorun olması halinde tüm network
aksayacaktır. Size şiddetle tavsiyem; elinizdeki en kaliteli switch’i (Bunun
illa Layer 3 olması gerekmez.) omurga switch olarak belirleyip, tüm kat
switch’lerini de bu switch’e bağlamanızdır. Omurga switch ile kat switch’leri
arasında da mümkün olduğunca yüksek bir hızda bağlantı kurmanızdır. Bu tür
kat bağlantılarında da tavsiyem çok core’li zırhlı fiber kablolar kullanmanızdır.
Bağlantı hızınız her core için 1Gbps bile olsa, çok core’li kablo kullandığınızdan
birkaç bağlantıyı da birleştirip (etherchannel) daha yüksek hızlı, hem de yedekli
bağlantılar elde edebilirsiniz.
26 TEMEL NETWORK
Bu tür omurga switch kullanarak, diğer kat switch’lerini bir switch’te toplayarak
oluşturulan topolojilere Extended Star Topology de denir.
MESH TOPOLOGY
Bu topolojide ağdaki switch’lerin, diğer switch’lere birden fazla bağlantısı
vardır. Böylece olası bir bağlantı kopması ya da switch bozulması halinde
sistem diğer alternatifler üzerinden trafiği devam ettirebilir.
Bu yapının avantajları;
• Her istasyonun kendi başına diğerleri ile uçtan uca bağlantı kurmasından
dolayı, çoklu bağlantı oluşmakta ve böylece herhangi bir bağlantının kopması
durumunda, sinyalin hedefine ulaşabilmesi için diğer bağlantıları kullanması
en önemli avantajdır.
• Bir istasyondan yayınlanan sinyal farklı hedeflere yöneldiğinde çoklu oluşan
bağlantı sayesinde kısa süre içerisinde ağdaki hedeflerine varacaktır, böylece
taşınım zamanı kısalacaktır.
Dezavantajları ise;
• Ağ üzerinde az sayıda düğümün bulunduğu durumlarda ve ortam boyutunun
küçük olması halinde ortaya çıkan bağlantı miktarının çok fazla gözükmesi ve
bu durumda ağ hızının yavaşlaması.
Bir Network Yöneticisinin

Bilmesi Gereken Komutlar
PING
İki cihaz arası bağlantıyı kontrol eder. Bağlantı var ise buna ping atıyor denir.
Eğer ping atıyorsa bu %100 bağlantı var demektir fakat ping atmıyorsa %100
bağlantı yok demek değildir. Çünkü başta Windows’taki firewall olmak üzere
birçok etken ping’e engel olur. Birçok firewall’da, UTM, Next Generation Firewall
cihazlarında varsayılan olarak WAN interface’lerinde ping kapalıdır. Cisco ve
birçok üreticinin cihazları da doğrudan ping’i destekler. Yani siz yönettiğiniz
bir cihaz üzerinden, diğer cihaz ya da hedeflere ping atabilirsiniz. Kullanımı
cihazlarda da aynıdır: ping HEDEF
Yalnız Cisco’da ping atarsa ! (ünlem), atamazsa . (nokta) çıkar ve Windows

cihazlardan farklı olarak hedefe 4 değil 5 paket gönderilir.
Kullanımı çok kolaydır: (Windows client’lerde DOS ekranında)
ping <IP>
Örnek: ping 192.168.0.2 : Hedef IP’ye ufak veri paketleri gönderir alır ve
bağlantıyı test eder.
28 TEMEL NETWORK
ping <WEB ADRESI>
ping www.yahooab.com : Hedef web adresine paketleri gönderir, alır ve

bağlantıyı test eder. Bu aynı zamanda DNS çözümlemesi ve internet erişimi
testidir.
ping <HOSTNAME>
ping SRV108 : Hedef bilgisayara paketleri gönderip, alarak bağlantıyı test eder.
Bu aynı zamanda DNS çözümlemesi testidir.
Farklı parametrelerle sık kullanılan ping komutları:
ping -a 192.168.0.2 : “-a” parametresi ile hedef IP’deki bilgisayarın adı

görüntülenir.
ping -a -n 20 192.168.0.2 : “-n” parametresinin yanindaki değer kadar veri

paketleri gönderilirilerek test edilir.
ping www.yahoo.com : C:\sinan.txt : Sonuçları ekranda değil de C:\ altındaki

sinan.txt dosyasına yazar.
ping 192.168.0.2 -t : Hedefe durdurulana kadar sonsuz paket gönderir.

Ping paket gönderimlerini durdurmak için CTRL+C’ye basınız. Bu parametre
“-t” genelde 2 durumda kullanılır:
1- Bir hedefe erişimin durması durumunda sorun çözerken. Örneğin; sunucunuza
erişim mi kesildi? O zaman bir ya da birkaç çalışandan sunucuya doğru -t’li
ping başlatır ve ping atmaya başladığında o çalışanların sizi uyarmasını
isteyebilirsiniz. Böylece siz olası sorunları (Switch restart, kablo kontrol, sunucu
restart vs.) denediğinizde anında sonucu öğrenmiş olursunuz.
NOT Çalışanlar muhtemel ping falan bilmezler, satırlar uzun uzun çıkmaya başlayınca
diyebilirsiniz.
2- Bağlantı kalitesini ölçmede de kullanılır. Hedefe (Genelde internette bir hedeftir

ve çoğunlukla da 8.8.8.8’dir.) -t’li ping başlatır. Paketlerde kopmalar olup
olmadığı kontrol edilir. Dakikalar sonra ping durdurulur. Ping durdurulunca
istatistikler görünür. Genel olarak %2 üzeri ping kayıpları sorun olduğunun
işareti kabul edilir.
Extended Ping
Cisco cihazların desteklediği bu tür ping’de, ping’in ayrıntıları tek tek sorulup
sonra ping başlatılır. Kullanımı için yalnızca ping yazıp Enter’leyiniz. Sorulan
ayrıntılarda değiştirmek istediğiniz olursa karşısına yazınız, aksi halde
Enter’leyip devam edebilirsiniz.
Switch#ping
Protocol [ip]:
Target IP address: 192.168.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100•byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
NOT Genelde üreticilerde komut sisteminde sizden bir değer istendiğinde istek öncesi
parantez içinde bir değer var ise enter ile geçmeniz durumunda bunu kabul etmiş
varsayılırsınız.
ARP
3 Way Handshake (3 yönlü el sıkışma)’den dolayı cihazlar haberleştiği diğer
cihazların MAC adreslerini cache’lerinde tutar ve olası aynı cihazla haberleşme
gereksiniminde switch’e bu MAC adresini gönderip, ulaşmak istediklerini
söylerler. ARP Cache Cisco cihazlar için şöyle görüntülenir:
arp -a : cache’deki IP çözümlemesini gösterir. Cache eğer 2 dk içinde yeni bir

IP çözümlemesi olmazsa kendini temizler. Eğer 2 dk içinde yenilenirse 10 dk
daha tutulur.
30 TEMEL NETWORK
arp -a 192.168.0.2 : İlgili IP’nin cache’de tutulan MAC adresini gösterir.
arp -s 192.168.0.2 00-02-44-12-24-ad : IP çözümlemesi içinde, IP’si verilen

bilgisayarın MAC adresini sabitler. Cache’de sürekli kalır, silinmez.
TRACERT (TRACEROUTE)
Tracert komutu, bir hedefe ulaşırken geçilen router’leri gösterir. Böyle hedefe
giderken hangi yönlendirmelerle gidildiği tespit edilir. Bu komut aynı zamanda
sorun çözmede de kullanılır. Çok büyük bir network’d bir kullanıcı, bir hedefe
ulaşamıyorsa öncelikle kullanıcıdan hedefe doğru olan tracert çıktısı istenir.
Böylece trafiğin hangi router’de kaldığı, hangi router’de olası route eksikliği
olduğu ortaya çıkarılır. Cisco’da kullanımı traceroute yazılarak olmaktadır.
Komut yazılımı ping gibidir.
tracert 131.107.10.1 : Bu komut sayesinde, farklı TTL süreleri kullanılarak

aynı hedefe ICMP paketleri gönderilir. Bu sayede, bilgisayarınızdan bir başka
hedef noktaya ulaşırken, paketlerimizin hangi yolları takip ettiği kontrol edilir.
Bu komut ile hedef bilgisayar ve sizin aranızdaki en yakın ve en kısa yolu

belirleyen router’lerin bir listesi gösterilmiş olur.
tracert [-d][-h Maksimum Hop sayısı][-J Hot Listesi][-w Timeout
Süresi][Hedef isim]
“-d” parametresi geçilen router’lerin adını çözmeye zaman harcamaz. Daha

hızlı şekilde sadece router IP’lerini görüntüleyerek devam eder.
Cisco cihazlarda kullanımı:

Extended traceroute:
Cisco cihazların desteklediği bu tür TraceRoute’de extended ping’de olduğu

gibi ayrıntılar tek tek sorulup buna göre TraceRoute başlatılır.
32 TEMEL NETWORK
33
NETWORK 3
KATMANLARI
İlk bilgisayar network’ları, firmaların kendi ürünleri arasında gerçekleştiriliyordu.

Örneğin IBM işletim sistemleri IBM network aygıtları kullanarak kendi aralarında
iletişim kurabiliyorlardı, yazılımları buna göre düzenlenmişti, Cisco cihazları da
kendi aralarında haberleşebiliyordu.
OSI modeli üreticilerin birlikte çalışabileceği ortak bir modelleme getirdi. OSI
modeli, bir bilgisayar üzerindeki verileri, network ortamı (medya) üzerinden
diğer bilgisayar üzerindeki uygulamaya aktarılmasını tanımlar.
Katmanlı Yaklaşım
Referans modeli iletişimin kavramsal olarak açıklandığı bir plandır. İki bilgisayar
(aygıt) arasıdaki iletişim için gerekli olan işlemleri katmanlar (layers) olarak
açıklar. Katmanlı model sayesinde karmaşık network işlemleri yönetilebilir
küçük parçalara bölünür. Yalnızca bir katmanı değiştirerek, iletişimi
değiştirebilecek uygulama ve aygıt tasarımcılarının daha esnek çalışabilmesini
sağlar.
OSI Modeli
OSI (Open Systems Interconnection) modeli, ISO (International Standards
Organization) tarafından geliştirilmiştir ve iki network cihazı arasındaki
iletişimin nasıl olacağını tanımlar. İlk olarak 1978 yılında ortaya çıkarılan bu
standart 1984 yılında yeniden düzenlenerek OSI (Open System Interconnect)
34 TEMEL NETWORK
olarak referans modeli olarak yayınlanmıştır. Model yaygın olarak kabul görmüş
ve network işlemi için bir kılavuz olmuştur.
OSI Modeli herhangi bir donanım ya da network tipine özel değildir. OSI’nin
amacı network mimarilerinin ve protokollerinin bir network ürünü bileşeni gibi
kullanılmasını sağlamaktır.
Katmanlar (Layer)
OSI modelinde iletişim problemi yedi katman ile çözülmüş. İki bilgisayar
sisteminin birbiriyle iletişim kurabilmesi için önce uygulama sistemin 7.
katmanıyla konuşur. Bu katman 6. katmanla ve böylece ilerler. Ardından
iletişim network hattına oradan da diğer sistemin 1. katmanına geçer. Buradan
diğer katmanlara yükselir.
Bütün LAN’larda ki teknolojinin anlaşılması için OSI layer olarak adlandırılan

yedi katmanlı modeli anlaşılması gerekir. OSI modeli, modüler bir mimariye
dayanır. Her katmanda belli bir iş yapılarak bir sonraki katmana geçilir.
Network üzerinde iki bilgisayarın iletişimi:
OSI modeli donanım birimleri bakımından bir ayrım gözetmez. Fiziksel katman
bağlantıyı gerçekleştirmek için gerekli her bileşenle uyum içinde çalışır. Bu
bileşenler fiziksel medyanın yanısıra hub’lar, network adaptörleri vb. gibi
bileşenlerdir.
NETWORK KATMANLARI 35
Bir OSI katmanı iletişim servisini tanımlar. Katman üzerinde iletişimin kuralları
protokoller ile düzenlenir. Bir protokol verinin iletimi sağlar.
Katmanlı model, işlemlerin farklı teknolojilerle yapılmasını sağlar. Örneğin,

farklı kablolama yöntemlerinin kullanılmasının ardından üst katmanlardaki
işlemler aynen devam edebilir. Her bir katman bir önceki ya da bir sonraki
işlemden haberdardır.
ISO standartları, network üzerindeki iletişimi sağlarken karmaşık bir yol izler.
ISO standardı yeni katmana (alt göreve) ayrılmıştır. OSI modeli olarak bilinen
yedi katman aşağıda sıralanmıştır. Günlük hayatımızda en çok adı geçen
layer’ler; Layer 2, Layer 3, Layer 7’dir.
OSI Modeline Göre

Network Katmanları
No Katman İşlevi
7 Application Kullanıcı uygulamalarına servis sağlar.
Kullanıcı uygulaması için verinin dönüşümünü sağlar. Veriyi yeniden
6 Presentation
düzenler.
5 Session Sistemler arasındaki iletişimi sağlar.
Temel network bağlantısı sağlayan 1 ve 3. katman ile uygulama
4 Transport iletişimini sağlayan 5 ve 7. üst üç katman arasındaki bu katman bu
bölümleri birbirinden ayırır.
Network bağlantısını düzenlemek, devam ettirmek ve
3 Network
sonlandırmaktan sorumlu.
2 Data Link Fiziksel bağlantıyı sağlar. Veri frame’lerini düzenler.
Veri iletimi ortamı düzeyinde verilerin elektrik sinyalleri olarak
1 Physical
iletimini sağlar.
36 TEMEL NETWORK
Daha ayrıntılı bir tabloda servislerle birlikte izah edelim:
Katmanlar Arasındaki İlişki

Her bir katmanın görevi, kendine gelen data paketini bir üst (yüksek) katmana
biçimlendirerek aktarmaktır. İki bilgisayar arasındaki iletişimde katmanlar
sırasıyla iletişim kurarlar; eş düzeydeki katmanlar aslında doğrudan iletişim
kurmazlar ancak aralarında sanal bir iletişim oluşur.
Veri bir katmandan diğerine iletilmeden önce paketlere bölünür. Paket bir
aygıttan diğerine veri aktarmada kullanılan bir birim veridir. Her katmanda
pakete ek bilgiler (formatlama ya da adresleme) eklenir.
Verinin iletimi üst katmandan alt katmana doğru olur. Verinin kablo ile iletimi
fiziksel katman tarafından gerçekleştirilir. Diğer bilgisayarda ise önce fiziksel
katman ile karşılanan veri üst katmanlara doğru hareket eder.
Application (Uygulama) Katmanı
Bilgisayar uygulaması ile network arasında gerçek bir arabirim sağlar. Bu
katman kullanıcıya en yakın olandır. Sadece bu katman diğer katmanlara servis
sağlamaz.
Uygulama katmanı network servisini kullanacak olan programdır. Bu katman

kullanıcının gereksinimlerini karşılar. Örneğin veritabanı uygulaması ya da
e-mail uygulaması vb. gibi.
Presentation (Sunuş) Katmanı

Sunu katmanında verinin çevrilmesi işlemi yapılır. Sunum katmanı, Uygulama
katmanına verileri yollar. Bu katmanda verinin yapısı, biçimi ile ilgili
düzenlemeler yapılır.
Sunu katmanında verinin formatı belirlenir. Ayrıca verinin şifrelenmesi ve

açılması da bu katmanda yapılır. Yine bu katmanda verinin sıkıştırılması işlemi
yapılır.
Session (Oturum) Katmanı

Oturum katmanında iki nokta arasında iletişim bağlantısı kurulur, başlatılır ve
sona erdirilir. Oturum katmanı, uygulamalar arasındaki oturumu temsil eder.
Oturum katmanı, Sunum katmanına yollanacak veriler arasından diyalog kurar.
Cisco uygulamalarında aşağıdaki protokoller oturum katmanı protokolleri

olarak adlandırılır.
Network File System (NFS): TCP/IP ve Unix iş istasyonlarında kullanılır.
Remote Procedure Call (RPC): İstemci / Sunucu yönlendirme protokolü.
Apple Talk Session Protocol (ASP): Apple Talk istemcileri ve sunucu
bilgisayarları arasında iletişim kurmak için kullanılır.
38 TEMEL NETWORK
Transport (Taşıma) Katmanı

İki aygıt (bilgisayar) arasında veri aktarımını sağlar. Veri iletiminde güvenilirliği
sağlamak için aygıtlardan birisi bağlantı oturumunu düzenler. Ardından iletimi
için hazırlığın iki tarafta da kontrolü yapılır ve veri transferi başlatılır.
Bu iletişim oturumunun hazırlık işlemine connection-oriented oturum denir.
İki aygıt aralarında veri alışverişi yaparken, düzenli olarak birbirlerini kontrol
ederler. Gönderilen verinin kontrolü acknowledgment işlemiyle yapılır. Onayı
beklemeden gönderilen veri miktarına window denir. Windowing işlemi bir
aygıttan diğerine ne kadar bilgi transfer edildiğini kontrol eder.
Connectıon-Orıented
(bağlantı-temelli) Protokoller
Verilerin iletiminde akış kontrolünü, hata kontrolünü yapan protokollere
bağlantı-temelli protokoller denir. Bağlantı temelli protokollerde veri
gönderilmeden önce bağlantı tesis edilmelidir:
• Bağlantı sağlanır.
• Veri transfer edilir.
• Bağlantı sonlandırılır.
Bağlantısız protokollerde ise bir yol tanımlanmaz. Paketler “datagram” olarak

adlandırılır. IPX ve IP protokolleri bağlantısız bir protokoldür.
Her ne kadar bağlantı temelli protokoller daha güvenli görünseler de; bağlantı
temelli servislerde bir sorun olduğunda network durur. Bağlantısız servisler ise
bu durumda verinin iletilmesini engellemezler.
Network Katmanı
Network katmanının ana görevi yönlendirme (routing)’dir. Yönlendirme
işlemi paketlerin yerel network dışında, diğer network’lara gönderilmesini
sağlar. Network katmanında iki istasyon arasında en kısa yoldan verinin iletimi
sağlanır.
Bu katman sayesinde veriler router’ler aracılığıyla yönlendirilir. Network

aşamasında mesajlar adreslenir ve ayrıca mantıksal adresler fiziksel adreslere
çevrilir. Bu aşamada network trafiği, routing gibi işlemler de yapılır.
Bir paket router tarafından alındığında hedef IP adresi kontrol edilir.
Network katmanında iki tür paket kullanılır:

• Veri paketleri
• Yönlendirme paketleri
Veri paketleri kullanıcının bilgisini taşımak için kullanılır. Bu paketler IP ve IPX

gibi yönlendirilebilir protokollerle taşınır.
Yönlendirme paketleri ise network’deki router’ları güncelleştirmek için

kullanılır. RIP, EIGRP ve OSPF gibi protokoller bu işlevi yerine getirirler.
Router’ların güncelleştirilmesinde yapılan ana işlem her router üzerinde
bulunan routing tablolarının güncelleştirilmesidir.
Data Link (Veri Hattı) Katmanı

Data Link katmanında; bir alt aşamada sağlanan elektronik medya üzerinde
verilerin nasıl iletileceği ya da verilerin bu medyaya nasıl konulacağı belirlenir.
Bu katmanda veriler data frame olarak düzenlenirler.
Bu katmanda Ethernet ya da Token Ring olarak bilinen erişim yöntemleri

çalışır. Bu erişim yöntemleri, verileri kendi protokollerine uygun olarak işleyerek
iletirler. Veri hattı katmanında veriler network katmanından, fiziksel katmana
gönderilirler. Bu aşamada veriler belli parçalara bölünür. Bu parçalara paket ya
da frame denir.
Frame’ler verileri belli bir kontrol içinde göndermeyi sağlayan paketlerdir.

40 TEMEL NETWORK
IEEE Standartlarına Göre

Data Link Katmanı
IEEE’de Project 802 adlı LAN standarda sahiptir. Bu standarda göre Data Link
katmanında oluşan iki alt katmanla yönlendirme yerine getirilir:
Bu iki alt katman şunlardır:

• Logical Link Control (LCC)
• Media Access Control (MAC)
Logical Link Control alt katmanı, mantıksal bir arabirimi noktası kullanarak
data-link iletişimini yönetir. Bu standartlar 802.2 ile tanımlanır. Media Access
Control alt katmanı ise network adaptörü ile doğrudan iletişim kurarak
verilerin iletilmesini sağlar.
802.1 OSI modeli

Logical Link Control (LCC) 802.2 Logical Link Control
OSI
802.3 CSMA/CD
Data-Link
802.4 Token bus
Katmani
Media Access Control (MAC) 802.5 Token Ring
802.5 Token Ring
Yukardaki tablodan da görüldüğü gibi IEEE Project 802, OSI katmanlarından

Data Link katmanını daha ayrıntılı hale getirmek için iki ayrı alt katmana
bölmüştür. IEEE 802.3, LAN standartlarını Ethernet’e çevirmektedir. IEEE 802.5
ise LAN standartlarını Token Ring’e çevirmektedir.
Data Link Katmanındaki

Swıtch ve Brıdge’ler
Switch ve Bridge aygıtları, Data Link katmanında çalışarak MAC adresine
göre network’u filtrelemeyi sağlarlar. Böylece ikinci katman üzerinde oluşan
filtreleme yönlendirmeyi sağlar.
Network’lerde, Hub aygıtlarının yerine switch kullanmanın başlıca nedeni

collision domain denen trafikteki çakışmanın önlenmesidir. Hub aygıtların
çok fazla çatışmaya neden olurlar. Bkz. Fiziksel katman.
Physıcal (Fiziksel) Katman

En alt katmandır. Verileri bit olarak iletir. Bu katmanda network kablosu
(medya) ile iletişim kurulur. Fiziksel katman düzeyinde verilerin sayısal olarak
(basebant) koaksiyel kablo, UTP ya da fiber-optik üzerinden iletimi yapılır.
Fiziksel iletimle ilgili yaygın olarak IEEE 802.3, 802.4 ve 802.5 standartları
kullanılır. Bunun dışında ANSI FDDI (Fiber Distributed Data Interface) standardı
ve daha sonra çıkan yeni standartlar vardır.
Fiziksel katman, verinin gönderilmesini ve alınmasını tanımlayan katmandır.

Kablolamayı ve network kartına bağlanmayı sağlayan birimleri içerir. İletim
ortamındaki sinyal iletimini kontrol eder.
Network İletişiminde Paketlerin

Yapısı
Büyük miktardaki verileri (dosyaları) bir bütün olarak network üzerinde
transfer etmek mümkün değildir. Bu nedenle verileri belli parçalara bölünür.
Bu parçalara paket ya da frame denir.
Verilerin küçük parçalara bölünerek network üzerinden iletimi için diğer

nedenler ise; iletimin kesintisiz uzun sürmesidir. Bunun dışında veriler küçük
parçalara bölünerek hatasız iletilmesi sağlanır.
Paketlerin Yapısı
Paketler verinin yanı sıra kontol alanları da içerirler. Bunlar iletişim ve hata ile
ilgili kontrollerdir. Bir paketin içeriğinde şunlar yer alır:
• Gönderen bilgisayarı tanımlayan kaynak adresi.
• Gönderilecek veri.
42 TEMEL NETWORK
• Gideceği adres.
• Veri iletimi için komutlar.
• Alıcı bilgisayarın paketi alması ve açması için kullanacağı bilgiler.
• Verinin ulaştığını kontrol eden hata kontrolü bilgisi.
Bir pakette belli kısımlardan oluşur. Bu kısımlar şunlardır:

• Header (ön bilgi)
• Data (veri)
• Trailer (izleyen)
Header bilgisi verinin iletildiğini belirten bir sinyaldir. Kaynak verinin adresini,
gideceği yerin adresi ve zamanlama bilgisi bu alanda yer alır.
Veri kısmında gidecek gerçek veri bulunur. Verinin boyutu network tipine
göre değişir. Büyüklük 512 bayt ile 4 K arasında değişir. İzleyen kısmında ise
verinin hata kontrolü yapılır. Bu işleme CRC (Cyclical Redundancy Check) denir.
Frame’nin formatı CRC (Cyclic Redundancy Check) ile kontrol edilir.
Ethernet 802.3 Frame Özellikleri:
FSD (Preamble and Start of 8 bayt uzunluğundaki bu bilgi Ethernet adaptörü

Frame Delimeter) tarafından üretilir. Veri iletimine başlanacağını belirtir.
Destination Address Network Interface Card (NIC) ve network yöneticisi
tarafından atanan network adresi.
Source Address Network Interface Card (NIC) ve network yöneticisi
tarafından atanan network adresi.
Length Veri alanının uzunluğu (2 bayt)
Data and Pad Paket başlangıcını network’a yayınlar.
FCS (Frame Check Sequence) Hata kontrolü sağlar.
Ethernet 802.5 Frame Özellikleri:
SD (Start Delimeter) Bir token’in başlangıcını gösterir.

AC (Access Control) Token-Ring öncelik sistemini belirtir.
FC (Frame Control) Paketin veri mi yoksa kontrol mü içerdiğini gösterir.
DA (Destination Address) 6 bayt uzunluğunda hedef adres.
SA (Source Address) Gönderen istasyonun 6 bayt uzunluğundaki tam adresi
FCS (Frame Check Sequence) CRC hesaplamasının sonucu.
ED (End Delimeter) Frame’nin sonunu gösterir.
FS (Frame Status) Gönderen istasyona iletimin başarılı ya da başarısız
olduğunu belirtir.
Cısco’nun Üç Katmanlı
Hiyerarşik Modeli
Cisco hiyerarşik modeli büyük ve hiyerarşik network’lari tasarlamak ve
uygulamak için geliştirilmiştir. Hiyerarşik modelde üç katman vardır:
• Core Layer
• Distribution Layer
• Access Layer
Bu yapıda her katmanın kendine ait görevleri vardır ve katmanlar mantıksal bir
ilişkiyi ifade eder.
44 TEMEL NETWORK
Core Layer
Core layer (çekirdek katmanı) hiyerarşinin tepesindedir. Amacı trafiği hızlı ve
güvenilir bir şekilde aktarmaktır. Bu katmanda bir sorun olduğunda herkes
etkilenir. Bu nedenle hata toleransını düşünmek gerekir.
Bu katmandaki network genellikle hızlı bağlantılarla yapılır. FDDI olabilir.
Distribution Layer
Bu katman, core katmanla access katmanı arasında iletişim sağlar. Bu katmanın
ana görevi yönlendirme (routing), filtreleme, WAN erişimi ve paketlerin access
katmanına erişimini belirlemektir.
Distribution katmanı, bir sunucudan yapılan isteğin en kısa yolunu belirler

ve isteği core katmanına yönlendirir. Core katmanı isteği yerine getirir.
Distribution katmanında yapılan işlemler:
• Erişim listeleri, paket filtreleme ve sıralama gibi işlemler.
• Adres dönüştürme gibi güvenlik ve network ilkeleri.
• Yönlendirme protokollerinin yeniden dağıtılması.
• Vlan’lar arasında yönlendirme.
• Broadcast ve multicast domain’leri arasındaki tanımlamalar.
Access Layer
Bu katman kullanıcıların ağ kaynaklarına erişimini kontrol eder. Kullanıcıların
gereksinim duydukları kaynakların yerel olarak erişilebilir olması gerekir. Bu
katmanda network’un bölümlenmesi (segmentation) yapılır.
Network Aygıtları Arasında

Kablolama
Bu bölümde network’lara bağlanmak için gereken değişik kablolama türlerine
bir bakalım:
Ethernet Bağlantıları
Ethernet ortamındaki temel bağlantı bileşenleri şunlardır:
Türü Açıklama
50-ohm koaksiyel. Thinnet. 185 metreye kadar. Her segmentte (network’te) 30
10Base2
aygıt.
50-ohm koaksiyel. Thicknet. 500 metreye kadar. Her segmentte (network’te)
10Base5
208 aygıt.
Category 3, 4, 5. UTP kablo. Her segment 100 metreye kadar. RJ-45
10BaseT
konnektörler kullanılır.
Category 5, 6, 7. UTP kablo. Her segment 100 metreye kadar. RJ-45
100BaseTX
konnektörler kullanılır.
100BaseFX Fiber kablo. Her segment 400 metreye kadar. ST ve SC konnektörler kullanılır.
1000BaseCX Bakır kablo (Copper shielded twisted-pair). Her segment 25 metreye kadar.
Tüm bu çeşitlerin dışında artık günümüzde bakır kablo ile 10Gbps hız da elde
edilebilmektedir. Bunun için de kablonun en az Cat6 olması gerekir.
RJ-45 UTP Bağlantıları

UTP bağlantıların Straight (düz) ve Crossed Over (çapraz) olarak adlandırılan
iki tür kablo bağlantısı yapılır. Düz kabloda uçlar aynı sırada bağlanır:
Düz (straight) kablo uçları:

Pin Label ------------- Pin Label
1 RD+ <--------- 1 TD+
2 RD- <--------- 2 TD-
3 TD+ ----------> 3 RD+
4 NC 4 NC
5 NC 5 NC
6 TD- ----------> 6 RD-
7 NC 7 NC
8 NC 8 NC
46 TEMEL NETWORK
Düz kabloları şu işler için kullanırsınız:

• Router’ı hub ya da switch’e bağlamak.
• Server’ı hub ya da switch’e bağlamak.
• Client, sunucu ya da herhangi bir network aygıtını switch’e bağlamak.
Düz Bağlantı Tipi
Çapraz kabloları şu işler için kullanırsınız:

• Switch’ler arasında uplink’leri bağlamak için.
• Hub’ları switch’lere bağlamak.
• Bir hub’ı diğer bir hub’a bağlamak için.
Çapraz Bağlantı
Console Bağlantıları
Birçok network cihazının yönetim için özel console
bağlantısı bulunur. Bu bağlantılar aygıta bağlanmanızı
ve yapılandırmanızı sağlar.
Console Kablosu
Broadcast Ve Collısıon Domaın

Broadcast ve collision domain’ler, switch ya da router’lerin birbirinden ayrıldığı
tanımsal yapılardır. Öncelikle dokümanlarda geçen sembollere dikkat etmek
gerekiyor.
Hub Switch Router
Hub’lar teknoloji olarak en eski, aptal cihazlar olduğundan bir hub’da aynı
anda yalnızca bir cihaz veri iletişimi yapabilir. Eğer birden fazla cihaz aynı
anda veri göndermeye çalışırsa çakışma (collision) oluşur. Hub’lar MAC
bilgisini tutmazlar, kaynaktan gelen paketi her seferinde diğer tüm portlara
gönderirler. Bu yüzden her hub, bir collision domain’ini simgeler. Birden fazla
hub’ın birbirine bağlanması da yine tek collision domain’ini oluşturur.
48 TEMEL NETWORK
Switch’ler ise portlarındaki cihazın MAC adreslerini tutabildikleri için paketi

yalnızca hedefe gönderirler. Bu yüzden switch’in her bir portu bir collision
domain’idir.
Aşağıdaki resimde 4 Collision domain’i vardır. Dikkatle inceleyiniz:
Aşağıdaki resimde de 7 Collision domain’i vardır. Dikkatle inceleyiniz.

Broadcast domain’leri ise router’in (ya da L3 switch’lerin router olarak

kullanıldığı) ayırdığı her bir farklı IP subneti için kullanılır. Router’ler
broadcast’iıgeçirmezler.
Basit anlamda router’in her bir interface’si bir broadcast domain’idir. Şimdi
örneklere bakalım :
Bu resimde 2 broadcast domain’i, 9 collision domain’i vardır. Dikkatle

inceleyiniz.
50 TEMEL NETWORK
Aşağıdaki en karmaşık şekli dikkatle inceleyiniz:
Network Cihazlarının Tespiti

Ağımızdaki cihazların tespiti ve yine bu cihazların diğer cihazları tespiti çeşitli
protokoller ile yapılmaktadır. Cisco cihazlar birbirini CDP (Cisco Discovery
Protocol), diğer tüm ağ cihazları da LLDP (Link Layer Discovery Protocol)
protokolü ile tespit ederler.
Cdp Protokolü
CDP yalnızca Cisco cihazlarda çalışan bir protokoldür. Default olarak tüm Cisco
cihazlarda açık durumdadır.
Güncel Ccna Sınav

Sorularından Örnekler
1. Refer to the exhibit. PC_1 is exchanging packets with the FTP server. Consider
the packets as they leave RouterB interface Fa0/1 towards Router.
Drag the correct frame and packet addresses to their place in the table.
CEVAP :
2. Which command can be used from a PC to verify the connectivity between

hosts that connect through a switch in the same LAN?
A. ping address
B. tracert address
C. traceroute address
D. arp address
CEVAP : A
52 TEMEL NETWORK
3. Which router IOS commands can be used to troubleshoot LAN connectivity

problems? (Choose three.)
A. ping
B. tracert
C. ipconfig
D. show ip route
E. winipcfg
F. show interfaces
CEVAP : A,D,F
4. Which layer in the OSI reference model is responsible for determining the
availability of the receiving program and checking to see if enough resources
exist for that communicaton?
A. transport
B. network
C. presentaton
D. session
E. Applicaton
CEVAP : E
5. A network administrator is verifying the configuration of a newly installed host

by establishing an FTP connection to a remote server. What is the highest layer
of the protocol stack that the network administrator is using for this operation?
A. applicaton
B. presentaton
C. session
D. transport
E. internet
F. data link
CEVAP : A
6. What does a Layer 2 switch use to decide where to forward a received frame?
A. source MAC address
B. source IP address
C. source switch port
D. destination IP address
E. destination port address
F. destination MAC address
CEVAP : F
7. Refer to the exhibit:
How many broadcast domains are shown in the graphic assuming only the
default VLAN is configured on the switches?
A. one
B. two
C. six
D. Twelve
CEVAP : A
54 TEMEL NETWORK
8. Which of the following correctly describe steps in the OSI data Encapsulation
process? (Choose two)
A. The transport layer divides a data stream into segments and may add
reliability and fow control information.
B. The data link layer adds physical source and destination addresses and an
FCS to the segment.
C. Packets are created when the network layer encapsulates a frame with source
and destination host addresses and protocol-related control information.
D. Packets are created when the network layer adds Layer 3 addresses and
control information to a segment.
E. The presentaton layer translates bits into voltages for transmission across
the physical link.
CEVAP : A,D
9. A receiving host computes the checksum on a frame and determines that the
frame is damaged. The frame is then discarded. At which OSI layer did this
happen?
A. session
B. transport
C. network
D. data link
E. Physical
CEVAP : D
10.DRAG DROP
Match the terms on the lef with the appropriate OSI layer on the right. (Not all
options are used.)
CEVAP:
56 TEMEL NETWORK
11.Refer to the exhibit :
An administrator pings the default gateway at 10.10.10.1 and sees the output
as shown. At which OSI layer is the problem?
A. data link layer
B. applicaton layer
C. access layer
D. session layer
E. network layer
CEVAP : E
12.On which OSI layer does a VLAN operate?

A. Layer 1
B. Layer 2
C. Layer 3
D. Layer 4
CEVAP : B
13.A receiving host computers the checksum on a frame and determines that
the frame is damaged. The frame is then discarded. At which OSI layer did this
happen?
A. session
B. transport
C. network
D. data link
E. Physical
CEVAP : D
What two results would occur if the hub were to be replaced with a switch that
is configured with one Ethernet Vlan? (Choose two.)
A. The number of collision domains would remain the same.
B. The number of collision domains would decrease.
C. The number of collision domains would increase.
D. The number of broadcast domains would remain the same.
E. The number of broadcast domains would decrease.
F. The number of broadcast domains would increase.
CEVAP : C,D
15.If a router has four interfaces and each interface is connected to four switches,
how many broadcast domains are present on the router?
A. 1
B. 2
C. 4
D. 8
CEVAP : C
58 TEMEL NETWORK
59
IPV4 -
SUBNETTING
4
IP’ler, network cihazlarının telefon numaraları gibidir. Networkteki tüm öğeler

birbirleri ile IP’leri ile haberleşirler. Durum böyle olunca bir sürü IP ihtiyacı
doğmuş ve iç network’umuzda kullanılacak IP aralıkları belirlenmiştir:
Local IP aralıkları:
Başlangıç Bitiş
192.168.0.0 192.168.255.255
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
Bir IPv4 adresi octet’lerden oluşur. Her octet . (nokta) ile birbirinden ayrılır. Her
Octet 0-255 arası bir değer alabilir.
Bir IP adresi Subnet Mask’ına bağlı olarak Network ID ve Host ID bölümlerinden

oluşur. Network ID, network’un değişmeyen bölümüdür. Network ID değişirse
farklı bir network olur ve arada router olmadan diğer network’le haberleşmesi
mümkün olmaz.
60 TEMEL NETWORK
Host ID ise her client için değişen; o client’i adresleyen bölümdür. Bu

söylediklerimden rahatça; Network ID küçülürse (bu Host ID büyüyor demek)
o network’te daha çok client olabilir demek olduğunu çıkarabilirsiniz. Tersi de
doğrudur. Yani Network ID büyüdükçe, o network’te bulunan client sayısı da
azalmaktadır.
Yukarıdaki örnekte bir C sınıfı IP yer almaktadır. Günümüzde en çok kullanılan

sınıftır. Bu sınıf IP’lerde 4. octet host ID’dir, yani değişir. Bir IP’nin ağ geçidinde
kullanıldığını düşünürsek bu sınıf network’larda en fazla 253 IP kullanılabilir.
Local IP aralıklarında belirlenen IP’ler dışında IP blokları kullanabilir miyiz?
Bana en çok sorulan sorulardan birisi de hocam bu local IP aralıklarından değil

de farklı IP bloğu kullanırsak ne olur? Örneğin 1.1.1.X gibi bir blok kullansak?
Hem yazması, hem okuması, her şeyi kolay.
Bu IP gerçekte Avustralya’daki bir IP’dir. Varsayalım ki abc.com domain’inin IP’si

bu bloktaki 1.1.1.10 IP’si olsun. Şirketinizde bu 1.1.1.0 bloğunu kullanırsanız
hayatınız normal devam eder, ancak abc.com sitesine giremezsiniz. Sebebi
de DNS’niz, bu domain’i çözümleyip IP’sini öğrendiğinde sonucu 1.1.1.10 IP’si
olarak bilgisayarınıza söyler. Bilgisayarınızda bu IP’nin iç network’umuzdaki
IP olduğunu düşünür bu siteyi iç network’unuzda arayacak ve ağ geçidinden
çıkıp gerçek siteye gidemeyecektir. Bu tüm 1.1.1.X IP’lerini kullanan domain’ler
için geçerlidir. Aynı şekilde bu aralıktaki domain’lere mail, FTP vs. erişimleri de
olamayacaktır.
IPV4 - SUBNETTING 61
İki bilgisayarın birbirlerini görebilmesi için IP ve Subnet Mask yeterli olacaktır:
Bir network’taki iki client’in birbiri ile haberleşmesi için Network ID’lerinin aynı
olması gerekmektedir. Bu her ikisi de aynı network’te demektir. Network ID ise
bir client’in IP adresi ile Subnet Mask’ının AND işlemi sonucu hesaplanır. Şimdi
gelin bu işlem nasıl yapılıyor bir örnekle görelim .
Önce AND işlemine bakalım. Aslında AND işlemini çarpma gibi de

düşünebilirsiniz.
0 AND 0 = 0
1 AND 0 = 0
0 AND 1 = 0
1 AND 1= 1
Şimdi örneğimize bakalım. Aşağıdaki iki bilgisayar IP’si birbiri ile haberleşir mi?
Client 1 Client 2
IP Adresi 172.19.19.118 172.19.19.129
Subnet Mask 255.255.255.128 255.255.255.128
62 TEMEL NETWORK
Her client için network ID’leri hesaplayalım. Bu işlemden sonra çıkan Network
ID’leri aynı ise haberleşir diyoruz. Network ID’leri hesaplamak için IP’leri 10’luk
sistemden (Decimal sistem), 2’lik (Binary sistem) sisteme çevirelim. Bunu
Windows işletim sistemli bilgisayarınızda hesap makinesinin programlayıcı
görünümünde kolayca yapabilirsiniz. Aşağıdaki resimde ilk octet 172’nin
binary’ye çevirilişi yer almaktadır:
10101100.00010011.00010011.01110110 >Client 1 IP
11111111.11111111.11111111.10000000 >Client 1 Subnet Mask
---------------------------------------------------AND işlemi
10101100.00010011.00010011.00000000 >Client 1 Network ID
172 . 19 . 19 . 0
10101100.00010011.00010011.10000001>Client 2 IP
11111111.11111111.11111111.10000000>Client 2 Subnet Mask
---------------------------------------------------AND işlemi
10101100.00010011.00010011.10000000 İkinci NETWORK ID
172 . 19 . 19 . 128
İki network ID aynı olmadığı için bu iki sistem birbirini göremez.
Peki birbirine çok yakın iki IP neden birbirini göremedi? Bunun sebebi genelde
kullandığımız C Class’ın Subnet Mask’ından farklı Subnet Mask kullanmamızdır.
Aslına bakarsanız bir network’un büyüklüğünü Subnet Mask ayarlar.
O zaman madem network’un büyüklüğünü birçok insanın hiç önemsemediği,

ne işe yaradığını bilmediği Subnet Mask ayarlıyor, gelin şu Subnet Mask’ı
derinlemesine inceleyelim ve sonra da kendi sistemlerimiz için nasıl Subnet
Mask’lar kullanabileceğimize bir bakalım.
Subnet Mask’ta bir altın kural vardır, o da Subnet Mask’ın binary halinde
”sıfırdan sonra 1 gelmez” bir yerde sıfır geldi mi hepsinin sıfır olması lazım. Bu,
kafamıza göre rastgele bir Subnet Mask yazamayız; dünyada kullanabilecek
Subnet Mask’lar sınırlı ve belli anlamına gelmektir. Peki ağımızı nasıl
genişletebiliriz ya da daraltabiliriz? Elbette Subnet Mask ile oynayarak. Mevcut
bir Subnet Mask’taki en sağdaki 1, sıfıra dönüştüğünde network’taki client
sayısı 2’ye katlanır. Bu işlemi yapmaya devam ederseniz tekrar 2’ye katlanır ve
bu böyle devam eder. Tersi de doğrudur. Yani en sağdaki 1’in yanındaki sıfır, 1’e
dönüştüğünde network 2’ye bölünmüş olur ve bunu tekrarlarsanız bölünmeye
devam eder. Örnekle açıklayalım:
Örneğimizde IP’nin hiç önemi yoktur, network’un büyüklüğünü Subnet Mask

belirlediğinden sadece Subnet Mask’a odaklanın.
Ağımızdaki bir bilgisayarın IP’si 192.168.1.75 Subnet Maskı ise sık kullanılan
C class 255.255.255.0 olsun. Şu Subnet Mask’ı binary’e çevirelim:
11111111.11111111.11111111.00000000
Şimdi bu haliyle bu network’te sadece 4. octet değiştiğinden ağınızda 256

adet IP olur. (0-255 arası toplam 256 IP). Burada Subnet Mask’ın 0 (sıfır)’larının
IP adresindeki karşılıklarını and işleminde etkisiz kıldığından, Subnet Mask’taki
0’lara karşılık gelen IP adresindeki kısımlar değişebilir demektir. Yani sıfırlar
Host ID kısmını belirler. Örneğimiz üzerinde açıklarsam :
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.255.0 > 11111111.11111111.11111111.00000000
Yukarıda gördüğünüz gibi Subnet Mask’taki 0 olan kısımların IP karşılıkları

önemsizleşir. Yani sonuçta AND işleminde yukarıdaki IP’de 0 da olsa, 1 de
64 TEMEL NETWORK
olsa Subnet Mask 0 olduğundan sonuç aşağı 0 olarak düşecektir. Dolayısıyla

Subnet Mask’taki 0’lara karşılık gelen IP’deki değerler değişebilir hale gelir. Yani
Subnet Mask’taki 0’ların sayısını altın kurala uygun arttırırsam network büyür,
azaltırsak da network küçülür. Şimdi biz yukarıdaki Subnet Mask’ı bir kademe
küçültürsek bakın neler oluyor :
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.255.128> 11111111.11111111.11111111.10000000
Fark ettiyseniz en sondaki 1’in yanına bir tane daha 1 geldi ve 1’ler arttığından
network 2’ye bölündü. Çünkü artık sonradan gelen 1’in karşısındaki, IP’deki
değer artık önem kazandı. Artık değişebilir değil. Artık o değişirse network
ID yani network değişir, çünkü and işleminin sonucu değişir. Peki şimdi ne
oldu? Artık nur topu gibi iki subnet’imiz var. Bölünmeden önce 0-255 arası
değişebilen ve 256 IP barındıran network’umuz artık yeni Subnet Mask ile
0-127 ve 128-255’lik 2 parçaya ayrıldı.(128 IP’lik 2 bölüm) Yani bu Subnet Mask
ile 192.168.1.125 ve 192.168.1.129 ayrı dünyaların insanı haline geldi. Çünkü
birisi ilk subnet’te kalıyor, diğeri ikinci subnet’te. Bu arada subnet, bölünen
network parçalarından her birine verilen isimdir. Alt network anlamını taşır.
Özetle bizim yukarıdaki 75’le biten IP artık 127’ye kadar olan IP’ler ile (kendi
bulunduğu subnet’teki IP’ler) haberleşebilir.
Şimdi bir seviye daha network’umuzu küçültelim ve yeni bir 1 daha subnet’e
altın kurala uygun ekleyelim:
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.255.192 > 11111111.11111111.11111111.11000000
Şimdi de ilk network’umuzu 4’e bölmüş olduk. (Gelen her yeni bir 2 ye böler).
Artık bu yeni Subnet Mask ile 0-63 / 64-127 / 128-191 / 192-255 arasında olmak
üzere 4 subnet’e bölünmüş olur.. Artık bizim 75’le biten IP yalnızca 64-127 arası
IP’ler ile haberleşebilir.
Şimdi de mevcut network’ümüzü genişletmek için orjinal Subnet Mask’taki en

sağdaki 1’i sıfıra dönüştürelim:
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.254.0 > 11111111.11111111.11111110.00000000
Şimdi de orjinal 0-255 arası IP barındıran network’umuz 2’ye katlandı. Yani

artık 2x256 = 512 IP’lik bir network’umuz var.
Yani artık Subnet Mask dikkat ederseniz 3. octet’e de müdahale ettiğinden

3. octet’in son basamağındaki değişikliklerde etkisiz hale geldi ve değişebilir
oldu. Bunun sonucu olarak artık 192.168.0.0 ile 192.168.1.0 network’ları aynı
network’ta yer almakta ve birbiri ile haberleşebilmektedir. Yalnız dikkat edin 3.
octet’teki rastgele iki network değil, 0’dan başlamak üzere her 2 network artık
yeni bir 512’li network oluşturur.
192.168.0.0 + 192.168.1.0 = 1. network (512 IP Lik)
192.168.2.0 + 192.168.3.0 = 2. network(512 IP Lik)
192.168.4.0 + 192.168.5.0 = 3. network(512 IP Lik)
192.168.6.0 + 192.168.7.0 = 4. network(512 IP Lik)
................ ............... ............
Bu Subnet Mask (255.255.254.0) ile artık bizim 75’le biten IP bırakın, (192.168.1.)
ile başlayan bütün IP’lerle haberleşmeyi, (192.168.0.) ile başlayan bütün IP’ler
ile de haberleşebilmektedir.
Gelin bir seviye daha büyütüp daha iyi anlamanızı sağlayalım. Orjinal Subnet
Mask’taki 2 tane 1’i (biri) 0’a (sıfıra) dönüştürüyorum:
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.252.0 > 11111111.11111111.11111100.00000000
Şimdi de orjinal 256 IP’lik network’umuzu 4 kat büyütmüş olduk. Yani

artık 4 adet C Class network tek bir network oldu 1024 IP’lik kocaman bir
network’umuz oldu. Oluşan network’lar artık şöyledir :
192.168.0.0 + 192.168.1.0+192.168.2.0+192.168.3.0 = 1. network (1024
IP Lik)
192.168.4.0 + 192.168.5.0+192.168.6.0+192.168.7.0 = 2. network (1024
IP Lik)
192.168.8.0 + 192.168.9.0+192.168.10.0+192.168.11.0 = 3. network
(1024 IP Lik)
................ ............ ............. .........
................
Artık bizim 75 ile biten IP’miz yeni Subnet Mask’ı (255.255.252.0) ile 192.168.0.0,
192.168.1.0, 192.168.2.0, 192.168.3.0 network’larının hepsiyle haberleşebilir.
Günlük hayatımızda network’ları büyütmek değil küçültmek hedeftir. Çünkü

network ne kadar çok client barındırıyorsa sorunlar, riskler o denli çoğalır.
Bu yüzden de mevcut network’u subnet’ lere bölmek akıllıcadır. Şahsi
kanaatim bu bölünme sınırının en fazla 100 IP olmasıdır. Yani 100 client ve
66 TEMEL NETWORK
üzeri bir network’a sahipseniz, network’unuzu subnet’lere bölmenizi tavsiye

ederim. (Bu 100 client’e network cihazları da dahildir. IP telefon, Access Point,
network yazıcısı, IP kamera, kısaca IP alan her cihaz.) Tüm bunlardan öte
yeri gelmişken network’unuzda kullanacağınız çok sayıda IP kamera ve IP
telefon var ise bunları da switch olarak tamamen ayırmanızı da öneririm. Bu
tür network’larınızı tamamen ayrı bir POE switch’te toplayın ve mümkünse IP
telefon ile IP kamera switch’lerini de ayırın. Yoksa download eden ya da bir
bilgisayardan bir bilgisayara ağ üzerinden yüzlerce gigabayt’lık film kopyalayan
kullanıcılar yüzünden IP telefon görüşmelerinizde aksamalar yaşayabilirsiniz.
Özetle bir Subnet Mask’ta :

11111111.11111111.11111111.100000000
sondan başa doğru;
>>>>>>> sıfırlar azaldıkça networkümüz küçülür
<<<<<<< sıfırlar arttıkça networkümüz büyür
IP Sınıfları
Bir IP’nin hangi sınıf IP olduğu 1. octet’inin değerine göre belirlenir.
Örneğin W.X.Y.Z şeklinde bir IP’miz var ise:
LoopBack Adres
Bu tabloda W değerlerinde bir eksiklik dikkatinizi çekti mi? 127 yok ! Çünkü
127 ile başlayan tüm IP’lere LoopBack adres denir ve bu adres zaten mevcut
IP’li client’in kendisidir. Örneğin IP’niz 192.168.1.75 ise siz ping 127.10.10.10
‘a (127 ile başlayan herhangi bir adrese) ping attığınızda pingin çalıştığını
göreceksiniz, yani karşı IP’nin cevap verdiğini. Aslında cevap veren kendi
192.168.1.75’li IP’nizdir.
Apipa Adres
Network’unuzda bir client’in 169.254.X.X ile başlayan IP aldığını görürseniz bu
IP’yi client’iniz kendi kendine üretmiş, otomatik IP alamamış demektir. Apipa
Automatic Private, IP Address kısaltmasıdır. Apipa adresleri hiç bir zaman
çakışmazlar, client’ler gerekirse kendi apipa adreslerini diğerlerine göre tekrar
düzenler. Bu adres yapısı IPv6’da da gelişerek link Local IP address halini
almıştır.
Her network’te en baştaki ve en sondaki IP’ler kullanılmaz. Baştaki

kullanılmayan IP’yi network, Network ID olarak kullandığından, sondaki IP’yi
de Broadcast adresi olarak kullandığından bu IP’ler client’lere verilemez. Bir
network küçük subnet’lere bölündüğünde her subnet için de bu geçerlidir.
Yani her subnet’te de baştaki ve sondaki 1’er IP kullanılamaz.
Örnek Soru 1:
192.168.1.0/24 network’unu 3 subnet’e bölebilir miyiz? (Bu gösterimdeki 24

Subnet Mask’ı gösteriyor. Bu gösterime Cisco’da CIDR gösterimi denir. Buradaki
24 Subnet Mask’taki 1 sayısını ifade eder. 11111111.11111111.11111111.0000
0000 24 tane bir var.)
1) 2n >= İstenen subnet sayısı olmak üzere en küçük n değeri bulunur. Yani bu
soru için n=2, Buradan 22=4 subnet olacak. Soruda 3 subnet istenmiş ama
malesef, network’lar 2’nin üsleri kadar (2, 4, 8, 16, 32...) subnet’lere bölünebilir.
Dolayısıyla oluşan 4 subnet’in 3’ünü kullanırlar, kalan 1 tanesini de ilerideki
genişlemelerinde kullanabilirler.
2) Yeni Subnet Mask = Eski + n
Bu soru için YSM = 24+2 = 26 Bit. Yani yeni Subnet Mask 11111111.11111111
.11111111.11000000 olur. Bu da decimal sistemde 255.255.255.192 demektir.
3) HOST ID=2 (yeni Subnet Mask’taki 1’ler ve 0’ların karışık olduğu octet’deki sıfır sayısı.)
Örneğimize göre yeni Subnet Mask’taki 1’ler ile 0’ların karışık olduğu 4. octet
de 6 sıfır olduğuna göre Host ID= 26 = 64
68 TEMEL NETWORK
4) Şimdi de oluşan subnet’lerin IP aralıklarını bulalım:
Aşağıdaki gibi bir tablo yapıp soruda verilen network’un ilk IP’sini 1.subnet
başlangıç IP’si olarak yazınız:
Şimdi yeni Subnet Mask’taki 1’ler ile 0’ların karışık olduğu octet, 4.octet
olduğundan; bu ilk IP’nin 4. octet’ine, 3. adımda bulduğumuz Host ID
değerlerini ekleyerek diğer subnet’lerin Başlangıç IP’lerini bulalım:
Bu network’te hiç boşta, kullanılmayan IP olmayacağına göre ve bu listedekiler

ilk kullanılabilir IP olduklarına göre; birer azı Network ID’leri, bunların da
birer eksiği bir önceki subnetin Broadcast adresi, bu adresin de bir eksiği o
subnet’in Bitiş IP’si dir.
Bu şekilde tüm subnet’leri doldurursak:
Peki 4.subnet’in IP’leri nasıl olacak? Dikkat ettiniz ise Bitiş IP’lerinde de,
Broadcast adreslerinde de yine tüm her yerdeki gibi 4.octet Host ID kadar
artarak aşağı inmiş. Aynı şekilde 3.subnet’in Bitiş ve Broadcast IP’lerinin
4.octet’lerine Host ID değerini ekleyerek 4.subnet’inkileri bulalım :
5) Her subnet’teki Kullanılabilir IP Sayısı = 2(yeni Subnet Mask’taki toplam 0 sayısı) -2
Bu örneğimiz için : 26 - 2 = 64-2 = 62 IP

6) Toplam IP Sayısı = 4 Subnet x 62 IP = 248
Gördüğünüz gibi aslında hiç bölmeden önce 0-255 arası toplam 256 IP,
kullanılabilir ise 254 IP’miz var iken subnetting sonucu, her subnet’te verdiğimiz
firelerden toplamda 248 IP’miz kalıyor. Önemli olan buradaki IP kaybımız değil,
subnetting sonucu kazandığımız performanstır.
70 TEMEL NETWORK
Örnek Soru 2:
172.16.0.0/16 network’unu 5 subnet’e bölebilir miyiz?

1) 2n >= İstenen subnet sayısı olmak üzere en küçük n değeri bulunur.
Bu soru için n=3, buradan 23=8 subnet olacak. Soruda 5 subnet istenmiş ama
malesef network’ler 2’nin üsleri kadar (2, 4, 8, 16, 32, ...) subnet’lere bölünebilir.
Dolayısıyla oluşan 8 subnet’in 5’ini kullanırlar, kalan 3 tanesini de ilerideki
genişlemelerinde kullanabilirler.
2) Yeni Subnet Mask = Eski + n
Bu soru için YSM = 16+3 = 19 Bit. Yani yeni Subnet Mask 11111111.111111
11.11100000.00000000 olur. Bu da decimal sistemde 255.255.224.0 demektir.
3) HOST ID=2(Yeni Subnet Mask’taki 1’ler ve 0’ların karışık olduğu octet’teki sıfır sayısı.)
Örneğimize göre yeni Subnet Mask’taki 1’ler ile 0’ların karışık olduğu 3. octet
de 5 sıfır olduğuna göre Host ID= 25 = 32
4) Şimdi de oluşan subnet’lerin IP aralıklarını bulalım:
Aşağıdaki gibi bir tablo yapıp soruda verilen network’un ilk IP’sini 1. subnet
başlangıç IP’si olarak yazınız:
Sonra Host ID’yi yeni Subnet Mask’ta 1’ler ile 0’ların karışık olduğu 3. octet’e
ekleyerek diğer subnet’lerin başlangıç IP’lerini bulalım:
Şimdi de başlangıç IP’lerinden birer eksilterek önceki network ID ve diğer

subnet’lerin Broadcast ve Bitiş IP’lerini bulalım:
Yukarıda başlangıç IP’lerinden birer eksiltirken dikkat etmişsinizdir,

diğer network’e geçiş yapılıyor. Örneğin 8. subnet’in Başlangıç IP
(172.16.224.1)‘sinden bir eksiltirsek o subnet’in, Network ID’sini (172.16.224.0)
bu IP’den de bir eksiği 7. subnetin broadcast adresidir. Bu IP 224’lü subnet’ten
bir önceki subnet’in son IP (172.16.223.255)’sidir.
5) Her subnet’teki kullanılabilir IP Sayısı = 2(Yeni Subnet Mask’taki toplam 0 sayısı) -2
Bu örneğimiz için : 213 - 2 = 8192-2 = 8190 IP

72 TEMEL NETWORK
6) Toplam IP Sayısı = 8 Subnet x 8190 IP = 65.520 IP
Sizlere yardımcı olması için Subnet Mask Referans tablosu aşağıdadır. Mask
Length kısmı IP den sonraki /24 gibi yazdığımız CIDR kısmıdır.
Bir başka subnet hesaplama hablosu:

Şüphesiz bu tür hesaplamaları yapan web siteleri ya da programlar

bulunmaktadır. Bu web sitelerine bir örnek: jodies.de/ipcalc
Bu tür sitelerde de önce mevcut durum sonra da yeni Subnet Mask sorulur,
buna göre hesaplama yapar.
Bir network’u bir sürü subnet’e böldüğümüzde bu subnet’lerin her birisi nasıl
internete çıkacaklar hiç düşündünüz mü? Çünkü artık subnet’ler birbirini
görmüyor ve her subnet’teki IP’lerin ağ geçitleri kendi subnet’inde olmak
zorundaki IP’ler erişebilsin. Bu da network’te her subnet için bir ağ geçidi
demek. Buradaki bir çözüm, bazı ufak şirketlerde kullanılan modemlerde birden
fazla IP Alias tanımlayabiliyoruz. Bu sorunun asıl çözümü router kullanmak,
router’in Lan interface’sine her subnet için ağ geçitleri ayrı ayrı tanımlamaktır.
Bu da genelde Vlan sonlandırma (Inter Vlan Routing) olarak kullanılır.
Zihinden Subnet’leme
Aşağıdaki IP’ler kaçıncı subnet’te, bulunduğu subnet’in Broadcast ve Network
ID’leri nelerdir? Kaç IP’li subnet’in içinde yer almaktadır?
Zihinden subnet hesabı yapmak gerçekten mümkündür. Şimdi gelin nasıl

oluyor bir bakalım.
Elimizde aşağıdaki gibi bir IP / Subnet Mask olsun:

192.168.10.33 = örnek IP adresi
255.255.255.224 = Subnet maskı
İlk olarak, yukarıdaki IP adresinin subnet ve broadcast adresini tespit

edelim. Bunu, her zaman sorudaki subnet’in son octet’ini 256’dan çıkararak
yapabilirsiniz:
256 – 224 = 32(32 IP lik Subnetteymiş)
Şimdi bu değerlerin katlarını 0 dan başlayarak bizi ilgilendiren sorudaki 33

IP’sini içine alacak kadar yazalım:
0
32
64
sonrasında duruyoruz. Çünkü ilgilendiğimiz 33 IP’si 32 ile 64 arasında yer

almaktadır.
74 TEMEL NETWORK
Unutmayın bu bizim yazdığımız IP’ler subnet’lerin Network ID’leridir.

Dolayısıyla bir sonraki subnet’in Network ID’si 64 ise ilgilendiğimiz subnet’in
BroadCast IP’si 63’tür.
0
32 63 Broadcast
64
Aradaki IP’ler ise kullanılabilir IP olarak kalır:

0
32 33-62 63 Broadcast
64
Şimdi bu bilgileri yazıya dökelim. 192.168.10.33 IP’sinin bulunduğu network’ta:

Network ID : 192.168.10.32
Başlangıç IP : 192.168.10.33
Bitiş IP : 192.168.10.62
Broadcast IP : 192.168.10.63
Gerçekten çok kolay, gelin başka bir tane deneyelim. Başka bir IP adresini
analiz edelim:
172.16.16.73 = IP Adresi
255.255.255.240 = Subnet mask
Yukarıdaki IP adresi için broadcast ve subnet adresleri nelerdir?
Önce adım değerimizi bulalım : 256-240= 16.(16 IP’lik subnet’teymiş. )
Şimdi aradığımız IP’yi (73) içine alana kadar adım değerinin katlarını bulalım:
0
16
32
48
64
80
Ve duruyoruz. 73’ü geçtik. Araştırdığımız IP 64 ile başlayan subnet’te. Hemen

analizlere başlayalım.
Bir sonraki subnet’in Network ID’si 80 ise bizimkinin broadcast’ı 79’dur. Aradaki
IP’ler de kullanılabilir IP’lerdir.
0
16
32
48
6465-78 79
80
Şimdi de analizlerimizi yazıya dökelim:

Network ID :172.16.16.64
Başlangıç IP :172.16.16.65
Bitiş IP : 172.16.16.78
Broadcast IP : 172.16.16.79
Daha iyi kavramak için bir örnek daha yapalım.

192.168.10.17 IP adresi
255.255.255.252 Subnet mask
Yukarıdaki IP adresi için broadcast ve subnet adresleri nelerdir?
Önce adım değerini bulalım : 256-252=4 (4 IP’lik subnet’teymiş.)
Şimdi adım değerinin katlarını aradığımız IP’yi içene alacak kadar yazalım:
0
4
8
12
16
20
Ve durduk. Aradığımız 17 IP’si, 16 ile başlayan subnet’te. Hemen bir sonraki

subnet’e (20) bakarak broadcast ve kullanılabilir IP’lerimizi yazalım:
Şimdi bu bilgileri yazıya dökelim.192.168.10.17 IP’sinin bulunduğu network’te:

Network ID :192.168.10.16
Başlangıç IP :192.168.10.17
Bitiş IP :192.168.10.18
Broadcast IP :192.168.10.19
76 TEMEL NETWORK
Güzel bir soru daha çözelim ve subnetting’e farklı bir açıdan bakalım:
Yukarıdaki sistemin çalışabilmesi için Subnet Mask ne olmalıdır.?
A) /25 B) /26 C) /27 D) /28 E) /29
Şimdi bir router’in her interface’si farklı bir network olmalıdır. Dolayısıyla
Subnet Mask’ı öyle bir ayarlamalıyız ki client IP ile ağ geçidi aynı network’te
kalmalı ama diğer client network’u, bu network’te olmamalı. Her iki client için
de IP ve ağ geçidini içine alan en küçük subnet, 16’lık subnet’tir. Dolayısıyla
doğru cevap /28’dir.
VLSM (Varıable Length Subnet

Maskıng)
VLSM, mevcut network’umuzu ihtiyaçlara göre subnet’lere ayırmaktır. Bunu
güzel bir örnekle açıklayalım:
Yukarıdaki gibi bir yapıda, merkezde 128 IP kullanılıyor. Şirketin büyümesinden

dolayı A, B ve C şubeleri için yukarıda verildiği gibi bir IP planlaması yapalım:
Önce en büyük istekten başlayalım. 53 kişi. Network’u 2’nin kuvvetlerine

bölebildiğimizden 53 kişiyi içine alan en küçük blok 64’lük bir subnet’tir.
Merkezde 192.168.100.0 - 127 arası IP’ler kullanımda. Dolayısıyla bizim için
başlangıç Network ID’si, 128’dir. Zihinden subnet sorularında yaptığımız gibi
bu 128’den başlayarak 64’lü bir subnet ayırdığımızda:
128 (başlangıç IP’mize 64 ekleyelim): 192
Şimdi 192 network ID’sine göre bir önceki network’un değerlerini bulalım:
128 129-190 191
192
Böylece C şubesi için tüm IP yapısı ortaya çıkmış oldu. C şubesinde:

Network ID : 192.168.100.128 /26
Başlangıç IP : 192.168.100.129
Bitiş IP : 192.168.100.190
Broadcast IP : 192.168.100.191
Sıra geldi 28 kişiye. Bunu da içine alan 2’nin kuvveti 32’lik bir bloktur. Dolayısıyla
32’lik blokların Subnet Mask’ları:
128 - /25
64 - /26
32 - /27
Bir önceki 64’lük subnet bölünmesinde 192’de kalmıştık. Dolayısıyla 192’den

başlayıp bu sefer de 32’lik bir subnet oluşturalım:
192 (32 ekleyelim)
224
Şimdi de önceki subnetting de yaptığımız gibi 192’li subnet’in değerini 224

den 1’er eksilterek bulalım:
192 193-222 223
224
78 TEMEL NETWORK
Böylece B şubesi için tüm IP yapısı ortaya çıkmış oldu. B şubesinde:

Network ID : 192.168.100.192 /27
Başlangıç IP : 192.168.100.193
Bitiş IP : 192.168.100.222
Broadcast IP : 192.168.100.223
Sıra geldi 5 kişiye... Bu elemanlara 8’lik bir IP bloğu ayırsak yeter de artar...
Bu arada IP bloklarını ayırırken 3 IP’nin kullanılmaz olduğunu unutmayınız.
(Network ID, Broadcast address ve router’in IP’si yani milletin ağ geçidi olan
IP). Network ID, Broadcast adresi ve Default Gateway için router’e verilecek IP...
Dolayısı ile bu kişiye 8’lik bir IP bloğu fazla değil, ancak yetiyormuş.
Bir önceki subnetting’den kaldığımız 224 IP’si.. Bu değeri Network ID’si olarak
alıp devam edelim. Bu sefer 8 ekleyeceğiz:
224 (8 ekleyelim): 232
Şimdi de bir sonraki Network ID’ye (232) bakarak 224’lü subnet’in değerlerini
bulalım:
224 225-230 231
232
Böylece A şubesi için tüm IP yapısı ortaya çıkmış oldu. A şubesinde:

Network ID : 192.168.100.224 /29
Başlangıç IP : 192.168.100.225
Bitiş IP : 192.168.100.230
Broadcast IP : 192.168.100.231
Classfull -
Classless IP Adresleri
Classfull adreslerde Subnet Mask’lar, IP adresinin hangi sınıfa ait olduğuyla
direk ilgilidir. IP adreslerinin ilk octet’leri sınıflarını belirlerler ve her sınıf için
Subnet Mask önceden belirlenmiş durumdadır.
Örnek vermek gerekirse 10.x.x.x gibi bir IP adresi A sınıfı bir IP adresidir ve
Classfull olarak çalışan bir sistem de bu adresin Subnet Mask’ı her zaman
255.0.0.0 olacaktır. Routing protokoller anlatılırken detaylı değinilecek RIP
ve IGRP protokolleri Classfull protokollerdir ve Subnet Mask’ı sınıflarına göre
kendileri belirlerler.
Yani siz 10.10.10.0/24 olarak kullansanız bile onlar /8 olarak hesaplamalarına

alırlar, anonslar bu da ortalığı karıştırır.
Classless adreslerde ise Subnet Mask sınıftan bağımsızdır. Şöyle ki 10.x.x.x

gibi bir IP adresine istendiğinde 255.255.255.0 gibi bir Subnet Mask verilebilir
ve Classless olan sistemlerde bunu algılarlar. OSPF, EIGRP gibi protokoller
Classless’dır.
Broadcast, Multıcast, Unıcast

Bu 3 ifadeyi de çok sık duyarsınız. Çok kullanılan bu ifadeleri de açıklayayım:
Broadcast: Bir client, bir hedef IP’ye doğru paketi göndermeden önce bu
client’in MAC adresinin kendi MAC (ARP) tablosunda olup olmadığına bakar.
Kısa süre önce haberleştiği bir IP ise muhtemel ARP tablosunda vardır ve
switch’e bu MAC’i söyler “ben bu hedefe ulaşmaya çalışıyorum” diye. Eğer
bir client hedefe gönderdiği IP’nin MAC adresini bilmiyorsa bu sefer paketi
switch’e gönderirken aradığı MAC adresi olarak FF:FF:FF:FF:FF:FF söyler.
Switch’de böyle bir MAC adresi görünce broadcast yapacağını anlar ve paketi
aldığı port hariç bütün portlarından bu paketi gönderir. İşte bu broadcast’tır.
Ben broadcast’ı birisinin kapı numarasını bilmediğinizden girişteki tüm zillere
basmaya benzetirim. Doğru kişiyi bulursunuz ama epey hayır duası alırsınız.
Multicast: Özellikle kamera yayınlarında, tv yayınlarında ve radyo yayınlarında

kullanılır. Bir kaynaktan, bu kaynaktaki yayını bekleyen sadece ilgili hedeflere
paket gönderilir. Multicast network’unda IP’ler de multicast için ayrılan
IP’lerdendir. Özetle tek merkezden çoklu hedefe aynı anda paket gönderimidir.
Unicast: Burada ise bir kaynak, bir hedefe paket gönderir. Göndereceği
hedefin MAC ve IP bilgilerini bilir ve sadece paket hedefe gider. Herhangi bir
farklı IP rahatsız edilmez.
80 TEMEL NETWORK
3 Way Handshake
Aşağıdaki gibi bir yapımız olsun:
1. Bilgisayar, 2. bilgisayara ulaşmak istiyor ve ping 192.168.1.3 yazıp enter’e

basıyor. Sonrasında neler olur gelin bakalım :
Kaynak bilgisayar (1) önce hedef IP’yi, kendi IP ve Subnet Mask’ıyla karşılaştırıp
kendi ağlarında olup olmadığına bakar. Eğer kendi ağında olmayan bir hedef
ise doğrudan ağ geçidine gönderir. Kendi ağında olan bir hedef IP için kendi
MAC cache (ARP tablosu) tablosuna bakar. Bu hedef IP’nin (192.168.1.3) bende
MAC adresi var mı? diye tabloyu sorgular. Daha önce bu IP ile haberleşmiş ise
ARP tablosunda MAC adresi bulunur. Eğer MAC bilgisi yok ise MAC adresi olarak
kendisi FF:FF:FF:FF:FF:FF ekleyip switch’e gönderir. (SYN) Bu paketin içinde :
Gönderen IP: 192.168.1.2
Gönderen MAC: 00:50.0F:0D.D2:CD
Hedef IP: 192.168.1.3
Hedef MAC: FF:FF:FF:FF:FF:FF
Switch bu paketi Fa 0/1 portundan alır. Alır almaz önce göndereni başka soran
olursa söylerim, ileride lazım olur diyerek MAC adres tablosuna kaydeder.
Sonra bakar ki hedef Mac adresi FF:FF:FF:FF:FF:FF yine bu da hedefini bilmiyor
şaşkın der ve Fa 0/1 hariç (paketi aldığı port) tüm portlarından bu isteği
gönderir (Broadcast). Ağa bağlı başka switch’ler başka bilgisayarlar varsa, bu
istek herkese ulaşır.
Switch’in Fa 0/2 portundan gönderdiği paketi 2. bilgisayar alır ve bağrış, çağrış

arananın kendisi olduğu anlar. Önce 1. bilgisayarın IP’si, Mac’ini kendi ARP
tablosuna işler. Sonra switch’e cevap paketini gönderir. (SYN-ACK) Bu pakette:
Gönderen IP: 192.168.1.3
Gönderen MAC: 00:07.EC:BB.83:B1
Hedef IP: 192.168.1.3
Hedef MAC: 00:50.0F:0D.D2:CD
Bu paketi switch alır almaz 2. bilgisayarın da IP ve MAC adresini kendi MAC

tablosuna işler. Cevabı 1. bilgisayara iletir.
1. Bilgisayar cevap paketini aldığında sevinir ve hemen hedef bilgisayarın MAC

adresini kendi ARP tablosuna kaydeder. Sonrasında artık ben sana ping atmak
istiyorum diyerek iletişim kurmak isteğini tekrar hedefe gönderir. (ACK)
Tüm bu işlemlerden sonra artık switch bilgisayarların MAC adreslerini öğrenmiş

ve portlara işlemiştir :
82 TEMEL NETWORK
Güncel Ccna Sınav Sorularından

Örnekler
1. Refer to the exhibit :
What is the most appropriate summarizaton for these routes?

A. 10.0.0.0 /21
B. 10.0.0.0 /22
C. 10.0.0.0 /23
D. 10.0.0.0 /24
CEVAP : B
2. You are working in a data center environment and are assigned the address
range 10.188.31.0/23. You are asked to develop an IP addressing plan to allow
the maximum number of subnets with as many as 30 hosts each. Which IP
address range meets these requirements?
A. 10.188.31.0/26
B. 10.188.31.0/25
C. 10.188.31.0/28
D. 10.188.31.0/27
E. 10.188.31.0/29
CEVAP : D
A new subnet with 60 hosts has been added to the network. Which subnet
address should this network use to provide enough usable addresses while
wastng the fewest addresses?
A. 192.168.1.56/26
B. 192.168.1.56/27
C. 192.168.1.64/26
D. 192.168.1.64/27
CEVAP : C
The enterprise has decided to use the network address 172.16.0.0. The network
administrator needs to design a classfull addressing scheme to accommodate
the three subnets, with 30, 40, and 50 hosts, as shown.
Which subnet mask would accommodate this network?

A. 255.255.255.224
B. 255.255.255.240
C. 255.255.255.252
D. 255.255.255.248
E. 255.255.255.192
CEVAP : E
84 TEMEL NETWORK
4. Refer to the exhibit:
A network administrator atempts to ping Host2 from Host1 and receives the
results that are shown. What is the problem?
A. The link between Host1 and Switch1 is down.
B. TCP/IP is not functioning on Host1
C. The link between Router1 and Router2 is down.
D. The default gateway on Host1 is incorrect.
E. Interface Fa0/0 on Router1 is shutdown.
F. The link between Switch1 and Router1 is down.
CEVAP : C
6. vRefer to the exhibit :
Which subnet mask will place all hosts on Network B in the same subnet with
the least amount of wasted addresses?
A. 255.255.255.0
B. 255.255.254.0
C. 255.255.252.0
D. 255.255.248.0
CEVAP : B
7. Given an IP address 172.16.28.252 with a subnet mask of 255.255.240.0, what

is the correct network address?
A. 172.16.16.0
B. 172.16.0.0
C. 172.16.24.0
D. 172.16.28.0
CEVAP : A
8. You are working in a data center environment and are assigned the address
range 10.188.31.0/23. You are asked to develop an IP addressing plan to allow
the maximum number of subnets with as many as 30 hosts each. Which IP
address range meets these requirements?
A. 10.188.31.0/26
B. 10.188.31.0/25
C. 10.188.31.0/28
D. 10.188.31.0/27
E. 10.188.31.0/29
CEVAP : D
86 TEMEL NETWORK
9. Which subnet mask would be appropriate for a network address range to be

subneted for up to eight LANs, with each LAN containing 5 to 26 hosts?
A. 0.0.0.240
B. 255.255.255.252
C. 255.255.255.0
D. 255.255.255.224
E. 255.255.255.240
CEVAP : D
10.What is the first 24 bits in a MAC address called ?

A. NIC
B. BIA
C. OUI
D. VAI
CEVAP : C
11.What will happen if a private IP address is assigned to a public interface

connected to an ISP?
A. Addresses in a private range will not be routed on the Internet backbone.
B. Only the ISP router will have the capability to access the public network.
C. The NAT process will be used to translate this address to a valid IP address.
D. A conflict of IP addresses happens, because other public routers can use the
same range
CEVAP: A
87
IOS -
(INTER-
NETWORKING
5
OPERATING
SYSTEM)
Nasıl ki bir bilgisayarı oluşturan 2 temel unsurdan birisi yazılım, birisi
de donanım ise yönetilebilir cihazlarda da yazılım ve donanım birlikte
çalışmaktadır. Genelde yazılım cihaz üzerindeki anakart ile tümleşik hafıza
barındırır. Cisco’daki diğer hafıza türleri:
NVRam (Startup-config yani açılış yazılımı burada bulunur.)
Flash Ram (IOS yazılımı ve config backup burada bulunur.)
Ram (Running-config yani kaydedilmemiş, o anki ayarlar burada bulunur.)
Herhangi bir yönetilebilir network cihazını konfigüre etmek için öncelikle ona
console kablosu ile bağlanmalısınız. Console kablosu genelde ürün ile birlikte
verilir ve aşağıdaki gibidir:
88 TEMEL NETWORK
Bu kablonun DB-9 portunu bilgisayarınıza bağlamalısınız ama günümüz

bilgisayarlarında da böyle bir (RS232) giriş bulunmamaktadır. Bundan dolayı
da aşağıdakiler gibi (RS232 to USB Converter) bir dönüştürücü kullanmalısınız.
Benim sizlere tavsiyem ise böyle console kablosu

ve dönüştürücü çiftini kullanmaktansa yandaki
gibi yeni nesil bir console kablosu
kullanabilirsiniz. Bu tür kablolara FTDI Chip’li
console kablosu denmektedir.
Bu arada yeni başlayan arkadaşlarımız için

söylemeliyim, gerek dönüştürücü, gerekse FTDI chipli console kablosu driver
gerektiren cihazlardır. Yani sisteminize sürücülerini de yükleyip tanıtmalısınız
ve aygıt yöneticisinden hangi portu kullandığını öğrenmelisiniz. Çünkü
yönetmek istediğiniz cihaza bağlanırken bağlantı yazılımında bu portu
belirtmeniz gerekir.
Kablo bağlantımızı yaptık, şimdi sıra geldi yazılım ile cihazımıza bağlanmaya.
Bu bağlantı ve konfigürasyon yazılımında da iki yazılım sık kullanılmaktadır.
• Putty (ücretsiz)
• Secure CRT (ücretli)
Benim bilgisayarımda console kablosu COM3’e bağlanmış:

IOS - (INTERNETWORKING OPERATING SYSTEM) 89
Bu porta göre Putty Ayarı:
Bu porta göre SecureCRT ayarları:
Önce Quick Connect butonuna tıklayınız:

90 TEMEL NETWORK
Sonra aşağıdaki ayarları yapınız:
Bağlantıyı başarıyla yaptığınızda aşağıdaki gibi bir komut görürsünüz:
Would you like to enter the initial configuration dialog? [yes/no]:
Bu komut otomatik yapılandırma isteyip istemediğimiz ile ilgilidir. Otomatik

yapılandırmada çok fazla soru sorduğundan genelde tercih edilmez, no yazıp
enter’a basarsanız komut satırında şunu görmelisiniz: (Layer 2 switch’lerde yes/
no diye sormaz direkt enter’e basabilirsiniz.)
Switch> ya da Router>
IOS Modları
User Exec Mode (Router>)
Bu mode ilk karşımıza çıkan mode’dir. Bu mod’da kulanılabilecek komutlar çok
az ve sınırlıdır. Bu modda en çok kullanabileceğiniz komutlar ping (başka bir
cihaz ya da hedefe bağlantı kontrolü), enable (privileged moda geçiş), show
(flash, saat, MAC adresi gibi ayarları görüntülemek için)
Prıvıleged Exec Mode (Router#)

Bu mod da genelde mevcut ayarları görüntülemek, göz atmak içindir. Saat gibi
birkaç küçük ayar da bu mod’da yapılır. Default ayarlarında bu mod’a geçişte
şifre sorulmaz fakat enable password ayarlanırsa şifre sorulur. Enable ile bu
moda geçiş yapıldığından birçok kullanıcı bu moda “enable mode” de der. Bu
moddan çıkış için disable ya da exit komutlarını uygulayabilirsiniz.
Bu modda en çok kullanılan komutlar ise,

• show running-config (Cihazın o andaki ayarları gösterilir. Bu ayarlar
kaydedilmemiş de olabilir.),
• write memory (Cihazdaki yapılan konfigürasyon değişikliklerini kaydeder.),
• show vlan (Mevcut vlan’ları ve portların hangi vlan’lara üye olduklarını
gösterir.),
• dir flash: (Flash memory’nin içeriğini gösterir.),
• delete flash:vlan.dat (Flashda tutulan vlan bilgilerini silmek için kullanılır.),
• ssh -l sinan 10.10.10.1 (IP’si verilen hedefe sinan kullanıcı adıyla ssh
bağlantısı yapar.),
• reload (Cihazı yeniden başlatır, kaydedilmemiş ayarlar var ise kaydetmek için
sorar.),
• ping ve traceroute (Bağlantı ve aradaki router bilgileri kontrolleri.),
• copy running-config tftp: (Mevcut ayarların TFTP ye yedeğini alır.),
• configure terminal (Global Config moda geçiş yapar.)
Global Confıguratıon
Mode (Router(confıg)#)
Bu mod cihazdaki ayarları değiştirebileceğimiz mod’dur. Bu mod’da iken
privileged mod’a komutlarını kullanmak için komutun başına do eklenir.
Örneğin: do show running-config
Interface Confıguratıon
Mode (Router(ıf-confıg)#)
Bir router’deki fiziksel ya da sub interface’leri ya da switch’ler için vlan
interface’lerde ayarlamalar yapmak için kullanılır.
92 TEMEL NETWORK
Router Confıguratıon
Mode (Router(confıg-router)#)
Router’lerde dynamic routing ayarları için kullanılır.
Lıne Confıguratıon
Mode (Router(confıg-lıne)#)
Bu mod ile telnet, ssh ve console bağlantılarının ayarlarını yapabilirsiniz.
Komut Hataları
Komutların kullanımlarına başlamadan karşılaşacağınız hataları da anlatalım:
% Incomplete command
Bu hata eksik yazılan komutlarda ortaya çıkar. Komuttaki eksikliği gidermek
için komutun emin olduğunuz kısmını yazıp ? işareti ile devamı hakkında
yardım alabilirsiniz.
% Ambıguous command
Cisco’da komut satırında uzun bir komutu kısaltmalar ile de kullanabilirsiniz.
Örneğin “show running-config” gibi bir komutu kısaca “sh run” şeklinde
yazabilirsiniz. Bazen de kısaltma kullandığınız zaman çok fazla kısaltıp
çakışmalara yol açılır. Örneğin:
Switch#con
% Ambiguous command: “con”
komutunda con ile başlayan connect ve configure komutları olduğundan

sistem hangisini uygulamak istediğini anlayamaz ve bu hatayı verir.
% Invalıd ınput detected at ‘^’ marker

Hatalı devam eden komutlarda karşılaşırsınız. Cihaz size ^ işareti ile gösterilen
yerden sonraki kısmı anlayamadığını ifade etmektedir. Örneğin:
Switch#show interfaces vektorel
^
% Invalid input detected at ‘^’ marker.
Translatıng ...
Bu komut ise komutun en başından itibaren anlaşılamadığını ifade eder.
Aslında yazılan ifadenin bir komut karşılığı olmayınca cihaz yazılan ifadenin
telnet yapılmak istenen bir cihazın adı olduğunu düşünür ve bu adrese
broadcast yaparak bağlanmaya çalışır. Belli bir süre bekledikten sonra komut
hata verir ve devam edebilirsiniz. Eğer komutun hata vermesini de beklemek
istemiyorsanız Ctrl+Shift+6’ya basmalısınız.
Switch#sinan
Translating “sinan”...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer

address
Sık sık bu hatayı alıyorsanız ve hata artık canınızı sıkmaya başladıysa Global
config mod’da:
Switch(config)#no ip domain-lookup
Yazarsanız sistem broadcast ile arama yapmaz ve hemen hata mesajı verir.
Böylece gereksiz beklemeniz gerekmez, çalışmanıza hızlı devam edebilirsiniz.
TEMEL CISCO IOS KOMUTLARI

Komutlara başlamadan önce ? işareti ile yardım almaktan bahsedelim. Cisco
CCNA sınavında bile ? işareti geçerlidir ve size cihaz kullanabileceğiniz
komutları gösterir. Bir komut devamında emin olmadığınız kısımda da ?
işareti kullanıp devamı konusunda yardım alabilirsiniz. Yani temel İngilizce’niz
var ise yardım alarak birçok komutu kolayca uygulayabilirsiniz. Birde uzun
komut kelimelerini birkaç harfini yazdıktan sonra TAB tuşuyla otomatik de
tamamlayabilirsiniz. Gelin size bu iş nasıl oluyor göstereyim:
Bir switch’e bağlanalım,
Switch>en (enable yazmak yerine kısaltma kullandım.)

94 TEMEL NETWORK
Şimdi de privilege mod’da yardım alalım:
Switch#?
Exec commands:
clear Reset functions

clock Manage the system clock
configure Enter configuration mode
connect Open a terminal connection
copy Copy from one file to another
debug Debugging functions (see also ‘undebug’)
delete Delete a file
dir List files on a filesystem
disable Turn off privileged commands
disconnect Disconnect an existing network connection
enable Turn on privileged commands
Gördüğünüz gibi bir sürü komutu ve ne yaptıklarını özetle gösteriyor. Bu

arada ekrana sığmayan görüntülemeler de en altta --More-- ifadesi çıkar.
Bu ifadeden sonra boşluk tuşuna basarsanız ekrana sığmayan diğer sayfalar
sayfa sayfa, enter tuşuna basarsanız da ekrana sığmayan gösterimler satır satır
görüntülenmeye devam eder. Biz buradaki Clock komutuyla cihazın saatini
ayarlamayı düşünelim.
Ama komutu kullanmayı bilmediğimizden yardımlarla ilerleyelim:

Switch#clock ?
set Set the time and date
Gördüğünüz gibi clock komutundan sonra set yazıp devam etmemizi istiyor.
Yazıp tekrar yardım alalım:
Switch#clock set ?
hh:mm:ss Current Time
Şimdi de setten sonra şu andaki saati Saat:dakika:saniye şeklinde yazmamızı

istiyor. Dediğini yapalım bakalım:
Switch#clock set 15:13:23 ?
<1-31> Day of the month
Şimdi de ayın hangi günü olduğunu yazmamızı istiyor. Bunu da yazalım

bakalım:
Switch#clock set 15:13:23 6 ?
MONTH Month of the year
Şimdi de hangi ayda olduğumuzu yazmamızı istiyor, bunu da yazalım bakalım:

Switch#clock set 15:13:23 6 Aug ?
<1993-2035> Year
Hala bişiler istiyor, şimdi de yıl. Bunu da yazalım:

Switch#clock set 15:13:23 6 Aug 2018
Switch#
Ve mutlu son. Artık saati ve hatta tarihi de ayarlardık.
Başardık mı kontrol edelim ve saati göster komutunu uygulayalım:

Switch#sh clock
15:14:21.133 UTC Mon Aug 6 2018
Evet başarmışız. Cisco’da birçok kelimeden oluşan çok uzun komutlar

kullanıldığında isterseniz her kelimeyi kısaltarak yazabilirsiniz. Örneğin
switch’lerde ve router’de hangi interface’ler up, hangilerine IP verdiniz, hangi
IP’leri verdiniz öğrenmek için:
Switch#show ip interface brief
Komutunu kullanırız. Ama istersek bu komutu şöyle kısaltarak yazsak da kabul

eder:
Switch#sh ip int br
Diğer ortak switch ve router komutları:
hostname: Bu komut ile switch, router ismini değiştirebiliriz.
Switch(config)#hostname switchadı
enable password: Bu komut ile Privilege Mod’a geçişe şifre verilir.
Switch(config)#enable password vektorel (Şifre vektorel olarak

belirlendi.)
96 TEMEL NETWORK
enable secret: Enable secret şifresi, şifrenin kendisini de şifreli hale getirip
enable password yerine kullanılır.
Switch (config)# enable secret Sinan
Şimdi hem enable password hemde enable secret uygulayıp aradaki farkı «Sh
run» da görelim:
!
enable secret 5 $1$mERr$IvD6p.IDwQw9IisTv9Mdb/
enable password cisco
!
Gördüğünüz gibi enable secret’de verdiğimiz şifre açık olarak ekranda

görünmez.
| (pipe) Kullanımı: Genellikle Show komutlarıyla birlikte kullanılıp, yalnızca

istediğimiz bölümü görüntülemek için tercih edilir. Örneğin Show Running-
Config dediğimizde bakmak istediğimiz bölüm dışında bir sürü komut da
ekranda yer alır. Biz yalnızca istediğimiz kısımların görüntülenmesini istiyorsak
| kullanırız. Pipe’den sonra include (bunu içersin), exclude (bunu içermesin),
begin (bununla başlasın) gibi süzgeçler de kullanabiliriz. Örneğin show
running-config de yalnızca hostname kontrolü yapacaksak:
Sinan # Show running config | include hostname
(Konfigürasyonda hostname ifadesini içeren satırları göster.)
hostname Sinan
Write Memory: Bu komut yaptığınız ayarları flash memory’e kaydeder.

Bu komut dışında copy running-config ve startup-config komutunu da
kullanabilirsiniz. Unutmayın; kaydetmezseniz, kaybedersiniz. Yeniden
başlatılan cihazlarda kaydedilmemiş, sonradan yapılan tüm ayarlar kaybedilir.
Bu yüzden cihazlarınızı yeniden başlatmadan kaydetmeyi unutmayın.
Sinan#wr mem
Building configuration...
[OK]
Banner motd: Gerek telnet, ssh gibi uzaktan erişim metotlarıyla, gerekse
cihaza doğrudan console kablosuyla bağlanırken bir mesaj vermek istiyorsak
kullanılır:
Switch(Config)#banner motd ‘Yetkisiz girişler hakkında yasal işlem

yapılacaktır’
Bu mesaj uzun olacak ise mesajın başında ve sonunda aynı işaret olmak üzere
bir sembol belirleriz. Örneğin; @ vermek istediğimiz mesaj birkaç satırdan
oluşan uzun bir mesaj ise sistem size satırlarca uyarı yazmanıza izin verir. Ne
zaman @ işaretini görürse bilir ki mesajın sonu burası.
banner motod @ ENTER

********************** YASAL UYARI *****************************
Bu cihaza girme yetkiniz olmadığı halde giris yapmaya calisiyor
iseniz yasal suc isliyorsunuz.. Lutfen baglantinizi kesiniz...
Eger giris yetkiniz var ise daha ne bekliyorsunuz, dukkan sizin,
buyrun girin, kolay gelsin...
****************************************************************
@
service password-encryption: Konfigürasyonda kullanılan şifrelerin hepsini

şifreli hale getirir. Böylece sh run dediğinizde ekranda şifreleriniz açıkça
görünmez.
Switch(config)#service password-encryption
Komut arayüzündeki bazı kısayollar:
Son komuta geri dönmek Yukarı ok ya da <Ctrl-P>

Bir sonraki komuta gitmek Aşağı ok ya da <Ctrl-N>
Bekletmek ya da çıkmak <Shift> + <Ctrl> +6
Çıktı ekranını tazelemek <Ctrl-R>
Çıktı ekranını kesmek <Ctrl-C>
Komutu tamamlamak TAB
Switch’i fabrika ayarlarına Switch#write erase
döndürme Switch#erase startup-config
Switch#delete flash:vlan.dat
Switch# reload
(Burada save sorusuna No demelisiniz ki eski ayarları
kaydetmesin.)
98 TEMEL NETWORK
INTERFACE KOMUTLARI
Router’ler için interface’lere IP verme,
açıklama girme
Interface isimleri router’lerin modeline göre değişir. Bu yüzden bir router’ın
herhangi bir interface’sine IP vermeden, ayarlarını yapmadan önce sh run
deyip interface isimlerini öğrenmelisiniz. Çünkü bir interface’nin ayarlarını
yapmak için, o interface’nin ismini yazarak içine girmelisiniz.
Ben router’imde sh run deyip interface’leri öğreniyorum:

!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
Gördüğünüz gibi 3 adet gigabit interface var ve hepsi de shutdown, yani kapalı
(down), yani bu interface’lere kablo takılsa bile kablo takılı demez, iletişim
olmaz. Aynı zamanda bu interface’lerin IP’lerinin de olmadığını görüyoruz. Bir
interface’e IP vermek için Global config mod’da bu interface’nin içine girmek
gerekir. Haydi yapalım:
Router(config)#int gi 0/1
Router(config-if)#
Şimdi de önce interface’yi ayağa kaldıralım, bağlantıyı açalım:

Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Evet artık interface UP oldu ve erişim başladı. Şimdi de bu interface’ye bir IP

verelim:
Router(config-if)#ip address 192.168.1.1 255.255.255.0
İsterseniz bu interface’ye bir de açıklama girebilirsiniz:
Router(config-if)#description Yerel Agdan Internete
Bu interface artık sh run dediğinizde aşağıdaki gibi görünecektir:

!
description Router To LAN Connection
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
Switch’ler için Vlan interface’lere IP verme

Switch’lerde normalde bir porta router gibi IP verilmez. Fakat switch Layer 3
bir switch ise ve ilgili port içinde “no switchport” diyerek bu portu switchport
özelliğinden çıkarırsanız, bu porta IP verilebilir. Layer 2 ve Layer 3 switch’lerde
default’ta var olan vlan1 interface’lerine de uzaktan yönetmek için IP vermemiz
gerekir. Gelin şimdi de bunu nasıl yapıyoruz bakalım:
Switch(config)#interface vlan 1 (vlan1 interface’ine girelim
Switch(config-if)#no sh (interface’i UP yapalım
Switch(config-if)#ip address 192.168.1.2 255.255.255.0
(interface’e IP verelim)
Switch(config-if)#exit (interface’den çıkalım)
Switch(config)#ip default-gateway 192.168.1.1 (farklı Ağlardan da bu
cihaza erişmek için default gateway verelim)
Switch(config)#
100 TEMEL NETWORK
Şimdi de bu switch’in gigabit 0/1 portuna direkt bir IP verelim:

Switch(config)#interface gi 0/1
Switch(config-if)#no switchport
Switch(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1,
changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state
to down
changed state to up
to up
Switch(config-if)#ip add 192.168.2.1 255.255.255.0
Switch(config-if)#exit
Cisco cihazlarda siz komut girerken de karşınıza % ile başlayan bilgilendirme

komutları gelebilir. Hatta çoğu zaman bu mesajlar sizin komutlarınızı yarıda
kesebilir. Yazdığınız komutların yarısı yukarıda, yarısı da açıklamalardan sonra
kesilip aşağıda olsa da yazmaya devam edebilirsiniz. Yazdığınız komut geçerli
olacaktır.
ERİŞİM TANIMLAMA KOMUTLARI

Yönetilebilir bir cihaza erişmenin birkaç yolu vardır. Tüm cihazlara console
kablosuyla cihaza doğrudan bağlanarak ya da uzaktan Telnet, SSH veya Web
arayüzüyle erişilebilir. Uzaktan erişimler için tanımlar yapılmalıdır.
Telnet erişimi
Telnet erişimi güvenli değildir. Bu erişim türünde veriler uçlar arası
şifrelenmeden iletilir. Dolayısıyla o anda ağınızı dinleyen birisi varsa erişim
bilgilerinizi, ayarlarınızı kolayca ele geçirebilir.
Telnet erişimini tanımlamak için:

Switch(config)#line vty 0 4 (Burada 0 ile 4 arası kanallar uzaktan erişim için
açılır, yani aynı anda 5 kişi bağlanabilir. 2. bölüm en fazla 15 olabilir yani max
16 kişi eş zamanlı bağlanabilir.)
Switch(config)#password cisco (Telnet erişiminde yalnızca şifre sorulur ve

burada belirlenir.)
Switch(config)#login (Login için yalnızca şifre sorulur. Hem kullanıcı adı

hemde şifre sorulması isteniyorsa burada “login local” demek gerekir. Ayrıca
telnet komutlarından sonra kullanıcı adı, şifre ve kullanıcı yetkisini belirlemek
gerekir.)
Switch(config)#exit
Switch(config)#enable pass cisco (Uzaktan erişimler için enable password

kullanmak zorunludur.)
Switch(config)#username sinan privilege 15 pass cisco (telnet, ssh ya da

web erişimlerinde hem kullanıcı adı hemde şifre isteniyorsa kullanıcı burada
tanımlanır. İstenirse privilege ile yetki seviyesi de eklenebilir. Privilege
seviyelerinden en yetkilisi 15. seviyedir. 1. seviye hiç birşey yapamaz, 3. seviye
read only haklarına sahiptir.)
Aktif telnet bağlantılarını görme:

Switch#show session
SSH (Secure Shell) Erişimi

En güvenli erişim yoludur. Bu erişimde veriler uçtan uca şifrelenir.
Switch(config)# hostname SinanHoca (Bu erişimde veriler cihaz adına özel

üretilen sertifika ile şifrelendiğinde switch ya da router’e bir hostname vermek
zorunludur.)
Switch(config)#ip domain-name sinan (Konfigürasyon için bir domain adı

da belirtmek zorunludur.)
Switch(config)#crypto key generate rsa (SSH şifrelemelerinde kullanmak

üzere kriptolu bir anahtar oluşturulur.)
How many bits in the modulus [512] ? (Kaç bitlik kripto anahtarı
oluşturulacağı sorulur. 360-2048 arası değer girilebilir. Enter ile geçerseniz
512’yi kabul etmiş olursunuz.)
102 TEMEL NETWORK
Şimdi erişimler için line tanımlarını yapalım:
Switch(config)#line vty 0 4 (5 adet eş zamanlı erişim açıldı.)
Switch(config-line)#login local (Erişimde hem kullanıcı adı hem de şifre

sorsun.)
Switch(config-line)#transport input all (Burada all ile hem telnet hem

ssh erişimine izin verdik, all yerine telnet dersek yalnızca telnet, ssh dersek
yalnızca ssh erişimine izin verir.)
Switch(config)#exit (line dan çıkalım.)
Switch(config)#ip ssh version 2 (SSH’nin 2 versiyonu bulunmaktadır. 2.

versiyon daha güvenlidir. Eğer burada versiyon belirtilmezse cihaz kendisine
bağlanan client’in desteklediği en güvenli versiyonu yani 2’yi seçer, client 2’yi
desteklemiyorsa 1 ile bağlanır.)
Switch(config)#ip ssh time-out 30 (SSH ile bağlanılırken saniye cinsinden

şifre girme süresidir. Default değeri 120’dir. Bağlantı sonrası default time-out
süresi ise 10 dakikadır.)
Switch(config)#ip ssh authentication-retries 4 (Kullanıcının kaç kez

kullanıcı adı ve şifre denemesi yapabileceğini belirler. Bu kadar başarısız giriş
denemesinden sonra kullanıcının erişimi kopar. Default değeri 3’tür.)
Bağlı olan bir cihazdan diğerine ssh yapmak için:
Switch#ssh -l sinan 10.0.0.1
Console erişimi
Console erişimi tanımlaması da telnet’e benzer.
Switch(config)#line console 0 (Yalnızca 1 bağlantı olacak. Zaten fiziksel

olarak sadece bu mümkün.)
Switch(config)#password cisco (Console bağlantısının şifresi belirlenir.)

Switch(config)#login (Login için yalnızca şifre sorulur. Hem kullanıcı adı

hem de şifre sorulması isteniyorsa burada “login local” demek gerekir. Ayrıca
console komutlarından sonra kullanıcı adı, şifre ve kullanıcı yetkisini belirlemek
gerekir.)
Switch(config)#exit
Switch(config)#enable pass cisco

Switch(config)#username sinanhoca privilege 15 pass cisco
Web Erişimi
Sandığınızın aksine web erişimleri çok tercih edilen bir erişim değildir. Çünkü
web arayüzü ile yapılacak çok ama çok sınırlıdır.
SinanRouter(config)# ip http server (Normal web erişimlerine izin verildi.)
SinanRouter(config)# ip http secure-server (Şifreli web erişimlerine izin

verildi.)
SinanRouter(config)# ip http authentication local (Web arayüzünde

kullanıcı adı şifre doğrulaması açıldı.)
SinanRouter(config)# username Sinan privilege 15 password cisco

(Kullanıcı adı , şifre ve yetki seviyesi tanımlandı.)
SinanRouter(config)# line vty 0 4 (Bu da cihaza bir erişim türü

olduğundan line tanımları yapılmalı.)
SinanRouter(config-line)# privilege level 15
SinanRouter(config-line)#login local
SinanRouter(config-line)#end
Bu aşamalardan sonra erişmek istediğiniz cihaz router ise bağlı olduğunuz

router interface’nin IP’sini web browser’ınızda yazarak erişebilirsiniz. Eğer
erişmek istediğiniz cihaz switch ise vlan1’ine bir IP tanımlayıp, up ettikten
sonra bu IP’den yine web browser’iniz ile erişebilirsiniz. Tabi farklı ağlardan
erişim için switch’e default-gateway de girmelisiniz.
104 TEMEL NETWORK
Router şifresini sıfırlama /Kırma

Cisco cihazların birçok modeli olduğundan standart bir şifre sıfırlama
prosedürü yoktur. Şifre sıfırlamalar modele göre değişir. Ben burada standart
bir router’in şifresinin sıfırlamasına değineceğim.
Öncelikle Console ya da telnet ile router’e bağlanıp router restart edilir. Router
açılırken Ctrl+Break tuşlarına basılır ve router rommon mod’a düşer. Burada
şu komut girilir:
rommon 1>confreg 0x2142
rommon 2> reset
Reset komutu sonrası cihaz yeniden başlar. Restart ettiğinde görülür ki parola
marola yok :) Fakat tüm ayarlar gitmiş gibi görünür. Öncelikle ayarları geri
getirelim. Router şifresiz açıldığında:
Router # copy startup-config running-config
Artık eski ayarlarımız da gelmiş olmalı. Şimdi biz bir enable şifresi verip
konfigürasyonu kaydedebiliriz. Artık başarıyla cihaza giriş yaptığımızdan
router’in register değerini tekrar eski haline getirelim. Ayarları kaydettiğimize
göre router’i tekrar restart ediyor ve Ctrl+Break ile rommon mod’a alıyoruz,
burada şu komutu giriyoruz:
rommon 1> confreg 0x2102
NOT: Bu işlem tüm switch ve router modelleri için geçerli değildir. Genelde
önünde düğme olan modellerde belli bir süre ile switch açılırken bu düğmeye
basılı tutarak da rommon moda girilir. Daha detaylı bilgi için switch ya da
router modelinin password reset konusunu Google’de aratmalısınız.
Router - Switch’lerin IOS ve

konfigürasyon yedeklerinin alınması
Aslında sadece Cisco cihazlarda değil yönetilebilir, içinde kendi yazılımı (IOS)
bulunan tüm cihazların yazılım ve ayar yedekleme işlemi TFTP ile yapılır. Diğer
cihazlarda yöntem aynı, komutlar farklıdır. Yani firewall ya da UTM cihazınızın
hatta uydu alıcınızın bile yazılımını yedekleyip geri yükleyebilirsiniz.
Bu işlem için TFTP yazılımına ihtiyacınız olacak. Bu yazılımı bir bilgisayara kurup,
o bilgisayardaki firewall’ı devre dışı bırakıp, TFTP yazılımını kurduktan sonra
yazılım üzerinde hem veri almaya, hem de veri göndermeye izin vermelisiniz.
Portable TFTP yazılımları da mevcuttur.
Cihazların konfigürasyon ve IOS yedeklerinin alınıp, geri yüklemeleri önemli

olduğundan bu işlemi adım adım Packet Tracer’de yapalım. Önce örnek
topolojimizi sizinle paylaşayım:
Önce router’de temel işlemlerimizi yapalım:

Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#Host R1
R1(config)#int gi 0/1
R1(config-if)#no sh
R1(config-if)#

changed state to up
R1(config-if)#ip add 192.168.1.1 255.255.255.0

R1(config-if)#ex
106 TEMEL NETWORK
Şimdi de switch de vlan1’e IP verip vlan1’i ayağa kaldıralım:

Switch>en
Switch#conf t
Switch(config)#host SW1
SW1(config)#int vlan 1
SW1(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up

to up
SW1(config-if)#ip add 192.168.1.2 255.255.255.0

SW1(config-if)#exit
SW1(config)#ip default-ga 192.168.1.1
SW1(config)#
Şimdi de TFTP sunucumuzda temel ayarları yapalım:
Önce sunucunun IP’sini ayarlayalım:

Şimdi de sunucuda TFTP servisine göz atalım:
TFTP servisimiz açık. Buradaki default dosyaları da Remove File ile kaldırıyorum
ki kalabalık etmesinler.
108 TEMEL NETWORK
Evet artık herşey hazır. Önce switch’in running-config yedeğini TFTP’ye alalım.
Switch’e girip aşağıdaki komutları uygulayalım:
SW1#copy running-config tftp:
Address or name of remote host []? 192.168.1.254 (Buraya TFTP’nin IP’sini

giriyoruz. Aslında bu işlem öncesi cihazdan TFTP’ye ping atıp erişim kontrolü
yapsanız mükemmel olur.)
Destination filename [SW1-confg]? (TFTP’ye ayarları SW1-confg adıyla mı

kaydedeyim diye soruyor. Uygun bulursanız enter, değilse yeni ismini buraya
yazmalısınız.)
Writing running-config....!!
[OK - 1224 bytes]
1224 bytes copied in 3.003 secs (407 bytes/sec)
SW1#
TFTP’ye kaydetme işlemi başarılı oldu. Kontrol ettiğimizde TFTP sunucuda

yedek dosyamızı görebiliyoruz:
Router için de komutlar tamamen aynıdır. Şimdi de IOS yazılımının bir yedeğini
alalım. Bu işlem için önce IOS yazılımının bilgilerine ihtiyacımız var. Bu bilgileri
sh version ya da sh flash: diyerek öğrenebiliriz.
Router’in IOS yazılımını öğrenip, yedeğini alalım:
Şimdi de komutlarımızı uygulayalım:
Şimdi de varsayalım ki switch’imiz bozuldu ve gidip yenisini alıp eski yerine

taktık. Nasıl ayarları geri yükleyeceğimize bir bakalım. Ben bu topolojimde
switch’imi restart edeceğim, ayarları kaydetmediğim için tüm ayarlar
kaybolacak zaten:
SW1>en
SW1#reload
System configuration has been modified. Save? [yes/no]:no
Proceed with reload? [confirm]
110 TEMEL NETWORK
Öncelikle ayarlarımızı geri almak için bu yeni switch’in TFTP ile haberleşmesi
lazım, bunun için de bir IP’ye ihtiyacı var. Hemen vlan1’ine bir IP verelim:
Switch>en
Switch#conf t
Switch(config)#int vlan 1
Switch(config-if)#no sh

to up
Switch(config-if)#ip add 192.168.1.2 255.255.255.0

Switch(config-if)#ex
Switch(config)#end
Switch#
Şimdi artık TFTP’den ayarlarımızı geri alabiliriz. Hemen yapalım:
Switch#copy tftp: running-config (Dikkat edin bu sefer kopyalama tftp’den

switch’e)
Address or name of remote host []? 192.168.1.254 (TFTP IP’sini giriyoruz.)
Source filename []? SW1-confg (TFTP’deki alacağımız dosyanın tam adı)
Destination filename [running-config]? (Switch’de running-config’e

kopyalasın.)
Accessing tftp://192.168.1.254/SW1-confg....
Loading SW1-confg from 192.168.1.254: !
[OK - 1224 bytes]
SW1# (Ve başardık. Çünkü ayarlarımızdaki hostname olan SW1 göründü

bile.)
ÇOK KULLANILAN KOMUTLARIN ÖZETİ

KOMUT AÇIKLAMA
Switch(config)#hostname name Switche isim verme
Switch(config)#enable secret password Ayrıcalıklı mod parolası ayarlama
Switch(config)#line console 0 Konsol yapılandırmaya giriş
Switch(config-line)#password password Konsol Parolası ayarlama
Switch(config-line)#login Kullanıcı oturumu açmak için gerekli
Switch(config)#line vty 0 15 Vty line (telnet) yapılandırmaya giriş
Switch(config-line)#password password Vty parolası ayarlama
Switch(config-line)#login Kullanıcı oturumu açmak için gerekli
MOTD(Message of the day-Günün Mesajı)
Switch(config)#banner motd # message #
ayarlama
Switch(config)#interface vlan number Vlan arayüzü ayarlama
Switch(config-if)#ip address address mask Arayüz adres ayarlama
Switch(config-if)#switchport mode Access Portu acces mod için ayarlama
Switch(config-if)#switchport access
Bir porta Vlan atama
vlan number
Switch(config-if)#speed 100 Port hızını 100 Mbps’e ayarlama
Switch(config-if)#duplex full Portu full duplex ayarlama
Switch(config-if)#speed auto Port hızını oto ayarlama
Switch(config-if)#duplex auto Portu oto duplex ayarlama
Switch(config-if)#no shutdown Arayüzü aktif etme
Switch(config)#ip default-gateway address Varsayılan ağ geçidini ayarlama
Yerel bir kullanıcı veri tabanını
Switch(config)#ip http authentication kullanmak için HTTP kimlik doğrulaması
etkinleştirilmesi
Switch(config)#ip http server Anahtarda HTTP hizmeti yapılandırma
Switch(config)#mac-address-table static
MAC adresi tablosunda statik bir eşleme
mac-addressvlan { 1-4096, ALL } interface
oluşturma
interface-id
Switch#copy running-config startup-config Yapılan değişikliklerin kaydedilmesi
112 TEMEL NETWORK
GÜNCEL CCNA
SINAV SORULARINDAN ÖRNEKLER
1. Which command encrypts all plaintext passwords?
A. Router) service password-encryption
B. Router(config)# password-encryption
C. Router(config)# service password-encryption
D. Router) password-encryption
CEVAP : C
2. Which two commands can be used to verify a trunk link configuration status
on a given Cisco switch interface? (Choose two.)
A. show interface trunk
B. show interface interface
C. show ip interface brief
D. show interface vlan
E. show interface switchport
CEVAP : A,E
3. What is the effect of using the service password-encryption command?

A. Only the enable password will be encrypted.
B. Only the enable secret password will be encrypted.
C. Only passwords configured after the command has been entered will be
encrypted.
D. It will encrypt the secret password and remove the enable secret password
from the configuration.
E. It will encrypt all current and future passwords.
CEVAP : E
4. How does using the service password-encryption command on a router

provide additonal security?
A. by encrypting all passwords passing through the router
B. by encrypting passwords in the plain text configuration fle
C. by requiring entry of encrypted passwords for access to the device
D. by configuring an MD5 encrypted key to be used by Routing protocols to
validate Routing exchanges
E. by automatically suggesting encrypted passwords for use in configuring the
router
CEVAP : B
5. Which conditon indicates that service password-encryption is enabled?

A. The local username password is encrypted in the configuration.
B. The enable secret is encrypted in the configuration.
C. The local username password is in clear text in the configuration.
D. The enable secret is in clear text in the configuration
CEVAP : A
6. Which command shows active TELNET connections ?

A. Show cdp neigbors
B. Show session
C. Show users
D. Show vty logins
CEVAP : B
114 TEMEL NETWORK
7. Which two passwords must be supplied in order to connect by Telnet to a

properly secured Cisco switch and make changes to the device configuration?
(Choose two.)
A. ty password
B. enable secret password
C. vty password
D. aux password
E. console password
F. username password
CEVAP : B,C
8. Which two Cisco IOS commands, used in troubleshooting, can enable debug
output to a remote location? (Choose two)
A. no logging console
B. logging host ip-address
C. terminal monitor
D. show logging | redirect fashioutput.txt
E. snmp-server enable traps syslog
CEVAP : B,C
115
ROUTER 6
Router (yönlendirici) farklı network’ları birbiriyle haberleştiren cihazdır. Aslında

router’ler bir bilgisayar gibi işlemci, ram, bellek ve portlara sahiptir. Bu yüzden
belli kapasiteleri vardır. Router’lerin routing işleminden başka, ACL, NAT gibi
kabiliyetleri de vardır.
Router’in, router olmasının en önemli şartı birden fazla interface’sinin (ya da

sub-interface) olmasıdır. Evimizdeki ADSL modemler bile birer router’dir. Aynı
zamanda günümüzde kullanılan bütün firewall, UTM, next generation firewall
gibi cihazların da routing özellikleri bulunmaktadır.
Birçok router’de slot’lar bulunmaktadır. Buraya farklı kartlar takılabilmektedir.

Örneğin seri bağlantılar için Wic 1T ya da Wic 2T kartları, ADSL bağlantılar
için özel ADSL modülü gibi. Router’lerde bulunan AUX portu cihalara uzaktan
erişim için kullanılır. Bu port özel bir modem ile birlikte kullanılır.
116 TEMEL NETWORK
Bir router’in farklı network’lar arası routing yapması için interface’lerinin

IP’sinin olması ve UP olması yeterlidir. Routing işlemini başlatmak için ayrıca
bir komuta gerek yoktur. Ancak Layer 3 bir switch’i routing yapması (Router
özelliğinin kazandırılması) için:
Switch(config)#ip routing
komutuna ihtiyaç vardır. Şimdi gelin basit bir routing yapalım ve komutlara bir
göz atalım:
Would you like to enter the initial configuration dialog? [yes/no]: no
(Otomatik konfigürasyon yapmak istemediğimizi belirttik.)
Press RETURN to get started!
Router>en (Privilege mod’a geçelim.)
Router#conf t (Global config mod’a geçelim.)
Router(config)#Host R1 (Router’imize ad verelim.)
R1(config)#int gi 0/1 (Soldaki interface’ye girip UP yapalım, IP verelim.)
R1(config-if)#no sh (interface’yi UP yaptı.)
R1(config-if)#
ROUTER 117

changed state to up
R1(config-if)#ip add 192.168.1.1 255.255.255.0 (Gi 0/1 interface’sine IP

verdik.)
R1(config-if)#int gi 0/2 (Sağdaki interface’e girip uUP yapalım, IP verelim)
R1(config-if)#no sh (İnterface’yi UP yaptık.)
R1(config-if)#ip add 192.168.2.1 255.255.255.0 (Gi 0/2 interface’sine IP

verdik.)
R1(config-if)#

changed state to up
R1(config-if)#exit
R1(config)#
ve işlem bu kadar. Artık sağdaki client’ten soldakine ping atabiliriz. (Tabi client
bilgisayarlara da IP, Subnet Mask ve ağ geçidini tanımlamalısınız.)
118 TEMEL NETWORK
Router ve Layer 3 switch’lerde interface’lerin IP’lerini durumunu şöyle kontrol

ederiz:
Burada status ve protocol durumları önemlidir:
Statıc Routıng
Her router yalnızca kendisine direkt bağlı olan network’ları bilir. Bunlara
connected route denir. Örneğin Ankara router’i yalnızca kendisine bağlı
192.168.1.0 ve 10.10.10.0 network’larını bilmektedir. Yani kendisine gelen ve
hedefi bu network’lar olan paketleri yönlendirebilir. Dolayısıyla Ankara’daki
Sinan, İskilip’deki Melahat’ına ulaşmak için ping 192.168.2.2 dediğinde
Sinan’ın bilgisayarı hedef IP kendi network’unda olmadığından ping paketini
ağ geçidine yani Ankara router’ının iç bacağına gönderir. Ankara router’i,
192.168.2.0 network’unu bilemediğinden paketleri çöpe atar ve erişemez.
Ankara router’ine göremediği 192.168.2.0 network’unun İskilip router’inin
arkasında olduğunu söylememiz gerekiyor.
ROUTER 119
Bunun için Ankara router’ine Global config mod’da şu komut girilir:
ip route 192.168.2.0 255.255.255.0 10.10.10.2
Açıklaması: 192.168.2.0/24 network’u 10.10.10.2 IP’sinin arkasında
Bu komutta kullandığımız 192.168.2.0 255.255.255.0 kısmı ulaşılmak istenen

hedef network, IP ve subnet yapısıdır. Karşı tarafta farklı bir subnet kullanılsaydı
onu yazmalıydık. 10.10.10.2 IP’si ise referans IP yani yönlendirici noktadır. Bu
IP erişelemeyen hedef network’e doğru olan bağlantıdaki router’in bize bakan
bacağının IP’sidir.
Artık Sinan’dan çıkan ping paketleri Ankara router’ine geldiğinde hedefi

192.168.2.0 network olduğu için ve biz o network’u, Ankara router’ine
öğrettiğimiz için paketleri 10.10.10.2’ye yönlendirir. İskilip router’i kendisine
gelen ve hedefi 192.168.2.0 network’u olan paketi alır ve zaten çok iyi
bildiği, connected route olan gi 0/2 bacağından gönderir. Paket hedefine
ulaşır. Ping’in tamamlanması için hedefin cevap verip, kaynağa cevap
paketini geri göndermesi gerekir. Bu sefer de İskilip’ten Melahat’ın, Sinan’a
ping reply paketi bilgisayarından yola çıkar. Melahat’ın bilgisayarı cevap
paketini kendine bu paketi gönderen IP kendi network’unda olmadığından
ağ geçidine (192.168.2.1) gönderir. Bu sefer de İskilip router’i 1. li network’u
bilemediğinden paketi çöpe atar yani ping paketi kaynağa geri dönemez. O
halde İskilip router’ine de Ankara network’unu öğretmemiz gerekecektir. Bunu
da şu komutla yapabiliriz:
ip route 192.168.1.0 255.255.255.0 10.10.10.1
Açıklaması: 192.168.1.0 network’u 10.10.10.1 IP’sinin arkasında
Artık her iki kullanıcı da birbirine ulaşabilir. Gerçek hayatta eksik routing
tanımlarından dolayı bize gelen pinglerin geri dönemediğini ya da bize kadar
ping paketinin gelip gelemediğini öğrenmek için Wireshark türü yazılımlar
kullanılır.
Statik route tanımlarken şu IP’nin arkasında dediğimiz referans değer kural

yazılan router’deki connected network’lerde olmalı, yani kural yazılan router’e
direkt bağlı olmalıdır.
120 TEMEL NETWORK
Örneğin aşağıdaki gibi bir yapı varsa:
Tüm router’ler yalnızca kendilerine bağlı olan network’ları bilirler. R1 router’ine

D network’unu öğretirken referans IP, .5 değil .3’tür. Çünkü C network’u R1’e
direkt bağlı (connected) bir network olmadığından bu network’taki bir IP’yi
statik route de kullanamayız.
Statik route yazarken istenirse hedef network’e doğru olan interface de

referans değer yerine kullanılabilir.
Örneğin:
ip route 0.0.0.0 0.0.0.0 gi 0/1
DEFAULT ROUTE
Peki internete erişimlerde nasıl bir route kuralı yazılmalıdır? İnternet dediğimiz
o büyük network, tüm IP’leri içermektedir. Bu durumda tüm IP’ler, şu IP’nin
arkasındadır demek için şöyle bir static route yazılır:
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Açıklaması: Tüm IP’ler 192.168.1.1 IP’sinin arkasındadır.
Aslında bu yönlendirme bizim bilgisayarlarımızdaki IP ayarlarındaki ağ

geçidi gibidir. Aklınıza şu soru gelebilir. Peki ama tüm IP’ler 192.168.1.1’in
arkasındaysa bizim kendi network’umuzdaki IP’leri de bu ağ geçidine
gönderilmez mi ? Cevap elbette “hayır”dır. Çünkü bir router bir hedefe birkaç
yoldan gidebiliyorsa, metric’i küçük olanı tercih eder. Connected route, yani
direkt olarak router’e bağlı network’ların metric değeri 0, static route’lerin
metric değeri ise 1’dir. Fakat yine de connected route değilde, diğer dynamic
routingler ile öğrendiğimiz network’e gidecek paketleri yanlışlıkla bu ağ
geçidine göndermesin diye bu komutun sonuna birde büyük bir metric değeri
girilir:
ip route 0.0.0.0 0.0.0.0 192.168.1.1 200

ROUTER 121
DYNAMIC ROUTING
Gerçek dünyamızda özellikle de internette bir sürü router vardır. Bir router’in
arkasına yeni bir network eklenince, bu yeni network’a erişim için tüm diğer
router’lerde yeni network şu IP’nin arkasındadır diye static route girmek gerekir.
Bu da uygulanabilir değildir. Öyleyse aslında her router’in kendi arkasındaki
networkleri belli aralıklarla diğer router’lere anonslayacağı bir sisteme ihtiyaç
vardır. Buna dynamic routing denir. Dynamic routing protokolleri 3 sınıfta
incelenir:
Distance Vector (Rip, IGRP, BGP): Bu yöntemde router’ler bir hedefe birkaç
farklı yoldan erişebiliyorsa, en kısa yolu seçmek için hedefe giderken kaç router
geçtiklerine bakarak karar verir. Az sayıda router, geçtikleri yol en anlamlı
yoldur diye seçim yaparlar. Distance vector router’lerin birbiri ile databaselerini
paylaşmaları ile oluşan yapıdır.
Hybrid (EIGRP): Bu yöntemde bir hedefe giden en kısa yol hem geçtiği router
sayısı hem de bağlantı hızı korelasyonla hesaplanarak en kısa yol hesaplanır.
Yalnızca EIGRP bu yöntemi kullanır.
Link State (OSPF, IS-IS): Bu yöntemle hedefe giden en optimum yol

hesaplanırken bağlantı hızları baz alınır.
RIP
(ROUTING INFORMATION PROTOCOL)
Rip Distance Vector, bir protokoldür. Distance Vector Protocole’ler, routing
table update mantığıyla çalışırlar. Yani, belirli zaman aralıklarında sahip
oldukları network bilgilerini komşu router’lerine gönderir, aynı şekilde komşu
router’lerinden de aynı bilgileri alırlar. Bu döngünün sonunda her router,
sistemdeki bütün network’ları öğrenmiş olur ve uygun yol seçimini yaparlar.
Periyodik güncelleme sıklığı default da 30 saniyedir.
Rip, uzaklık vektör algoritmasıyla çalışan ve yönlendirmeleri hesaplamak

için Bellman-Ford algoritmasını kullanan bir protokoldür. Rip, yönlendirici
cihazların tablosunda Administrative Distance değeri 120‘dir. Rip yönlendiriciler,
en iyi yol seçimini yaparken sadece geçtiği cihaz (hop count) sayısına bakar.
Rip, en fazla 15 hop’u kabul eder. Bu, bir router’in data iletiminde en fazla 15
122 TEMEL NETWORK
tane router geçebileceği anlamına geliyor. Bu sayı aşıldığında, yani 16. hop’a
gelince, destination unreachable (kaynak bulunamadı) hatasını verir. Bu
kısıtlama yanlış anlaşılmamalıdır. Yani bir merkeze bağlı 30 tane router’in hepsi
de Rip ile dynamic update yapsa sorun olmaz. Buradaki kısıtlama ard arda
geçilen router sayısıdır.
Rip generic bir routing protokoldür. Yalnızca Cisco’ya özgü bir protokol
değildir ve diğer üreticiler de kullanır.
Rip, 2 farklı şekilde kullanılır. Bunlar, Rip Version 1 ve RIP Version 2 şeklindedir.
Elbette versiyon 2 daha gelişmiştir ve bu tercih edilir.
RIP Versiyon 1 Özellikleri

Classful’ dur. Yani siz A class bir network’u (10.10.10.0 /24) C class Subnet
Mask’ı ile kullanırsanız bunu bu şekilde anonslayamaz.
Periyodik güncellemelerde alt ağ maskesi (Subnet Mask) bilgisini taşımaz.

Bu yüzden bir ağda subnetting (alt ağlara) ayırma işlemi yapıldığında RIP v.1
düzgün çalışmaz.
Periyodik güncellemelerini 255.255.255.255 broadcast yayını üzerinden

anonslar.
Kimlik doğrulama yapılmaz.
«Split horizon” ve «split horizon with poison reverse” özelliklerini

destekler.
RIP Version 1 konfigürasyonu

Router>enable
Router#conf t
Router(config)#router rip
Router(config-router)#network 10.1.2.0 (Router’ın diğer router’lara

bildireceği networkleri burada anonsluyoruz. Bu kısıma, router’a bağlı olan
tüm bacakların, yani network’lerin, IP adres bilgileri girilmelidir.)
ROUTER 123
RIP Versiyon 2 Özellikleri

Classless (Sınıfsız) bir protokoldür ve Classless Inter-Domain Routing (CIDR –
Sınıfsız alanlar arası yönlendirme) grubunda bulunur.
Periyodik güncellemelerinde Subnet Mask bilgisini taşır. Kullanılan ağda

subnetting yapılabilir.
Periyodik güncellemelerini 224.0.0.9 multicast yayını üzerinden duyurur.
Kullanılırken kimlik doğrulama yapılabilir. (Kimlik doğrulama, ağ boyunca

dağıtılan yolların güvenilir kaynaklardan geldiğini doğrulamak için kullanılır.)
Variable Length, Subnet Mask (VLSM)’ı destekler.
RIPv1 ayarlı bir router, RIPv2 güncellemelerini de kabul eder; fakat RIPv2
kullanan bir router, sadece RIPv2 güncellemelerini kabul eder.
RIPv2’de Auto Summarization vardır ve default olarak açık durumdadır. Auto

Summarization, eğer alt ağlara bölme işlemi yapılmışsa, yani subnetting
yapılmışsa, bu alt ağlara bölme işlemi görmeden, network’un bölümlenmemiş
halini özet bilgi olarak karşı router’lere iletilir ve classful gibi çalışır. Daha
doğru bir yönlendirme tablosu sağlamak için RIPv2’de Auto Summarization’ın
(otomatik özetleme) devre dışı bırakılması önerilir. Devre dışı bırakıldığında, Rip
v2 tüm alt ağlara alt ağ maskesi bilgilerini diğer router’lere raporlayacaktır. Rip v2
‘nin Clasless olarak çalışması için no auto summary komutu kullanılmalıdır.
Split Horizon: Bir router aldığı network bilgisini aldığı interface’den geri
göndermez. Bu distance vector protokollerde default vardır.
RIP Version 2 konfigurasyonu

Router(config-router)#router rip (Rip’e giriş.)
Router(config-router)#no auto-summary (Classless olarak istediğimiz sınıf

IP kullanabiliriz.)
Router(config-router)#network 10.10.10.0 (Ağımızdaki networkleri diğer

router’lere anonslayalım. Kritik düzeyde network varsa anonslamayabiliriz de...
Tüm network’lara anonslayacağız diye bir şart yok.)
124 TEMEL NETWORK
Router(config-router)#network 192.168.10.0
Router(config-router)#passive-interface gi 0/1 (Kullanıcı network’UNA

doğru boşuna 30 sn’de bir update göndermesin.)
Burada tanımlanan network’lar statik olarak bağlı olan network’lardır. Router

kendisine bağlı olmayan bir network’u siz kuralda yazsanız bile anonslamaz, ya
da router’in ilgili interface’yi down ise o network’u yine kuralda yazsanız bile
anonslamayacaktır.
Passive - Interface
Bir interface pasif interface olarak girilirse buradan routing update’leri
gönderilmez. Özellikle router olmayan fastethernet ya da kullanıcı
network’larına doğru olan bağlantılar için kullanılır.
Router (config-router)# passive-interface fastethernet 0/0
Sorun giderme ve takip için

Router# debug ip rip
Bu komutu uyguladığınızda router tüm gelen ve gönderilen update paketlerini

size gösterecektir. Böylece sorunlu networkün olduğu router’den paketlerin
gelip gelmediğini görebilirsiniz. 30 saniyede bir update olduğundan gelen,
giden paket çok fazla olur. Debug’ı durdurmak için:
Router# no debug ip rip
Ripv2 Authentication
Rip v2 konuşan router’lerin update’leri sırasında authentication sağlanabilinir.
Bunun için Global Konfigürasyon modunda “key” komutu kullanılmalıdır.
Router(config)#key chain Sinan
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string Sifre
Authentication sağlanacak router’ler icin password aynı olmalıdır, ancak key

adı değiştirilebilir. Key oluşturulduktan sonra interface’ye uygulanmalıdır.
ROUTER 125
Router(config)#interface fastethernet 0/0
Router(config-if)#ip rip authentication key-chain Sinan
Router(config-if)#ip rip authentication mode md5
Buradaki “ip rip authentication mode md5” komutunun kullanımı

opsiyoneldir. Authentication bilgilerinin encrypted halde gönderilmesini
sağlayan bu komut kullanılmadığında da interface default olarak Clear
text halinde authentication bilgilerini gönderecektir. Bu da ağımızı o anda
dinleyen bir saldırgan var ise şifrelerimizi ele geçirebilir demektir.
Rip v2 Uygulama
Router>en (Privilege moda geçiş.)
Router#conf t (Global config moda geçiş.)
Router(config)#host Corum (Router’imize ad verelim.)
Corum(config)#int gi 0/1 (Gi 0/1’in içine girip up yapıp IP verelim.)
Corum(config-if)#no sh
Corum(config-if)#ip add 192.168.1.1 255.255.255.0
Corum(config-if)#desc Corum-LAN (Bu interface’ye bir de açıklama girelim.)
Corum(config-if)#int gi 0/0 (Gi 0/0’in içine girip UP yapıp IP verelim.)
126 TEMEL NETWORK
Corum(config-if)#desc Corum-To-Ankara (Bu interface’ye bir de açıklama

girelim.)
Corum(config-if)#exit (Genel ayarlar bitti, interface’den çıkalım.)
Corum(config)#router rip (Rip ayarları için giriş yapalım.)
Corum(config-router)#ver 2 (Versiyon 2 kullanalım.)
Corum(config-router)#no auto-summary (Classless yapalım.)
Corum(config-router)#passive-interface gi 0/1 (Local network’a doğru

paket göndermesin.)
Corum(config-router)#network 192.168.1.0 (Local Network’u anonslayalım

.)
Corum(config-router)#network 1.1.1.0 (Diğer network’u de anonslayalım.)
Corum(config-router)#exit
Router>en (Privilege mod’a geçiş.)
Router#conf t (Global config mod’a geçiş.)
Router(config)#host Ankara (Router’imize ad verelim.)
Ankara(config)#int gi 0/0 (Gi 0/0’in içine girip UP yapıp, IP verelim.)
Ankara(config-if)#no sh
Ankara(config-if)#ip add 1.1.1.1 255.255.255.252
Ankara(config-if)#desc Ankara-To-Corum (Bu interface’ye bir de açıklama

girelim.)
Ankara(config-if)#int gi 0/1 (Gi 0/1’in içine girip UP yapıp, IP verelim.)
Ankara(config-if)#desc Ankara-LAN (Bu interface’ye bir de açıklama girelim.)

ROUTER 127
Ankara(config-if)#ex
Ankara(config)#router rip (Rip ayarları için giriş yapalım.)
Ankara(config-router)#ver 2 (Versiyon 2 kullanalım.)
Ankara(config-router)#no auto-summary (Classless yapalım.)
Ankara(config-router)#passive-interface gi 0/1 (Local network’a doğru

paket göndermesin.)
Ankara(config-router)#netw 1.1.1.0 (Dış Network’u anonslayalım)
Ankara(config-router)#netw 192.168.2.0 (Local Network’u anonslayalım.)
Ankara(config-router)#end
(Tüm ayarlarımız bitti. Şimdi acaba her iki router de diğerinin arkasındaki
network’u öğrenmiş mi kontrol edelim.)
Ankara#sh ip route
Evet gördüğünüz gibi Ankara router’imize, Çorum’un arkasındaki network Rip

ile öğrenilip gelmiş.
128 TEMEL NETWORK
Şimdi de Çorum network’undaki switch’e bir IP verip TFTP ye config backup’ını

alalım:
Switch>
Switch>en
Switch#conf t
Switch(config)#Host Corum-SW (Switch’e ad verelim.)
Corum-SW(config)#
Corum-SW(config)#int vlan 1 (Vlan1’i up yapıp, IP verelim.)
Corum-SW(config-if)#no sh
Corum-SW(config-if)#

to up
Corum-SW(config-if)#ip add 192.168.1.254 255.255.255.0
Corum-SW(config-if)#exit
Corum-SW(config)#ip default-g 192.168.1.1 (Farklı ağlarla iletişim için Df

Gw)
Corum-SW(config)#
Corum-SW(config)#end
Corum-SW#
%SYS-5-CONFIG_I: Configured from console by console
Corum-SW#copy running-config tftp:
Address or name of remote host []? 192.168.2.2 (TFTP sunucu adresi)
Destination filename [Corum-SW-confg]? (TFTP Sunucuya kayıt dosya

adı)
Writing running-config.....!!
ROUTER 129
[OK - 1126 bytes] (ve işlem tamam...)
Corum-SW#
Böylece başarıyla iki router’in arkasındaki network’ları birbiriyle Rip v2

kullanarak haberleştirdik.
Administrative Distance Değerleri

Connected interface 0
Static route 1
External Border Gateway Protocol (BGP) 20
Internal EIGRP 90
IGRP 100
OSPF 110
Intermediate System-to-Intermediate System (IS-IS) 115
Routing Information Protocol (RIP) 120
Exterior Gateway Protocol (EGP) 140
On Demand Routing (ODR) 160
External EIGRP 170
Internal BGP 200
Unknown* 2
IGRP
(Interıor Gateway Routıng Protocol)
IGRP, Rip protokolünün benzeridir ancak Rip’ten daha başarılıdır. IGRP’de
olabilecek en fazla hop değeri 255’tir ve basamak sayısı değeri sadece 15 olan
RIP’e göre farkını ortaya koymaktadır.
Bununla birlikte, yönlendirme metriği olarak kullanılan tek özellik hop sayısı
değildir; IGRP, Rip’ten farklı olarak; hat gecikmesi, bant genişliği, güvenilirlik ve
yük durumu gibi değerleri de metrik olarak kullanır.
IGRP’nin Administrative Distance’si 100’dür ve dolayısıyla aynı router’de Rip

ile birlikte kullanılırsa IGRP, önceliğe sahip olacaktır. Router, en iyi yol seçimini
administrative distance değeri daha düşük olan IGRP’den yana kullanacaktır.
130 TEMEL NETWORK
IGRP’nin Özellikleri
IGRP, Routing Table’sini default olarak 90 saniyede bir komşu Router’lere
255.255.255.255 broadcast adresinden anonslar.
Yine default olarak 3x90 yani 270 saniye sonra hala update gelmeyen
network’larını invalid kabul eder fakat bu network bilgisini Routing
Table’sinden silmez. Ek olarak, bu network ile ilgili daha büyük metrik değerine
sahip update’leri kabul etmez.
Daha büyük metrik değerine sahip update’leri ancak Hold down Timer
süresinin sonunda kabul eder ki bu süre 280 saniyedir. Bu noktadan sonra IGRP
ile yapılandırılmış router, kaybettigi network bilgisini silmese de, daha büyük
metrik değeri ile gelebilecek update’leri kabul edecektir.
Kaybettiği network’un bilgisini ise, Flush Timer süresinin sonunda silecektir.

Bu süre de default olarak 630 saniyedir.
IGRP konfigurasyonu
Router>enable
Router#conf t
Router(config)#router igrp 100 (100 autonomous number belirledik. Bu

diğer router’lerde da aynı olmalı.)
Router(config-router)#network 10.1.2.0
Router(config-router)#network 10.1.3.0 (Router’in diğer router’lere

bildireceği network’lar.)
EIGRP (Enhanced Interıor

Gateway Routıng Protocol)
2013 yılına kadar yalnızca Cisco’ya özel iken, günümüzde diğer üreticiler
tarafından da kullanılmaktadır. Hybrid özelliktedir, yani Distance ve Link state
protokol özelliklerini taşır.
ROUTER 131
Rip ve IGRP belirli zaman aralıklarında Routing Table (bildiği network

adreslerini) yollar. Bu durum ağda trafik oluşmasına sebep olur. EIGRP tüm
Routing Table göndermektense küçük hello paketleri yollayarak komşu
router’lerin up / down olup olmadığını kontrol eder. Komşu router’ler hello
paketlerine cevap olarak ACK paketleri yollar. Böylelikle router’in UP olduğunu
anlar. Ortama yeni bir router eklendiğinde veya çıkarıldığında Query paketi
yollar yolladığı paketin cevabı olan Reply paketi ile komşu router’ler hakkında
bilgi edinip Dual algoritmasını kullanarak Topology tablosunu oluşturur.
Eıgrp’nin Özellikleri
no auto-summary komutu ile classless olarak da çalışabilir.
Her 5 saniyede bir routing tablosunu yeniler.
Metric olarak varsayılanda bandwidth ve delay değerlerini kullanır. Ancak

istenilirse reliability ve load değerlerini kullanması sağlanabilir.
Dual algoritma (Diffusing update algorithm) ile routing tablosunu

ve topogy tablosunu oluşturur.
Administritive distance değeri 90’dır.
Max hop count değeri 255 varsayılanda 100’dür.
Kullandığı multicast adresi IPv4 için 224.0.0.10, IPv6 için 01-00-5E-00-00-0A’dır.
VLSM ve CIDR desteği vardır.
Çoklu L3 protokol desteği vardır. (IP, IPX, APPLE TALK)
Sınırlı güncelleme (bounded update) yapar. Routing table tamamı değil sadece
değişen kısım güncellenir.
Kendi arasında Cisco’ya, özel olan RTP (Reliable Transport protokol)

protokolünü kullanır. RTP TCP gibi güvenli iletişim protokolü olup Layer 3’de
çalışır.
EIGRP birbirine bağlı olarak 3 adet tablo tutar. (Neighbor Table, Topology Table,
Routing Table)
132 TEMEL NETWORK
EIGRP AS number router’lerde aynı olmalıdır. Aynı olmayan router’ler arasında

manuel olarak redistribution yapılabilir. Aksi halde router’ler birbiriyle
iletişime geçmeyecektir.
EIGRP, harici bir paketten gelen update bilgisini Routing Table’de EX (External)
olarak belirtir.
EIGRP paket türleri

Hello (5) (Multicast)
Acknowledgement (Unicast) (Data içermez)
Query (3) ( Multicast- Unicast )
Reply (4) (Unicast)
Acknowledgement: Data içermez ama güvenli iletişimi sağlar. Onay

paketleridir.
Hello packet: 224.0.0.10 IP adresi üzerinden gönderilir. Komşulukları

belirlemede ve bu komşulukların bitişikliğini (adjacency) belirlemede kullanılır.
Güvenli protokol üzerine iletişim kurmaz (RTP kullanmaz.) böylelikle güvenli
değildir. Hello paketlerine cevap beklenmez. T1 ağında 5 sn, NBMA ağında 30
sn’de bir kez yollanır.
Update packet: Routing bilgilerini yayınlamada kullanılan paket türüdür.

Metric hesabında değişiklik olduğunda, Successor değiştiğinde, yeni bir
network bulunduğunda kullanılır.
Query packet: Dual tarafından network’ların araştırılmasında kullanılır. Sorgu

yapan paketlerdir. Sahip olduğu network’unda kaybolma olan router query
paketleri yollayarak network’unu aramaya çalışır.
Reply packets: Ouery paketlerinin cevabıdır. Dolayısıyla Dual tarafından

kullanılır. Daima unicast olarak çalışır.
ROUTER 133
EIGRP Update Örnek
172.16.16.0 /24 network’unun down olduğunda neler olduğuna bakalım:

R1 router, R2 ve R3 router’ine 172.16.16.0 /24 ağının down olduğunu
belirten multicast update paketi yollar.
R2 ve R3 bu pakete karşılık onay paketi olan ACK Update bilgisini aldığını karşı
tarafa iletir.
R1 172.16.16.0 /24 ağı için yeni bir yol olup olmadığını keşfetmek için Query;
R2 ve R3 query paketine karşılık olarak ilk başta paketi aldığını
ileten ACK sonrasında Reply cevabını R1 router’ına yollar.
EIGRP Konfigürasyonu
Router(config)#router eigrp 100 (Buradaki değer tüm router’lerde aynı
olmalıdır. Sistem buna göre multicast yapar.)
Router(config-router)#network 192.168.1.0 (192.168.1.0 network’unu
anonsluyoruz.)
Router(config-router)#network 192.168.2.0 (192.168.2.0 network’unu
anonsluyoruz.)
Router(config-router)#passive-interface gi 0/0 (Lan tarafına doğru
update paket gönderilmesini engelliyoruz.)
Router(config-router)#no auto-summary (Unutmadan classless de yapalım.)
134 TEMEL NETWORK
Sorun giderme komutları

Router# show ip eigrp neighbors
Router# debug eigrp packets
Router# show ip eigrp interfaces
Router# show ip eigrp topology
EIGRP ÖRNEK UYGULAMASI
Router>en
Router#conf t
Router(config)#host Corum
Corum(config)#int gi 0/1
Corum(config-if)#

changed state to up
Corum(config-if)#desc Corum-LAN
Corum(config-if)#int gi 0/0
ROUTER 135
Corum(config-if)#

Corum(config-if)#desc Corum-To-Ankara
Corum(config-if)#exit
Corum(config)#router eigrp 100
Corum(config-router)#no auto-summary
Corum(config-router)#passive-interface gi 0/1
Corum(config-router)#network 192.168.1.0
Corum(config-router)#network 1.1.1.0
Corum(config-router)#ex
Corum(config)#
changed state to up
%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 1.1.1.1

(GigabitEthernet0/0) is up: new adjacency
Router>en
Router#conf t
Router(config)#host Ankara
Ankara(config)#int gi 0/0
Ankara(config-if)#

changed state to up

Ankara(config-if)#desc Ankara-To-Corum
Ankara(config-if)#int gi 0/1
Ankara(config-if)#
136 TEMEL NETWORK

changed state to up
Ankara(config-if)#
Ankara(config-if)#
Ankara(config-if)#desc Ankara-LAN
Ankara(config)#router ei
Ankara(config)#router eigrp 100
Ankara(config-router)#no au
Ankara(config-router)#no auto-summary
Ankara(config-router)#pas
Ankara(config-router)#passive-interface gi 0/1
Ankara(config-router)#network 1.1.1.0
Ankara(config-router)#
Ankara(config-router)#network 192.168.2.0
Ankara(config-router)#ex
Ankara(config)#end
Ankara#
Ankara#
ROUTER 137
OSPF (Open Shortest Path Fırst)

Link state olarak çalışır. Hattın hızını ölçüp ona göre davranabilir. Rip EIGRP’ye
göre çok daha hızlıdır. Yedek yolu kendisinde tutmaz. Avantajları ise area
tanımı yapılabilmesidir. Böylece anons etmek istemediğimiz network’ları
gizleyebiliriz. Tüm router’lerde çalışabilir. Yani diğer üreticilerin router’lerini de
destekler.
OSPF enable edilmiş router’ler, tüm portlarından OSPF hello paketi gönderirler.
Bu paketlerin içinde network bilgisi ve link hızı vardır. Belirlenen komşu
router’ler arasında sanal bir point to point bağlantı kurulur. Bu bağlantı
kurulduktan sonra LSA (Link State Advertisement) paketleri göndermeye
başlar. LSA paketlerini alan her bir router, kendi routing tablosuna bunları
yazar ve bir kopyasını da komşu router’e gönderir. Her 10 saniyede bir router
komşularına hello paketi gönderir. 4 kez yani 40 saniyede cevap alamazsa
komşunun down oldugunu düşünür. İstenirse IP ospf dead interval
komutuyla degistirilebilir. Komşu down ise tekrar yeni yolu bulup yeni
topolojiyi çıkartır. Değişiklik yoksa bile 30 dakikada bir tüm topolojiyi kontrol
eder. Her interface’yi bir area’ya atamak zorundayız.
OSPF’in Özellikleri
• Administrative distance değeri 110’dur.
• Classless routing yapabilir. İstediğiniz sınıf IP’leri istediğiniz Subnet Mask ile
rahatça kullanabilirsiniz.
• Network topolojisinde bir değişiklik olması durumunda, değişiklik olan router
tarafından diğer router’lar güncelleme için tetiklenir.
• Area kullanımı sayesinde alt ağlarda birbirleriyle haberleşme yapabilecek
router’lar rahatlıklar belirlenebilir.
• Diğer router’lar ile haberleşmelerinde paketler MD5 şifrelemesiyle güvenli
olarak iletilir.
• Network anonslamalarında WildCard mask kullanılır. Bu değerler pratik
olarak 255.255.255.25’den çıkarılarak elde edilir. Örneğin Subnet Mask’ı
255.255.255.0 olan bir network’un Wildcard Mask’ı 0.0.0.255 ya da Subnet
Mask’ı 255.255.255.252 olan bir network’un da Wildcard Mask’ı 0.0.0.3’tür.
• 10 saniyede bir güncelleme paketi gönderilir.
138 TEMEL NETWORK
OSPF Hello Paketı İçeriği

Router ID: Router’de konfigüre edilen en yüksek IP adresidir.
Network Mask: Router ID’ yi belirleyen interface’nin ağ maskesidir.
Area ID: Hello paketi gönderen router’in interface’sinin alan kimliğidir.
Router Priority: Router’in DR veya BDR seçimini belirlemektedir.
Hello Aralıgı: Hello paketleri arasındaki süredir ve 10 saniyedir.
Dead Interval: Komsu router ile bağlantının koptuğunu belirten süredir.
DR IP adresi: Mevcut DR IP adresidir. Bu adresi öğrenen route’ler, OSPF

mesajlarını bu IP adresine gönderirler.
BDR IP Adresi: Mevcut BDR IP adresidir. DR aktif olmadığı zaman OSPF

mesajları bu IP adresine gönderilir.
Komşu Router ID’leri: Komsuluk tablosunda bulunan router’lerin IP

adresleridir. Router kendi ip adresini bu alanda görürse database paylaşımı
gerçeklestirilir.
Authentication Information: Kimlik doğruluma tipi ve bilgisini içerir.
Stub Area Flag: Hangi tip LSA (Link State Advertisement) mesajlarının
gönderileceği ve alınacağı bilgisini içerir.
OSPF Konfigürasyonu
Router(Config)#router ospf 100 (Bu değer güncelleme yapılacak diğer
router’lerde de aynı olmalıdır.)
Router(Config-router)#network 192.168.1.0 0.0.0.255 area 0

(192.168.1.0 network’unu anonsluyoruz.)
Router(Config-router)#network 192.168.2.0 0.0.0.255 area

0 (192.168.2.0 netwörk’unu anonsluyoruz.)
Router(Config-router)#passive-interface gi 0/1 (Lan network’una doğru

olacak güncelleme paket gönderimlerini durduruyoruz.)
ROUTER 139
OSPF Çalışma Adımları

Router çalışmaya başladığında UP olan interface’leri, bağlı ağları anonslamak
için öğrenir. Down olan network kuralın içinde yazılsa bile anonslanmaz.
Router, hello mesajları göndererek diğer router’ler ile komşuluklar kurar.
Router bağlantı durumunu (LSA) diğer router’lere gönderir. Diğer router’lerden

gelen paketler ile de (LSDB) kendi tablosunu update eder.
Router SPF algoritması ile tüm network’un bir haritasını çıkarır. Bunun için
topladığı LSDB paketlerini kullanır. Bu tüm ağın haritası 30 dk bir kontrol edilir.
OSPF Authentication
Her router her router’le ospf güncellemeleri yapamasın, sadece bizim
belirlediğimiz router’ler birbiri ile güncellensin isteniyorsa, OSPF authentication
uygulanmalıdır. Bunun için diğer router’lere doğru bağlantı sağlayan interface
altında:
Router(config-if)#ip ospf authentication
Router(config-if)#ip ospf authentication-key sifre
OSPF Sorun Giderme komutları

OSPF gelen ve giden güncelleme paketlerini takip için:
Router2#debug ip ospf events
OSPF komşulukları hakkında bilgi almak için:
Router# show ip ospf neighbor
OSPF hakkında anlık detaylı bilgiler almak için;
Router# show ip ospf events
Router# show ip ospf packet

140 TEMEL NETWORK
Routıng İle İlgili Dikkat Edilmesi

Gereken Uyarılar
Routing ile ilgili en önemli konulardan bir tanesi de bir router’in herhangi bir
network’a bağlı olan interface’yi down olduğunda, router bu network’u tüm
dynamic routing tablolarından çıkarır ve yeni halini anons eder.
Statik route yazıldığında ise Administrative distance değeri dynamic router’lere

göre düşük olacağından diğer dynamic route’leri ezeceği unutulmamalı
ve özellikle internete erişim için dynamic route yazıldığı zaman yüksek bir
distance değeri ile yazılmalıdır.
Statik route yazıldığında karşı hedefin down olması durumunda statik route
otomatik olarak kaldırılmaz. Router hala hedef network’a ulaşmak isteyen
paketleri down olan IP’ye doğru yönlendirmeye devam eder.
OSPF Örnek Uygulama

Aşağıdaki network için Ankara ve Çorum ağlarının birbiri ile OSPF kullanarak
haberleşmesini sağlayınız ve Çorum switch’inin config backup’unu Ankara’daki
TFTP’ye alınız.
Çorum router’ini ayarlayalım:

ROUTER 141
Router(config)#host Corum (Router’e isim verelim.)
Corum(config)#int gi 0/1 (Local Lan için interface’nin içine girelim.)
Corum(config-if)#no sh (Önce interface’yi UP edelim.)
Corum(config-if)#

changed state to up
Corum(config-if)#ip add 192.168.1.1 255.255.255.0 (İnterface’ye IP

verelim.)
Corum(config-if)#desc Corum-LAN (İnterface’ye açıklama da girelim.)
Corum(config-if)#int gi 0/0 (Dış interface’ye girelim.)
Corum(config-if)#no sh (İnterface’yi UP edelim.)
Corum(config-if)#
Corum(config-if)#ip add 1.1.1.2 255.255.255.252 (Dış interface’ye IP

girelim.)
Corum(config-if)#desc Corum-To-Ankara (İnterface’ye açıklama da girelim.)
Corum(config-if)#ex
Corum(config)#router ospf 100 (OSPF aktif edelim bu değer diğerinde de

aynı olmalı.)
Corum(config-router)#passive-interface gi 0/1 (İç lokal network’a doğru

boşuna paket göndermesin )
Corum(config-router)#network 192.168.1.0 0.0.0.255 area 0 (Lan

networkünü anonslayalım.)
Corum(config-router)#network 1.1.1.0 0.0.0.3 area 0 (Dış network’u

anonslayalım.)
142 TEMEL NETWORK
Corum(config-router)#exit
Corum(config)#
Çorum için ayarlarımız bu kadar. Şimdi de Ankara router’ini ayarlayalım:
Router>
Router(config)#host Ankara (Router’e isim verelim.)
Ankara(config)#int gi 0/0 (Dış interface’nin içine girelim.)
Ankara(config-if)#no sh (interface’yi UP edelim.)
Ankara(config-if)#

changed state to up
Ankara(config-if)#ip add 1.1.1.1 255.255.255.252 (Dış interface’ye IP

girelim.)
Ankara(config-if)#desc Ankara-To-Corum (İnterface’ye açıklama da girelim.)
Ankara(config-if)#int gi 0/1 (Local Lan için interface’nin içine girelim.)
Ankara(config-if)#no sh (İnterface’yi UP edelim.)
Ankara(config-if)#

changed state to up
ROUTER 143
Ankara(config-if)#ip add 192.168.2.1 255.255.255.0 (İnterface’ye IP

verelim.)
Ankara(config-if)#desc Ankara-LAN (İnterface’ye açıklama da girelim.)
Ankara(config-if)#exit
Ankara(config)#router ospf 100 (OSPF aktif edelim bu değer, diğerinde de

aynı olmalı.)
Ankara(config-router)#passive-interface gi 0/1 (İç lokal network’a

doğru boşuna paket göndermesin.)
Ankara(config-router)#network 192.168.2.0 0.0.0.255 area 0 (Lan

network’unu anonslayalım.)
Ankara(config-router)#network 1.1.1.0 0.0.0.3 area 0 (Dış network’u

anonslayalım.)
Ankara(config-router)#end
Ankara#
Ankara#
00:12:31: %OSPF-5-ADJCHG: Process 100, Nbr 192.168.1.1 on

GigabitEthernet0/0 from LOADING to FULL, Loading Done (OSPF
güncellemesini yaptı.)
144 TEMEL NETWORK
Ankara için de ayarlarımız bitti. Kontrol edelim bakalım, Çorum iç ağını OSPF
ile öğrenmiş mi?
Şimdi de Çorum switch’inin temel ayarlarını yapıp TFTP’ye ayarlarının yedeğini

alalım. Önce elbette TFTP sunucuya IP verelim. TFTP servisinin çalıştığını
kontrol edelim:
Switch>en (Privilege mod’a geçelim.)
Switch#conf t (Global config mod’a geçelim.)
Switch(config)#host Corum-SW (Switch’e bir isim verelim.)
Corum-SW(config)#int vlan 1 (Switch’in vlan1 interface’sini UP yapıp, IP

verelim.)
Corum-SW(config-if)#no sh
Corum-SW(config-if)#

to up
Corum-SW(config-if)#ip add 192.168.1.254 255.255.255.0

ROUTER 145
Corum-SW(config-if)#exit
Corum-SW(config)#ip default-g 192.168.1.1 (Switch’e ağ geçidi vermeyi

hiçbir zaman unutmayın.)
Corum-SW(config)#end
Corum-SW#
Corum-SW#copy running-config tftp: (Şimdi de TFTP’ye running-config

yedeğini alalım.)
Address or name of remote host []? 192.168.2.2 (TFTP sunucu IP’sini

girelim)
Destination filename [Corum-SW-confg]? (Parantez içindeki dosya adı

uygundur enter deyip geçelim.)
Writing running-config.....!!
[OK - 1126 bytes] (veee işlem tamamdır, mutlu son...)
Corum-SW#
146 TEMEL NETWORK
BGP (BORDER GATEWAY PROTOCOL)

BGP, genelde internet servis sağlayıcıları tarafından kullanılan gelişmiş bir
yönlendirme protokolüdür. BGP’de yönlendiricilere otonom sistem numarası
atanır. Otonom sistem numarası 1 ile 65535 arasında değişir. 64512 ile 65535
arası özel otonom sistem numarasıdır ve herkes tarafından kullanılabilir. BGP,
yönlendirme tablosunu oluşturmak için metrik hesaplarken, hedefe giderken
üzerinden geçilen otonom sistem sayısını göz önüne alır. Bu durum BGP’nin
Distance Vector algoritmasını kullandığını gösterir.
EIGRP ve IGRP gibi otonom sistem özelliğine göre çalışan yönlendirme

protkollerinin aksine BGP, farklı otonom sistemlere ait yönlendiriciler arasında
da çalışabilmektedir. Bir otonom sistemden çıkan BGP update paketine
otonom sistem numarası eklenir. Böylece otonom sistemden çıkan update
(güncelleme) paketinin aynı otonom sisteme girmesi engellenerek loop
oluşması engellenir.
BGP’nin özellikleri
• BGP, IP adreslerinin özetlenebileceği CIDR, “Classless Inter-Domain Routing”i
destekler.
• BGP iletişim için TCP 179. portu kullanır.
• 60 saniyede bir 19 byte uzunluğunda bir paket, TCP 179. Port kullanılarak
gönderilir.
• BGP, TCP kullandığından dolayı diğer yönlendirme protokollerindeki gibi
doğrulama işlemi yapılmaz.
• Güncelleme paketlerinde sadece değişen rotalar gönderilir.
• Bağlantınının güvenliğinin sağlanması için MD5 (Message Digest algorithm)
ile erişimin yetkilendirmesi sağlanılır.
• BGP, otonom sistemin içinde veya dışında çalışmasına göre ikiye ayrılır.
EBGP (Exterior Border Gateway Protocol)

Farklı otonom sistem içinde bulunan yönlendiricilerin birbirleriyle komşuluk
kurarabilmesi için EBGP, (Exterior Border Gateway Protocol) kullanılır. Bu
protokol kullanılarak komşudan öğrenilen ağ bilgisi yönlendici tablosuna
administrative distance değeri 20 olacak şekilde eklenir.
ROUTER 147
IBGP
(Interior Border Gateway Protocol)
Aynı otonom sistem içinde bulunan yönlendiricilerin birbirleriyle komşuluk
kurarabilmesi için IGBP, Interior Border Gateway Protocol kullanılır. Bu
protokol kullanılarak komşudan öğrenilen ağ bilgisi yönlendici tablosuna
“administrative distance” değeri 200 olacak şekilde eklenir.
BGP TABLOLARI
BGP’nin kullandığı 3 adet tablo vardır:
Neighbor (Komşu) Tablosu
Yönlendiricinin komşuluk kurduğu cihazların bulunduğu tablodur.
BGP Tablosu
Diğer cihazlardan alınan güncelleme bilgilerinin bulunduğu tablodur.
IP Yönlendirme Tablosu
BGP tablosunda bulunan en iyi rotalar bu tabloda bulunur.
BGP’de “neighbor” komutu kullanılarak aynı veya farklı yönlendiriciler arasında

komşuluk kurulması gerekir. Komşuluk kurulacak yönlendiricinin IP adresi ve
otonom sistem numarası “neighbor” komutu ile belirtilir.
148 TEMEL NETWORK
BGP, yönlendirme rotalarını belirlerken öncelikli olarak hedefe giderken

üzerinden geçtiği otonom sistemlerin sayısına bakar. Band genişliği göz
önüne almadığından el ile müdahale etmek gerekebilir. Yönlendirme işlemini
optimize etmek için BGP öznitelikleri (attributes) kullanılır.
BGP öznitelikleri
Well Known Attributes: Bütün BGP güncelleme mesajlarında bulunur.
Mandatory Attributes: Bütün güncelleme mesajlarında bulunması gereken

özniteliklerdir.
AS Path: Hedefe giderken geçilen otonom sistemleri belirtir. Döngü (loop)

oluşmasını engeller.
Next Hop: Hedefe giderken, gidilecek olan bir sonraki yönlendiriciyi belirtir.
Origin: BGP’nin rotayı nasıl öğrendiğini belirtir.
Internal(i): İç Sınır Geçit Protokolü ile öğrenilir.”i” harfi ile tanımlanır.
External(e): Dış Sınır Geçit Protokolü ile belirlenir. “e” harfi ile tanımlanır.
Incomplete(?): Orijini belli olmayan, başka şekillerde BGP’nin içine aktarıldığını

gösterir. “?” ile tanımlanır.
Discretionary Attributes: BGP tarafından desteklenmeli fakat bütün

güncelleme mesajlarında bulunması gerekli değildir.
Local Preference: Yerel otonom sistemden çıkışın belirlenmesi için kullanılır.
Atomic Aggregate: Özetleme ile oluşturulan rotalarda kullanılır.
Optional Attributes: BGP güncelleme mesajlarında bulunup bulunmaması

üreticiye bağlıdır.
Transitive Attributes
Aggregator: Otonom sistem içerisindeki rota özetlemesini yapan
yönlendiriciyi tanımlar.
Community: Güvenliğin grup düzeyinde uygulanabilmesini sağlar.

ROUTER 149
Non Transitive Attributes

• MED (Multi Exit Discriminator): Paketlerin öncelikli olarak hangi hattan
gelmesi isteniyorsa o hatta MED değeri düşük girilir.
• Originator ID: BGP güncellemesini oluşturan yönlendiricinin numarasını taşır.
• Cluster ID: Aynı otonom sistem içerisinde bulunan yönlendiricilerin ait olduğu
kümenin numarasını belirtir.
BGP rota seçimi

• Sonraki yönlendiriciye erişilemiyorsa söz konusu olan rota iptal edilir.
• En büyük ağırlığa (weight) sahip rota seçilir.
• Rota ağırlıkları eşit ise en büyük yerel tercih değerine sahip rota seçilir.
• Yerel tercih değerleri de eşitse OS yolu değerine bakılır.
• OS yolu değerleri de eşitse rotanın kökenine bakılarak öncelik içeriden
öğrenilen olan rota da olmak üzere; sırasıyla dışarıdan öğrenilen ve kökeni belli
olmayan rota olarak seçim yapılır.
• Seçilecek rotaların kökenleri yoksa, en düşük MED değerine sahip rota seçilir.
• Eğer MED değerleri aynı ise kökeni dışarıdan olan rotalar içeriden olan rotalara
tercih edilir.
• Eğer seçilecek olan rotalar aynı kökene sahipse, rota seçiminde IBGP
komşusuna en yakın olan rota seçilir.
• Yönlendirici numarası tarafından belirtilen en küçük IP adresi rota olarak tercih
edilir.
BGP Kullanmayı Gerektiren Durumlar

• AS’den bir başka AS’e paket iletmeniz gerektiren durumlarda kullanılırlar.
• Kullanıdığımız AS’in birden fazla AS’e bağlantısı var ise kullanılırlar.
• AS (Autonomous system numarası) üzerindeki trafik farklı rotalara
yönlendirilmesi, yani rota manipülasyonu gerektiren durumlarda kullanılırlar.
• BGR her 60 saniyede bir keep alive komutları gönderir. Böylece komşularının
ayakta olup olmadığını anlar. Güncelleme mesajları ise EBGP’de 30 sn , IBGP’de
ise 5 sn’de birdir. İstenirse bu update aralığı “ neighbor X.X.X.X advertisment-
interval XX” komutu ile değiştirilebilir.
150 TEMEL NETWORK
BGP Örnek Uygulama
Bu örneğimizde iki network’u BGP ile konuşturalım. Öncelikle temel ayarları

her iki router’de de yapalım:
Router>en
Router#conf t
Router(config)#host R1
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#int gi 0/1
R1(config-if)#no sh
R1(config-if)#ip add 1.1.1.1 255.255.255.252
R1(config-if)#ex
Router>en
Router#conf t
R2(config-if)#no sh
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no sh
R2(config-if)#ip add 1.1.1.2 255.255.255.252
R2(config-if)#ex
ROUTER 151
Şimdi de BGP ayarlarını yapalım:

R1(config)#router bgp 100
R1(config-router)#network 192.168.1.0 mask 255.255.255.0
R1(config-router)#neighbor 1.1.1.2 remote-as 200
R2(config)#router bgp 200

R2(config-router)#neighbor 1.1.1.1 remote-as 100
R2(config-router)#end
Şimdi ise sonuca bakalım:
BGP Sorun Giderme:

show ip bgp replication
Komutu ile BGP güncellemeleri kontrol edilebilir.

152 TEMEL NETWORK
REDISTRIBUTE (Farklı Dynamic

Routing yöntemlerinin aynı
network’ta kullanımı)
Yukarıdaki topolojide soldaki kısım Rip ile sağdaki kısım, OSPF ile dynamic
routing yapmaktadır. Böyle bir durumda soldaki Rip protokolünün OSPF
üzerine, sağdaki OSPF protokolünün de Rip üzerine redistribute edilmesi bir
nevi çevrilmesi gerekmektedir. Şimdi bunu nasıl yapacağımıza bakalım.
Öncelikle temel yapılandırmaları yapıp bir uçtan bir uca erişimin olup
olmadığına bakalım.
Önce soldaki router:

Router>en
Router#conf t
R1(config-if)#no sh
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#exit
R1(config-if)int gi 0/0
ROUTER 153
R1(config-if)#no sh
R1(config-if)#ip add 172.17.17.2 255.255.255.0
R1(config)#exit
R1(config)#router rip
R1(config-router)#ver 2
R1(config-router)#no auto
R1(config-router)#net 172.17.17.0
R1(config-router)#exit
Şimdi de sağdaki router:

Router>en
Router#conf t
R2(config-if)#no sh
R2(config-if)#ip add 172.16.16.2 255.255.255.0
R2(config-if)#exit
R2(config-if)#no sh
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#exit
R2(config)#router Ospf 100
R2(config-router)#net 172.16.16.0 0.0.0.255 area 0
Şimdi de ortadaki router:

Router>en
Router#conf t
R0(config-if)#no sh
R0(config-if)#ip add 172.16.16.1 255.255.255.0
R0(config-if)#exit
R0(config-if)#no sh
R0(config-if)#ip add 172.17.17.1 255.255.255.0
R0(config-if)#exit
R0(config)#router rip
154 TEMEL NETWORK
R0(config-router)#ver 2
R0(config-router)#no auto
R0(config-router)#red ospf 100 met 2
R0(config)#router ospf 100
R0(config-router)#red rip subn
IP SLA Komutu İle Default

Route’Nİn Değiştirilerek Wan
Sıde Yedeklilik Sağlanması
Önce topolojimize bir göz atalım. Bu özellik ile iki internet bağlantısı olan
yerlerde bir bağlantının kesilmesi durumunda trafiğin diğerine yönlendirilmesi
sağlanabilir. Buradaki komutlar Packet tracer’de çalışmayabilir.
Önce R1’de interface’leri tanımlayalım:

R1 (config)# int f 0/0
R1 (config-if)# no sh
R1 (config-if)# ip add 192.168.1.1 255.255.255.0
R1 (config-if)#exit
R1 (config)#int f 1/0
R1 (config-if)#no sh
R1 (config-if)#ip add 1.1.1.1 255.255.255.0
R1 (config-if)#exit
ROUTER 155
R1 (config)#int f 1/1
R1 (config-if)#no sh
R1 (config-if)#ip add 3.3.3.1 255.255.255.0
R1 (config-if)#exit
Şimdi yedeklilik için bir track tanımlıyoruz. Buradaki track sayesinde, router
bir hedef IP’yi periyodik pingleyecek ve ulaşamaz ise track ile yazılan route
kaldırılacak ve daha büyük distance değerli diğer route devreye girecektir.
R1 (config)#track 10 rtr 1 reachability (Buradaki 10 track numarası 1 ise

IP sla referans numarasıdır.)
R1 (config-track)# exit
R1 (config)# ip sla 1
R1 (config-ip-sla)# icmp-echo 1.1.1.2 source-int fa 1/0 (Kontrol için

pinglenecek hedef IP)
R1 (config-ip-sla)# time 1000 (Timeout süresi 1000 ms)
R1 (config-ip-sla)# thr 2 (Karşı tarafın kapalı olduğunu 2 kez deneyerek

anlayacak.)
R1 (config-ip-sla)# fre 3 (Her 3 sn’de bir karşı taraf ayakta mı diye bakacak.)
R1 (config-ip-sla)# exit
R1 (config)# ip sla schedule 1 life forever start-time now
Böylece sistemi devreye aldık. Şimdi sıra default route’leri girmekte. Üstteki
bağlantı ayakta ise üsttekini kullan, değilse alttaki bağlantıyı kullan diyelim:
R1 (config)# ip route 0.0.0.0 0.0.0.0 1.1.1.2 track 10 (Track 10’daki

tanımlara göre hedef pingleniyorsa bu route kullanılsın.)
R1 (config)# ip route 0.0.0.0 0.0.0.0 3.3.3.2 250 (Distance degeri

yüksek bir route’de diğer bağlantının kopması durumunda devreye girecek.)
Genel kontrolleri şu komutlar ile yapabilirsiniz:

R1# sh ip route track-table
ip route 0.0.0.0 0.0.0.0 1.1.1.2 track 10 state is [up]
R1# sh track 10
156 TEMEL NETWORK
HSRP (Hot Standby Routing

Protocol)
HSRP router’ler arası yedeklilik sağlayan bir protokoldür. Böylece sistemdeki
router’lerden birisi down olduğunda tüm sistem çökmez, erişimler devam
eder. HSRP, load balance değil fail over sağlar. Yani sistemdeki yedekli çalışan
router’lerden yalnızca bir tanesi çalışır, yükü router’ler arası dağıtmaz.
HSRP’de router’ler kendi aralarında bir sanal ağ geçidi oluşturur ve hangi router
aktif ise o router, bu sanal ağ geçidinin MAC adresi olarak kendi MAC adresini
yayınlayarak trafiği üzerine alır. Şimdi gelin bu protokolün nasıl çalıştığını bir
örnekle görelim:
Şimdi konfigürasyonu yapalım. Konfigürasyonu router’lerin client’lere bakan

interface’sinin altında yapıyoruz:
R1#conf t
R1(config-if)#standby 1 ip 192.168.1.1
ROUTER 157
R1(config-if)#standby 1 priority 105
(Burada biz R1’e birincil router’sin demiş olduk. Çünkü normalde öncelik
numarası varsayılan olarak 100’dür. Bu değerden daha büyük değerler
verildiğinde önceliği artırılmış olur.)
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 1 state Speak -> Standby
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 1 state Standby ->
Active
R1(config-if)#standby 1 preempt
R1(config-if)#standby 1 track g 0/1 (Bu komut ile takip edeceğimiz dış

interface’miz belirlenmiş olur. Bu interface’nin kopması durumunda öncelik
numarası 10 azalır ve bizim verdiğimiz değerden sonra 95’e düşer. Diğer
router’in varsayılan değeri 100 olduğundan diğeri devreye girecektir.)
Şimdi de 2. router’de ayarlarımızı yapalım:

R2>en
R2#conf t
R2(config-if)#standby 1 ip 192.168.1.1
R2(config-if)#standby 1 preempt
R2(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 1 state Speak -> Active
Tüm ayarlar bu kadar. Şimdi ise client’imizin ağ geçidini sanal GW’e

yönlendirelim ve 192.168.1.1 yapalım.
Şimdi bir örnek daha yapalım:
Router>en
Router#conf t
158 TEMEL NETWORK
Router(config)#host Bim1
Bim1(config)#int gi 0/1
Bim1(config-if)#no sh
Bim1(config-if)#

changed state to up
Bim1(config-if)#
Bim1(config-if)#
Bim1(config-if)#ip add 192.168.0.253 255.255.255.0
Bim1(config-if)#standby 10 ip 192.168.0.254
Bim1(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/1 Grp 10 state Speak ->
Standby
%HSRP-6-STATECHANGE: GigabitEthernet0/1 Grp 10 state Standby ->

Active
Bim1(config-if)#standby 10 priority 105

Bim1(config-if)#standby 10 preempt
Bim1(config-if)#
Bim1(config-if)#
Bim1(config-if)#
Bim1(config-if)#int gi 0/0
Bim1(config-if)#

Bim1(config-if)#ex
Bim1(config)#router rip
Bim1(config-router)#ver 2
Bim1(config-router)#net 192.168.0.0
Bim1(config-router)#
Bim1(config-router)#ex
Bim1(config)#
ROUTER 159
Router>en
Router#conf t
Router(config)#host Bim2

changed state to up
Bim2(config-if)#
Bim2(config-if)#standby 10 ip 192.168.0.254
Bim2(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/2 Grp 10 state Speak ->
Standby
Bim2(config-if)#ex
Bim2(config)#router rip
Bim2(config-router)#ver 2
Bim2(config-router)#
Router>en
Router#conf t
Router(config)#host Wan
Wan(config)#int gi 0/2
Wan(config-if)#no sh
Wan(config-if)#

changed state to up
160 TEMEL NETWORK
Wan(config-if)#ip add 192.168.1.254 255.255.255.0

Wan(config-if)#int gi 0/0
Wan(config-if)#

changed state to up

Wan(config-if)#ex
Wan(config)#int gi 0/1
Wan(config-if)#

changed state to up
Wan(config-if)#
Wan(config-if)#
Wan(config-if)#ex
Wan(config)#router rip
Wan(config-router)#ver 2
Wan(config-router)#net 192.168.1.0
Wan(config-router)#exit
Wan(config)#
HSRP Durum kontrolü: show standby

ROUTER 161
Route Summarization
With EIGRP
Buradaki örneğimizde R2, R3’e doğru 4 ayrı network’u EIGRP ile
anonslamaktadır. Network’lar birbirine yakın olduğundan bu network’ları
sadeleştirip her seferde router’lerin 4 adet değil de 1 özet routing update
yapması router’lerin yükünü azaltacaktır.
Öncelikle bu network’ları nasıl sadeleştirebileceğimizi inceleyelim. Bu

network’ların Subnet Mask’ları 8 bit yani 255.0.0.0 bu Subnet Mask’ı binary
sistemde yazarsak 11111111.00000000.00000000.00000000 daha önce
öğrendiğimiz gibi eğer sola doğru 1’leri azaltırsak 2 subnet - 2 subnet
genişletmiş oluruz. Bize 4 subneti özetlememiz gerektiğinden 2 adet 1’i, 0
yaparsak işimiz çözülür. Yani 11111100.00000000.00000000.00000000 subnet’i
yukarıdaki 4 subnet’i de kapsamaktadır. 252.0.0.0 özet Subnet Mask olarak
kullanabiliriz.
Şimdi yapılandırmalara geçelim. Önce EIGRP alt yapısını oluşturalım:

R2(config)#
R2(config-if)#no sh
R2(config-if)#ip add 192.168.1.1 255.255.255.0
R2(config-if)#ex
R2(config-if)#no sh
R2(config-if)#ex
R2(config)#int gi 0/1.100
R2(config-subif)#
R2(config-subif)#enc d 100
162 TEMEL NETWORK
R2(config-subif)#ip add 100.0.0.1 255.0.0.0

R2(config-subif)#ex
R2(config-subif)#
R2(config-subif)#ex
R2(config-subif)#
R2(config-subif)#ex
R2(config-subif)#
R2(config-subif)#ex
R2(config)#rout
R2(config)#router ei
R2(config)#router eigrp 100
R2(config-router)#ex
Şimdi de diğer router’i ayarlayalım:

R3(config)#
R3(config-if)#no sh
R3(config-if)#
R3(config-if)#ip add 192.168.1.2 255.255.255.0
R3(config-if)#ex
R3(config)#router ei
R3(config)#router eigrp 100
R3(config-router)#
R3(config-router)#ex
ROUTER 163
R3(config)#end
R3#
R3#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B
- BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
D 100.0.0.0/8 [90/28416] via 192.168.1.1, 00:00:10,

GigabitEthernet0/0
D 101.0.0.0/8 [90/28416] via 192.168.1.1, 00:00:10,
GigabitEthernet0/0
D 102.0.0.0/8 [90/28416] via 192.168.1.1, 00:00:10,
GigabitEthernet0/0
D 103.0.0.0/8 [90/28416] via 192.168.1.1, 00:00:10,
GigabitEthernet0/0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.2/32 is directly connected, GigabitEthernet0/0
Evet EIGRP yapısını kurduk ve R2 kendisindeki network’ları R3’e anonsluyor.

Şimdi bu 4 network’u teke düşürelim.
Öncelikle bu network’ları gönderecek olan router’in ilgili interface’nin içine

giriyoruz:
R2(config)#
R2(config-if)#ip summary-address eigrp 100 100.0.0.0 252.0.0.0
R2(config-if)#
164 TEMEL NETWORK
Ve bu kadar. Şimdi diğer router’e gidip yeni yaptığımız özet anonsu alıp
almadığına bakalım:
R3#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B
- BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
D 100.0.0.0/6 [90/28416] via 192.168.1.1, 00:01:43,

GigabitEthernet0/0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.2/32 is directly connected, GigabitEthernet0/0
İşte bu kadar. Görüldüğü üzere yeni özet network bizim 4 subnet’i de

kapsayacak şekilde R3’e anons edilmiş.
ROUTER 165
Güncel Ccna
Sınav Sorularından Örnekler
1. Drag the Cisco default administrative distance to the appropriate Routing
protocol or route. (Not all options are used.)
CEVAP :
2. DRAG DROP
Routing has been configured on the local router with these commands:
Local(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
Drag each destination IP address on the left to its correct next hop address on
the right.
166 TEMEL NETWORK
CEVAP :
3. A network administrator is trying to add a new router into an established

OSPF network. The networks atached to the new router do not appear in the
Routing tables of the other OSPF routers. Given the information in the partal
configuration shown below, what configuration error is causing this problem?
Router(config)# router ospf 1
Router(config-router)# network 10.0.0.0 255.0.0.0 area 0
A. The process id is configured improperly.
B. The OSPF area is configured improperly.
C. The network wildcard mask is configured improperly.
D. The network number is configured improperly.
E. The AS is configured improperly.
F. The network subnet mask is configured improperly.
CEVAP : C
ROUTER 167
4. Which statements describe the Routing protocol OSPF? (Choose three.)

A. It supports VLSM.
B. It is used to route between autonomous systems.
C. It confnes network instability to one area of the network.
D. It increases Routing overhead on the network.
E. It allows extensive control of Routing updates.
F. It is simpler to configure than RIP v2.
CEVAP : A,C,E
5. What is the default administrative distance of OSPF?

A. 90
B. 100
C. 110
D. 120
CEVAP : C
6. What OSPF command, when configured, will include all interfaces into area 0?
A. network 0.0.0.0 255.255.255.255 area 0
B. network 0.0.0.0 0.0.0.0 area 0
C. network 255.255.255.255 0.0.0.0 area 0
D. network all-interfaces area 0
CEVAP : A
7. Which commands are required to properly configure a router to run OSPF and
to add network 192.168.16.0/24 to OSPF area 0? (Choose two.)
A. Router(config)# router ospf 0
B. Router(config)# router ospf 1
C. Router(config)# router ospf area 0
D. Router(config-router)# network 192.168.16.0 0.0.0.255 0
E. Router(config-router)# network 192.168.16.0 0.0.0.255 area 0
F. Router(config-router)# network 192.168.16.0 255.255.255.0 area 0
CEVAP : B,E
168 TEMEL NETWORK
8. What command sequence will configure a router to run OSPF and add network
10.1.1.0 /24 to area 0?
A. router ospf area 0
network 10.1.1.0 255.255.255.0 area 0
B. router ospf
network 10.1.1.0 0.0.0.255
C. router ospf 1
network 10.1.1.0 0.0.0.255 area 0
D. router ospf area 0
network 10.1.1.0 0.0.0.255 area 0
E. router ospf
network 10.1.1.0 255.255.255.0 area 0
F. router ospf 1
network 10.1.1.0 0.0.0.255
CEVAP : C
9. What are two benefits of using a single OSPF area network design? (Choose
two.)
A. It is less CPU intensive for routers in the single area.
B. It reduces the types of LSAs that are generated.
C. It removes the need for virtual links.
D. It increases LSA response times.
E. It reduces the number of required OSPF neighbor adjacencies
CEVAP : B,C
10.Which command can you enter to verify that a BGP connection to a remote
device is established?
A. show ip bgp summary
B. show ip community-list
C. show ip bgp paths
D. show ip route
CEVAP : A
ROUTER 169
11. Which routing protocol has the smallest default administrative distance?
A. IBGP
B. OSPF
C. IS-IS
D. EIGRP
E. RIP
CEVAP : D
12. Which two components are used to identify a neighbor in a BGP configuration?
(Choose two.)
A. autonomous system number
B. version number
C. router ID
D. subnet mask
E. IP address
CEVAP : A,E
13.If you change the weight and distance parameters on a device with an
established bgp neighbor, which additonal task must you perform to allow
two devices to contnue exchanging routes ?
A. Change the weight and distance setngs on the other device to match
B. reset the gateway interface
C. reset the BGP connection s on the device
D. Clear the IP routers on the device
CEVAP : A
170 TEMEL NETWORK
14.A router has learned three possible routes that could be used to reach a
destination network. One route is from EIGRP and has a composite metric of
20514560. Another route is from OSPF with a metric of 782. The last is from
RIPv2 and has a metric of 4. Which route or routes will the router install in the
routing table?
A. the OSPF route
B. the EIGRP route
C. the RIPv2 route
D. all three routes
E. the OSPF and RIPv2 routes
CEVAP : B
The company uses EIGRP as the routing protocol. What path will packets take
from a host on the 192.168.10.192/26 network to a host on the LAN atached to
router R1?
A. The path of the packets will be R3 to R2 to R1.
B. The path of the packets will be R3 to R1 to R2.
C. The path of the packets will be both R3 to R2 to R1 AND R3 to R1.
D. The path of the packets will be R3 to R1.
CEVAP : D
ROUTER 171
16.A network administrator is troubleshooting an EIGRP problem on a router

and needs to confirm the IP addresses of the devices with which the router
has established adjacency. The retransmit interval and the queue counts for
the adjacent routers also need to be checked. What command will display the
required information?
A. Router) show ip eigrp adjacency
B. Router) show ip eigrp topology
C. Router) show ip eigrp interfaces
D. Router) show ip eigrp neighbors
CEVAP : D
17.Refer to the graphic :
R1 is unable to establish an OSPF neighbor relationship with R3. What are

possible reasons for this problem? (Choose two.)
A. All of the routers need to be configured for backbone Area 1.
B. R1 and R2 are the DR and BDR, so OSPF will not establish neighbor adjacency
with R3.
C. A static route has been configured from R1 to R3 and prevents the neighbor
adjacency from being established.
D. The hello and dead interval timers are not set to the same values on R1 and
R3.
E. EIGRP is also configured on these routers with a lower administrative
distance.
F. R1 and R3 are configured in different areas
CEVAP : D,F
172 TEMEL NETWORK
Which address and mask combinaton represents a summary of the routes

learned by EIGRP?
A. 192.168.25.0 255.255.255.240
B. 192.168.25.0 255.255.255.252
C. 192.168.25.16 255.255.255.240
D. 192.168.25.16 255.255.255.252
E. 192.168.25.28 255.255.255.240
F. 192.168.25.28 255.255.255.252
CEVAP : C
173
VLAN YAPISINA
GIRIŞ - 7
VTP DOMAIN
Neden vlan’lara ihtiyacımız var?
Bu sorunun cevabını güzel bir örnekle açıklayım. Yukarıdaki şekildeki gibi

bir okul düşünün. Herhangi bir özel tanımlama yapılmadığı takdirde tüm
kullanıcılar, diğer tüm kullanıcılara erişebilmektedir. Hatta eğer ağda kablosuz
erişim de varsa sormayın gitsin, gelen misafirler de tüm ağa erişebilir haldedir.
Herkesin birbirine erişmesi iyi gibi görünse de istenen bir durum olmayabilir.
Çünkü temelde tüm kullanıcıların erişmek istedikleri yerler bellidir. Herkes
öncelikle internet, sonrasında da kurum sunucularına erişimi ister. Bunun
dışındaki erişimler genelde gereksiz ve sorun çıkarabilecek türden olabilir.
Çünkü aynı broadcast domain’in de ne kadar çok bilgisayar var ise o kadar
ağda broadcast ve yavaşlamalar olabilecek, ağdaki bir bilgisayarı ele geçiren
bir hacker ya da trojan, worm, virüs bulunduğu tüm ağa ulaşabilecektir. Bu
bakış açısıyla networkü küçük parçalara bölmek çok doğru bir harekettir.
174 TEMEL NETWORK
Şimdi yukarıdaki örnek ile başlayarak vlan’lar oluşturup network’u küçük

parçalara (subnet) bölelim.
Öncelikle switch’te vlan’lar oluşturalım. Vlan’ları oluşturmadan önce bu

bilgisayarların hepsinin aynı IP grubundan olduğunu ve birbirine ulaşabildiğini
görebilirsiniz.
Switch(config)#vlan 10
Switch(config-vlan)#name ogrenciler
Switch(config-vlan)#name ogretmenler
Şimdi switch’in hangi portunun, hangi vlan’da olacağını belirleyelim. Bunun

için:
Switch(config-if)#interface fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Yukarıdaki komutlar ile fa 0/1 interface’sindeki bilgisayarı 10. vlan’a almış

olduk. Fakat 19 portu bu vlan’a almak uğraştırır. Şimdi belli bir aralıktaki tüm
portlara aynı anda işlem yapmayı sağlayan range komutunu kullanalım:
Switch(config)#interface range fa 0/2-19
Harika! Şimdi de öğretmen vlan’ının tanımlarını yapalım:

Şimdi oluşturduğumuz vlan’ları ve bu vlan’lara üye olan portları kontrol edelim.

Komutumuz show vlan:
VLAN YAPISINA GIRIŞ - VTP DOMAIN 175
Bu aşamadan sonra artık bir vlan’daki bilgisayarların IP’si ne olursa olsun diğer
vlan’a ulaşması mümkün olamayacaktır. Eğer diğer vlan’lara da ulaşmasını
istersek o zaman vlan’ları L3 bir switch ya da router’de sonlandırıp, IP verip
vlan’lar arası geçişleri kontrol edebiliriz.
Şimdi olayı bir boyut ileriye taşıyalım ve daha karmaşık bir yerdeki vlan yapısını
kuralım. Çok katlı bir yerde her katta farklı bölümlerin görev yaptığını ve bu
bölümlerin birbirine erişimlerinin kontrol altında tutulduğu bir yapıyı kuralım.
176 TEMEL NETWORK
Çok sayıda switch’in olduğu ve her switch’te bir sürü vlan’ın olduğu bir ağda,
switch’lerde tek tek tüm vlan’ları oluşturmak ciddi zaman alacaktır. Bu yüzden
merkezi bir switch’i VTP server switch olarak belirleyip, diğer switch’lerin bu
switch’den tüm vlan’ları otomatik olarak çekmesini sağlayabiliriz.
Öncelikle oluşturacağımız ve dağıtımını yapacağımız VTP domain’ine bir isim

veriyoruz:
Switch(config)#vtp domain SinanHOCA
Sonrasında ilgili switch’in VTP modu’na karar veriyoruz. Tüm switch’ler default
da, server mod’da gelirler. Server mode üzerindeki vlan’ları client mod’da olan
switch’lere aktarır.
Switch(config)#vtp mode server
Şimdi artık L3 switch’imiz de vlan’ları oluşturalım. En üstteki bilgi işlem

odamızdaki switch’te vlan’ları oluşturalım. Default da tüm switch’lerde vlan1
vardır ve tüm portlar bu vlan’a üyedir. Vlan’ları görmek için user mod’da:
Switch#sh vlan
Artık üstteki L3 switch’de vlan’ları oluşturmaya başlayabiliriz.

Switch(config-vlan)#name client
Switch(config-vlan)#name server
Switch(config-vlan)#name management
Şimdi vlan’lara IP verelim. Vlan’ları sanki birer sanal port, sanal interface gibi
düşünüp aynı fastethernet portlara verdiğimiz gibi her vlan’a IP verelim.
Switch(config)#interface vlan 2
>>>>> Genelde karışmasın düzenli olsun diye her vlandaki IP yapısı o
vlanın ismine göre düzenlenir.
Switch(config-if)#interface vlan 3
Switch(config-if)#interface vlan 99
Switch(config-if)#description bu vlan yonetim icindir.
>>>>> İstersek burada olduğu gibi her vlan interface’ine bir
açıklama da girebiliriz.
ÖNEMLİ: Vlan’lara verdiğimiz IP’ler o vlan’daki client’lerin Default Gateway

yani Ağ Geçidi olacaktır. Böylece o network’tan farklı network’lara gitmek
isteyen paketler bu L3 switch’e gelecek ve yönlendirme ile istenilen network’e
ulaştırılabilecektir. “Yahu madem diğer network’larla görüştürecektik neden
eziyet çekip ağımızı vlan’lara ayırdık?” sorusu aklından geçenler için söyleyim,
vlan’lar broadcast domain’lerini küçültüklerinden ağ hızını artırırlar ve
diğer vlan ya da network’lara geçişler de ACL ile kontrol edilebilir. Günümüz
teknolojisinde gelişmiş UTM cihazlarında bile bu vlan’lar sonlandırabilmekte
ve vlan’lar arası geçişin kontrol edildiği gibi bu geçişte saldırı, virüs kontrolleri
bile yapılabilmektedir.
178 TEMEL NETWORK
Şimdi sıra geldi L3 switchin kendi üzerindeki tanımladığımız bu vlan’ları diğer

switch’lere aktarmasına. Bunu aradaki bağlantıyı TRUNK yaparak sağlıyoruz.
L3 switch de fa 0/1 ve fa 0/2 interface’leri için trunk port tanımlayalım:
sistemodasi(config)#interface fa 0/1
sistemodasi(config-if)#switchport trunk encapsulation dot1q
sistemodasi(config-if)#switchport mode trunk
sistemodasi(config)#interface fa 0/2
sistemodasi(config-if)#switchport trunk encapsulation dot1q
sistemodasi(config-if)#switchport mode trunk
Kat switch’lerinde ise L2 switch’teki trunk komutlarını kullanıyoruz. fa 0/1

portlarını trunk yapalım:
kat-1(config)#interface fa 0/1
kat-1(config-if)#switchport mode trunk
kat-2(config-if)#switchport mode trunk
Şimdi de bu kat switch’lerine VTP client olduklarını söyleyelim ki bizim omurga

switch’ten vlan bilgilerini çeksinler. Hadi bakalım:
kat-1(config)#vtp mode client
kat-1(config)#vtp domain SinanHOCA
kat-2(config)#vtp mode client

kat-2(config)#vtp domain SinanHOCA
Eğer önüne gelen switch takıp bizim sistemimize entegre olmasın ulaşamasın
diyorsak o zaman VTP domain’ine şifre vermeli ve bunu tüm VTP switch’lerde
yapmalıyız:
#vtp password Ankara2013
Evet artık sıra geldi meyveleri toplamaya, önce vlan’larımız gelmiş mi bir
kontrol edelim:
Switch(config)#do sh vl
VLAN Name Status Ports

---- ------------------ ------------ ----------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gig1/1
Gig1/2
2 client active
3 server active
99 management active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Evet vlan’larımızın geldiğini görüyoruz. “Şimdi hocam herşey anlaşılıyor da

bu vlan 99 yönetim management vlan’ı da ne?” diye düşünüyor olabilirsiniz.
Biz network yöneticileri oturduğumuz yerden tüm ağ cihazlarına ulaşabiliyor
olmalıyız ki onları yönetebilelim, oluşan sorunlara anında müdahale edelim.
Bir cihaza uzaktan erişmek için onun IP’si olmalıdır. Peki o zaman tüm cihazlara
IP vereceksek hangi IP’yi verelim? İşte bu noktada management vlan kullanılır.
Bir vlan (IP bloğu) belirleriz ve tüm cihazlara bu vlan’dan IP’ler veririz. Böylece
gerek ağ yönetimi yazılımları bu aynı bloktaki cihazlara erişebilir, hem de biz
tüm cihazlarımızı rahatlıkla yönetebiliriz. Management vlan kullanmanın bir
yararı da bu farklı yönetim ağına geçişleri istersek router’den sınırlandırabilir,
bu vlan’a yalnızca şu şu IP’ler ulaşabilsin diyebiliriz. Ağ cihazlarına farklı
ağlardan da erişmek için bu cihazların yalnızca IP ve Subnet Mask’larının olması
yeterli olmaz ve ağ geçidi de tanımlanır. İşte bunun için oluşturduğumuz ve
IP verdiğimiz bu yönetim vlan’ını diğer switch’lerde de default gateway olarak
tanımlıyoruz.
kat-1(config)#ip default-gateway 192.168.99.1
kat-2(config)#ip default-gateway 192.168.99.1
180 TEMEL NETWORK
Evet şimdi de artık kat switch’lerinin portlarındaki bağlantıları tanımlamamız

gerekiyor. Hangi port hangi vlan’da olacak ?
kat-1(config-if)#switchport access vlan 2
kat-1(config-if)#switchport mode access
Bu aşamadan sonra farklı kattaki aynı vlan’daki bilgisayarların birbirine

ulaştıklarını görürüz. Diğer vlan’lara ulaşması için L3 switch de routing
komutunu girmemiz gerekir.
#ip routing
Eğer trunk porttan yalnızca bazı vlan’ların geçmesini istiyorsak bunu da

belirtebiliriz.
#switchport trunk allowed vlan 1-10
Farklı interface aralıklarında işlem yapılmak istendiğinde:

Switch(config)# interface range fastethernet 0/1 - 5
Switch(config)# interface range fastethernet
0/1 - 3, gigabitethernet0/1 - 2
Dynamıc Trunkıng Protocol

(DTP)
Dinamik Trunk Protokolü; Cisco tarafından geliştirilmiş bir protokoldür ve iki
Cisco switch’in birbirine bağlanan portları arasında trunk konfigürasyonunun
ve sarmalama metodunun pazarlığa dayalı bir şekilde belirlenmesini sağlar.
Dinamik Trunk Protokolü sayesinde portlar arası trunk olma işlemi otomatik
olarak yapılabilir. Bu protokol OSI referans modeline göre 2. katmanda çalışır.
Dinamik Trunk Protokolü’nün gerçekleştirilmesi için uygulanabilecek 4 çeşit
mod vardır. Bunlar; Dynamic Desirable, Dynamic Auto, Trunk ve Access’tir.
Bu modlardan Dynamic Desirable ve Dynamic Auto portun otomatik olarak

trunk’a geçip geçemeyeceğini belirler ve hat boyunca DTP paketlerinin
gönderilmesiyle ilgilidir. Bu mod’lar trunk olmaya meyillidir. “Show interfaces
trunk” komutu kullanılarak bu görülebilir.
Desirable modunda aktif olarak 30 saniyede bir DTP paketi gönderilir. Auto
ise pasif bir moddur ve bu mod etkinken sadece karşı cihazdan gelen DTP
paketlerine cevap verilir. Trunk ve Access modu ise ağ yöneticisinin portun
manuel olarak Trunk ya da non-Trunk (Access) olarak belirlemesine olanak
sağlar. Aşağıdaki tabloda hangi karşılıklı mod yapılandırmalarının başarılı bir
DTP işlemini gerçekleştireceği gösterilmiştir.
182 TEMEL NETWORK
DTP; VTP (VLAN Trunking Protocol) ile karıştırılmamalıdır. Çünkü VTP trunk
olarak birbirine bağlanmış ve aynı VTP domaininde bulunan iki switch’in
VLAN bilgisini paylaşmasını sağlamaya yönelik olarak geliştirilmiştir. DTP ise
iki switch’in birbirine bağlanan portlarının paket trafiğinin analizi sonucu
otomatik trunk yapılmasını belirleyen protokoldür. Ancak dinamik trunk
belirlenmesi için işlemin yapılacağı karşılıklı interface’ler aynı VTP domainin de
bulunmalıdır.
Aşağıdaki komut DTP durumunu gözlemlememizi sağlar. Buna göre 30

saniyede bir DTP hello paketi gönderilir.
Varsayılan olarak switch’ler ‘’Dynamic Desirable’’ mod’dadır. Ancak bu sürekli

DTP paketleri gönderilmesine sebep olacağından fazladan bir yük bindirecek
ve portların her an trunk mod’a geçip vlan bilgisi gibi bazı bilgileri bu port
üzerinden akıtma ihtimalini bulundurduğu için bir güvenlik açığı oluşturacaktır.
Bu istenmeyen bir durumdur. Bu nedenle DTP kullanılmayacak portların bu
özelliğinin devre dışı bırakılmasını sağlamak daha mantıklı olacaktır. Bu işlem
aşağıdaki komutla yapılmaktadır:
SW1(config)#int ran fa 0/1-24
SW1(config-if-range)#switchport nonegotiate
Command rejected: Conflict between ‘nonegotiate’ and ‘dynamic’
status.
Yukarıdaki hata portun “Dynamic” modda olması durumunda ortaya çıkar. Bu

durumu düzeltmek için;
SW1(config-if-range)#sw mod access
SW1(config-if-range)#sw nonegotiate
Şeklinde önce port dinamik mod’dan çıkartılır, sonra negotiate devredışı

bırakılır. Aynı işlem port “Access” mod’a alınarakta yapılabilir.
Belli bir portun konfigürasyonuna bakıldığında DTP’nin etkin olup olmadığını

ve etkinse hangi modunun etkin olduğunu görebiliriz. Switchport nonegotiate
komutu yazılmadığı sürece portlar “Trunk” veya “Access” modunda seçilse dahi
portlar arasında DTP paketleri gönderilir.
DTP UYGULAMASI
Önce switch’lerde temel vlan ayarlarını yapalım:

en
conf t
host SW1
vlan 10
vlan 20
int ran fa 0/1-10
sw mod acc
sw acc vlan 10
exit
int ran fa 0/11-20
sw mod acc
sw acc vlan 20
exit
en
conf t
184 TEMEL NETWORK
host SW2
vlan 10
vlan 20
int ran fa 0/1-10
sw mod acc
sw acc vlan 10
exit
int ran fa 0/11-20
sw mod acc
sw acc vlan 20
exit
Şimdi de gi 0/1 portunun trunk ayarlarını yapalım:

SW1(config)#int gi 0/1
SW1(config-if)#sw tr enc d
SW1(config-if)#sw mod trunk
SW1(config-if)#sw mod dynamic desirable
Evet SW1 tarafı tamam. Şimdi diyeceksiniz ki SW2 tarafını da trunk yapmalıyız.
Hayır! Karşı taraftaki DTP ayarı sayesinde karşı taraf ayarlarını otomatik olarak
yapacaktır. Bilgisayarlara da IP verip denediğinizde karşılıklı ping atabildiğini
görürsünüz.
INTER VLAN ROUTING

Inter Vlan Routing, vlan’ların router’de sonlanmasına verilen durumdur.
Günlük hayatımızda genelde L3 switch’lerde, vlan’lar sonlandırılsa da bu
büyük yapılarda router’lerde sonlandırma şeklinde de uygulanmaktadır. Çünkü
routing işlemi yoğun bir trafik oluşturmakta ve bu switch’i yormaktadır. Bunun
dışında günümüzün gelişmiş Next Genaration Firewall’ları il vlan’ları direkt
olarak firewall’da da sonlandırıp, vlan’lar arası geçişlerde saldırı, virüs tespiti
gibi üst düzey kontroller de yapmak mümkün olmaktadır. Bu tür firewall
kullanımlarına litaratürde “internal segmentation firewall” denmektedir.
Yukarıdaki şekildeki gibi gelişmiş bir yapıyı kuralım. Bu çalışmada:

VLAN2- Bilgisayarlar /192.168.2.0
VLAN3- Notebooklar /192.168.3.0
VLAN1- Management /192.168.1.0
Bu çalışmamızın diğerlerinden farkı tüm vlanların router’de sonlanıp, router

üzerinden vlan geçişlerinin yapılmasıdır. Bu sistemin avantajı vlan’lar arası
geçişlerde router üzerinde ACL (access control list)’ler yazılabilir olmasıdır.
Hemen işe koyulalım:
NOT Hangi porttan önce router’de vlan’ları oluşturup router de sonlandırma işini
yapalım. Router’e vlan’lar hangi porta geliyor ise bu portun altına sanal interface’ler
oluşturuyoruz.
186 TEMEL NETWORK
Burada dikkat edilecek en önemli konu router’de bir sürü vlan’ın geldiği
trunk porta IP vermiyoruz. Yalnızca o interface’yi UP yapıyoruz. Sonrasında
ise bu interface’nin altına her vlan için bir sanal (sub) interface oluşturuyoruz.
Örneğin vlan10 için:
# int fa 0/0.10
#encapsulation dot1Q 10
#ip add 192.168.10.1 255.255.255.0
#no sh
Artık daha profosyonel olma adına kat switch’lerinde yapacağımız ayarları

bir kere de düşünüp script yazıp, küçük değişikliklerle diğer switch’lere
uygulayabiliriz. Tüm switch’lerde aşağıdaki işlemleri yapalım:
• hostname tanımı
• vtp tanımları
• interface’lerin vlan’lara alınması
• omurga switch’e trunk bağlantılar
• telnet ile bağlanabilmek için gerekli ayarlar
Öncelikle omurga switch

ayarlarını yapalım
! Önce bir isim verelim.
hostname KAT-0
!Vtp server olarak vlan’ları dağıtacağından vtp server ayarları yapalım.

vtp mode server
vtp domain sinanhoca
vtp password PassW0rd2013
!Katlardan gelen switch uplinklerini trunk olarak tanımlayalım.

interface gi 0/1
switchport trunk encapsulation dot1q
switchport mode trunk
exit
interface fa 0/1
exit
interface fa 0/2
exit
!Vlan’ları oluşturalım.
vlan 2
name bilgisayarlar
vlan 3
name notebooklar
!Bu switch’de bağlı bilgisayarlar için access portları ayarlayalım.

interface fa 0/3
switchport mode access
switchport access vlan 2
description bilgisayar vlani
exit
interface fa 0/4
description notebooklar vlani
exit
!Bu switch’i uzaktan yönetmek için vlan’a IP verelim.

interface vlan 1
ip address 172.16.16.1 255.255.255.0
description yonetim vlani
no shutdown
exit
!Telnet ayarlarını da yapalım
enable password Cisco
line vty 0 5
password Cisco
login
exit
Şimdi KAT-1 switch ayarları:

hostname KAT-1
interface fa 0/1
exit
188 TEMEL NETWORK
vtp mode client

interface fa 0/2
exit
interface fa 0/3
exit
interface vlan 1
ip address 172.16.16.2 255.255.255.0
no shutdown
exit
line vty 0 5
password Cisco
login
exit
Şimdi KAT-2 switch ayarları:

hostname KAT-2
interface fa 0/1
exit
vtp mode client
interface fa 0/2
exit
interface fa 0/3

exit
interface vlan 1
ip address 172.16.16.3 255.255.255.0
no shutdown
exit
line vty 0 5
password Cisco
login
exit
Etherchannel
Etherchannel iki ya da daha fazla switch arasında, iki ya da daha fazla kablo
ile bağlantı sağlandığında switch’in iki ya da daha fazla kabloyu tek kablo gibi
kullanmasını sağlayan protokoldür. Diğer üreticiler EtherChannel’a LAG (Link
Aggregation) da der. Windows server’lerde ise Nic Teaming işlemi benzer bir
görevi yerine getirip, sunucunun ethernet portlarını birleştirerek daha yüksek
bantgenişlikli bir erişim sağlar.
Peki bu konfigürasyonlara neden ihtiyaç vardır?
Etherchannel sayesinde hem yedeklilik (redundancy) hem load balance,

hem de yüksek bandwidth sağlanmış oluyor. En az iki en fazla 8 bağlantı
birleştirilebilir. Etherchannel yapılacak olan portlar aynı hıza sahip olmalı ve
aynı vlan’da yer almalıdır. Eğer etherchannel yapılan bağlantılar trunk olacak
ise hepsi de trunk olmalıdır.
Etherchannel iki protokol ile yapılır. Bunlardan birincisi Cisco protokolü olan
PAgP (Port Aggregation Protokol) ikincisi ise LACP (Link Aggregation Control
Protokol) IEEE 802.3ad olan standart protokolüdür. PAgP iki mode de çalışır,
Desirable ve Auto.
Desirable mode de switch uzaktaki switch’e PAgP paketlerini gönderir ve

etherchannel kurmak için davet eder.
190 TEMEL NETWORK
Auto mode de ise uzaktaki bir switch PAgP ile etherchannel oluşturmak için
istek gönderdiği zaman bağlantıyı kurar.
LACP 3 mode de çalışır On, Active ve Passive:
Mode on olduğunda interface koşulsuz olarak gider ve etherchannel’e katılır.
Mode passive olduğunda PAgP’deki auto’ya karşılık gelir.
Mode active olduğunda ise PAgP’deki desirable’ye karşılık gelir.
LACP çalışma mantığı port priorty değeri en düşük olan portlar etherchannel’e
katılır, bunu yapmak için lacp port-priority komutu ile standartta 32768 olan
değeri düşürmek gerekir.
Yukarıda etherchannel’in portları arasında yükleri eşit dağıttığından

bahsetmiştik. Peki bu işlem nasıl yapılacak birazda ondan bahsedelim.
Frame’ler kullanılan hashing algoritmasi sonucunda belirli bir porttan forward
edilirler. Algoritma source mac address, destination mac address ya da ikisini,
source IP address, destination IP address ya da ikisini veya TCP/UDP port
numaralarını kullanabilir.
Etherchannel Algoritmaları
kat1Switch(config)#port-channel load-balance ?
dst-ip Dst IP Addr
dst-mac Dst Mac Addr
src-dst-ip Src XOR Dst IP Addr
src-dst-mac Src XOR Dst Mac Addr
src-ip Src IP Addr
src-mac Src Mac Addr
Listeden de görüldüğü gibi MAC adresi, IP adresi veya port bazında

işlemler yapılabilir. Default configuration “src-dst-ip” dir. Eğer layer 2 switch
kullanılıyorsa default olarak “src-mac” kullanılır.
Load-balancing metodu seçerken kullanılan yönteme dikkat etmek

gerekir. Mesela, ortamda bir server olduğunu düşünelim; IP’si sabittir, değişmez.
Eğer burada load-balancing yöntemi olarak des-ip kullanırsak sürekli aynı link
kullanılacak ve diğer linkler kullanılmayacaktır, çünkü load balance değişikliği
için destination (hedef ) IP’nin değişmesi gerekmekte, trafikte yoğun olarak

bu aynı IP’ye doğru olduğundan yük kablolar arası dağıtılmamaktadır. Bu da
verimli bir çalışma değildir. Böyle bir durumda src-dst-ip kullanmak daha iyi bir
çözüm olacaktır. Burada dikkat edilmesi gereken bir nokta var; eger paketler
IP paketi değilse, IPX gibi bir protokol kullanılıyorsa o zaman ne olacak? Tabi ki
böyle bir durumda source-destination IP bilgisine bakamaz. O halde diger load
balance metodu yani lowest-method kullanılacaktır.
Etherchannel komutları
Öncelikle load balance yöntemi belirlenir:
Kat1Switch(config)#port-channel load-balance src-dst-ip
Sonra etherchannel’e dahil edilecek interface’lerde aşağıdaki komutlar

uygulanır:
kat1Switch(config-if)#channel-protocol pagp
kat1Switch(config-if)#channel-group 1 mode desirable
EtherChannel sorun çözme komutları

Switch’de kullanılan etherchannel algoritmasını öğrenmek için:
kat1Switch#show etherchannel load-balance
Hangi portların, hangi mod’da çalıştıgını listelemek için:

kat1Switch#show etherchannel port-channel
Etherchannel bilgilerini özetlemek için:

kat1Switch#show etherchannel summary
LACP konfigürasyonu, PaGP’den farklı olarak system priority bilgisi ister.

Switch(config-if)# lacp port-priority [deger]
değer olarak System priority değeri 0 ile 65,535 arasında olabilir, default olarak
32,768’dir. Eğer switch’ler de bu değer ayarlanmazsa MAC adreslerine bakılarak
hangisinin rolleri belirleme işini yapacağı belirlenir. En düşük MAC degerine
sahip olan seçilecektir.
192 TEMEL NETWORK
EtherChannel Örnek Uygulama
Şekildeki gibi bir ağda SW2’de STP etkin olduğundan ve LOOP’u engellemek
için bağlantılardan birisi aktif değildir. Biz iki switch arasındaki 2 kabloyu tek
bir access mode de çalışan kablo gibi konfigüre edelim. Normalde iki switch
arası bağlantı hızı 1Gbps iken işlem sonrası 2Gbps olacak ve olası kablolardan
birisinin kopması durumunda diğeri trafiği aksatmadan devam ettirecektir.
Switch>en
Switch#conf t

SW1(config)#port-channel load-balance src-dst-ip (Source-
Destination-IP yöntemine göre load balance yapılacak)
SW1(config)#
SW1(config)#int ran gi 0/1-2 (şimdi etherchannel daki
interface’lerin ayarlarını yapalım)
SW1(config-if-range)#channel-protocol pagp
SW1(config-if-range)#channel-group 1 mode desirable
SW1(config-if-range)#
Creating a port-channel interface Port-channel 1


changed state to up


changed state to up
Aynı ayarlar diğer switch’de de aynı şekilde yapılır:

Switch>en
Switch#conf t

SW2(config)#port-channel load-balance src-dst-ip
SW2(config)#
SW2(config)#int ran gi 0/1-2
SW2(config-if-range)#channel-protocol pagp
SW2(config-if-range)#channel-group 1 mode desirable
Creating a port-channel interface Port-channel 1


changed state to up


changed state to up
%LINK-5-CHANGED: Interface Port-channel1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1,

changed state to up
İşlemler sonrası iki switch arası bağlantı yedekli bir şekilde devreye girecektir:
194 TEMEL NETWORK
Şimdi Bir uygulama daha yapalım

İki L3 switch arasında 3 bağlantı var olsun ve arada trunk bir etherchannel
uygulayalım:
Switch>en
Switch#conf t

SW1(config)#interface Por
SW1(config)#interface Port-channel 1
SW1(config-if)#sw tr enc do
SW1(config-if)#sw mode tr
SW1(config-if)#exit
SW1(config-if-range)#sw tr enc do
SW1(config-if-range)#sw mod tr
SW1(config-if-range)#channel-group 1 mode on
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2,

changed state to up


changed state to up


changed state to up
%LINK-5-CHANGED: Interface Port-channel1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1,

changed state to up
Switch>en
Switch#conf t
SW2(config)#interface port-channel 1
SW2(config-if)#sw tr enc do
SW2(config-if)#sw mod tr
SW2(config-if)#exit
SW2(config-if-range)#sw tr enc do
SW2(config-if-range)#sw mod tr
SW2(config-if-range)#channel-group 1 mode on
Şimdi aradaki etherchannel çalışıyor mu kontrol edelim. Aradaki hat trunk

olduğuna göre biz herhangi bir vlan trafiğinin geçip geçmediğini kontrol
edeceğiz. Test için her iki switch’de de vlan 10 oluşturup, client’ın bulunduğu
portu bu vlan’a üye yapalım:
SW1(config)#vlan 10
SW1(config-vlan)#exit
SW1(config)#int fa 0/1
SW1(config-if)#sw mod acc
SW1(config-if)#sw acc vlan 10
SW1(config-if)#exit
SW1(config)#
SW2(config)#vlan 10
196 TEMEL NETWORK
SW2(config-vlan)#ex
SW2(config)#
SW2(config)#int fa 0/1
SW2(config-if)#sw mod acc
SW2(config-if)#sw acc vlan 10
SW2(config-if)#exit
şimdi de soldaki bilgisayara 192.168.10.1, diğerine 192.168.10.2
Ip’lerini verip soldan sağa ping atalım:
CDP
(Cisco Discovery Protocol)
CDP, Cisco cihazların birbirleri tanımak için gönderdikleri paketlerdir. Bir çok
cihazda default olarak 60sn’de bir bu paket gönderilir. Paketin içeriğinde
operating system version, hostname, CDP paketinin gönderildiği portun IP’si,
Cisco cihaz tipi ve modeli, duplex ayarları, VTP domain, native vlan gibi bilgiler
bulunur.
Cisco cihazları CDP mesajlarını 01-00-0c-cc-cc-cc adresine doğru tüm UP olan

interface’lerinden multicast olarak gönderir. Aslında bu hedef MAC diğer Cisco
anonslarında da kullanılır. Örneğin VTP.
Bir cihazda show cdp dersek cihazın cdp ayarlarını görebiliriz:

Switch#sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled,
sonuçlarını görebiliriz. Burada 60 sn’de bir CDP paketlerinin gönderildiği,

alınan bir cdp paketindeki bilgilerin de 180 sn boyunca cache’de saklandığı ve
CDPv2’nin devrede olduğunu görebiliriz.
#Show cdp neighbors komutuyla da cihazımıza komşu olan ve cdp açık olup
onlardan cdp mesajı aldığımız cihazların listesini görürüz:
Local interface bizim cihazdan bu cihaza giden port, Port ID ise karşı cihaza
girdiği porttur. Capability’de tespit edilen cihazın switch mi router mı olduğu,
holdtime dae ise bu cihazdan en son cdp paketi alındığında başlayan 180
sn’den geriye kalan süre vardır.
Switch#sh cdp neighbors detail
Device ID: Switch

Entry address(es):
Platform: Cisco 2960, Capabilities: Switch
Interface: FastEthernet0/1, Port ID (outgoing port):
GigabitEthernet0/1
Holdtime: 131
Version:
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version
12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
---------------------------
198 TEMEL NETWORK
Device ID: Switch

Entry address(es):
Platform: Cisco 2960, Capabilities: Switch
Interface: FastEthernet0/2, Port ID (outgoing port):
GigabitEthernet0/1
Holdtime: 131
Version:
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version
12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
son olarak “no cdp run” denirse cdp protokolü durdurulur.

Güncel Sorulardan Örnekler

1. What are three advantages of VLANs? (Choose three.)
A. They establish broadcast domains in switched networks.
B. They provide a low-latency internetworking alternative to routed networks.
C. They utliie packet filtering to enhance network security.
D. They can simplify adding, moving, or changing hosts on the network.
E. They allow access to network services based on departiment, not physical
location.
F. They provide a method of conserving IP addresses in large networks.
CEVAP : A,D,E
What commands must be configured on the 2950 switch and the router to
allow communicaton between host 1 and host 2? (Choose two.)
A. Router(config)# interface fastethernet 0/0
Router(config-if )# ip address 192.168.1.1 255.255.255.0
Router(config-if )# no shut down
B. Router(config)# interface fastethernet 0/0
Router(config-if )# no shut down
200 TEMEL NETWORK
Router(config)# interface fastethernet 0/0.1

Router(config-subif )# Encapsulation dot1q 10
Router(config-subif )# ip address 192.168.10.1 255.255.255.0
Router(config)# interface fastethernet 0/0.2
Router(config-subif )# Encapsulation dot1q 20
Router(config-subif )# ip address 192.168.20.1 255.255.255.0
C. Router(config)# router eigrp 100
Router(config-router)) network 192.168.10.0
Router(config-router)) network 192.168.20.0
D. Switch1(config)# vlan database
Switch1(config-vlan)) vtp domain XYZ
Switch1(config-vlan)) vtp server
E. Switch1(config)# interface fastethernet 0/1
Switch1(config-if )# switchport mode trunk
F. Switch1(config)# interface vlan 1
Switch1(config-if )# ip default-gateway 192.168.1.1
CEVAP : B,E
All switch ports are assigned to the correct VLANs, but none of the hosts
connected to SwitchA can communicate with hosts in the same VLAN
connected to SwitchB. Based on the output shown, what is the most likely
problem?
A. The access link needs to be configured in multiple VLANs.
B. The link between the switches is configured in the wrong VLAN.
C. The link between the switches needs to be configured as a trunk.
D. VTP is not configured to carry VLAN information between the switches.
E. Switch IP addresses must be configured in order for traffic to be forwarded
between the switches.
CEVAP : C
202 TEMEL NETWORK
A technician has installed SwitchB and needs to configure it for remote

access from the management workstation connected to Switch. Which set of
commands is required to accomplish this task?
A. SwitchB(config)# interface FastEthernet 0/1
SwitchB(config-if )# ip address 192.168.8.252 255.255.255.0
SwitchB(config-if )# no shutdown
B. SwitchB(config)# interface vlan 1
SwitchB(config-if )# ip default-gateway 192.168.8.254 255.255.255.0
C. SwitchB(config)# ip default-gateway 192.168.8.254
SwitchB(config)# interface vlan 1
D. SwitchB(config)# ip default-network 192.168.8.254
SwitchB(config)# interface vlan 1
E. SwitchB(config)# ip route 192.168.8.254 255.255.255.0
SwitchB(config)# interface FastEthernet 0/1
CEVAP : C
5. Which three elements must be used when you configure a router interface for
VLAN trunking? (Choose three.)
A. one physical interface for each subinterface
B. one IP network or subnetwork for each subinterface
C. a management domain for each subinterface
D. subinterface Encapsulation identifers that match VLAN tags
E. one subinterface per VLAN
F. subinterface numbering that matches VLAN tags
CEVAP : B,D,E
6. Which two benefits are provided by creating VLAN’s ? (Choose two.)

A. Added security
B. Dedicated bandwith
C. Provides segmentation
D. Allows switches to route traffic between subinterfaces
E. Contains collisions
CEVAP : A,C
7. Which technology can enable multiple VLANs to communicate with one

another?
A. inter-VLAN routing using a Layer 3 switch
B. inter-VLAN routing using a Layer 2 switch
C. intra-VLAN routing using router on a stck
D. intra-VLAN routing using a Layer 3 switch
CEVAP : A
204 TEMEL NETWORK
What is the effect of the given configuration?

A. It configures an inactive switch virtual interface.
B. It configures an active management interface.
C. It configures the native VLAN.
D. It configures the default VLAN
CEVAP : A
9. Which command can you enter to view the ports that are assigned to Vlan 20?
A. Switch#show vlan id 20
B. Switch#show ip interface brief
C. Switch#show interface vlan 20
D. Switch#show ip interface vlan 20
CEVAP : A
10. Which command sequence can you enter to create VLAN 20 and assign it to an
interface on a switch?
A. Switch(config)#vlan 20
Switch(config)#Interface gig x/y
Switch(config-if )#switchport access vlan 20
B. Switch(config)#Interface gig x/y
Switch(config-if )#vlan 20
Switch(config-vlan))switchport access vlan 20
C. Switch(config)#vlan 20
Switch(config)#Interface vlan 20
Switch(config-if )#switchport trunk native vlan 20
D. Switch(config)#vlan 20
Switch(config-if )#switchport access vlan 20
E. Switch(config)#vlan 20
Switch(config-if )#switchport trunk allowed vlan 20
CEVAP : A
11. Which statement about native VLAN traffic is true?

A. Cisco Discovery Protocol traffic travels on the native VLAN by default
B. Traffic on the native VLAN is tagged with 1 by default
C. Control plane traffic is blocked on the native VLAN.
D. The native VLAN is typically disabled for security reasons
CEVAP : B
12.While you were troubleshooting a connection issue, a ping from one Vlan to
another Vlan on the same switch failed. Which command verifes that IP routing
is enabled on interfaces and the local Vlans are up?
A. show ip interface brief
B. show ip nat statistics
C. show ip statistics
D. show ip route
CEVAP : A
13.Which protocol supports sharing the VLAN configuration between two or

more switches?
A. multicast
B. STP
C. VTP
D. split-horizon
CEVAP : C
206 TEMEL NETWORK
14. Which statement about DTP is true?

A. It uses the native VLAN.
B. It negotates a trunk link after VTP has been configured.
C. It uses desirable mode by default.
D. It sends data on VLAN 1.
CEVAP : D
15. Which feature facilitates the tagging of frames on a specific VLAN?

A. routing
B. hairpinning
C. switching
D. Encapsulation
CEVAP : D
207
GRE TUNNEL VE
GRE MULTILINK
8
ROUTING
GRE Tunnel
Aşağıdaki şekilde gibi arada internet de olan 2 router arasında dynamic routing
protokolünden birisini çalıştırmak istediğimizde arada internet olduğundan
dolayı router’ler birbirlerine dynamic routing paketlerini ulaştıramayacaklardır.
GRE tunnel vpn benzeri bir sanal tünel oluşturup, tıpkı connected interface
gibi uzak router’i bir interface olarak bağlamaya yarar. Böylece arada internet
bile olsa statik ya da dynamic routing yapmak mümkün olur.
Öncelikle wan ve lan interface’lerine IP’ler verelim. Lan interface olarak test için
loopback interface tanımlayalım:
Ankara(config)#int lo 1 (loopback interface sanal bir
interface’dir. Sanki bir bağlantı varmış gibi davranır çünkü
interface down ise router dynamic routing de bu networkü
kullanmaz)
208 TEMEL NETWORK

Malatya(config)#int gi 0/0
Malatya(config-if)#no sh
Malatya(config-if)#ip add 1.1.1.2 255.255.255.0
Malatya(config-if)#ex
Malatya(config)#int lo 1
Şimdi de her iki lokasyon için GRE tunnel tanımlamalarını yapalım. Tünelin
her iki ucuna IP verip, tünelin başlangıç ve bitişini wan interface IP’lerine
yönlendiriyoruz:
Ankara(config)#int tunnel 0
Ankara(config-if)#ip add 10.0.0.1 255.255.255.0 (tünelin bu ucuna IP
veriyoruz)
Ankara(config-if)#tunnel source gi 0/0 (tünel gi 0/0 interface’e
bağlı olacak)
Ankara(config-if)#tunnel destination 1.1.1.2 (Tünelin diğer ucuna da
IP verelim )
Ankara(config-if)#tunnel mode gre ip
Malatya(config)#int tun 0
Malatya(config-if)#tunnel source gi 0/0
Malatya(config-if)#tunnel destination 1.1.1.1
Malatya(config-if)#tun mo gre ip
Şimdi de her iki lokasyon için EIGRP tanımlarını yapalım. Burada 1.1.1.0 /24
network’unu anonslamadığımıza dikkatinizi çekiyorum.
Ankara#sh ip int bri
Ankara#ping 10.0.0.2
Ankara(config)#router eigrp 1
Ankara(config-router)#no auto-summary
Ankara(config-router)#network 10.0.0.0 0.0.0.255
Ankara(config-router)#network 192.168.1.0 0.0.0.255
GRE TUNNEL VE GRE MULTILINK ROUTING 209
Malatya(config)#router eigrp 1
Malatya(config-router)#no auto-summary
Malatya(config-router)#network 10.0.0.0 0.0.0.255
Malatya(config-router)#network 192.168.2.0 0.0.0.255
Malatya(config-router)#ex
Malatya#sh ip route
Malatya#ping 192.168.1.1
GRE Multılınk Routıng

Aşağıdaki gibi Çorum - Malatya arası Ankara üzerinden dönen bir trafik
olsun. Biz Çorum ile Malatya arasını GRE tunnel ile doğrudan bağlıymış gibi
ayarlayalım:
Corum(config)#int gi 0/0
Corum(config-if)#ex
Corum(config)#int lo 1
Corum(config-if)#ex
Corum(config)#int tun 0
Corum(config-if)#tunnel source gi 0/0
210 TEMEL NETWORK
Corum(config-if)#tunnel destination 2.2.2.2

Corum(config-if)#tunnel mode gre ip
Ankara(config-if)#int gi 0/1
Ankara(config-if)#exi
Ankara(config)#int loopback 1
Malatya(config)#int gi 0/1
Malatya(config-if)#int loop 1
Malatya(config-if)#exit
Malatya(config)#int tun 0
Malatya(config-if)#tun so gi 0/1
Malatya(config-if)#tun de 1.1.1.2
Malatya(config-if)#tun mod gre ip
Tüm tanımları bitirdik. Şimdi Malatya’daki interface’lerin durumuna bir bakalım:
Görüyoruz ki malesef gre tunnel DOWN. Bunun sebebi ise biz tunnel
mode’leri tanımlarken girdiğimiz tunnel destination adreslerine router’lerin
ulaşamaması.
En pratik olarak Çorum’un, Malatya’yı görmesi için her iki router’e de default
route olarak Ankara’yı girelim:
Malatya(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1
Corum(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1
şimdi kontrol ettiğimizde artık tunnel interface’nin UP olduğunu müşahade

edebiliyoruz.
Artık bir sonraki adıma geçip bu iki router arası oluşturduğumuz görünmez
direkt link sayesinde dynamic routing’lerimizi de tanımlayabiliriz. Bunun
öncesinde GRE tunnel IP’lerinin birbirini pinglediğini kontrol etmek akıllıca
olur.
Corum(config)#router eigrp 1
Corum(config-router)#no aut
Corum(config-router)#netw 10.19.0.0
Corum(config-router)#netw 172.16.0.0
Corum(config-router)#ex
Malatya(config)#router eigrp 1
Malatya(config-router)#no aut
Malatya(config-router)#netw 10.44.0.0
Malatya(config-router)#netw 172.16.0.0
Malatya(config-router)#ex
212 TEMEL NETWORK
Son olarak artık sonuca bakabiliriz:

GÜNCEL CCNA SINAV

SORULARINDAN ÖRNEKLER
1. Drag and drop the steps to configure a basic GRE tunnel from the left into the
correct sequence on the right (Not all options are used)
CEVAP :
Create a logical tunnel interface
Specify the carrier protocol
Specify the passenger protocol
Specify the source and destination address for the tunnel endpoints.
2. In which two ways can you prevent recursive routing in a tunneled

environment? (Choose two)
A. Configure routes through the tunnel with a lower metric than other routes.
B. Configure route filtering to prevent the tunnel endpoints from learning each
other through the tunnel.
C. Enable QoS on the link.
D. Configure routes through the tunnel with a higher metric than other routes.
E. configure GRE keepalives on the tunnel interface.
CEVAP : B, E
214 TEMEL NETWORK
3. After you configure a GRE tunnel between two networks, the tunnel comes up
normally, but workstations on each side of the tunnel cannot communicate.
Which reason for the problem is most likely true?
A. The tunnel source address is incorrect.
B. The tunnel destination address is incorrect.
C. The routebetween the networks is undefined.
D. The IP MTU is incorrect.
E. The distance configuration is missing.
CEVAP : D
4. While troubleshooting a GRE tunnel interface issue, show interface command

output displays tunnel status up, but line protocol is down. Which reason for
this problem is the most likely?
A. The interface has been administratively shut down.
B. The route to the tunnel destination address is through the tunnel itself
C. The tunnel was just reset.
D. The next hop server is misconfigured
CEVAP : B
215
DHCP 9
DHCP Konfigürasyonları
Öncelikle Packet Tracer’deki kullanımları görmek için minik bir örnek ile
başlayalım. Aşağıdaki gibi bir sistem oluşturalım ve DHCP, DNS, HTTP
servislerinin sunucuda nasıl çalıştığını ve ayarlarını görelim.
216 TEMEL NETWORK
Üsteki minik topoloji’de önce sunucuya girelim ve DHCP’yi ayarlayalım:
Bu ayarları girdikten sonra Add dememiz yeterli. Artık DHCP sunucumuz

bu broadcast domanin’inden gelen tüm IP isteklerine cevap verecektir. Bu
sunucumuzun IP’sini 192.168.1.10 yapalım.
Şimdi DNS servisine bakalım. DNS’de üstte çözümlenecek ismi, altta ise bu isim
sorgulandığında cevap verilecek IP’yi girdiğimiz çok basit bir yapı var. Hemen
kendi adımızı DNS ekleyip bir web sitesi yapalım:
Şimdi de HTTP sekmesinde web sitemizi ayarlayalım. Bu bize gelen HTTP

isteklerinde karşısına çıkarılacak olan web sitesidir.
DHCP 217
Buradaki web sitesi kodlarında ilgili yazıyı değiştirelim. Tüm servislerin ON

olduğuna dikkat etmişsinizdir. DNS, HTTP, DHCP hepsi on durumdaydı. Şimdi
artık clientimizin IP aldığına ve web sitesine girdiğine bakalım:
Önce DHCP sunucumuzu test edelim ve client’imiz de IP ayarlarında DHCP’yi

seçince IP aldığını görelim:
218 TEMEL NETWORK
Şimdide DNS sunucumuzu test edelim ve www.sinan.com adresine ping

attığımızda doğru IP’ye yönlendirdiğine şahit olalım:
Şimdi de web sitesini kontrol edelim. Client’imizde web browser’e girip

www.sinan.com yazalım:
DHCP 219
L3 Swıtch Kullanarak
Vlan‘lara IP Dağıtmak
Şimdi de aşağıdaki gibi bir yapı oluşturarak 2 vlan’a switch üzerinden IP
dağıtalım:
Önce switch’de aşağıdaki vlan ayarlarını yapalım ve sonra da interface’leri

vlan’lara üye yapalım:
Önce vlan’ları oluşturalım:

Switch(config-vlan)#name bilgisayarlar
Switch(config-vlan)#vlan 200
Switch(config-vlan)#name notebooklar
Switch(config-vlan)#exit
Şimdi de vlan’lara IP verelim:

Switch(config-if)#ip add
Switch(config)#
220 TEMEL NETWORK
Şimdi de interface’leri vlan’lara üye yapalım:

Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 100
Switch(config-if-range)#no sh
Switch(config-if-range)#exit

Switch(config)#
Şimdi de DHCP IP dağıtım havuzlarını tanımlayalım:

Switch(config)#ip dhcp pool vlan100
Switch(dhcp-config)#network 192.168.100.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.100.1
Switch(dhcp-config)#exit
Switch(config)#ip dhcp excluded-address 192.168.100.1
Switch(config)#ip dhcp pool vlan200

Switch(dhcp-config)#network 192.168.200.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.200.1
Switch(dhcp-config)#exit
Switch(config)#ip dhcp excluded-address 192.168.200.1
Burada bir aralığı dağıtmayacaksak şöyle bir komut giriyoruz:

ip dhcp excluded-address 10.10.1.1 10.10.1.199
Vlan’lar birbirini görecek ise L3 switch’de routing de girelim:

Switch(config)#ip routing
DHCP 221
Evet şimdi de bir bakalım olmuş mu? Haydi bir bilgisayar ve bir notebook’a
otomatik IP aldıralım:
Önce bilgisayara;
Şimdi de notebook’a bakalım:
Herşey mükemmel! Gerçi bunları dedem de yapardı. Şimdi vlan’lara router

arkasındaki bir DHCP’den IP dağıtalım. İşte bunu rahmetli dedem yapamazdı
hadi bakalım. Burada biraz da teknik bilgi işin içine giriyor. Aşağıdaki gibi bir
yapıda, vlan’lardaki bilgisayarlar kesinlikle IP alamayacaklardır.
222 TEMEL NETWORK
Çünkü router’ler broadcast paketlerini geçirmezler ve client’lar dhcp den IP yi

broadcast ile isterler, DHCP sunucuyu broadcast ile tespit ederler. Bu durumda
Cisco, IP Helper çözümünü getirmiştir. IP Helper komutu ile router’lerde her
interface’nin altına bu komutu girerek bu interface’den gelen DHCP isteklerini
DHCP sunucuya yönlendirebiliyoruz.
Önce switch’de vlan’ları oluşturalım sonra da interface’leri vlan’lara üye

yapalım:


DHCP 223


Şimdi de router ile aramızdaki trunk portu tanımlayalım:

Switch(config)#interface fa 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Şimdi de router’deki ayarları yapalım:

Router(config)#interface fa 0/1
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#interface fa 0/1.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#ip helper 192.168.1.2
Router(config-subif)#exit
224 TEMEL NETWORK
Şimdi de router’in sunucuya olan bağlantısını yapılandıralım:

Router(config)#interface fa 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#exit
Şimdi de DHCP sunucumuza önce IP’sini verelim (192.168.1.2 yani IP helper

olarak girdiğimiz değer) , sonra da DHCP IP havuzlarını tanımlayalım:
DHCP 225
Şimdi de en keyifli adıma geldik haydi test edelim bakalım ilgili vlan’lar, ilgili
pool’dan doğru IP’leri alabilecekler mi?
226 TEMEL NETWORK
Şimdi de sunucumuzda DNS ve HTTP ayarlarını yapalım ve clientlarımızın

sunucudaki web sitesine ulaşabildiklerini görelim:
Önce sunucuda DNS ayarlarını yapalım:
Şimdi de HTTP ayarlarını yapalım:

DHCP 227
Şimdi de deneyelim bakalım, herhangi bir IP almış mı client’ten:
DHCP sorunlarını çözebilmek için DHCP debug açılır:

Router#debug ip dhcp server packet
Windows Sunucularda
DHCP Oluşturma
Her ne kadar ağ cihazlarının DHCP özellikleri olsa da genelde logların kaydı
için Windows DHCP sunucu tercih edilir. DHCP sunucuyu çok yoran, ciddi
kaynak tüketen bir uygulama değildir. Gelin şimdi adım adım Windows sunucu
üzerinde nasıl DHCP kurduğumuzu ve vlan’lara nasıl IP dağıtıldığına bir
bakalım:
228 TEMEL NETWORK
Server Manager’de Add Roles And Features:
Next deyip devam edelim:

DHCP 229
Role-Based seçeneği seçili iken Next diyelim.
DHCP kuracağımız sunucu seçili iken Next diyelim.

230 TEMEL NETWORK
DHCP sunucuyu seçip, Features uyarısını da onaylayarak Next diyelim.
Features kısmında bir şey yapmıyoruz, next diyelim.

DHCP 231
Sonraki bilgilendirme özet ekranını da Next diyerek geçip, Install diyelim:
Kurulum tamamlanınca DHCP Authorization için “Complete DHCP

Configuration” kısmına tıklıyoruz:
232 TEMEL NETWORK
İlk ekranı next deyip geçelim:
Yetkilendirme sayfasında da Commit ederek işlemi tamamlayalım:

DHCP 233
İşlem tamamlandı uyarısını görünce Close edelim.
Yükleme işlemi tamamlandı. Şimdi DHCP’yi yapılandıralım. Server Dashboard

bölümünde sağ üst köşedeki Tools’dan DHCP’ye girelim:
Burada Ipv4 ve IPv6 kısımlarında yeşil tık görmelisiniz. Her şey yolunda ise IPv4
üzerinde sağ tıklayarak New Scope sekmesine tıklıyoruz.
234 TEMEL NETWORK
İlk ekranı Next deyip geçelim:
DHCP Scope’mize bir isim verip devam edelim:

DHCP 235
Dağıtılacak IP aralığını giriyoruz ve Next diyoruz. (Her zaman başta 5-10 IP gibi
bir aralığı ayırıp başlayın.)
Dağıtılmayacak IP’ler var ise buraya girebiliriz, benim olmadığı için Next deyip
devam ediyorum:
236 TEMEL NETWORK
IP kiralama süresini burada ayarlıyoruz; kablolu ağlar için 8 gün, kablosuz ağlar
için 8 saat tavsiye edilir.
Router özellikleri ile ağ geçidi de ayarlayacağımızdan Next deyip devam

ediyoruz:
DHCP 237
Ağ geçidini yazıp, Add deyip ekleyip, Next diyerek devam edelim:
IP dağıtımında kullanılacak, dağıtılacak DNS’leri burada giriyoruz. IP address

kısmına DNS sunucularınızı girip Add demelisiniz. Sonrası Next:
238 TEMEL NETWORK
Sistemde WINS sunucu var ise bunun da IP’sini ekleyip Next diyebiliriz .
Sonraki adımda Yes deyip aktivate edelim, bu adımdan sonra IP dağıtabilir

olacak.
Ve son adımı da onaylayıp kurulumu tamamlıyoruz. Her vlan için bu adımları

tekrarlayıp bir scope oluşturmak gereklidir. Router’de vlan’ları oluştururken bu
DHCP sunucunuzun da IP’sini verdikten sonra başka bir şey yapmanıza gerek
kalmaz.
DHCP 239
GÜNCEL CCNA SINAV

1. Which statement describes the process of dynamically assigning IP addresses
by the DHCP server?
A. Addresses are allocated after a negotiation between the server and the host
to determine the length of the agreement.
B. Addresses are permanently assigned so that the hosts uses the same address
at all times.
C. Addresses are assigned for a fixed period of time, at the end of the period, a
new request for an address must be made.
D. Addresses are leased to hosts, which periodically contact the DHCP server
to renew the lease.
CEVAP : D
2. When a DHCP server is configured, which two IP addresses should never be

assignable to hosts? (Choose two.)
A. network or subnetwork IP address
B. broadcast address on the network
C. IP address leased to the LAN
D. IP address used by the interfaces
E. manually assigned address to the clients
F. designated IP address to the DHCP server
CEVAP : A,B
3. Which two tasks does the Dynamic Host Configuration Protocol perform?
(Choose two.)
A. Set the IP gateway to be used by the network.
B. Perform host discovery used DHCPDISCOVER message.
C. Configure IP address parameters from DHCP server to a host.
D. Provide an easy management of layer 3 devices.
240 TEMEL NETWORK
E. Monitor IP performance using the DHCP server.

F. Assign and renew IP address from the default pool.
CEVAP : C,F
4. What are the two minimum required components of a DHCP binding? (Choose
two.)
A. a DHCP pool
B. an exclusion list
C. a hardware address
D. an IP address
E. an ip-helper statement
CEVAP : C,D
5. Which command can you enter to display duplicate IP addresses that the
DHCP server assigns?
A. show ip dhcp conflict 10.0.2.12
B. show ip dhcp database 10.0.2.12
C. show ip dhcp server statistics
D. show ip dhcp binding 10.0.2.12
CEVAP : A
6. What is the default lease time for a DHCP binding?

A. 24 hours
B. 12 hours
C. 48 hours
D. 36 hours
CEVAP : A
DHCP 241
7. Which technology supports the stateless assignment of IPv6 addresses?

A. DNS
B. DHCPv6
C. DHCP
D. Autoconfiguration
CEVAP : B
8. Which command can you enter to troubleshoot the failure of address

assignments?
A. show ip dhcp pool
B. show ip dhcp database
C. show ip dhcp import
D. clear ip dhcp server statistics
CEVAP : A
9. Which command can you enter to determine the addresses that have been
assigned
on a DHCP Server?
A. Show ip DHCP database.
B. Show ip DHCP pool.
C. Show ip DHCP binding.
D. Show ip DHCP server statistic.
CEVAP : C
10.Where does the configuration reside when a helper address is configured to

support
DHCP ?
A. on the switch trunk interface.
B. on the router closest to the client.
C. on the router closest to the server.
D. on every router along the path.
CEVAP : B
242 TEMEL NETWORK
11.Which statement about DHCP address pools is true?

A. A network must be Defined before you can configure a manual binding.
B. Only one DNSserver can be identifed for an individual DHCP group.
C. You can use a subnet mask of prefix length to Define a network.
D. The domain name of the DHCP pool is specifed in the global configuration
of the router.
CEVAP : C
12.You have configured the host computers on a campus LAN to receive their
DHCP addresses from the local router to be able to browse their corporate site.
Which statement about the network environment is true?
A. It supports a DNS server for use by DHCP clients.
B. Two host computers may be assigned the same IP address.
C. The DNS server mustbe configured manually on each host.
D. The domain name must be configured locally on each host computer.
CEVAP : A
13.Which statement is correct regarding the operation of DHCP?

A. A DHCP client uses a ping to detect address conflicts.
B. A DHCP server uses a gratuitous ARP to detect DHCP clients.
C. A DHCP client uses a gratuitous ARP to detect a DHCP server.
D. If an address conflict is detected, the address is removed from the pool and
an administrator must resolve the conflict.
E. If an address conflict is detected, the address is removed from the pool for
an amount of time configurable by the administrator.
F. If an address conflict is detected, the address is removed from the pool and
will not be reused until the server is rebooted
CEVAP : D
DHCP 243
14.Which statement describes the process of dynamically assigning IP addresses

by the DHCP server?
A. Addresses are allocated after a negotiation between the server and the host
B. Addresses are permanently assigned so that the hosts uses the same address
at all times.
C. Addresses are assigned for a fixed period of time, at the end of the period, a
new request for an address must be made.
D. Addresses are leased to hosts, which periodically contact the DHCP server
to renew the lease.
CEVAP : D
15.How does a DHCP server dynamically assign IP addresses to hosts?

A. Addresses are permanently assigned so that the host uses the same address
at all times.
B. Addresses are assigned for a fixed period of time. At the end of the period,
a new request for an address must be made, and another address is then
assigned.
C. Addresses are leased to hosts. A host will usually keep the same address by
periodically contactng the DHCP server to renew the lease.
D. Addresses are allocated after a negotiation between the server and the host
CEVAP : C
244 TEMEL NETWORK
245
NETWORK
SECURITY
10
Internal Segmentatıon
Fırewall Uygulaması
Büyük network’ların olmazsa olmaz bir parçası da vlan’lardır. Vlan’lar olunca
elbette bir router’e de ihtiyacımız var ve gerek vlan’ların birbiri ile haberleşmesi
için, gerekse vlan’ların sunucularla haberleşmesi ve internete erişmesi için de
router’de tanımlar yapmak gerekir. Eğer ağımızda güvenliğe önem veriyor ve
vlan’lar arası trafiği kontrol için router de ACL (Access Control List) uyguluyorsak
bu sefer de router’in aşırı yoğunlaştığını gözlemleyebilirsiniz ve buna rağmen
router’ler yalnızca port tabanlı koruma yapabilirler. Yani bir router ile şu
vlan’dan bu vlan’a sadece şu portlar açık olsun diyebilirsiniz. Gelişmiş güvenlik
kontrolü yapamazsınız zaten router’lerin görevleri de güvenlik değildir. Yüksek
güvenlik için hem routing yapabilecek, hem de vlan’lar arası trafiği tüm
yönleriyle tarayabilecek güçlü cihazlara ihtiyaç vardır.
Günümüz yeni nesil firewall‘larından bir tanesini sizler için kullanıp, iç

ağımızda vlan’lar arası geçişi UTM (Unified Threat Managament) cihazında
nasıl kontrol ettiğimize bir bakalım. Genel olarak firewall’lar iç ağ ile internet
arasına konumlandırılıp, internetten gelen virüs ve saldırıları engellemek
için kullanılır. Oysa ki saldırıların %70 den fazlası iç ağımızdan gelmektedir.
Ağımızda dikkatsiz (ya da iyi korunmayan) bir kullanıcının bilgisayarının
hacker tarafından ele geçirilmesiyle artık saldırgan bu çalışan üzerinden diğer
çalışanlara ve sunuculara saldıracaktır.
246 TEMEL NETWORK
Dolayısıyla iç ağımızdaki trafiği kontrol etmek de dış dünyadan gelecek

saldırıları kontrol etmek kadar önemlidir. Benim aşağıdaki test projemde
kullandığım switch’in siz omurga switch olduğunu düşünün. Tüm kat
switch’leri, tüm vlan’lar bu switch’e geldiğini düşünün ve buradan biz trunk
portla UTM cihazına bağlayıp, tüm vlan’ları UTM de sonlandırıp, vlan’lar arası
trafikleri de üstün kontrollerle denetleyelim.
Öncelikle bilgisayarımı console kablosu ile switch’e bağlayım. USB-Serial

dönüştürücü COM3’de bağlı.
Bu ayarlara göre Secure CRT ayarlarını yapıp switch’e bağlanalım:
Quick Connect’e tıklayıp yeni bağlantı oluşturalım:

NETWORK SECURITY 247
Şimdi de portu ve baund rate’yi ayarlayıp bağlanalım:
Artık switch’e bağlıyız. Vlan’ları oluşturup, portları vlan’lara üye yapıp, UTM
cihazına bağlanacağımız Gi 0/1 portunu trunk yapalım:
% Please answer ‘yes’ or ‘no’.
Would you like to enter the initial configuration dialog? [yes/no]:
no
Switch>
Switch>en
Switch#conf t
Switch(config)#
Switch(config)#int ran fa 0/1-10
Switch(config-if-range)#sw mod acc
Switch(config-if-range)#sw acc vlan 10
Switch(config-if-range)#ex
Switch(config)#int ran fa 0/11-20
Switch(config-if-range)#sw mod acc
248 TEMEL NETWORK
Switch(config-if-range)#sw acc vlan 20

Switch(config-if-range)#ex
Switch(config)#
Switch(config)#int gi 0/1
Switch(config-if)#sw mod tr
Switch(config)#
*Mar 1 00:27:11.710: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernet0/1, changed state to down
Interface Vlan1, changed state to down
Switch(config)#
Interface GigabitEthernet0/1, changed state to up
Switch(config)#
Switch tarafında test için yapacaklarımız bu kadar. Şimdi UTM cihazına

bağlanıp, gerekli ayarları yapalım. Ben kendi bilgisayarımı UTM’in 1. portuna
bağlıyorum ve 192.168.1.110 IP’sini otomatik alıp cihazın 192.168.1.99 default
IP’sinden cihaza erişelim:
Switch’den trunk olarak gelen bağlantı UTM’nin DMZ portuna bağlı. Dolayısıyla
tıpkı Cisco router’lerdeki gibi trunk ile gelen vlan’ları sub interface olarak
sonlandırmalıyız:
UTM cihazındaki menüde Network / Interface altında Create New/Interface

diyelim:
250 TEMEL NETWORK
Burada bir isim verip, interface kısmından DMZ’yi seçelim ki bu portun altına
sub interface’leri oluşturalım. Vlan ID kısmına, vlan numarasını yazıyoruz ve
interface’ye bir IP verip, DHCP’yi açalım:
Vlan 10 için yaptığımız tüm bu ayarların aynısını vlan 20 için de yapalım.

Tanımlamalar sonrası DMZ’nin altında oluşturduğumuz sub-interface’leri
görebilirsiniz:
Şimdi sistemimiz hazır. Önce herşey yolunda mı kontrolü için bilgisayarımı

switch’deki 2. porta (vlan 10’da) bağlıyorum ve otomatik IP alıyor mu kontrolünü
yapıyorum. Başarıyla vlan 10’dan IP aldım. UTM cihazına erişip ayarlara devam
etmek istiyorum. Benim IP’im değiştiğinden cihaza bağlanacağım IP de farklı.
Vlan 10 sub-interface’ini UTM’de oluştururken Administrative Access kısmında
https’i de işaretlediğimden bu IP’den cihaza erişebilirim. Cihaza erişip Monitor
/ DHCP Monitor kısmında başarıyla vlan’lara IP dağıttığını görebiliyoruz.
Kullanıcılar IP alabiliyor ve vlan’lar artık hazır. Peki ya erişimler? Vlanlar arası ve

vlan’ların internete, sunuculara erişimleri? Tüm bunları vlan’lar UTM cihazında
sonlandığından artık UTM cihazından yapılmalı. Cihazdaki Policy / IPv4
Policy kısmından erişimleri ayarlayabiliriz. Dikkat ederseniz cihazdaki hazır
port tanımlarından yalnızca şu servisler (E-mail portları, Web portları, Windows
AD portları) kullanılsın ve trafikte antivirüs, saldırı kontrolleri yap, erişimlerin
log’unu tut gibi gelişmiş kontroller yapabiliriz.
252 TEMEL NETWORK
DHCP Snoopıng Ataklarını

Engelleme
Ağda sahte DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde
bulunan client cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP
cevabı dönebilir. Client bu cevabı aldığı andan itibaren, ağ geçidi adresi olarak
bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen
paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri
gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri
izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit
eden bir durumdur. Man-in the-middle ataklarının ön hazırlıklarından birisi
olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir. Ciddi bir
tehdit unsuru olan bu atağı engellemek için Cisco anahtarlayıcı cihazlarda
DHCP Snooping özelliği kullanılmaktadır. DHCP Snooping özelliği bir cihazda
etkinleştirilerek portlar trusted ve untrusted olarak kategorize edilebilir ve
böylece gerçek DHCP sunucularının hangi portlar üzerinden yayın yapacağı
cihaza öğretilmiş olur. Untrusted portlardan gelen DHCP istekleri anahtarlayıcı
tarafından incelenir. Untrusted portlardan gelen cevaplar ise cihaz tarafından
çöpe atılır ve atağa maruz kalan port shut edilir.
DHCP Snooping özelliği ek olarak istemcilerin aldıkları otomatik ayarların

kaydını tutar. Kayıtta, hangi IP adresinin hangi MAC adresine ne kadarlık bir
süre için atandığının bilgisi tutulur.
DHCP Snooping özelliğini etkinleştirmek için global konfigürasyon mod’unda

şu komut girilmelidir:
Switch(config)#ip dhcp snooping
DHCP Snooping özelliğinin hangi vlan’larda etkinleştirileceğini belirtmek için

şu komut girilir:
Switch(config)#ip dhcp snooping vlan vlan-id
Varsayılan olarak bütün anahtarlayıcı portları untrusted mod’undadır ve DHCP

cevaplarını engeller. Bu yüzden gerçek DHCP sunucuların bulunduğu portlar
cihaza öğretilmelidir. Bunun için aşağıdaki komut dizisi işletilmelidir:
Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust
254 TEMEL NETWORK
Cihazlarda ayrıca DHCP option-82 adında bir özellik varsayılan olarak aktiftir.
Bu özellik sayesinde untrusted portlardan gelen DHCP isteklerinin switch
tarafından değerlendirilmesini sağlayabiliriz. Switch böyle bir durumda
option-82 alanına kendi MAC adres ve switchport bilgisini ekleyerek paketi
gönderir. Böylece istek güvenilen bir DHCP sunucusuna ulaştırılır. Sunucu,
DHCP option-82 özelliğini desteklemelidir. Sunucu geri cevap dönerken
pakette kendisine gelen option-82 bilgisini de bulundurur. Böylece cevabı
alan switch kendi option-82 bilgisi ile bu bilgiyi karşılaştırarak doğru son
kullanıcının DHCP isteğine cevap döndürebilmiş olur. Özelliği etkinleştirmek
veya kapatmak için aşağıdaki komut işletilir:
Switch(config)#[no] ip dhcp snooping information option
DHCP Snooping konfigüre edildikten sonra bununla ilgili durumu aşağıdaki

komutu işleterek görüntüleyebiliriz:
Switch#sh ip dhcp snooping [binding]
Komuta [binding] seçeneğinin eklenmesiyle, switch’in veri tabanında tuttuğu

hangi IP adreslerinin hangi MAC adreslerine atandığı bilgisine ulaşılabilir.
Port Securıty
Port Security; yetkisiz, bilmediğimiz makinelerin ağımıza dahil olup bizleri
olumsuz etkilemesini engellemek için switch’lerin her zaman o porta bağlı
olacak MAC adreslerini (dolayısıyla personelimizin cihazını) öğrenmesini
sağlayıp tanımsız makineler geldiğinde o portu kapatmak için alınan güçlü
bir önlemdir. Günümüzde iş yerlerinde herkesin sabit masası, bilgisayarı vardır
ve herkes her gün aynı masada aynı cihazı kullanır. Dolayısıyla çalışanların
cihazlarının switch’de bağlandıkları port hep aynıdır. İşte bu düzen switch’de
tanımlanıp, farklı bir cihazın ağımıza erişmesi engellenebilir.
Aşağıdaki gibi bir ağımız olsun ve biz switch’de port security yapmak isteyelim.
Şimdi port security için gerekli konfigürasyonu switch’imizde yapalım.

Switch>en
Switch#conf t
Switch(config)#int range fa 0/1-23
(Switch’de bulunan portlardan ilk 23’ünü configüre etmek için seçtim.)

(Switchport mod’u accsess olarak belirledim.)

Switch(config-if-range)#switchport port-security
(port-security’i aktif hale getirdim.)
Switch başka bir bilgisayarın takılıp takılmadığını, takılı olan bilgisayarın MAC
adresini hafızasında tutarak anlayabilir. Ve switch port-security’de birden fazla
MAC adresini tek port için hafızasında tutabilir.
Switch(config-if-range)#switchport port-security max 1
256 TEMEL NETWORK
(Biz burada sadece bir adet MAC adresini aklında tutmasını söylüyoruz.)
!
Switch(config-if-range)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
!
Switch MAC adresini 2 şekilde öğrenebilir. 1.yol H.H.H’de kendimiz hangi

bilgisayarın MAC adresini o porta atayacaksak onu belirleriz.
2.yol’da yani Sticky komutu ile o porta takılı olan bilgisayarın ilk network
işleminde MAC adresinin o porta atanmasını söyleyebiliriz. Ben 2.yolu seçtim:
Switch(config-if-range)#switchport port-security mac-address sticky
Burada ise farklı bir MAC adresi ile bu porta bağlanan olursa switch’in ne
yapacağını belirtiyoruz:
Switch(config-if-range)#switchport port-security violation ?
PROTECT = Düşük seviye korumadır. Kural Dışı MAC’lara izin vermez o kadar.
RESTRICT = Orta seviye korumadır. Kural dışılara izin vermez ve ayrıca bunu
admine bildirir.
SHUTDOWN = Üst seviye korumadır. Port’u kapatır. Sebebini de ERR-DISABLE

diye görebiliriz.
Korumalar arası farkı aşağıdaki tabloda özetledim:
Kuraldışı Trafiğin SNMP Trap Syslog Mesajı Portun

Erişimde Bloklaması Yollanması Yollanması Kapatılması
protect Evet Hayır Hayır Hayır
restrict Evet Evet Evet Hayır
shutdown Evet Evet Evet Evet
Shutdown seçersek farklı bir MAC adresi ile porta bağlanıldığında o portu
kapatacaktır. Geri açılması için ağ yöneticisinin switch’e erişerek o portu
shutdown etmesi, sonra tekrar No Shutdown yapması gerekecektir.
Restrict‘i seçersek farklı bir MAC adresi ile ağa bağlanıldığında o MAC
adresindeki bilgisayarın ağ üzerinde hiçbir işlem yapamamasını sağlarız.
Tekrar MAC adresi tanımlanmış olan bilgisayarı ağa eklersek sorunsuz şekilde
iletişime geçecektir.
Ben Restrict mod’u seçiyorum:

Switch(config-if-range)#switchport port-security violation restrict
Şimdi bilgisayarların MAC adreslerinin kayıta geçmesi için bir network

işleminin yapılması gerekiyor. Basit bir işlem olarak, bilgisayarların birbirlerini
pinglemesini kullanabilirsiniz.
Şimdi MAC adresimiz kayıta geçmiş mi bakalım:

Switch#show port-security interface fastEthernet 0/1
komutu ile bu portun port security durumunu görüntüleyebiliriz.

!
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging: Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0090.2BA6.2A14:1
Security Violation Count : 0
!
Last source kısmında o portu son kullanan cihazın MAC adresini görebiliriz.
Security violation count kısmında ise bu portta belirlediğimiz güvenlik

kurallarının kaç kez ihlal edildiğini görebiliriz.
258 TEMEL NETWORK
Şimdi yapımıza şu şekilde bir bilgisayar ekliyoruz:
Görüldüğü gibi Fasthethernet 0/2 portundaki şirket bilgisayarını laptopa

bağladım. Yapımda DHCP bulunmadığı için IP adresini 192.168.1.2 şeklinde
kendim girdim.
Şimdi bu laptopumuz diğer bilgisayarlar ile iletişime geçebilicek mi görelim:
Fastethernet 0/1 de bağlı olan 192.168.1.1 IP’li bilgisayara ping atamıyoruz.

Peki şimdi eski bilgisayarımızı, FastEthernet 0/2‘ye bağlayalım ve bakalım
192.168.1.1 ‘e ulaşabilicek mi ?
260 TEMEL NETWORK
Görüldüğü gibi 192.168.1.1 IP’li bilgisayara ulaşabiliyorum.
Şimdi FastEthernet 0/2 için ihlal sayacına tekrar bakalım:

!
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging: Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0002.1679.3AB9:1
Security Violation Count : 1
!
Görüldüğü gibi ihlal sayacı 1 olmuş.
Port Security Sorunlarını Giderme

Tüm portların durumu ve genel olarak durum kontrolü için:
Switch# sh port-security
Tüm portların öğrenilen MAC adreslerinin temizliği :

Switch# clear port-security all
Bir port, port security’den dolayı kapatılmış ise orada err-disabled açıklaması
görünür:
Switch#show interfaces fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Güncel CCNA
1. Which two options are benefits of dhcp snooping ?
A. it prevents dhcp reservations
B. it simplifes the process of adding DHCP Servers to the network
C. it prevents the deployment of rogue DHCP Servers
D. it prevents static reservations
E. it Tracks the location of hosts in the network
CEVAP : C,E
2. Which statement about DHCP snooping is true?

A. it blocks traffic from DHCP servers on untrusted interfaces.
B. it can be configured on switches and routers.
C. it allows packets from untrusted ports if their source MAC address is found
in the binding table.
D. it uses DHCPDiscover packets to identify DHCP servers.
CEVAP : A
3. Where does a switch maintain DHCP snooping information?

A. in the CAM table
B. in the VLAN database
C. in the DHCP binding database
D. in the MAC address table
CEVAP : C
4. Which feature can validate address requests and filter out invalid messages?
A. IP Source Guard
B. port security
C. DHCP snooping
D. dynamic ARP inspection
CEVAP : C
262 TEMEL NETWORK
5. By default, how many MAC addresses are permited to be learned on a switch

port with port security enabled?
A. 8
B. 2
C. 1
D. 0
CEVAP : C
6. Which port security mode can assist with troubleshooting by keeping count of
violatons?
A. access.
B. protect.
C. restrict.
D. shutdown.
CEVAP : C
7. Which port security violaton mode allows traffic from valid mac address to
pass but block traffic from invalid mac address?
A. protect
B. shutdown
C. shutdown vlan
D. Restrict
CEVAP : A
8. Which statement is a Cisco best practice for switch port security?

A. Vacant switch ports must be shut down.
B. Empty ports must be enabled in VLAN 1.
C. VLAN 1 must be configured as the native VLAN.
D. Err-disabled ports must be configured to automatically re-enable.
CEVAP : A
9. Why would a network administrator configure port security on a switch?

A. to limit the number of Layer 2 broadcasts on a partcular switch port
B. to prevent unauthorizied Telnet access to a switch port
C. to prevent unauthorizied hosts from accessing the LAN
D. block unauthoriied access to the switch management interfaces
CEVAP : C
10.A network administrator needs to configure port security on a switch. Which

two statements are true? (Choose two.)
A. The network administrator can apply port security to dynamic access ports.
B. The network administrator can apply port security to EtherChannels.
C. When dynamic MAC address learning is enabled on an interface, the switch
can learn new addresses, up to the maximum Defined.
D. The sticky learning feature allows the additon of dynamically learned
addresses to the running configuration.
E. The network administrator can configure static secure or stcky secure MAC
addresses in the voice VLAN.
CEVAP : C,D
11.Which two commands correctly verify whether port security has been
configured on port FastEthernet 0/12 on a switch? (Choose two.)
A. SW1#show port-secure interface FastEthernet 0/12
B. SW1#show switchport port-secure interface FastEthernet 0/12
C. SW1#show running-config
D. SW1#show port-security interface FastEthernet 0/12
E. SW1#show switchport port-security interface FastEthernet 0/12
CEVAP : C,D
264 TEMEL NETWORK
12.Which conditon does the err-disabled status indicate on an Ethernet interface?

A. There is a duplex mismatch.
B. The device at the other end of the connection is powered of.
C. The serial interface is disabled.
D. The interface is configured with the shutdown command.
E. Port security has disabled the interface.
F. The interface is fully functioning.
CEVAP : E
265
STP - PVST+ 11
STP
LAYER 2 SWITCHING
Layer 2 switching teknolojisi donanıma dayalıdır. Bu nedenle host üzerindeki
MAC adresini kullanarak network’u filtreler. Switch’lerde filter tablolarını
oluşturmak için ASIC (Application Specific Integrated Circuits) yöntemini
kullanırlar. Cisco switch’lerde default olarak enable durumdadır.
Layer 2 switch aygıtları paketleri (frame) donanım adreslerine göre

gönderdikleri için hızlıdırlar. Layer 2 özelliklerini şu şekilde özetleyebiliriz:
Donanım temelli köprü (bridging) / Hız / Düşük maliyet.
LAYER 2 SWITCH FONKSİYONLARI

Layer 2 switching sürecinde üç işlem yerine getirilir:
Address Learning: Adres öğrenme
Forwarding / Filtering: Yönledirme / Filtreleme
Loop Avaidance: Döngü önleme
Adres öğrenme işlemi her paketin MAC adresinin, bir MAC veritabanına
tutulmasıyla sağlanır. Yönlendirme işlemi ise alınan paketin hedef adresinin
266 TEMEL NETWORK
bulunmasını sağlar. Döngü önleme özelliği ise, switch’ler arasında birden çok
bağlantının olduğu durumlarda fazlalık (redundancy) oluşursa, bu özellik
döngüyü önler. Döngü önlemede STP (Spanning Tree Protocol) kullanılır.
Yukarıdaki network’te işaretli switch’lerin bozulması durumunda tüm trafik

aksayacaktır. Bunu önleme adına bilgisayarların bağlı olduğu switch’i, diğer
switch’lere doğrudan bağladığımızda ise loop olacaktır. İşte bunu önleme
adına Spanning Tree Protocol varsayılan olarak tüm Cisco switch’lerde enable
durumdadır.
Spanning tree protokolünün durumunu görüntülemek için:

Switch#sh spanning-tree
Üsteki bir şekildeki bir yapıda soldaki pc sağdakine ulaşmak için aynı
network’te olduğundan Arp request yapar. SW2 bu paketi aldığında hedefin
STP - PVST+ 267
broadcast olduğunu anlar (MAC ff doludur.) aldığı paketi diğer portundan

tekrar SW1’e gönderir ve döngü oluşur.
Döngüleri önlemek için bir switch’in herhangi bir portu UP olduğunda

switch hemen BPDU (Bridge Protocol Data Unit) gönderir. Tüm switchler her 2
saniyede bir bu paketleri gönderir. BPDU paketleri Bridge ID; Bridge Priority
ve Mac Adress’inden oluşur ve 8 Byte’dir. Switch bir porttan gönderdiği BPDU
paketini başka bir portundan tekrar alırsa, anlar ki loop olmak üzere ve bu yeni
UP olan portu aktifleştirmez, (non-designated port) korumaya alır. Bu sefer
hangi switch, hangi portunu kapatacak konusu başlar.
Özetle STP (Spanning Tree Protocol), DEC tarafından geliştirilmiş ve IEEE

tarafından 802.1 olarak kabul edilmiş bir protokoldür. STP’nin ana görevi Layer
2 network’larında oluşan döngüleri durdurmaktır. STP sürekli olarak network’u
izler ve gereksiz hatları kapatarak döngü oluşmamasını sağlar.
STP, network üzerindeki bütün bağlantıları bulur ve fazla (gereksiz) bağlantıları

kapatır. Bu işlem network üzerinde bir Root Bridge seçilmesiyle olur. Bir
network’ta yalnız bir root bridge vardır. Diğer swtich’ler ise Nonroot Bridge
olarak adlandırılır.
Switch’ler hiç bir yönlendirme protokolü kullanmazlar, Her switch, BPDU

(Bridge Protocol Data Unit) mesajı yayını yaparak kendisinin root olduğunu
söyler, önceliği düşük olan root seçilir, eşittlik durumunda ise düşük ID’li (veya
düşük MAC adrese sahip olan) olan root seçilir. Root olan switch’in tüm portları
her zaman açıktır ve yedek bağlantıları ve asıl bağlantıları belirler.
Bir switch’i manuel olarak root bridge yapmak için:

Switch(config)# spanning-tree priority 1
Bridge Priority default olarak 32768 değerindedir ve bizim tarafımızdan

manuel olarak değiştirilebilir. Root, ID’leri aynıysa Root Bridge seçimi için Mac
Adress bilgisine bakacaklardır. Mac adresi en küçük olan switch Root Bridge
olacaktır.
268 TEMEL NETWORK
Spanning Tree çalışma prensibi içerisinde sırayla 4 adımdan bahsedebiliriz

bunlar;
1. Root Bridge seçimi yapılır.
2. Switch’ lerin Root Portları belirlenir.
3. Switch’ lerin Designated Portları belirlenir.
4. Diğer Portlar Block (non designated port) durumda olacaklardır.
Root Bridge seçimini tamamladık, şimdi ‘Switch’lerde Root Portlar nasıl seçilir?
‘ bundan bahsedelim.
Root Portlar her switch için 1 tane olabilir ve Root Bridge’ye olan yakınlığına
göre bir port, Root Port olur. Burada yakınlıktan kastettiğim cost degeridir.
Cost degeri 2 switch arasındaki hattın hızıyla orantılı olup sabit değerlerle
ifade edilir.
IEEE’nin çok kullanılan bant genişlikleri için yayınladığı cost değerleri aşağıdaki
tablodaki gibidir:
COST DEĞERLERİ
4 Mbps 250
10 Mbps 100
16 Mbps 62
45 Mbps 39
100 Mbps 19
155 Mbps 14
1 Gbps 4
10 Gbps 2
Root bridge’te cost’u en düşük olan port, root port olacaktır. Switch root
bridge’ye 2 yoldan erişiyor ve cost’ları eşit olduğu bir durumda ise; switch’in
port ID’sine bakılır. Port numarası küçük olan port (Örnek; Fastethernet 0/1
port numarası Fastethernet 0/2 den küçüktür.), Root Port olacaktır. Bir bridge
üzerinde yalnızca bir tane Root Port olabilir.
STP - PVST+ 269
Şekildeki yapıda Root Bridge hangisi olacaktır? 3 Bridge’miz var ve Bridge

ID’leri BID= 31.768.XXXX seklinde 3 bridge için de bize sunulmuş. Daha önce
belirttiğimiz gibi Bridge ID’si en küçük olan Root Bridge olacaktır. Yani Cat-A en
üstteki switch, Root Bridge’dir. Çünkü priority değerleri aynı olduğundan, MAC
adresi küçük olan switch seçilir.
Şimdiye kadar Root Bridge seçimini ve Root Port seçimlerini öğrendik. Şimdi
önemli bir konu olan ağda loop engellemek için gerektiğinde hangi portun
kapatılacağının belirlenmesine (designated port) değinelim. Designated port
seçimine de geçmeden önce bir kavramı açıklamakta yarar görürüyorum. 2
switch arasındaki yola segment adını veriyoruz. Designated port seçimi
yaparken, her segment için yalnızca bir tane designated port olacağını
unutmamalıyız. Ayrıca Root Bridge’nin tüm portları Designated Port
durumundadır ve forwarding state olmalıdır. Designated port bir switch için
birden fazla olabilir. (Root Port yalnızca 1 tane olabilir.)
Bu bilgiler ışığında artık Designated portlarımızı belirleyebiliriz.

270 TEMEL NETWORK
Şekilde en üstteki switch Root Bridge olacağından ve daha önce belirttiğim gibi
tüm portları Designated olacağıdan Segment 1 ve Segment 2 için Designated
Port’larımızı belirlemiş olduk. Bir segmentte yalnızca 1 tane Designated Port
olacagını biliyoruz.
Segment 1 ve Segment 2’ye baktığımızda Cat-B ve Cat-C için Switch’lerinin

1/1 interface’leri Root Port olmalıdır. Segment 3 için 1 tane Designated port
olmalıdır. Burada Root Port olamaz çünkü her iki switch içinde Root Port’lar
belirlendi. Bir switch üzerinde yalnızca 1 tane Root Port olacağı bilgisini
hatırlayalım. Cat-B MAC adresi, Cat-C swith’ine göre daha küçük olduğu için;
Cat-B switch’inin Gi 1/2 portu Segment 3 için Designated Port olacak ve Cat-C
switch’inin Gi 1/1 portu da Non-Designated Port durumunda olacaktır.
Spanning-Tree çalışan switch’ler de sırayla 4 farklı aşama uygulanır:
1- Blocking Mode
Switch bu mod’dayken port kapalı olarak düşünebiliriz. (Switch’de loop
engellenir.) Ancak unutmamalıyiz ki bu mod’da switch her 2 sn aralıklarla hello
paketlerini alacaktır ve eğer 20 sn hello paketi alamazsa bir sonraki mod olan
listening moduna geçecektir.
STP - PVST+ 271
2- Listening Mode
Listening modunda switch bu moddan sonraki adımlara geçip geçemeyeceğine
karar verir, learning ve forwarding mod’larına geçebilir veya Blocking duruma
geri dönebilir. Bu mod içerisinde 15 sn bulunur ve devam ederse bir sonraki
mod olan Learning moduna geçecektir.
3- Learning Mode
Learning modunda switch dinleme yapar diyebiliriz (iletişim olmaz) ve MAC
address table’sini oluşturur bu mod’da da 15 sn kaldıktan sonra Forwarding
moduna geçecektir.
4- Forwarding Mode
Forwarding mod’unda switch artık diger switch’lerle haberleşme halindedir.
(Frame alımı ve gönderimi yapılır.) Forwarding modu için söyleyeceğimiz
kritik bir not Root Bridge’nin bütün portları her zaman forwarding durumda
olacaktır, yani Root Bridge’nin hiç bir portu STP tarafından kapatılmaz.
Toplamda Spaning Tree Blocking mod’dan Forwarding mod’a kadar 50 sn süre

içerisinde çalışacaktır. Switch – Switch bağlantıları için bu süre kaçınılmazdır.
Ancak switch’in diğer portlarına bağlı bir host için hostun bu süreyi beklemesi
zorunlu değildir. Bunun için switch’lerde portfast komutu çalıştırılır. Bu komutu
global konfigürasyon mod’unda kullanabilecegimiz gibi interface altında da
kullanabiliriz. Global konfigürasyon modunda kullanılması önerilmez.
Switch(config)#interface fastethernet 0/1
Switch(config-if)#spannig-tree portfast
PVST (Per Vlan Spanning Tree)

Switch’lerde, vlan’lar kullanılması durumunda Spanning Tree nasıl çalışacak
bizim bunun için neler yapmamız gerektiğine bir göz atalım.
Network’umuz da vlan’lar olabilir ve biz her vlan için ayrı bir Root Bridge
atayabiliriz. Bu durum switch’lerde PVST (Per Vlan Spanning-Tree) olarak ifade
edilir ve global konfigürasyon modunda:
Switch(config)#spanning-tree mode pvst
komutuyla enable edilir.

Switch(config)#spanning-tree vlanid root priority
272 TEMEL NETWORK
komutu uyguladağımız switch bu vlan ID için root bridge olacaktır ve

yine yukarıda yazdığımiz her şey bu switch portları ve bu vlan için geçerli
olacaktır. Vlan bazında STP uygulamak yani PVST uygulamak bize bir switch
üzerindeki bir portun devamlı olarak block durumda olmasını engellemek
açısından faydalı olacaktır.
Ayrıca;
Switch(config)#spanning-tree vlanid root secondary
komutuyla switch belirtilen vlan, ID için backup bridge olarak çalıştırılabilir.
Şimdi PVST konusunu bir örnek ile açıklayalım:

STP - PVST+ 273
Yukarıdan başlayarak ayarları yapalım: Öncelik S1 switch’ine sen vlan1’in

paşasısın (Root Bridge) diyelim ve gerekli ayarları yapalım sonra da
kontrolümüzü yapalım, hadi bakalım:
Switch#conf t
Switch(config)#hostname S1
S1(config)#int gi 0/1
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config)#vlan 5
S1(config-vlan)#ex
S1(config)#do sh vl
VLAN Name Status Ports

---- ------------------- ---------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
5 VLAN0005 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
S1(config)#spanning-tree mode pvst

S1(config)#spanning-tree vlan 1 root primary
S1(config)#spanning-tree vlan 5 root secondary
S1#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
274 TEMEL NETWORK
Root ID Priority 24577

Address 000C.CF01.2579
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)

Aging Time 20
Interface Role Sts Cost Prio.Nbr Type

--------------- ---- --- -------- -------- -------------------------
Gi0/2 Desg FWD 4 128.26 P2p
VLAN0005

Aging Time 20

--------------- ---- --- -------- -------- ------------------------
Bu ayarlardan sonra baktık ki her iki vlan da paşalığını ilan etmiş. Diğerinin
ayarlarını yapmadığımız için böyle oldu.
STP - PVST+ 275
Şimdi ikinci switch ayarlarını da yapalım bakalım diğer vlan için de paşalığını
sürdürebilecek mi?
Switch#conf t
Switch(config)#hostname S2
S2(config-if)#sw
S2(config-if)#switchport tr
S2(config-if)#switchport trunk en
S2(config-if)#switchport trunk encapsulation d
S2(config-if)#sw
S2(config-if)#switchport mod
S2(config-if)#switchport mode tr
S2(config-if)#

changed state to up
S2(config-if)#ex
S2(config-if)#sw
S2(config-if)#switchport mod
S2(config-if)#switchport tr
S2(config-if)#switchport trunk en
S2(config-if)#switchport trunk encapsulation d
S2(config-if)#sw
S2(config-if)#switchport mo
S2(config-if)#switchport mode tr
S2(config-if)#
276 TEMEL NETWORK

changed state to up
ex
S2(config)#sp
S2(config)#spanning-tree mo
S2(config)#spanning-tree mode pv
S2(config)#spanning-tree mode pvst
S2(config)#sp
S2(config)#spanning-tree ?
mode Spanning tree operating mode
portfast Spanning tree portfast options
vlan VLAN Switch Spanning Tree
S2(config)#spanning-tree vlan 5 ?
priority Set the bridge priority for the spanning tree
root Configure switch as root
<cr>
S2(config)#spanning-tree vlan 5 roo
S2(config)#spanning-tree vlan 5 root ?
primary Configure this switch as primary root for this spanning
tree
secondary Configure switch as secondary root
S2(config)#spanning-tree vlan 5 root pr
S2(config)#spanning-tree vlan 5 root primary
S2(config)#sp
S2(config)#spanning-tree vlan 1 ro
S2(config)#spanning-tree vlan 1 root sec
S2(config)#spanning-tree vlan 1 root secondary
S2(config)#ex
S2#
S2#sh sp
S2#sh spanning-tree
VLAN0001
Cost 8
Port 26(GigabitEthernet0/2)
STP - PVST+ 277

Address 0001.42A7.4C3C
Aging Time 20

--------------- ---- --- -------- -------- -------------------------
Gi0/1 Altn BLK 19 128.25 P2p
Gi0/2 Root FWD 4 128.26 P2p
S2#conf t
S2(config)#vlan 5
S2(config-vlan)#ex
S2(config)#end
S2#
S2#
S2#
S2#sh sp
S2#sh spanning-tree
VLAN0001
Cost 8
Port 26(GigabitEthernet0/2)

Aging Time 20

--------------- ---- --- -------- -------- -------------------------
Gi0/1 Altn BLK 19 128.25 P2p
Gi0/2 Root FWD 4 128.26 P2p
278 TEMEL NETWORK
VLAN0005

Aging Time 20

--------------- ---- --- -------- -------- -------------------------
Gi0/1 Desg LSN 19 128.25 P2p
Gi0/2 Desg LSN 4 128.26 P2p
STP - PVST+ 279
Güncel CCNA Sınav

Sorularından Örnekler
Based on the information given, which switch will be elected root bridge and
why?
A. Switch A, because it has the lowest MAC address
B. Switch A, because it is the most centrally located switch
C. Switch B, because it has the highest MAC address
D. Switch C, because it is the most centrally located switch
E. Switch C, because it has the lowest priority
F. Switch D, because it has the highest priority
CEVAP : E
2. Three switches are connected to one another via trunk ports. Assuming the
default switch configuration, which switch is elected as the root bridge for the
spanning-tree instance of VLAN 1?
A. the switch with the highest MAC address
B. the switch with the lowest MAC address
C. the switch with the highest IP address
D. the switch with the lowest IP address
CEVAP : B
280 TEMEL NETWORK
3. Which option describes how a switch in rapid PVST+ mode responds to a

topology change?
A. It immediately deletes dynamic MAC addresses that were learned by all
ports on the switch.
B. It sets a timer to delete all MAC addresses that were learned dynamically by
ports in the same STP instance.
C. It sets a timer to delete dynamic MAC addresses that were learned by all
ports on the switch.
D. It immediately deletes all MAC addresses that were learned dynamically by
ports in the same STP instance.
CEVAP : D
4. Which IEEE standard does PVST+ use to tunnel information?

A. 802.1x
B. 802 1q
C. 802.1w
D. 802.1s
CEVAP : B
5. Which port state is introduced by Rapid-PVST?

A. learning
B. listening
C. discarding
D. Forwarding
CEVAP : C
6. Which command enables RSTP on a switch?

A. spanning-tree uplinkfast
B. spanning-tree mode rapid-pvst
C. spanning-tree backbonefast
D. spanning-tree mode mst
CEVAP : B
STP - PVST+ 281
7. What is one beneft of PVST+?

A. PVST+ supports Layer 3 load balancing without loops.
B. PVST+ reduces the CPU cycles for all the switches in the network.
C. PVST+ allows the root switch location to be optmiied per VLAN.
D. PVST+ automatically selects the root bridge location, to provide optmizied
bandwidth usage.
CEVAP : C
8. Which two of these statements regarding RSTP are correct? (Choose two.)
A. RSTP cannot operate with PVST+.
B. RSTP Defines new port roles.
C. RSTP Defines no new port states.
D. RSTP is a proprietary implementation of IEEE 802.1D STP.
E. RSTP is compatble with the original IEEE 802.1D STP.
CEVAP : B,E
9. Which two switch states are valid for 802.1w? (Choose two.)
A. listening
B. backup
C. disabled
D. learning
E. Discarding
CEVAP : D,E
10.Which protocol is a Cisco proprietary implementation of STP?

A. CST
B. RSTP
C. MSTP
D. PVST+
CEVAP : D
282 TEMEL NETWORK
11. Which of the port is not part of STP protocol.?

A. Listening
B. Learning
C. Forwarding
D. Discarding
CEVAP : D
12.In which STP state does MAC address learning take place on a PortFast-enabled
port?
A. learning
B. listening
C. discarding
D. Forwarding
CEVAP : A
13.Which two protocols are used by bridges and/or swithes to prevent loops in a
layer 2 network? (Choose two.)
A. 802.1d
B. VTP
C. 802.1q
D. STP
E. SAP
CEVAP : A,D
14. Which switch would STP choose to become the root bridge in the selection
process?
A. 32768h 11-22-33-44-55-66
B. 32768h 22-33-44-55-66-77
C. 32769h 11-22-33-44-55-65
D. 32769h 22-33-44-55-66-78
CEVAP : A
STP - PVST+ 283
15. Refer to the topology shown in the exhibit.
Which three ports will be STP designated ports if all the links are operatng at
the same bandwidth? (Choose three.)
A. Switch A - Fa0/0
B. Switch A - Fa0/1
C. Switch B - Fa0/0
D. Switch B - Fa0/1
E. Switch C - Fa0/0
F. Switch C - Fa0/1
CEVAP : B,C,D
284 TEMEL NETWORK
285
ACL (ACCESS
CONTROL LIST)
12
Access List’ler router üzerinden geçen trafiğin port bazlı kontrol edilmesini
sağlar. Bu koruma günümüzdeki şirketlerin kullandığı UTM, firewall’lar gibi üst
düzey bir kontrol (deep packet inspection) sağlayamaz. Bunun yanında ACL
işlemi router’i ciddi yoran bir işlemdir. Çünkü artık router gelen her paketin
ACL kurallarına uygun olup olmadığını kontrol de etmeye başlar. ACL’ler router
üzerinden iç ağ, dış ağ ve DMZ alanlarından gelen paketleri engelleyen veya
izin veren listelerdir.
internal: İç ağ.
external: Dış ağ. (Genelde internete doğru olan bağlantı.)
DMZ (Demilitarized Zone): İç ağda bulunan; dış ağdan ve iç ağdan buraya

gelişleri kontrol etmek amaçlı hizmet veren ağ türüdür. Bu bölge genellikle IIS,
DNS, mail server gibi sunucuların bulundurulduğu bölgedir.
286 TEMEL NETWORK
Router’e gelen pakete port’ta ACL uygulanma şeması:
Access List Türleri

Standard Accesslist
Extended Accesslist
Named Accesslist
Named Standard
Named Extended
Herhangi bir izin listesi için kullanılan mantık aşağıdaki şekilde

özetlenebilir:
Adım 1: İlk izin listesi ifadesindeki eşleme parametreleri, gelen paket ile
karşılaştırılır.
Adım 2: Eşleme olursa, izin listesi ifadesinde belirtilen eylem (permit ya

da deny) gerçekleştirilir.
Adım 3: İkinci adımda eşleme olmazsa, bir ve ikinci adımlar bir sonraki izin
listesi ifadesi için tekrarlanır.
ACL (ACCESS CONTROL LIST) 287
Adım 4 İzin listesi içindeki hiçbir ifade ile eşleme olmazsa, deny (engelleme)
eylemi gerçekleştirilir.
Aşağıda Access listelerinin önemli özellikleri listelenmiştir:
Paketler yönlendirme kararı verilmeden önce, porta girer girmez filtrelenebilir.
Paketler yönlendirme kararı verildikten sonra, porttan çıkmadan önce

filtrelenebilir.
Deny (engelleme) terimi, Cisco IOS yazılımında, paketin geçişinin

engelleneceğini belirtmek için kullanılır.
Permit (izin ver) terimi Cisco IOS yazılımında, paketin geçişine izin verileceğini
belirtmek için kullanılır.
Her ACL listesinin sonunda gizli bir “deny all traffic” yani “tüm trafiği
engelle” ifadesi bulunur. Bundan dolayı bir paket izin listenizdeki yazılan
kurallar ile eşleşmezse, bloklanır.
Cisco’nun uzun bir süre sonunda geliştirdiği üç stratejiyi aşağıdaki şekilde

özetlemek mümkündür:
İzin listelerini, paketin kaynağına mümkün olduğunca yakın yerleştirin.
Performansı arttırmak için, sıklıkla eşlenen ifadeleri izin listesinin en üstlerine

yerleştirmeye çalışın.
Hedefleri gerçekleştirirken, nelere izin verilmeyeceğini değiştirmeyin.
Standard Access List

Paketlerin yalnızca kaynak kısmına bakarak engelleme veya izin işlemlerini
yapan listelerdir. Bu uygulamada hedefe göre engelleme yapılamaz.
1) Erişim kuralı tanımlanır.

router(config)#access list [ACL NO(1-99)] [permit/deny] [kaynak ip]
[kaynak wildcard]
288 TEMEL NETWORK
2) Erişim kuralı atanır.

router(config)#interface [s0/s1/fa0]
router(config-if)#ip access-group [ACL NO] [in/out]
Erişim kuralı paketin yönüne göre inbound veya outbound olarak tanımlanır.
Genelde paketin gidiş yönünde engellenmesi için in kulllanılır.
Engellenen ve izin verilen kurallardan geçen paket sayılarını görmek için:

router#show ip access-list
Uygulama
1. Bağlantı sağlanıp ping ile kontrol edilecek.
2. r1 üzerinden tanımlanan erişim listesiyle r2, r1’e erişemeyecek.
1. Adım:
Router>enable
Router#configure terminal

Router(config)#host r1
r1(config)#interface serial 0/0
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config-if)#clock rate 128000 (DCE interface olduğundan)
%LINK-5-CHANGED: Interface Serial0/0, changed state to down
r1(config-if)#exit
r1(config)#
----------R2------------
Router>enable
Router#configure terminal
Router(config)#hostname r2
r2(config)#interface serial0/0
r2(config-if)#ip address 192.168.1.2 255.255.255.0

r2(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0, changed state to up
r2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed
state to up
r2(config-if)#exit
r2(config)
2. Adım:
R1(config)#access-list 50 deny 192.168.1.2 0.0.0.255
İşlemi ile 192.168.1.0 network’unu engelleyen erişim listesi yazıldı.

İşlemi ile yalnızca 192.168.1.2 IP adresini engelleyen erişim listesi yazıldı.

R1(config)#access-list 50 deny host 192.168.1.2 0.0.0.0
İfadesinde (0.0.0.0) wildcard yerine “host” yazılabilir.

R1(config)#access-list 50 deny host 192.168.1.2
R1(config)#interface serial 0/0
R1(config-if)#ip access-group 50 in
Komutu ile ACL port’a uygulanır.
R2’den, R1’e ping atıldıktan sonra:

r1#show ip access-lists
Standard IP access list 50
deny 192.168.1.0 0.0.0.255 (5 match(es))
5 adet paket için erişim listesinde eşleşme olduğu görülür.
NOT ACL kurallarının uygulamasında kural yazılarak izin verilmeyen, yazmayı unuttuğumuz
tüm trafik engellenir. Bu yüzden öncelikle yasaklamalar yapılıp, sonrasında permit ile
geri kalan trafiğe izin verilmesi anlamlı olur.
Aynı uygulamada diger paketlere izin vermek için sırasıyla:

290 TEMEL NETWORK
R1(config)#access-list 50 permit any (diğer IP lere izin vermiş olduk)

R1(config)#int s0/0
Örnek 2:
R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 12 permit any
R1(config)#int s0/0
İşlemi sonucunda 192.168.1.0 network’u yasaklanmıştır.
Bunun dışındaki IP adresleri izinlidir.
EXTENDED ACCESS LIST (100 - 199)

Kaynak ve hedef adreslerin tanımlandığı gelişmiş erişim listeleridir. Kaynak ve
hedef ağlar için Protokol, Port, IP tanımlamaları yapılabilir.
Kullanımı:
access-list [100-199] [permit/deny] [protocol] [kaynak] [hedef]
[port]
Örnek 1:
access-list 105 permit ip any 192.168.1.5 0.0.0.0
Herhangi bir yerden 192.168.1.5 IP adresine yapılan bağlantılara izin verir.
Örnek 2:
access-list 107 deny tcp host 172.16.1.55 host 192.168.1.1 eq 80
172.16.1.55 adresinden 192.168.1.1’in 80 no’lu portuna yapılan istekleri

engeller.
eq: (equal) Eşittir.
lt: (less than): Küçüktür.
gt: (greater than): Büyüktür.
neq: (not equal): Eşit degil.
range: Aralık belirtir.
Örnek 3:
Default portların dışındaki portların erişimini kapatmak için (Tüm IP

adreslerinden 15.0.0.1’e):
default ports (1-1024)

access-list 103 deny tcp any 15.0.0.1 0.0.0.0 gt 1024
access-list 103 deny udp any 15.0.0.1 0.0.0.0 gt 1024
accces-list 103 permit tcp any any
accces-list 103 permit udp any any
Örnek 4:
http, ftp, telnet, pop3, smtp, https, dns protokollerini 172.16.1.15 için açın.
Diğer portlar kapatılacak.
access-list 103 permit tcp any host 172.16.1.15 eq 80

access-list 103 permit udp any host 172.16.1.15 eq 53
(En alttaki gizli yasakdan dolayı izin vermediğimiz tüm portlar engellenmiştir.)
Named Access Lıst

Kullanımda access-list yada access-group komutlarından önce IP yazılır ve
ACL’ler için numara değil isim kullanılır.
Yalnızca log tutmak için bir ACL yazalım:

Router1#configure terminal
Router1(config)#ip access-list standard izinver
Router1(config-std-nacl)#remark Bu bir standard ACL
Router1(config-std-nacl)#permit any log
Router1(config-std-nacl)#exit
292 TEMEL NETWORK
Http paketlerini engelleyen, diğer portlara izin veren ACL:

Router1(config)#ip access-list extended webyasak
Router1(config-ext-nacl)#remark Bu bir extended ACL
Router1(config-ext-nacl)#deny tcp any any eq www
Router1(config-ext-nacl)#permit ip any any log
Router1(config-ext-nacl)#exit
Router1(config)#interface Serial0/1
Router1(config-if)#ip access-group izinver in
Router1(config-if)#end
Router1#
Port Yapılandırma Örnekleri

Router(config)#access-list 101 remark - Telnet erisimini sadece
Admin yapar
Router(config)#access-list 101 permit tcp host 192.168.2.2 any eq
telnet
Router(config)#access-list 101 deny ip any any log
Router(config)#line vty 0 15
Router(config-line)#access-class 101 in
Router(config-line)#transport input telnet
Router(config-line)#exit
Router(config)#
Açıklaması: Yalnızca admin IP ‘sinin telnet yapabilmesi için ACL.

-------------------------------------------------------------------
Router1(config)#access-list 152 permit tcp any any eq ftp
Router1(config)#access-list 152 permit tcp any any eq ftp-data
established
Router1(config)#interface FastEthernet0/0
Router1(config-if)#ip access-group 152 in
Router1(config-if)#end
Router1#
Açıklaması: ftp bağlantısı ve ftp veri iletişimi için izinlerin atanması.

-------------------------------------------------------------------
Router1(config)#access-list 154 permit udp any any range 8000 9000
Açıklaması: udp 8000 - 9000 arasındaki portlara izinlerinin verilmesi.

-------------------------------------------------------------------
Router1(config)#access-list 155 deny udp any any gt 1023
Açıklaması: 1023‘den büyük UDP portlarının erişiminin kısıtlanması.

-------------------------------------------------------------------
Router1(config)#access-list 156 permit udp any any lt 1024
Açıklaması: 1024’den küçük UDP portlarının erişiminin açılması.

-------------------------------------------------------------------
Router1(config)#access-list 157 permit udp any any neq 666
Açıklaması: 666 haricindeki tüm portların erişiminin açılması.

-------------------------------------------------------------------
Router1(config)#access-list 121 permit tcp any any eq telnet syn log
Router1(config)#access-list 121 permit tcp any any eq telnet
Router1(config)#access-list 121 permit ip any any
Router1(config)#end
Router1#
Açıklaması: Yapılan tüm telnet bağlantı isteklerini loglar ve telnet’e izin verir.
ACL Kullanımında
Önemli Uyarılar
Tüm ACL çeşitlerinde vlan’ların, router’de sub-interface olarak sonlanması
halinde ACL’ler bu sub interface’lerin içinde tanımlanmalıdır. Unutmayın;
trafiği, o trafiğin geçtiği interface’de kontrol edebilirsiniz.
Ağınızda ACL uygulanan bir router arkasında DHCP sunucu var ise
uyguladığınız tüm ACL kurallarının en başına DHCP paketlerine izin vermek
için şu kuralı ekleyin:
permit udp any eq bootpc any eq bootps
Standard ya da extended ACL’ler ile named ACL arasındaki temel farklar

şunlardır:
Named ACL’lerin verdiğimiz adlarından dolayı hatırlanması kolay olduğundan

sayı kullanılarak uygulanan ACL’lerden daha kullanışlıdır.
294 TEMEL NETWORK
Farklı named ACL’lerin aynı router’de kullanım kısıtı yoktur. Numaralandırılmış

ACL’lerde ise listelerinin kısıtlamalarından olan 99’dan fazla standart ACL ve
100’den fazla extended ACL oluşturulamaması sorunu vardır.
Named ACL’de ACL listesindeki bir kuralın silinmesi, değiştirilmesi ve araya

kural girilmesi kolaydır. Numaralandırılmış ACL’ler sadece tüm listenin
silinmesine izin verir.
Aynı router üzerinde kullanılan Named ACL isimleri benzersiz olmalıdır. Farklı
router’lerde aynı isimler kullanılabilir.
no access-list 102: 102 numaralı extended ACL’i kaldırır.
no ip access-group 102: Belirlenen interfaceden 102 numaralı ACL’i kaldırır.
show ip access-lists: Tüm ACL‘leri görüntüler.
show ip interfaces e0: e0 interface’sindeki ACL’leri görüntüler.
Acl Uygulama
İstenilenlere göre
ACL’leri Tanımlayalım
ip access-list extended PERSONEL
permit tcp any host 192.168.0.2 eq www (web sunucuya herkes erişsin)
permit udp any host 192.168.0.2 eq domain (dns sunucuya herkes
erişsin)
permit ip any host 192.168.0.3 (DHCP bilgisayarına herkes erişsin)
deny ip any host 192.168.0.4 (TFTP ye kimse erişemesin. Admin kuralı
üstte olduğundan o erişiyor merak etmeyin)
permit icmp any any (Herkese ping izni)
permit ip any any (geri kalan paketlere izin verelim, dhcp de dahil)
ip access-list extended MISAFIR
permit ip any host 192.168.0.3 (DHCP bilgisayarına herkes erişsin)
permit udp any host 192.168.0.2 eq domain (dns sunucuya herkes
erişsin)
deny ip any host 192.168.0.4 (TFTP ye kimse erişemesin.)
deny ip any host 192.168.0.2 (Localdeki WEB sunucuya erişemesinler)
permit ip any host 172.16.16.2 (Ağ geçidine internet erişimi için
izin)
permit tcp any host 0.0.0.0 eq www (http bağlantılarına izin)
permit tcp any host 0.0.0.0 eq 443 (https bağlantılarına izin)
permit udp any eq bootpc any eq bootps (dhcp den IP alabilmeleri
için izin)
Şimdi de Vlan’lar ile gelen bu network’ları sonlandırdığımız router’deki sub-

interface’lerde tanımlamalar yapalım , dikkat ederseniz admin’lerin bulunduğu
vlan10 interface’sinde ACL uygulamıyoruz çünkü onlara yasak yok:
interface GigabitEthernet0/1.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.0.3 (otomatik IP alımı için dhcp adresi)
!
ip address 192.168.20.1 255.255.255.0
ip helper-address 192.168.0.3
ip access-group PERSONEL in
!
ip address 192.168.30.1 255.255.255.0
ip helper-address 192.168.0.3
ip access-group MISAFIR in
296 TEMEL NETWORK
Güncel CCNA
1. On which options are standard access lists based?
A. destination address and wildcard mask
B. destination address and subnet mask
C. source address and subnet mask
D. source address and wildcard mask
CEVAP : D
Statements A, B, C, and D of ACL 10 have been entered in the shown order

and applied to interface E0 inbound, to prevent all hosts (except those whose
addresses are the first and last IP of subnet 172.21.1.128/28) from accessing
the network. But as is, the ACL does not restrict anyone from the network. How
can the ACL statements be re-arranged so that the system works as intended?
A. ACDB
B. BADC
C. DBAC
D. CDBA
CEVAP : D
An atempt to deny web access to a subnet blocks all traffic from the subnet.
Which interface command immediately removes the effect of ACL 102?
A. no ip access-class 102 in
B. no ip access-class 102 out
C. no ip access-group 102 in
D. no ip access-group 102 out
E. no ip access-list 102 in
CEVAP : D
4. When you are troubleshooting an ACL issue on a router, which command

would you use to verify which interfaces are afected by the ACL?
A. show ip access-lists
B. show access-lists
C. show interface
D. show ip interface
E. list ip interface
CEVAP : D
298 TEMEL NETWORK
5. Which item represents the standard IP ACL?

A. access-list 110 permit ip any any
B. access-list 50 deny 192.168.1.1 0.0.0.255
C. access list 101 deny tcp any host 192.168.1.1
D. access-list 2500 deny tcp any host 192.168.1.1 eq 22
CEVAP : B
6. A network administrator is configuring ACLs on a Cisco router, to allow traffic

from hosts on networks 192.168.146.0, 192.168.147.0, 192.168.148.0, and
192.168.149.0 only. Which two ACL statements, when combined, would you
use to accomplish this task? (Choose two.)
A. access-list 10 permit ip 192.168.146.0 0.0.1.255
B. access-list 10 permit ip 192.168.147.0 0.0.255.255
C. access-list 10 permit ip 192.168.148.0 0.0.1.255
D. access-list 10 permit ip 192.168.149.0 0.0.255.255
E. access-list 10 permit ip 192.168.146.0 0.0.0.255
F. access-list 10 permit ip 192.168.146.0 255.255.255.0
CEVAP : A,C
7. Which statement about named ACLs is true?

A. They support standard and extended ACLs.
B. They are used to filter usernames and passwords for Telnet and SSH.
C. They are used to filter Layer 7 traffic.
D. They support standard ACLs only.
E. They are used to rate limit traffic destned to targeted networks.
CEVAP : A
8. Which identificaton number is valid for an extended ACL?

A. 1
B. 64
C. 99
D. 100
E. 299
F. 1099
CEVAP : D
9. While troubleshooting a connection problem on a computer, you determined

that the computer can ping a specific web server but it cannot connect to TCP
port 80 on that server. Which reason for the problem is most likely true?
A. A VLAN number is incorrect.
B. A Route is missing
C. An ARP table entry is missing.
D. An ACL is blocking the TCP port.
CEVAP : D
300 TEMEL NETWORK
301
NAT (NETWORK
ADDRESS 13
TRANSLATION)
NAT bir network içerisinde kullanılan bir IP adresinin başka bir network
içerisinde bilinen başka bir IP adresine çevirilmesidir.
İlk konularda da anlattığım üzere local network’te ve internette kullanılabilecek

IP ler önceden belirlenmiştir. Her ağın, kullanıcının internete erişmesi için
local ağımızdaki IP ler dışında, internet servis sağlayıcımızın bizlere verdiği
public bir IP ye ihtiyacımız vardır. Çünkü ağımızda kullandığımız IP adresleri
internet router’larında yönlendirilmezler. Dolayısıyla internete erişmek için
ağımızda kullandığımız IP adresini internete erişeceğimiz zaman değiştirmeye
ihtiyacımız doğar. İşte bu işlemi router’lar NAT ile yaparlar. Router’lar NAT
yaparken IP değiştirerek gönderdikleri paketlerin cevabı geldiğinde iç
networkteki hangi host bu erişimi talep etmişti karmaşıklığını engellemek için
de bir takip numarası kullanır.
302 TEMEL NETWORK
Simple NAT
En çok kullanılan NAT türüdür. Local’deki IP lerin router’ın dış interface’indeki IP
ile değiştirilerek çıkışlarını sağlar. Bir örnek uygulama ile uygulanışını görelim:
Buradaki topolojide kullanıcılar 192.168.1.0 networkündeler ve sunucu

networküne gidişlerinde soldaki router’ın serial interface’inde nat yapmak
isteyelim. Buradaki örnekte sunuculara doğru giderken yaptığımız bu nat
gerçek hayatta uygulanmaz. Çünkü nat genelde internete erişimlerde kullanılır.
İç networkte sunuculara giderken ya da vlanlar arası trafikte ya da internetten
içeri doğru olan trafikte nat yapılması kesinlikle tavsiye edilmez. Bunun sebebi
erişimleri engellemesi değil, log’lamanın sağlıklı yapılamaması ve dns gibi
birçok servisinde natlanmamış, orjinal kullanıcının IP sine ihtiyaç duymasıdır.
Bu açıklamalardan sonra biz topolojimizde nat ayarlarını yapalım.
Soldaki Router da:
(Tüm nat çeşitlerinde ilk adım iç ve dış interface’lerin belirlenmesidir. İç, lokal
interface’ler değişecek IP lerin geldiği yönü, dış interface ise natlanacak,
natlamada kullanılacak dış IP yi göstermesi için belirlenir)
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface Serial0/3/0
ip address 192.168.1.1 255.255.255.0
ip nat outside
NAT (NETWORK ADDRESS TRANSLATION) 303
(iç ağımızda hangi networklerin natlanacağını belirtmek için ACL yazılır.)

ip access-list standard icnetwork
permit 192.168.0.0 0.0.0.255
(son olarak nat kuralı yazılır )

ip nat inside source list icnetwork interface Serial0/3/0 overload
Şimdi soldaki bir client’dan sağdaki sunucuya doğru -t li bir ping başlatıp, nat
tablosuna bir bakalım. Router da o andaki NAT işlemlerini:
router# sh ip nat translation
Komutuyla görebiliriz.
Bu tabloda:
Inside local address: Local ağımızdaki cihaza atanmış Private IP adresimiz.
Inside global address: Local ağımızdaki Private IP ye sahip cihazı internete

eriştirebilmek için NAT işlemi yaptığı Public IP adresi.
Outside local address: Bu adres aslında dış ağdaki ulaştığımız hedef cihaza ait.
Fakat içerdeymiş gibi görünüyor.
Outside global address: Dış ağda (WAN) erişmek istediğimiz cihazın Public IP
adresi.
304 TEMEL NETWORK
Static (one to one) NAT

Static ya da diğer adıyla one to one nat genelde sunuculara uygulanan ve net
olarak şu IP li sunucu şu public IP’yi larak internete çıksın şeklinde uygulanan
nat türüdür. Bir örnekle açılayalım:
Aşağıdaki topolojideki gibi 3 adet sunucumuz olsun.
Local IP adresleri (Private IP addresses);

PC1: 192.168.1.2/24
PC2: 192.168.1.3/24
PC3: 192.168.1.4/24
GW: 192.168.1.1/24 (router local interface IP)
Routerımızın internal IP sini ayarlayalım.

router#conf t
router(config)#interface gi 0/1
router(config-if)#description LOCAL_GW
router(config-if)#ip address 191.168.1.1 255.255.255.0
Static NAT konfigürasyonuna başlayabiliriz. ISP’miz tarafından bize

yönlendirilen 3 adet sabit IP’miz olduğunu varsayıyoruz ve bunları
sunucularımıza nat IP si olarak atıyoruz:
router#conf t
router(config)#ip nat inside source static192.168.1.2 193.254.258.30
Şimdi de iç ve dış interface’leri belirleyip, nat yönünü tanımlamış olalım:

router(config)#ip nat inside
router(config)#interface serial 0/3/0
router(config)#ip nat outside
Böylece sunucuların dış dünyaya kendilerine atanan Public IP ile çıkmalarını

sağladık. Şimdi olmuş mu bakalım:
router#show ip nat translation
Çıktıyı inceleyelim:
Pro Inside global Inside local Outside local Outside global
193.254.258.30 192.168.1.2 --- ---
193.254.258.31 192.168.1.3 --- ---
193.254.258.32 192.168.1.4 --- ---
Aynı topolojide Dynamic NAT yapacak olursak; ISP’nin bize belirli bir aralıkta
IP adresi verdiğini düşünelim ve public IP’lerimizin rastgele bir IP ile internete
erişmesi istensin. 193.254.258.0/24 IP bloğu bize atanmış olsun ve lokal PC
sayısını 100 olsun. Static IP ile tek tek NAT yapmak çok uğraştıracağından bu
bir IP havuzundan rastgele IP ler ile NAT metodunu kullanabiliriz.
Havuzum isminde bir IP havuzu oluşturalım ve bize atanan IP’leri tanımlayalım:

router(config)#ip nat pool havuzum 193.254.258.1 193.254.258.254
netmask 255.255.255.0
306 TEMEL NETWORK
Lokal IP’lerimizden hangi PC’lerin bu havuzu kullanarak natlanacağını bir

access-list ile belirtelim:
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Şimdi de nat kuralımızı yazalım:

router(config)#ip nat inside source list 1 pool MYPOOL overload
Son olarak nat’lamanın yönünü tayin için iç ve dış interface’leri belirleyelim:

router(config-if)#ip nat inside
router(config-if)#interface serial 0/3/0
router(config-if)#ip nat outside
100 kullanıcımız olduğuna göre en az 100 public IP’lik bir havuzumuzun

olduğuna dikkatinizi çekiyorum. Burada kullanılmayan ya da kullanıcının
erişimi kesildiğinde o public IP’nin boşta kalması için time out süresini de
ayarlayalım:
router(config)#ip nat translation timeout 7200
Nat işleminin detayını incelemek için:

SinanRouteR# debug ip nat
Güncel CCNA
1. What are two benefits of using NAT? (Choose two.)
A. NAT facilitates end-to-end communicaton when IPsec is enabled.
B. NAT eliminates the need to re-address all hosts that require external access.
C. NAT conserves addresses through host MAC-level multiplexing.
D. Dynamic NAT facilitates connections from the outside of the network.
E. NAT accelerates the routing process because no modifcations are made on
the packets.
F. NAT protects network security because private networks are not advertised.
CEVAP : B,F
2. Which technology allows a large number of private IP addresses to be

represented by a smaller number of public IP addresses?
A. NAT
B. NTP
C. RFC 1631
D. RFC 1918
CEVAP : A
3. What is the effect of the overload keyword in a static NAT translation

configuration?
A. It enables port address translation.
B. It enables the use of a secondary pool of IP addresses when the first pool is
depleted.
C. It enables the inside interface to receive traffic.
D. It enables the outside interface to forward traffic.
CEVAP : A
308 TEMEL NETWORK
4. Which two types of NAT addresses are used in a Cisco NAT device? (Choose
two.)
A. inside local
B. inside global
C. inside private
D. outside private
E. external global
F. external local
CEVAP : A,B
5. What is the danger of the permit any entry in a NAT access list?
A. It can lead to overloaded resources on the router.
B. It can cause too many addresses to be assigned to the same interface.
C. It can disable the overload command.
D. It prevents the correct translation of IP addresses on the inside network.
CEVAP : A
6. Which type of address is the public IP address of a NAT device

A. outside global
B. outside local
C. inside global
D. inside local
E. outside public
F. inside public
CEVAP : C
7. Which command can you enter to display the hits counter for NAT traffic?
A. show ip nat statistics
B. debug ip nat
C. show ip debug nat
D. clear ip nat statistics
CEVAP : A
8. Which NAT function can map multiple inside addresses to a single outside
address?
A. PAT
B. SFTP
C. RARP
D. ARP
E. TFTP
CEVAP : A
9. What is the first step in the NAT configuration process?

A. Define inside and outside interfaces.
B. Define public and private IP addresses.
C. Define IP address pools.
D. Define global and local interfaces.
CEVAP: A
310 TEMEL NETWORK
311
FRAME RELAY 14
Frame relay, günümüzde çok uygulanmayan bir noktadan noktaya bağlantı

türüdür. Bir örnekle komutlarını görelim:
Soldaki router’de:
int se 0/3/0
encapsulation frame-relay (encapsulation metodu olarak frame-relay
seçildi)
frame-relay interface-dlci 102 (DLCI numarası giriliyor. Bunu ISP
ler verir)
312 TEMEL NETWORK
frame-relay lmi-type cisco (Cisco cihazlarda frame-relay

yapacağımızdan )
ip add 172.16.16.1 255.255.255.0 (artık interface›e IP verebiliriz)
no sh
int gi 0/0 (Lan interface’e de IP verelim)
ip add 192.168.1.1 255.255.255.0
no sh
router rip (2 router olduğundan dynamic routing tanımlayalım)
version 2
network 192.168.1.0
network 172.16.16.0
Sağdaki router’de:
int se 0/3/0
encapsulation frame-relay
frame-relay interface-dlci 103
frame-relay lmi-type cisco
ip add 172.16.16.2 255.255.255.0
no sh
int gi 0/0
ip add 192.168.3.1 255.255.255.0
no sh
router rip
version 2
network 192.168.3.0
network 172.16.16.0
FRAME RELAY 313
Ortadaki (Buradaki ayarı normalde ISP yapar.) Bulut’ta:
Önce serial 0 tarafını ayarlayalım:
Sonra serial 1 tarafını ayarlayalım:

314 TEMEL NETWORK
Şimdi de Frame-Relay ayarlarını yapalım:
Bu ayarlardan sonra her iki router arkasındaki network’ların da birbirine

erişebildiğini gözlemleyebilirsiniz.
FRAME RELAY 315
Güncel CCNA
Which WAN protocol is being used?

A. ATM
B. HDLC
C. Frame Relay
D. PPP
CEVAP : C
2. Drag the Frame Relay acronym on the lef to match its defniton on the right.
(Not all acronyms are used.)
316 TEMEL NETWORK
CEVAP :
In the Frame Relay network, which IP addresses would be assigned to the

interfaces with point-to-point PVCs?
A. DLCI 16: 192.168.10.1 /24
DLCI 17: 192.168.10.1 /24
DLCI 99: 192.168.10.2 /24
DLCI 28: 192.168.10.3 /24
B. DLCI 16: 192.168.10.1 /24
DLCI 17: 192.168.11.1 /24
DLCI 99: 192.168.12.1 /24
DLCI 28: 192.168.13.1 /24
C. DLCI 16: 192.168.10.1 /24
DLCI 17: 192.168.11.1 /24
DLCI 99: 192.168.10.2 /24
DLCI 28: 192.168.11.2 /24
FRAME RELAY 317
D. DLCI 16: 192.168.10.1 /24

DLCI 17: 192.168.10.2 /24
DLCI 99: 192.168.10.3 /24
DLCI 28: 192.168.10.4 /24
CEVAP : C
4. The command frame-relay map ip 10.121.16.8 102 broadcast was entered

on the router. Which of the following statements is true concerning this
command?
A. This command should be executed from the global configuration mode.
B. The IP address 10.121.16.8 is the local router port used to forward data.
C. 102 is the remote DLCI that will receive the information.
D. This command is required for all Frame Relay configurations.
E. The broadcast option allows packets, such as RIP updates, to be forwarded
across the PVC.
CEVAP : E
5. Which Encapsulation type is a Frame Relay Encapsulation type that is

supported by Cisco routers?
A. IETF
B. ANSI Annex D
C. Q9333-A Annex A
D. HDLC
CEVAP : A
318 TEMEL NETWORK
319
IPv6 15
İnternet kullanıcılarının, IP tabanlı uygulamaların ve cihazların sayılarındaki hızlı

artış IPv4 adreslemesini yetersiz kılmıştır. IPv6, IPv4 adreslemesinin dezavantajı
olan adres sayısı darboğazını ortadan kaldırmak amacıyla geliştirilmiştir.
IPv4 adreslemesi 8’er bitlik 4 adres bloğundan meydana gelen toplam 32

bitlik X.X.X.X biçiminde bir adresleme türüdür. Bu da bize toplamda 232, yani
yaklaşık olarak 4.300.000.000 adres sağlamaktadır. Fakat bu adreslerin bir
kısmı araştırma ve farklı amaçlı kullanımlar için ayrıldığından global network’ta
kullanılabilir değildirler. Bu durum da kullanılabilir adres sayısının daha da
azalması anlamına gelmektedir. Ayrıca başlangıçta IPv4 adres dağıtımının
adil bir biçimde yapılmaması, bazı ülkelerin ve kuruluşların gereksiz sayıda
IPv4 adres uzayına sahip olmalarına ve diğerlerinin bunlardan mahrum
kalmalarına neden olmuştur. Bu sorunları aşmak için NAT (Network Address
Translation), yıllardır kullanılan bir teknik olmuştur. NAT sayesinde çok sayıda
local IP, tek bir Public IP ile internete erişebilmiştir. Fakat gelecekte bu tekniğin
de yeterli olmayacağı açık olduğundan ve ortaya çıkacak farklı ihtiyaçları
karşılamak amacıyla IPv6 adreslemesi tasarlanmıştır.
IPv6 adreslemesi 16’şar bitlik 8 adres bloğundan meydana gelen toplam 128
bitlik X:X:X:X:X:X:X:X biçiminde bir adresleme türüdür. 8 adres bloğundan
her biri 4 adet hexadecimal (4 bitlik) değerden meydana gelir. 128 bitlik IPv6
adreslemesi bize toplamda 2128, yani yaklaşık olarak 3,4 x 1038 (340 undesillion)
adres sağlamaktadır. Bu sayı da dünya da kişi başına yaklaşık olarak 5x1028
adres düştüğü anlamına gelmektedir.
320 TEMEL NETWORK
IPv6 adreslemesinin adres sayısı darboğazını çözmesinin yanında başka

avantajları da vardır. IPv6, IPv4’e göre daha basit header’e (başlık) sahiptir.
IPv6, mobil IP’ye uyumludur, IPsec güvenlik standardını barındırmasından
dolayı uçtan uca güvenlik sağlar ve IPv4 ile birlikte çalışabilmektedir.
2031:0000:130F:0000:0000:09C0:876A:130A IPv6 adresini örnek olarak

inceleyecek olursak bu adresin yapısının IPv4’e göre çok daha karmaşık olduğu
açıktır. Bu notasyonu sadeleştirmek için iki adet kural mevcuttur.
1. İlk olarak, tamamı 0’dan oluşan bloklar bir adreste bir kereye mahsus
olmak üzere :: biçiminde gösterilebilir. Eğer bir adreste birden fazla ::
notasyonu kullanılırsa :: içindeki 0 bloklarının sayısını tespit etmek mümkün
olmayacağından yanlış bir gösterim olacaktır. Bu durumda yukarıdaki adres
2031:0000:130F::09C0:876A:130A olarak sadeleştirilebilir. Bu işlem yalnızca bir
kere yapılabileceğinden 2031::130F::09C0:876A:130A notasyonu yanlıştır.
2. İkinci olarak her bloğun başında bulunan 0’lar silinebilir. Bu durumda
yukarıdaki adres en sade haliyle 2031:0:130F::9C0:876A:130A biçiminde
yazılabilir.
IPV6 321
IPv6 Adres Türleri

Unicast Adres: Sadece tek bir cihazı tanımlayan adreslerdir. Unicast
adrese gönderilmiş bir paket sadece bu adresin tanımlı olduğu cihaza
yönlendirilir. Unicast adresler, Link-local unicast adres ve global unicast
adres olmak üzere ikiye ayrılır. Link-local unicast adres, bir linke özgü olan
ve global network’ta yönlendirilebilir (routable) olmayan adreslerdir. IPv4’teki
169.254.0.0/16 uzayıyla tanımı aynıdır. Link-local adresler otomatik adres
konfigürasyonu, neighbor discovery (komşuluk keşfi) ve router discovery
(yönlendirici keşfi) için kullanılır. Her linkin en az bir tane link-local unicast
adresi vardır. Link-local adresler FE80 ile başlarlar. FE80::/10 biçiminde
gösterilebilir. İlk 10 bit sabittir. Ardından gelen 54 bit 0’lardan oluşur. Geri
kalan 64 bit ise ortasına FFEE yerleştirilmiş linkin MAC adresidir. Örneğin
linkin MAC adresi 0019.D233.ECF4 olsun. Bu durumda link-local adres
FE80::0019:D2FF:FE33:ECF4 biçiminde atanır.
Global unicast adresler ise internette yönlendirilebilir (routable) adreslerdir.
Multicast Adres: Multicast adresler birden fazla arayüzü (interface), bir grubu
tanımlayan IPv6 adreslerdir. Multicast adres tanımlı bir paket, bu adresin
tanımlı olduğu birden fazla arayüze yönlendirilir. Bir arayüz (interface) birden
fazla multicast adresine üye olabilir. Multicast adresler, FF ile başlayan 8 bit’in
ardından; 0 veya 1 değerlerinden birini alabilen 4 bit’lik flag değeri; 1,2,3,4,5,8
veya E değerlerini alabilen 4 bit’lik scope değerinden ve geri kalan 112
bit’i istendiği gibi atanabilen adres değeri biçiminde belirlenirler. Scope
değeri, interface scope için 1, link-local scope için 2, subnet-local scope (bir
subnete ait tüm linkler) için 3, admin-local scope için 4, site scope için 5,
organizasyonal scope (birden fazla site) için 8 ve global scope için E’dir.
Bu bağlamda FF02::1 adresi bir linke bağlı tüm node’leri, FF02::2 adresi bir
linke bağlı tüm router’leri, FF02::9 adresi bir linke bağlı tüm RIP router’leri,
FF02::1:FFXX:XXXX adresi IPv6 ARP mesajını, FF05::101 bir site bağlı tüm NTP
sunucularını hedef alan multicast adreslerdir.
322 TEMEL NETWORK
Anycast Adres: Anycast adreslere hedeflenmiş paketler, en yakın arayüzlere

(interface) iletilir. Anycast adreslere, en yakın interface’leri gruplayan bir çeşit
multicast adreslerdir denilebilir. WAN anlamında en yakın interface, routing
protokolünün distance ölçüsü neticesinde belirlenir. LAN anlamında en yakın
interface ise ilk öğrenilen komşuluktur.
IPv6 adresi 8 (Hextet) parçadan oluşur ve arada : (iki nokta) yer alır. Her hextet’te
0-9 arası rakamlar ve a,b,c,d,e,f harfleri olabilir. IPv6 adresinde tüm hextet’lerin
dolu olması gerekmez. Yani 2011::1 şeklinde de bir IP olabilir. Bu 2011 ile 1
arasındaki tüm hextet’ler sıfır anlamına gelir.
Kullanıdığımız IPv4 (32bit), bir de IPv6 var (128 bit)
IPv6 Adres türleri:
Address / Tür Açıklama

Unicast One to One (Global, Link local, Site local)
+ An address destined for a single interface.
Multicast One to Many
+ An address for a set of interfaces
+ Delivered to a group of interfaces identified by that address.
+ Replaces IPv4 “broadcast”
Anycast One to Nearest (Allocated from Unicast)
+ Delivered to the closest interface as determined by the IGP
A single interface may be assigned multiple IPv6 addresses of any type (unicast, anycast,
multicast)
IPV6 323
Bir CCNA sorusu:

324 TEMEL NETWORK
Pure IPv6 Uygulama
Router>en
Router#conf t
Router(config)#hostname RA
RA(config)#ipv6 unicast-routing
RA(config)#ipv6 router rip uno
RA(config-rtr)#int gi 0/0
RA(config-if)#ipv6 enable
RA(config-if)#ipv6 rip uno enable
RA(config-if)#ipv6 address 1111:1111:1111:1111::/64 eui-64
RA(config-if)#int se 0/3/0
RA(config-if)#no sh
RA(config-if)#int gi 0/0
RA(config-if)#no sh
RA(config-if)#int se 0/3/0
RA(config-if)#no sh
RA(config-if)#ipv6 enable
RA(config-if)#ipv6 rip uno enable
RA(config-if)#ipv6 address 2222:2222:2222:2222::/64 eui-64
IPV6 325
Bu router’e ulaşacak PC’lerin IPv6’larını auto config yapıyoruz.

PC>ping 1111:1111:1111:1111::
Bir interface’deki IPV6 adresini öğrenmek için:

sh ipv6 int gi 0/1
Router>en
Router#conf t
Router(config)#hostname RB
RB(config)#ipv6 unicast-routing
RB(config)#ipv6 router rip uno
RB(config-rtr)#int gi 0/0
RB(config-if)#no sh
RB(config-if)#ipv6 enable
RB(config-if)#ipv6 rip ?
RB(config-if)#ipv6 rip uno enable
RB(config-if)#ipv6 address 3333:3333:3333:3333::/64 eui-64
RB(config-if)#int se 0/3/0
RB(config-if)#no sh
RB(config-if)#clock rate 64000
RB(config-if)#no sh
RB(config-if)#int se 0/3/1
RB(config-if)#no sh
RB(config-if)#ex
Router>en
Router#conf t
Router(config)#hostname RC
RC(config)#ipv6 unicast-routing
RC(config)#ipv6 router rip uno
RC(config-rtr)#int gi 0/0
RC(config-if)#no sh
RC(config-if)#ipv6 enable
326 TEMEL NETWORK
RC(config-if)#ipv6 rip uno enable

RC(config-if)#ipv6 address 5555:5555:5555:5555::/64 eui-64
RC(config-if)#no sh
RC(config-if)#int se 0/3/0
RC(config-if)#ipv6 enable
RC(config-if)#ipv6 rip uno enable
RC(config-if)#ipv6 address 4444:4444:4444:4444::/64 eui-64
RC(config-if)#no sh
RC(config-if)#ex
RC(config)#end
Burada router’lerde sh ipv6 interface denirse router’in ürettiği IP’ler görülebilir.
Rip güncellemeleri sh IPv6 RIP Database ile görülebilir.
IPv6 Static Routing
Öncelikle soldaki router’de interface’lere IP’lerini verelim:

Router>en
Router#conf t
Router(config)#ipv6 unicast-routing
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address 2017::/64 eui-64
IPV6 327
Router(config-if)#end
Interface’lere, IP’lerini verirken EUI-64 formasyonunu kullandık. Yani 128 bit’lik

IP adresin ilk 64 bit’inin 2017 ile başlayıp gerisinin 0 olacağını, kalan 64 bit’lik
kısmın da MAC adresine FF FE eklenmesiyle elde edileceğini belirtmiş olduk.
İstersek bu kısmı direkt 2017::1/64 der EUI-64 yazmazdık.
Şimdi herşey yolunda mı bir bakalım:

Router#sh ipv6 int bri
GigabitEthernet0/0 [up/up]
FE80::240:BFF:FE55:CA01
2018::240:BFF:FE55:CA01
FE80::240:BFF:FE55:CA02
2017::240:BFF:FE55:CA02
GigabitEthernet0/2 [administratively down/down]
Vlan1 [administratively down/down]
Evet, herşey yolunda görünüyor. Interface’ler IP’lerini almışlar. Daha önce de

anlattığım gibi burada FE80 ile başlayan IP’leri aynı network’taki cihazlarla
haberleşirken kullanır.
Şimdi de sağdaki router’de interface’lere gerekli IP’leri verelim:

Router>en
Router#conf t
Router(config)#ipv6 unicast-routing
Router(config-if)#end
328 TEMEL NETWORK
Şimdi de IP’leri kontrol edelim:

Router#sh ipv6 int bri
FE80::203:E4FF:FE96:8401
2018::203:E4FF:FE96:8401
FE80::203:E4FF:FE96:8402
2019::203:E4FF:FE96:8402
GigabitEthernet0/2 [administratively down/down]
Vlan1 [administratively down/down]
Şimdi de client’ler ve sunucuya IPv6 auto config ile IP’lerini aldıralım.

IPV6 329
Şimdi de soldaki router’e IPv6 static route olarak 2019::/64 network’unu

gösterelim. IPv4’teki gibi şu network, şu IP‘nin arkasında diyeceğiz.
Router(config)#ipv6 route 2019::/64 2018::203:E4FF:FE96:8401
Şimdi de sağdaki router’e 2017::/64 network’unu öğretelim:

Router(config)#ipv6 route 2017::/64 2018::240:BFF:FE55:CA01
Bu static route’leri girerken hedef router’in, global IPv6 adresini kullandığımıza

dikkatinizi çekiyorum. FE80’li adresi kullanmadık.
Şimdi de soldaki router’de routing’leri görüntüleyelim:

Router#sh ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route, M - MIPv6
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP external
C 2017::/64 [0/0]
via GigabitEthernet0/1, directly connected
L 2017::240:BFF:FE55:CA02/128 [0/0]
via GigabitEthernet0/1, receive
C 2018::/64 [0/0]
330 TEMEL NETWORK
via GigabitEthernet0/0, directly connected

L 2018::240:BFF:FE55:CA01/128 [0/0]
via GigabitEthernet0/0, receive
S 2019::/64 [1/0]
via 2018::203:E4FF:FE96:8401
L FF00::/8 [0/0]
via Null0, receive
Şimdi de test zamanı. Önce sağdaki ping atacağımız hedef notebook’un IPv6
adresine bakalım. Bu adreste FE80’den sonrasını kopyalayarak en soldaki
notebook’un ping ekranında el ile 2019 yazıp devamına yapıştırıp ping atalım:
C:\>ping 2019::201:42FF:FE7A:BE97
Pinging 2019::201:42FF:FE7A:BE97 with 32 bytes of data:
Reply from 2019::201:42FF:FE7A:BE97: bytes=32 time<1ms TTL=126

Reply from 2019::201:42FF:FE7A:BE97: bytes=32 time=1ms TTL=126
Ping statistics for 2019::201:42FF:FE7A:BE97:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
Evet sorunsuz.
IPV6 331
IPv6 Default Route

Static route kullanımda önemli bir bölüm de internete erişim için kullandığımız
Default Route’dir. IPv6’da Default Route 3 şekilde girilebilir:
IPv6 ACL
IPv6 Access List, uygulama olarak IPv4’teki access list’lere benzer. IPv6’da
numeric olarak access list kullanımı yoktur, yalnızca named ACL kullanılır.
Kullanım mantığı aynı olmakla birlikte yalnızca komutlarda değişiklikler vardır:
ip access-group > ipv6 traffic-filter
Şimdi değişiklikleri iki örnekte görelim. Önce soldaki router’e sadece belli bir
notebook’un telnet yapabilmesi için bir kısıtlama uygulayalım.
R1 (config)# ipv6 access-list TELNET
R1 (config-ipv6-acl)#permit tcp host 2019::206:2AFF:FED6:B14D any eq
23
R1 (config-ipv6-acl)#exit
R1 (config)#line vty 0 15
R1 (config-line)#ipv6 access-class TELNET in
R1 (config-line)#exit
Şimdi de static IPv6 adresleri kullanarak bir uygulama yapalım ve burada da

IPv6 ACL’i kullanalım.
332 TEMEL NETWORK
Şekilde görülen IP’leri client, sunucu ve router’e giriyoruz. Buradaki en kritik

komut ise router’de IPv6 unicast-routing komutudur. Bu komut girilmez ise
router, routing yapamaz.
IP’leri ayarladıktan sonra önce her iki tarafın birbirine ulaşabildiklerini test
edin. Herşey yolunda ise IPv6 ACL kısıtlamalarına geçebiliriz.
Uygulamamızda 2017::2 IP’li kullanıcı sağdaki sunucuya tüm portlardan

ulaşabiliyorken, 2017::3 IP’li kullanıcı yalnızca ping atabilsin.
R2(config)#ipv6 access-list SinanHOCA
R2(config-ipv6-acl)#permit ip host 2017::2 2018::2/64
R2(config-ipv6-acl)#permit icmp host 2017::3 host 2018::2
R2(config-ipv6-acl)#exit
Şimdi de ACL’yi interface uygulayalım:

R2(config-if)#ipv6 tra
R2(config-if)#ipv6 traffic-filter SinanHOCA in
R2(config-if)#exit
IPV6 333
Kontrolleri yaptığımızda herşeyin yolunda olduğunu görürüz. ACL’lerin

hit’lerini kontrol edelim:
R2#sh ipv6 access-list
IPv6 access list SinanHOCA
permit ipv6 host 2017::2 2018::/64 (10 match(es))
permit icmp host 2017::3 host 2018::2 (4 match(es))
OSPF with IPv6 (OSPFv3)

Bu konuyu yine bir örnekle görelim. Aşağıdaki şekildeki gibi bir topolojimiz
olsun.
Öncelikle router1’in ayarlarını yapalım:

Router#conf t
R1(config-if)#no sh
R1(config-if)#ipv6 address 2015:2016:2017:10::1/64
R1(config-if)#int s 0/0/0
R1(config-if)#no sh
R1(config-if)#int s 0/0/1
R1(config-if)#no sh
334 TEMEL NETWORK
R1(config-if)#exit
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router ospf 1
R1(config-rtr)#router-id 1.1.1.1
R1(config-rtr)#int gi 0/1
R1(config-if)#ipv6 ospf 1 area 0
R1(config-if)#int se 0/0/0
R1(config-if)#
Sıra router2’de:
Router>en
Router#conf t
Router(config)#Host R2
R2(config-if)#no sh
R2(config-if)#no sh
R2(config-if)#no sh
R2(config-if)#exit
R2(config-rtr)#exit
IPV6 335
Sıra router3’te:
Router>en
Router#conf t
R3(config)#int se 0/0/1
R3(config-if)#no sh
R3(config-if)#no sh
R3(config-if)#no sh
R3(config-if)#exit
R3(config-rtr)#exit
R3(config)#
R3(config-if)#exit
R3(config)#
01:06:00: %OSPFv3-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Serial0/0/1
from LOADING to FULL, Loading Done
Evet şimdi de sıra client’lerin IP’lerine geldi. Client’lere isterseniz IPv6 auto
config ile isterseniz manuel olarak network’a uygun bir IP verdiğinizde
client’lerin birbirini pingleyebildiğini göreceksiniz.
336 TEMEL NETWORK
Kontrolümüzü de yapalım:
IPV6 337
GÜNCEL CCNA SINAV

1. Which IPv6 address is the equivalent of the IPv4 interface loopback address
127.0.0.1?
A. ::1
B. ::
C. 2000hh/3
D. 0hh/10
CEVAP : A
2. What are three features of the IPv6 protocol? (Choose three.)

A. optional IPsec
B. autoconfiguration
C. no broadcasts
D. complicated header
E. plug-and-play
F. Checksums
CEVAP : B,C,E
3. Which command enables IPv6 forwarding on a Cisco router?

A. ipv6 local
B. ipv6 host
C. ipv6 unicast-routing
D. ipv6 neighbor
CEVAP : C
338 TEMEL NETWORK
4. What is known as “one-to-nearest” addressing in IPv6?

A. global unicast
B. anycast
C. multicast
D. unspecifed address
CEVAP : B
5. Which two are features of IPv6? (Choose two.)

A. anycast
B. broadcast
C. multicast
D. podcast
E. Allcast
CEVAP : A,C
6. Which two of these statements are true of IPv6 address representaton?

(Choose two.)
A. There are four types of IPv6 addressesh unicast, multicast, anycast, and
broadcast.
B. A single interface may be assigned multiple IPv6 addresses of any type.
C. Every IPv6 interface contains at least one loopback address.
D. The first 64 bits represent the dynamically created interface ID.
E. Leading ieros in an IPv6 16 bit hexadecimal feld are mandatory.
CEVAP : B,C
IPV6 339
7. What is the alternative notation for the IPv6 address B514:82C3:0000:0000:002

9:EC7A:0000:EC72?
A. B514 : 82C3 : 0029 : EC7A : EC72
B. B514 : 82C3 :: 0029 : EC7A : EC72
C. B514 : 82C3 : 0029 :: EC7A : 0000 : EC72
D. B514 : 82C3 :: 0029 : EC7A : 0 : EC72
CEVAP : D
8. Which two statements describe characteristics of IPv6 unicast addressing?

(Choose two.)
A. Global addresses start with 2000::/3.
B. Link-local addresses start with FE00:/12.
C. Link-local addresses start with FF00::/10.
D. There is only one loopback address and it is ::1.
E. If a global address is assigned to an interface, then that is the only allowable
address for the interface.
CEVAP : A,D
9. The network administrator has been asked to give reasons for moving from
IPv4 to IPv6. What are two valid reasons for adopting IPv6 over IPv4? (Choose
two.)
A. no broadcast
B. change of source address in the IPv6 header
C. change of destination address in the IPv6 header
D. Telnet access does not require a password
E. autoconfiguration
F. NAT
CEVAP : A,E
340 TEMEL NETWORK
10.How many bits are contained in each field of an IPv6 address?

A. 24
B. 4
C. 8
D. 16
CEVAP : D
11.What are three approaches that are used when migratng from an IPv4
addressing scheme to an IPv6 scheme. (Choose three.)
A. enable dual-stack routing
B. configure IPv6 directly
C. configure IPv4 tunnels between IPv6 islands
D. use proxying and translation to translate IPv6 packets into IPv4 packets
E. statically map IPv4 addresses to IPv6 addresses
F. use DHCPv6 to map IPv4 addresses to IPv6 addresses
CEVAP : A,C,D
12. Which three are characteristics of an IPv6 anycast address? (Choose three.)
A. one-to-many communicaton model
B. one-to-nearest communicaton model
C. any-to-many communicaton model
D. a unique IPv6 address for each device in the group
E. the same address for multiple devices in the group
F. delivery of packets to the group interface that is closest to the sending
device
CEVAP : B,E,F
IPV6 341
13.Which IPv6 address is valid?

A. 2001:0db8:0000:130F:0000:0000:08GC:140B
B. 2001:0db8:0:130:::87C:140B
C. 2031::130F::9C0:876A:130B
D. 2031:0:130F::9C0:876A:130B
CEVAP : D
14.Which command can you use to manually assign a static IPv6 address to a
router interface?
A. ipv6 autoconfig 2001:db8:2222:7272::72/64
B. ipv6 address 2001:db8:2222:7272::72/64
C. ipv6 address PREFIX_1 ::1/64
D. ipv6 autoconfig
CEVAP : B
342 TEMEL NETWORK
343
LOGGING 16
Loglama yani ağ cihazlarımızdaki değişiklikleri, erişimleri kayıt altına almak

önemli bir konudur. Şimdi günümüzde kullanılan log yöntem ve çeşitlerine
bakalım.
SYSLOG
Syslog genel olarak kullanılan bir log formatıdır. Birçok üretici syslog destekler.
Syslog kayıtları virgülle ayrılmış olarak ham veriler içerir. Bu verileri düzenlemek
ve anlamlı hale getirmek için birçok program vardır.
Syslog mesajları 8 seviye olarak yapılandırılmıştır:
Değer Çeşit Özet Anahtarı Açıklama Örnek

Bu seviye uygulamalar
0 Emergency emerg Sistem kullanım dışı
tarafından kullanılmaz.
Hızlıca düzeltme İnternet bağlantısının
1 Alert alert
gerektiren durumlar kesilmesi gibi acil durumlar.
Birincil öncelikli bir
2 Critical crit Kritik durumlar uygulamanın çalışamadığı
durumda üretilir.
Örneğin alan dolduğu için
3 Error err Hata Mesajları kayıt yapılamaması gibi
hatalar.
344 TEMEL NETWORK
Değer Çeşit Özet Anahtarı Açıklama Örnek

Hata değil ama Hata olmamakla birlikte uyarı
4 Warning warn sorun çıkaracak gibi niteliğindedir. Diskte şu kadar
görünüyor. ayar kaldı gibi uyarılar.
Çok önemli bir hata
Sistem ısısı şu değerin altında
5 Notice notice değil ama uyarı
gibi.
niteliğinde.
Herhangi bir eylem
gerektirmeyen Sistem başarıyla devreye
6 Informational info
bilgilendirme girdi. OSPF paketi alındı.
mesajları.
192.168.1.0 içeren OSPF
Sorun gidermekte
paketi 1.1.1.3 IP router’den
7 Debug debug kullanılacak detaylı
alındı. Routing tablosu
kayıtlar.
güncellendi.
Komutları:
Router(config)#logging 192.168.1.3 (PT da logging host 192.168.1.3)
Router(config)#logging trap 4 (ya da PT da 4 yerine debugging)
Genel kontrol için:

Router # show logging
SNMP (Simple Network

Management Protocol)
SNMP, 3 versiyonu olan, cihazların durumunu uzaktan kontrol etmeye ve hatta
ayarlarını değiştirmeye yarayan bir protokoldür.
SNMP v1: Basit bilgi mesajları gönderir. Güvenli değildir.
SNMP v2c: Basit ve toplu bilgi mesajları gönderebilir. Güvenlik yine yoktur.
SNMP v3: V2c’ye güvenlik eklenmiş halidir.
Sadece network cihazları değil, Windows işletim sistemi bile SNMP’yi

desteklemektedir.
LOGGING 345
2 çeşit kullanımı vardır:

RO (read only )
RW (read write )
Genel olarak ayarları şöyledir:

SinanHOCA-ROuter (config)# snmp-server community maydanoz ro SNMP_
ACL
SinanHOCA-ROuter (config)# snmp-server location ANKARA_MERKEZ
SinanHOCA-ROuter (config)# snmp-server contact Sinan BALCI
SinanHOCA-ROuter (config)# snmp-server host 192.168.1.3 version 2c
maydanoz
SinanHOCA-ROuter (config)# snmp-server enable traps
SinanHOCA-ROuter (config)#ip access-list standart SNMP_ACL
SinanHOCA-ROuter (config-std-nacl)# permit 192.168.1.3
Örneğin: # snmp-server enable traps config >>> komutu config

değişikliklerinde MİB üretir.
Kontroller için:
show snmp
show snmp comminity
346 TEMEL NETWORK
NETFLOW
Cisco cihazları kullandığınız bir ağda, cihazların oluşturduğu netflow datalarını
(ağ akışı) bir yerlerde tutmanız ve trafik analizi, trafik gözlemlemesi yapmanız
gerekebilir. Bunun için aşağıdaki komutları kullanabilirsiniz.
#ip flow-export destination ipaddress port
#ip flow-export source interface
#ip flow-export version number
Bu komutlar sayesinde oluşan flow datalarını, bir IP adresine belirli bir porttan
gönderiyorsunuz. Ayrıca bu IP adresi ve portla erişim kurulacak interface’yi
belirliyorsunuz. Gönderilen flow datalarından, netflow server tarafından
anlaşılır bir istatistik oluşturması için uyumlu versiyonu belirtiyorsunuz.
Cihaz tarafından netflow server’e gönderilen flow data istatistiklerini görmek

içinse cihazda aşağıdaki komutu girmeniz yeterli olacaktır.
#ip route-cache flow
NetFlow Versiyonları
Versiyon AÇIKLAMA
v1 İlk uygulamalarda kullanılan kısıtlı versiyon. Yalnızca IPv4 destekler.
v2 Cisco kendi içinde kullandı, yayınlanmadı.
v5 En çok kullanılan versiyonu fakat hala yalnızca IPv4 desteği var.
v6 Cisco tarafından desteklenmeyen versiyon.
v7 Yalnızca Cisco Catalyst, switch’ler tarafından desteklenen kısıtlı versiyon
v8 V5 benzeri fakat bir kaç farklı form desteği de var.
2009 yılında kullanıma başlandı, ve birçok router tarafından kullanılıyor.
v9
IPv6, MPLS ve BGP destekleri de var.
v10 IPFIX tanımları için kullanılıyor.
LOGGING 347
Örnek Konfigürasyon
SinanHOCA-ROuter (config)# interface GigabitEthernet 0/1
SinanHOCA-ROuter (config-if)#ip flow ingress
SinanHOCA-ROuter (config-if)#ip flow egress
SinanHOCA-ROuter (config-if)#exit
SinanHOCA-ROuter (config)#ip flow-export destination 192.168.1.3
2055
SinanHOCA-ROuter (config)#ip flow-export version 5
Bu konfigürasyon, hangi interface’deki trafiği göreceksek o interface altında

yapılır. Interface’de gelen trafik için “ip flow ingress” giden trafik için ise “ip
flow egress” komutunun yazılması gerekir.
Kontrol için:
SinanHOCA-ROuter #sh ip cache flow
IP packet size distribution (6 total packets):

1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .167 .000 .667 .000 .000 .167 .000 .000 .000 .000 .000 .000
.000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes

1 active, 4095 inactive, 3 added
1 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 34056 bytes
0 active, 1024 inactive, 0 added, 0 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
ICMP 1 0.0 4 128 0.0 3.0 15888.0
UDP-NTP 1 0.0 1 205 0.0 0.0 15888.0
Total: 2 0.0 2 143 0.0 1.5 15888.0
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts

Gig0/0 192.168.1.3 Local 192.168.1.1 01 0000 0000 1
348 TEMEL NETWORK
Cısco Cihazlarda
Konfigürasyon Değişikliklerinin
İzlenmesi
Sorumlu olduğunuz ve yönettiğiniz network’un sınırları genişledikçe herhangi
bir cihazda yapılan bir konfigürasyon değişikliğinin network’ta beklenmedik
problemlerin ortaya çıkma olasılığını yükselttiğini söyleyebiliriz. Bunun yanında
bu yapılan konfigürasyon değişikliğini de siz yapmadıysanız yandınız. Problem
yetmiyormuş gibi bir de “Yapılan değişiklik nedir? Kim yaptı bu değişiklikleri?”
sorularının cevabını aramak çıktı! Eğer network yöneticileri kişisel kullanıcı
adları ile cihazlara login oluyorsa o kişiye ulaşıp, yaptığı değişikliği öğrendikten
sonra problemin nedenini yorumlamak mümkün olacaktır ama bu da genelde
düşündüğünüz gibi hızlıca olmaz.
Belli aralıklarla cihazların konfigürasyon yedeklerini alan ve bunlar arasındaki

farklılıklardan yapılan konfigürasyon değişikliklerini gösteren Ağ Yönetim
Yazılımları (NMS-Network Management Systems) var. Ayrıca harici bir
TACACS+ sunucusu kullanarak da cihazlar üzerinde yürütülen tüm komutların
loglanması da sağlanabilir. Fakat bu seçenekler, ücretli yazılımlar için maliyet
ya da açık kaynak kodlu yazılımlar için ise ekstra bilgi ya da zaman gerektiriyor.
Bu seçeneklerin network’ta uygulanmasına sıra geldiğinde malesef çoğunlukla
yapılacaklar listesine eklemekten öteye geçmiyor.
Cisco, IOS Configuration Change Notification and Logging özelliği ile yapılan
konfigürasyon değişikliklerine yol açan komutları, kimin ne zaman yürüttüğü
bilgisini loglayabiliyor. Default’da bu özellik kapalı durumdadır. Devreye
alındığında cihaz kendi üzerinde yürütülen son 100 konfigürasyon komutu
için belirttiğimiz bilgileri logluyor. İstenirse bu logların syslog’a iletilmesi de
sağlanıp harici bir syslog sunucusunda değişiklikleri saklamak mümkün ki
bence yapılması gereken de bu olmalıdır. Bu özelliğin desteklenebilmesi için
cihazınızın 12.3(4)T, 12.2(25)S, 12.2(27)SBC, 12.2(33)SRA, 12.2(33)SXH, 12.2(33)
SB IOS’lar ve sonrasındaki versiyonlarından platformuna uygun bir tanesine
sahip olması gerekiyor.
Yaygın olarak kullanılan cihazlara göz atacak olursak, 2950 serisi için yazının
yazıldığı tarihteki son IOS versiyonu 12.1(22)EA13 dolayısı ile bu özellik
desteklenmiyor. Fakat iyi haber, son 4-5 yıl içinde IOS upgrade yapılan
router’lerin ve tüm 2960 serisi switchlerin bu özelliği desteklemesidir.
LOGGING 349
Gelelim konfigürasyona ve sonuçları gözlemlemeye, konfigürasyon oldukça

basit. Bu özelliği devreye alırken de bir konfigürasyon değişikliği yaptığımızdan
sonuçları hemen göreceğiz.
SinanHoca#conf t
SinanHoca(config)#archive
SinanHoca(config-archive)#log config
SinanHoca(config-archive-log-cfg)#logging enable
SinanHoca(config-archive-log-cfg)#end
Varsayılan ayarları ile devreye aldık. “show archive log config all” komutu
ile tüm loglanan komutları görüntülemek mümkün. Tüm komutların dışında
belli bir kullanıcının girdiği komutları da görüntüleyebiliyorsunuz.
SinanHoca#show archive log config all
idx sess user@line Logged command
1 1 SinanHoca@vty1 | logging enable
Şimdi admin1 ve admin2 kullanıcılarını yerel olarak ekleyelim.

SinanHoca#conf t
SinanHoca(config)#username admin1 secret sifre111
SinanHoca(config)#end

2 2 SinanHoca@vty1 |username admin1 secret sifre111
Yukarıdaki çıktıdan da görebildiğimiz gibi konfigürasyon komutları loglanırken

girdiğimiz şifreler de loglanıyor. Bunu engellemek için configuration change
logger configuration mode’de hidekeys komutunu kullanmamız gerekiyor.
SinanHoca(config-archive-log-cfg)#hidekeys
SinanHoca(config-archive-log-cfg)#end
SinanHoca#conf t
350 TEMEL NETWORK
SinanHoca(config)#end
4 3 SinanHoca@vty1 |archive
5 3 SinanHoca@vty1 | log config
6 3 SinanHoca@vty1 | hidekeys
7 4 SinanHoca@vty1 |username admin3 secret *****
Bunun yanında en önemli özelliği olarak sayabileceğimiz bu logların syslog’a

iletilebilmesi ve harici bir syslog sunucusunda cihazlarımız üzerindeki
tüm konfigürasyon komutlarının kayıt altında tutulabilmesi. Bunu notify
syslog komutu ile sağlayabiliyoruz.
SinanHoca(config-archive-log-cfg)#notify syslog
UYARI: “notify syslog” komutu ile sadece syslog’a logların iletilmesini

sağlanır. Komutların harici bir syslog sunucusuna iletilmesi isteniyorsa global
configuration mode’da “logging<syslog_ip_adresi>” komutunun girilmiş
olması gerekir.
SinanHoca.com#show logging
...
Jun 6 15:12:01: %PARSER-5-CFGLOG_LOGGEDCMD: User:SinanHoca logged
command:notify syslog
Son olarak cihaz üzerinde tutulacak komut sayısının varsayılan da 100

olduğundan bahsetmiştik. Bu sayı 1 ile 1000 arasında ayarlanabiliyor. Biz bu
sayıyı 250 olarak ayarlayalım.
SinanHoca(config-archive-log-cfg)#logging size 250
LOGGING 351
Yaptığımız tüm konfigürasyonu özetlemeyi ise Configuration Change

Notification and Logging özelliğinin show komutu çıktısına bırakıyoruz.
6 3 SinanHoca@vty1 | hidekeys
7 4 SinanHoca@vty1 |username admin3 secret *****
10 5 SinanHoca@vty1 | notify syslog
11 5 SinanHoca@vty1 | logging size 250
Bu arada isterseniz aşağıya toparladığım özet log komutlarını da bir yere yazıp
kopyala yapıştır yapabilirsiniz.
conf t
archive
log config
logging enable
logging size 250
notify syslog
hidekeys
352 TEMEL NETWORK
GÜNCEL CCNA SINAV

1. Which two Cisco IOS commands, used in troubleshooting, can enable debug
output to a remote location? (Choose two)
B. logging host ip-address
C. terminal monitor
D. show logging | redirect fashioutput.txt
E. snmp-server enable traps syslog
CEVAP : B,C
2. Which logging command can enable administrators to correlate syslog

messages with millisecond precision?
B. logging bufered 4
C. no logging monitor
D. service timestamps log datetime msec
E. logging host 10.2.0.21
CEVAP : D
3. Which two statements about syslog logging are true? (Choose two.)
A. Messages are stored external to the device.
B. The size of the log file is dependent on the resources of the device.
C. Syslog logging is disabled by default.
D. Messages can be erased when the device reboots.
E. Messages are stored in the internal memory of the device.
CEVAP : A,D
LOGGING 353
4. If you configure syslog messages without specifying the logging trap level,
which log messages will the router send?
A. error conditons only
B. warning and error conditons only
C. normal but signifcant conditons only
D. all levels except debugging
E. informational messages only
CEVAP : E
5. Which three statements about Syslog utilization are true? (Choose three.)
A. Utilizating Syslog improves network performance.
B. The Syslog server automatically notfes the network administrator of network
problems.
C. A Syslog server provides the storage space necessary to store log files
without using router disk space.
D. There are more Syslog messages available within Cisco IOS than there are
comparable SNMP trap messages.
E. Enabling Syslog on a router automatically enables NTP for accurate time
stamping.
F. A Syslog server helps in aggregaton of logs and alerts.
CEVAP : C,D,F
6. A network administrator enters the following command on a routerh logging

trap 3. What are three message types that will be sent to the Syslog server?
(Choose three.)
A. informational
B. emergency
C. warning
D. critical
E. debug
F. Error
CEVAP : B,D,F
354 TEMEL NETWORK
7. What is the default Syslog facility level?

A. local4
B. local5
C. local6
D. local7
CEVAP : D
8. What command instructs the device to timestamp Syslog debug messages in

milliseconds?
A. service timestamps log datetime localtime<input type
B. service timestamps debug datetime msec<input type
C. service timestamps debug datetime localtime<input type
D. service timestamps log datetime msec
CEVAP : B
What is the cause of the Syslog output messages?

A. The EIGRP neighbor on Fa0/1 went down due to a failed link.
B. The EIGRP neighbor connected to Fa0/1 is partcipatng in a different EIGRP
process, causing the adjacency to go down.
C. A shut command was executed on interface Fa0/1, causing the EIGRP
adjacency to go down.
D. Interface Fa0/1 has become error disabled, causing the EIGRP adjacency to
go down.
CEVAP : C
LOGGING 355
10.What are three components that comprise the SNMP framework? (Choose
three.)
A. MIB
B. agent
C. set
D. AES
E. supervisor
F. Manager
CEVAP : A,B,F
11.Which three are the components of SNMP? (Choose three)

A. MIB
B. SNMP Manager
C. SysLog Server
D. SNMP Agent
E. Set
CEVAP : A,B,D
12. What are the Popular destinations for syslog messages to be saved? (Choose
three)
A. Flash
B. The logging bufer .RAM
C. The console terminal
D. Other terminals
E. Syslog server
CEVAP : B,C,E
356 TEMEL NETWORK
13.Which two commands can you enter to verify that a configured NetFlow data
export is operational? (Choose two.)
A. show ip fow export
B. show ip cache fow
C. ip fow ingress
D. ip fow egress
E. interface ethernet 0/0
F. ip fow-export destination
CEVAP : A,B
14. What are three reasons to collect Netlow data on a company network? (Choose
three.)
A. To identify applicatons causing congeston.
B. To authoriie user network access.
C. To report and alert link up / down instances.
D. To diagnose slow network performance, bandwidth hogs, and bandwidth
utliiaton.
E. To detect suboptmal routing in the network.
F. To confirm the appropriate amount of bandwidth that has been allocated to
each Class of Service.
CEVAP : A,D,F
15. What command visualizes the general NetFlow data on the command line?
A. show ip fow export
B. show ip fow top-talkers
C. show ip cache fow
D. show mls sampling
E. show mls netlow ip
CEVAP : C
LOGGING 357
16.What are the benefits of using Netlow? (Choose three.)

A. Network, Applicaton & User Monitoring
B. Network Planning
C. Security Analysis
D. Accounting/Billing
CEVAP : A,C,D
17.What is the first step you perform to configure an SNMPv3 user?

A. Configure server traps.
B. Configure the server group.
C. Configure the server host.
D. Configure the remote engine ID.
CEVAP : B
18.Which version of SNMP first allowed user-based access?

A. SNMPv3 with RBAC
B. SNMPv3
C. SNMPv1
D. SNMPv2
CEVAP : B
19.Which statement about snmpv2 is true ?

A. it requires password at least eight characters in length
B. it requires passwords to be encrypted
C. its privacy algorithms use md5 encryption by default
D. its authentic and privacy algorithms are enabled without default values
CEVAP : D
358 TEMEL NETWORK
20.Which command can you enter on a switch to determine the current SNMP
security model ?
A. Show snmp pending
B. show snmp group
C. snmp server contact
D. show snmp engineID
CEVAP : B
359
KABLOSUZ
AĞLAR (WLAN,
17
WIRELESS LAN)
Bundan 10-15 yıl önce kablosuz ağlar ihtiyaçtan öte, lüks bir istekti. Günümüzde
artan mobil cihazlar ile artık ağların vazgeçilmez bir parçası haline gelmiştir.
Yine yıllar önce kablosuz ağların temel iki sorunu vardı. Güvensiz olmaları ve
bağlantı hızlarının düşük olması. Günümüzde ise en az kablolu ağlar kadar
güvenli ve hızlı hale gelmişlerdir. Şüphesiz kablosuz ağlar için %100’lük bir
güvenlikten bahsedilemez fakat güzel bir planlama ve konfigürasyon ile bu
seviyeye yakın güvenlikte elde edilebilir.
Kablosuz iletişim teknolojisi; en basit tanımıyla, noktadan noktaya veya bir

ağ yapısı şeklinde bağlantı sağlayan, bir teknolojidir. Bu açıdan bakıldığında,
kablosuz iletişim teknolojisi, günümüzde yaygın olarak kullanılan kablolu
veya fiber optik iletişim yapılarıyla benzerlik göstermektedir. Kablosuz iletişim
teknolojisini diğerlerinden ayıran nokta ise; iletim ortamı olarak havayı
kullanmasıdır.
360 TEMEL NETWORK
Kablosuz İletişim Yöntemleri

• Kızılötesi (Infrared Data Association-IrDA)
• Mikrodalga
• İstasyonlar
• Bluetooth
• Uydu
• Uplink/Downlink
• Wi-Fi (IEEE 802.11)
• WiMAX (IEEE 802.16)
• Laser (İletimi elektromanyatik dalga ile değil ışık ile yapar.)
Kablosuz ağlar nasıl çalışır?

Kablosuz cihazlar, havadan aygıtlar arasında radyo sinyalleri göndererek çalışır.
Dizüstü bilgisayarlar, mobil cihazlar, televizyonlarımız, buzdolapları, klimalar
ve daha birçok ev cihazlarımız (IoT) , masaüstü bilgisayarlar hatta sunucular
kablosuz yerel ağa bağlanabilirler. Genel olarak kablosuz ağ erişimleri için
Access Point’ler kullanılır.
Kablosuz Ağlarda Güvenlik

Genel olarak erişim kablosuz, havadan yapıldığından dikkat edilmezse
istenmeyen kişilerin de aynı ağda olması kaçınılmazdır. Bu nedenle “güvenlik”
kablosuz ağlar için üzerinde durulması gereken en önemli konulardan biridir.
** Noktadan, noktaya mikro dalga iletim sistemleri izlenmesi çok zor bir
haberleşme yöntemidir ancak bir noktadan çok noktaya iletimler teknik
açıdan izlenmesi daha kolay bir haberleşme yöntemidir.
** Bu tür sistemlerde dahili kriptolama özellikleri mevcut olmasına rağmen son
yıllarda yapılan araştırmalar bu tür sistemlerin saldırıya karşı sanıldığından
daha zayıf olduğunu göstermiştir.
** Güvenliği artırmak için en basit yaklaşım VPN teknolojilerinin, kablosuz
haberleşme sistemleri ile birlikte kullanılmasıdır ancak bu yaklaşım
maliyetlerin artmasına neden olmaktadır.
KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 361
Kablosuz Ağları Güvenli Hale

Getirme
• MAC Adres Filtreleme: Bu metot AP ile iletişim kurmaya izin verilmiş
kullanıcıların, kablosuz ağ kartlarının MAC adreslerinin listelenmesi ve
kullanılmasıdır.
• WEP (Wired Equivalent Privacy): Paylaşılmış olan gizli anahtar mantığına
dayalıdır. Bu anahtar, veri paketlerinin göndermeden önce şifrelemek ve
bunların veri bütünlüğünü kontrol etmek için kullanılır. Ağa giriş anahtarını
bilen herkes ağa dahil olabilir. Kullanıcılardan birinin WEP anahtarını birine
vermesi veya çaldırması durumunda kablosuz ağda güvenlikten eser
kalmayacaktır.
• WPA (Wi-Fi Protected Access): WEB’de çıkan güvenlik açıklarının giderilmesi
ve yeni özelliklerin eklenmesi ile ortaya çıkan güvenlik protokolü.
• Gizli SSID Yayınlama: SSID erişim noktasınınn (Access Point) tanımlayıcı
adıdır. Erişim noktaları ortamdaki kablosuz cihazların kendisini bulabilmesi
için kendilerini devamlı anons ederler. Güvenlik önlemi olarak bu anonsları
yaptırmayabiliriz. Böylece sadece erişim noktasının adını bilen cihazlar ağa
dahil olabilirler.
• Radius ve 802.1x Güvenlikleri: Kurumsal olarak kullanılan en güvenli
yöntemlerdir. Bu yöntemde Access Point’ler kendilerine bağlanmak isteyen
kullanıcıları yalnızca şifre ile değil, gidip cihazlarının ya da kimlik bilgilerinin
Active Directory de olup olmadıklarını bile kontrol edebilirler.
362 TEMEL NETWORK
Kablosuz ağların gelişimini aşağıdaki tabloda görebiliriz.

Kablosuz Ağ Band Genişlikleri

2.4 Ghz (2.4 - 2.4835 GHZ )
Yaygın olarak kullanılmaktadır. 5 Ghz bandına göre dezavantajı kalabalık,
dolayısıyla da biraz daha yavaş olmasıdır. Eski telefonlar, garaj kapısı, bebek
monitörleri ve birçok kablosuz cihaz bu bandı kullanır. Bu banttaki erişim hızı
600 Mbps’e kadar çıkabilir. 5 Ghz bandına göre avantajı ise daha geniş bir
kapsama alanı olmasıdır.
5 Ghz (5.725 - 5.850 GHZ )

Yüksek hızda bağlantı için kullanılmaktadır. Kablosuz client cihazı, bu bandı
desteklemezse yayınlanan bu 5.ghz SSID’lerini hiç göremez. Duvar gibi katı
cisimlerden geçmede 2.4’e göre daha zayıftır. Özetle 5 Ghz çok hızlı ama daha
dar bir kapsama alanına sahiptir. Eğer video aktarımı gibi yüksek hıza ihtiyaç
olan bir erişim gerekliyse kullanmanız avantajlıdır.
Kablosuz ağa geçişin planlaması

İş yeriniz için kablosuz ağ planlaması yapmak isterseniz bazı konuları göz
önünde bulundurmanız gerekir:
1- Kaç tane ve nerelere, hangi özelliklerde access pointler koymalıyım?
2- Misafir erişimi de olacak mı? Evet ise hotspot isteniyor mu?
3- Kablosuz ağlar için de farklı kategoriler olacak mı? Yönetici, Personel, Depo v.s.
4- Kablosuz ağ güvenliği nasıl sağlanacak?
Şimdi bu konulara detaylı değinelim.

1- Kaç tane Access Point olacak ve nerelere konulacak? Öncelikle erişim
türüne karar vermeniz gerekir. Örneğin en yüksek hız kullanmak için 802.11ah
(Wi-Fi Halow) erişimlerini destekleyen access point’ler konumlandırsanız
bile kullanıcıların cihazlarının bu desteği yoksa bu hızla bağlanamayacaklar
demektir. Ya da kullanıcıların cihazlarının da desteği var ama access point’in
switch’e bağlı olduğu port 100 Mbps ya da 1 Gbps ise 1.7-6.77 gibi yüksek
erişim hızlarına yine ulaşamazsınız.
364 TEMEL NETWORK
Şimdi gelelim daha önemli konuya; kaç tane Access Point kullanmalıyım
ve nerelere koymalıyım? Bunun için keşif yapmanız şarttır. Kablosuz ağ
kullanacağınız bina inşaat halinde bile olsa elinize kullanmayı düşündüğünüz
Access Point (AP)’lerden birisini alın ve inşaat elektriğini kullanarak cihazı
çalıştırın. Bilgisayarınıza ise NetStumbler türü wi-fi analyzer programlarından
bir tane yükleyin. Sonra bilgisayarınız ile o katı gezer, erişimin %40’ın altına
düştüğü bölgelere bir tane daha AP koymayı düşünebilirsiniz. Binanın
tümünde kullandığınız AP’leri bir ortak POE switch’de toplamanızı da tavsiye
ederim.
2- Misafir erişimi olacak mı? Bu, konu edilecek, büyütülecek bir konu mu?
Personel erişiyorsa, şifreyi söylerler ise gelen misafirler de aynı ağdan
internete erişebilir diye çok basit mantıkla düşünenleriniz olabilir. Bu konu
tahmin ettiğinizden daha önemli bir konudur. Günümüzde saldırıların
%70’den fazlası iç ağdan, ele geçirilen personel üzerinden yapılmaktadır. Bir
yeri hacklemenin en zor kısmı, orayı koruyan firewall’ları aşıp, dışarıdan içeri
girebilmektir. Sonrası çocuk oyuncağıdır. İşte siz bilmeden bir misafirin mobil
cihazına bu internet erişimini verdiğiniz de onu ağınıza dahil etmiş olursunuz
ve artık o yalnızca internete değil, tüm çalışanlarınıza, bir personeliniz gibi
sunucularınıza erişebilir olur. Yani hacklemenin en zor kısmı olan dışarıdan
içeri girmeyi başarmış olur. Bu yüzden kesinlikle kablolu ya da kablosuz misafir
bağlantılarını sunucu ve personel networkünden izole etmeniz gerekir.
Bir diğer konu da ülkemizle ilgili bir zorunluluk olan internet erişimlerinin
kaydının (5651 sayılı yasa) tutulmasıdır. Bu yasa uyarınca gerek personel
gerekse misafir gibi kendi çalışanımız olmayanların erişim trafikleri imzalanarak
(hash’i alınarak) saklanmalıdır. Bu yüzden de misafir erişimlerinde hotspot
da kullanmanızı tavsiye ederim. Böylece misafirler erişim öncesi portal’e
yönlendirilir, erişim formunu doldururlar ve sonrasında cep telefonlarına gelen
şifre ile login olup, erişim sağlarlar.
3- Kablosuz erişimde farklı segmentler olacak ise bunun için gelişmiş Access
Point’ler de kullanmanız gerekecektir. Per SSID per vlan özelliği olan Access
Point’ler ile tek bir cihazdan birden çok SSID (kablosuz ağ yayın adı) yayınlayıp
bunları da farklı vlan’lara atamanız mümkün olur.
4- Kurumsal yerler için şüphesiz 802.1x ya da radius authentication ile kablosuz

erişimleri güvenli hale getirmenizi tavsiye ederim. Küçük işyerleri (SOHO) ve
evler için ise kesinlikle WPA’nın yüksek tiplerini ve/veya MAC filitrelemeleri
kullanmanızı tavsiye ederim. Sık sık da kablosuz cihaz loglarına, o anda
ağınızda bulunan kulllanıcılara bakarsanız güzel olur.
Noktadan Noktaya
Kablosuz Erişimler
İlk konularımızda da bahsettiğim üzere uzun mesafeli kablo kullanımı tavsiye
edilmez. 100m hatta 75m’den sonra bakır kabloların verimliliği düşer ya
da hiç veri iletemez hale gelir. Uzun mesafeli erişimlerde ilk akla gelen fiber
kablo kullanılmasıdır bu da şehir hayatında birçok izin ve inanılmaz maliyetler
gerektirebilir. Kablosuz noktadan noktaya erişimlerde 100 km’ye kadar
kablosuz olarak veri aktarmak (atlamasız) mümkün olabilmektedir. Bu tür bir
aktarım için tek şart iki cihazın kuş uçuşu birbirini görmesi, yani arada bina,
dağ, tepe olmamasıdır. Arada engel olması durumunda da bu engelin tepesine
aktarıcı cihaz konulup bağlantı devam ettirebilir. Günümüzden (2019) 5-10 yıl
önce bu tür noktadan noktaya bağlantılar hava koşullarından etkileniyorken
günümüzde bu alanda daha başarılı ürünler sayesinde hava şartları da sorun
olmaktan çıkmıştır.
Noktadan noktaya erişimler de özel yönlü antenler kullanılır.

366 TEMEL NETWORK
Wireless Controller
Çok sayıda Access Point’iniz olunca bunları yönetmek de zorlaşır. Örneğin
50 Access Point’lik bir kablosuz ağda bir SSID’nin şifresini değiştirmek ağ
yöneticisi için kabus olur. Bu tür büyük yapılarda controller ile merkezi yönetim
yapılabilir. Contoller donanımsal ya da yazılımsal olabilir. Controller ile uzaktan
yapabileceğiniz yeni SSID tanımlama, şifre değiştirme, ağ yoğunluğu görme
hatta AP’lerin firmware yazılımlarını güncelleme dahil bir çok işlemi kolayca
yapabilirsiniz.
Packet Tracer
Wireless Uygulaması
Aşağıdaki şekildeki gibi bir ağımız olsun. Bu ağda kablosuz erişimleri de
tanımlayalım.
Kablosuz ağlarda en önemli konulardan birisi de DHCP yapılandırılmasıdır.

Kullanacağınız birçok Access Point kendi DHCP ile IP dağıtacak ve sizin ağınıza
kablosuz bağlanan cihazları NAT’layarak eriştirecektir. Bu da başta loglama
olmak üzere birçok konuda sorun çıkartır. Bu yüzden kullanacağınız AP’nin
DHCP ayarlarını kontrol etmelisiniz. Benim burada ele aldığım topolojide DHCP
sunucu bulunmakta ve ilgili vlanlara IP dağıtımı yapabilmektedir. Kablosuz
yapıya geçiş için bu aşamanın sağlam olması önemlidir, yani herhangi bir
vlan’a üye porta cihaz bağlandığında o vlan’dan IP alabilmelidir. Ağda personel,
yönetici ve misafirler için ayrı ayrı kablosuz erişimler istenmektedir. Önce
Packet Tracer’deki AP’lere bir bakalım:
Buradaki AP’lerden WRT300 hariç diğerlerinin router özelliği yoktur, yani IP

dağıtamazlar. Peki 3 ayrı kablosuz ağ için 3 ayrı AP mi kullanmalıyız? Packet
Tracer de henüz çoklu SSID yayını yapabilen cihaz olmadığından maalesef 3
cihaz kullanacağız. Günlük hayatımızda çoklu SSID yayını yapan tek bir cihazı
switch’in trunk portuna bağlayıp kolayca 3 yayını yapabiliriz. Aşağıda gerçek
bir çoklu SSID yayını yapabilen AP üzerinde yaptığım ayarları da görebilirsiniz.
Ben yukarıdaki örnek için Access Point’ler de vlan tanımı yapamadığımdan
her Access Point’i, ilgili vlan’daki portuna normal bir bilgisayarı bağlar gibi
bağlıyorum. Daha sonra bu cihazlarda kablosuz ayarlarını yapalım.
368 TEMEL NETWORK
Kullandığımız AP’ye tıklayıp ayarlarına girelim ve üstteki Config sekmesine

tıklayalım:
Kablosuz ağ portu olan Port1’e solda tıklayıp, sağ tarafta gerekli ayarları
girelim:
Böylece cihazımızın ayarlarını tamamladık. Şimdi bu AP’ye bağlanacak client

bilgisayarı da ayarlayıp bağlantı testi yapalım. Ben tembel olduğumdan
bir wireless tablet koyuyorum, siz isterseniz bir notebook ya da pc koyup,
sonrasında bir wireless kart takıp yine bağlantı sağlayabilirsiniz. Notebook ve
PC’lerin kablosuz ağ ayarları üstteki Desktop sekmesinde bulunuyor.
Ayarlarımızı girdikten sonra cihazın başarıyla bağlandığını görebilirsiniz.

370 TEMEL NETWORK
Tabletin IP ayarlarına girip kontrol ettiğimizde ise AP’nin bağlı olduğu port
vlan10’a üye olduğundan 10’lu bir IP aldığını da görebilirsiniz:
Şimdi yukarıdaki topolojimize gelişmiş tek bir Access Point bağlamamız

durumundaki ayarlara bakalım. Sizler için bu özelliklerdeki bir AP’nin ayarlarını
yapıyorum. Cihazın içine IP’sinden bağlanarak giriyorum ve Wireless setting
sekmesine geliyorum.
Bu alanda gördüğünüz üzere çok sayıda 2.4 Ghz ve 5 Ghz‘lik SSID’ler

oluşturabiliriz. Ben Add diyerek yeni bir tane daha ekliyorum:
Üstte de gördüğünüz üzere bu cihaza gelen bağlantı switch’de trunk olarak

bağlı olduğundan bu cihaz üzerinde hangi SSID’nin hangi vlan’da olduğunu
belirtmem gerekiyor. Gerekli ayarları üstteki gibi yaptım. Burada portal
kutucuğunu işaretlersem bu SSID’ye bağlananları cihaz portal’a yönlendirecek
ve kullanıcı adı, şifre ya da radius authentication gibi üst düzey korumalar
uygulayabileceğim. SSID isolation ise harika bir özelliktir. Özellikle otel,
cafe gibi birbirini tanımayan çok sayıda kablosuz kullanıcının bulunduğu bir
ağda, kullanıcıların yalnızca internete erişmelerini, birbirlerine erişmemelerini
sağlar. Harika bir güvenlik özelliğidir. Aman bu özelliği işyerinde kullanmayın
yoksa eğer ağınızda ağ yazıcıları (Aynı ağdaki kamera, IP telefon vb.) gibi
ağ cihazlarınız var ise bu cihazlara da erişemezsiniz. Ben OK deyip personel
ayarlarını tamamlıyorum. Aynı şekilde yönetici ve misafir SSID’lerini de
tanımlıyorum.
372 TEMEL NETWORK
Yönetici ayarları:
Misafir ayarları:
Hazır cihaza bağlanmışken size MAC Filter kısmından da bahsedeyim.

Cihazlardaki MAC Filter ile kablosuz ağınıza bağlanacak cihazların MAC
adreslerini bir kez tanımlarsınız ve böylece bilginiz dışındaki cihazların
erişimlerini engellemiş olursunuz. Bu gerçekten de ev ve soho gibi yerler için
en üst düzey güvenlik tedbiridir:
Kablosuz ağlar ile ilgili son olarak yukarıdaki menüde dikkatimi çeken Rogue
AP Detection özelliğini de anlatayım. Bu ilginç bir güvenlik uygulamasıdır.
Nasıl biz personel diye bir ağın tanımını yapıp, bu ağın kablosuz yayınına
başladıysak, kötü niyetli birisi de kendi Access Point’inde aynı isimle bir
yayın başlatabilir ve personelimizin yanlışlıkla bu ağa bağlanmasıyla onların
trafiklerini kendi üzerinden geçirerek (man in the middle) şifrelerini kolayca
ele geçirebilir. İşte bunu engellemek için Rogue AP Detection özelliğini açıp,
yapılandırırsak bu tür bizim yayınladığımız SSID’lerin aynısı yayınlandığında
Access Point’imiz bunları tespit eder ve alarm üretip, geliş modellerinde
onların yayınını da aynı özelliklerde yayın yaparak bastırır, personelin bu tür
sahte yayınlara bağlanmasını engeller.
374 TEMEL NETWORK
GÜNCEL CCNA SINAV

1. What are three broadband wireless technologies? (Choose three.)
A. WiMax
B. satellite Internet
C. municipal Wi-Fi
D. site-to-site VPN
E. DSLAM
F. CMTS
CEVAP : A,B,C
2. Which two statements about wireless LAN controllers are true? (Choose two.)
A. They can simplify the management and deployment of wireless LANs.
B. They rely on external frewalls for WLAN security.
C. They are best suited to smaller wireless networks.
D. They must be configured through a GUI over HTTP or HTTPS.
E. They can manage mobility policies at a systemwide level.
CEVAP : A,E
3. Which device allows users to connect to the network using a single or double
radio?
A. access point
B. switch
C. wireless controller
D. Firewall
CEVAP : A
375
TROUBLE-
SHOOTING 18
(SORUN ÇÖZME)
Biz network yöneticileri; sorun çözmede tümden gelim yolunu izlemeli,

önce sorunun büyüklüğünü ve kaynağını tespit etmeliyiz. Bunu mizansel bir
dille örnek vererek açıklayım. Ağ yöneticisi olduğunuz bir kurumda 9.kattaki
emekliliği gelen, ağ dendiğinde örümcek ağından başka bir şey düşünmeyen
bir personel sizi arıyor ve internete erişemediğini söylüyor. Sizin sormanız
gereken ilk soru nedir? Otomatik IP aldınız mı deseniz IP’de ne der? Nerden
bakılıyor der?
Bu durumda ilk yapmanız gereken, kendi bilgisayarınızın internete erişip

erişmediğini kontrol etmek olmalıdır. Eğer sizde erişemiyorsanız arayan kişiyle
vakit kaybetmez, hemen çözüm adımlarına başlarsınız. Baktınız siz internete
erişebiliyorsunuz, derin bir nefes alıp, şükredip sonra ilk soruyu arayana
sorarsınız. Soru şu “Yanınızdaki arkadaşlarınıza sorar mısınız, onlar internete
erişebiliyor mu?“ Dedi ki: “Evet erişebiliyorlar“ Bir derin nefes daha alır ve
teknisyen arkadaşlardan birisini yardımcı olması için personele yönlendirirsiniz,
zira sorun sadece onda. Peki dedi ki evet diğer arkadaşlar da erişemiyor, o
zaman ne sorardınız? Sorun switch’de deyip hemen çözüme mi girişirdiniz?
Hayır, yanlış cevap. Onlara “kablolu mu? kablosuz mu?“ internete erişmeye
çalıştıklarını sormalısınız. Zira kablosuz bağlanmaya çalışıyorsa bu sefer sorun
çözümünü kablosuz ağda aramak gerekir... Kablolu olarak erişemiyorlarsa
evet o katta bir sorun olabilir. O zaman önce o katın switch’inin merkezle olan
erişimini, sonrasında da o katın vlan ayarlarını ve detayı araştırırsınız.
376 temel network
Şimdi gelin aşağıdaki topoloji üzerinde sorunlar ve çözümleri alıştırmaları

yapalım:
A Blok’taki Laptop 1 cihazı www.proje.com sitesine erişemediği sorunuyla

sizi aradı.
Öncelikle cihaz “IP almış mı?“ kontrol edilir.
Evet IP almış. Ağ geçidini pingliyor mu kontrol edilir.
Evet ağ geçidini de pingliyor. O zaman sorun A blok router’imde olabilir

ya da A blok router’i ile Bim router’i arası bağlantı ve sonrasında. Ama bu tür
sorun olsa kimse erişemezdi unutmayın.
Hayır ağ geçidini pinglemiyor. O zaman önce kat switch’indeki vlan

kontrolleri, kat switch’i - omurga - A blok router arası bağlantıları kontrol
etmelisiniz.
Hayır IP alamamış. Sadece bu bilgisayar mı IP alamıyor, bilgisayarın switch’de

bağlı olduğu portlar, vlan kontrolleri yapılır.
B blok kat-2 de kimse hiç bir yere erişemiyor.

TROUBLESHOOTING (SORUN ÇÖZME) 377
Yüksek ihtimal switch ya bozulmuştur, ya da kat2 switch - omurga arası

bağlantı kopmuştur. Öncelikle kullanıcılar IP almışlar mı? Almışlarsa ağ geçidini
pingleyebiliyorlar mı? bu kontroller yapılır. IP’de alamamışlar ise ama ağ
bağlantıları UP görünüyor ise switch’in omurgaya olan bağlantısında sorun
olabilir.
Switch ve omurgaya giden bağlantı sağlam ama erişimler yok? Yine önce IP
almışlar mı kontrolü yapılır. IP almışlar ise B blok router yönlendirmeleri, IP
alamamışlar ise DHCP’deki scope, router’in o vlan ile ilgili sub-interface’sindeki
IP helper kontrol edilir.
A Blok kat 3 switch’inin configurasyon yedeğini TFTP’ye alamıyorsunuz.
Bu switch’in TFTP’ye ping atıp atamadığını kontrol ederiz.
Ping atabiliyor. Ping atıyorsa config yedeğini de almalı. Komutlarınızı kontrol

ediniz.
Ping atamıyor. Diğer switch’lerin de TFTP’ye erişip, erişemediğine bakınız.
Diğer switch’ler erişebiliyor. O zaman bu kat 3 switch’inin IP’sini, ağ geçidini,

management vlan’ın Up olup olmadığını kontrol ediniz.
Diğer switchler de erişemiyor. O zaman işler kötü. Siz erişebiliyor musunuz?

bunu kontrol edersiniz. Muhtemelen siz de farklı vlan’dan erişemezsiniz. TFTP
hedefi ayakta mı? Kablo kontrolü yapmalısınız, sonrasında ise sunucunun
IP ve özellikle de ağ geçidi kontrolü yaparsınız. Bazı cihazlara ağ geçidi
verilmediğinde aynı ağdan ulaşılabildiği halde farklı ağlardan ulaşılamadığı
olur.
B Blok 1. kat IP alamıyor?
Sadece o katta sorun olduğuna göre sorun 2 yerde olabilir.
Ya o switch’in merkezle olan bağlantısı kopmuştur.
Switch’in IP’si, ağ geçidi, MGMT vlan’ının UP olup olmadığını kontrol edip,

MGMT vlanın’ın ağ geçidine switch’den ping atınız. Ping atıyorsa sorun ya
router’deki sub-interface ayarlarında ya da DHCP tanımlarındadır.
378 temel network
Kat switch’i, router’e ping atamıyorsa öncelikle MGMT IP’si, ağ geçidi, vlan’ın
UP olup olmadığı kontrol edilir. Bunlar uygun olduğu halde ping atmıyorsa kat
switch’i - omurga - router arası kabloyu fare kemirmiştir.
Ya da o switch’in sonlandığı sub-interface de IP helper unutulmuştur.
A bloktaki PC’lerin hiç birisi B bloktaki network’lara ulaşamıyor.
Bu tür sorunlarda başka her yer ulaşabiliyor da yalnızca B blok network’larına

ulaşamıyorsa büyük ihtimal dynamic routing protokünün, konfigürasyonunda
sorun vardır. Çünkü A bloktan, B bloğa gitmek isteyen birisi önce ağ geçidi
olan router’e gelecektir. Sonrasında herşey doğru ise yönlendirmeler olacaktır.
Bu tür arada çok router’in olduğu erişim sorunlarında ilk yapacağınız kesinlikle
kaynaktan hedefe doğru TraceRoute başlatmaktır. Böylece hangi router’de
erişimle tıkanıp kalıyor bunu bulup o router’den sonrasını düzeltebilirsiniz.
A blok 2. kattaki PC’nin ağ bağlantısı bir türlü aktif olmuyor. Switch’deki

ayarlara baktınız ve ilgili portun Shutdown olduğunu gördünüz. Sonrasında
aşağıdaki komutu uygulayıp, aşağıdaki sonucu aldınız. Neler oluyor? Eleman
neden ağa bağlanmıyor?
A-Blok-Kat2#show interfaces fa 0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
Bu olay CCNA ve CCNP sınavlarında çok fazla çıkan bir olaydır. Bir interface bu
şekilde down olduysa tek sebebi port security’dir. Bu portta violation olarak
shutdown seçilerek port security yapılmış ve tehdit algılandığından dolayı
port, shut edilmiştir. Çözümü için o interface içerisinde önce tekrar shutdown
edilmeli sonra no shutdown yapılmalıdır.
Benzer bir yapının konfigürasyonunu aşağıda paylaşıyorum. Eksik komutlarınızı

tamamlayabilir, bilgilerinizi pekiştirebilirsiniz.
Önce blok omurgalarını konfigüre edelim:

en
conf t
*** Önce adını değiştirelim:

host B-Blk-Omurga
*** Katlardan gelen switch’lerdeki vlan’ları alabilmek için portları trunk

yapalım:
int ran fa 0/1-3
sw tr enc dot
sw mod tr
no sh
exit
*** Router’e giden kabloyu da trunk yapalım ki tüm vlan’ları iletelim:

int gi 0/1
sw tr enc dot
sw mod tr
380 temel network
no sh
exit
*** vtp ayarlarını girelim. Böylece kat switch’leri vlan’ları buradan çekebilsin:
vtp domain cisco
vtp mode server
vtp pass cisco
*** vtp yaptığımıza göre artık katlar için vlan’ları oluşturabiliriz:

vlan 30
vlan 40
vlan 18
exit
*** Bu switch’i yönetebilmek için bir IP si olması gerek. Yönetim vlan’ında bir IP
verelim:
int vlan 18
no sh
ip add 172.18.18.2 255.255.255.0
exit
*** Farklı vlan’lardan bu switch’e yönetim için gelen trafiğin geri dönebilmesi
için bu switch’e default gateway tanımlıyoruz:
ip routing
ip route 0.0.0.0 0.0.0.0 172.18.18.1
*** ssh erişimi için gerekli tanımları yapalım:

ip domain-name cisco
crypto key generate rsa
1024
username sinan password cisco
line vty 0 4
login local
transport input all
exit
ip ssh version 2
ip ssh time-out 30
ip ssh authentication-retries 4
enab pass cisco
Benzer şekilde A-Blk-Omurgayı da ayarlıyoruz. Şimdi sıra kat switch’lerinde:

en
conf t
*** Önce adını değiştirelim:

host A-Blk-Kat1
*** Acil olarak merkezden gelen bağlantıyı trunk yapalım ki vlan’ları

omurga’dan çekelim:
int gi 1/1
sw mod tr
no sh
exit
*** Merkezden bağlantı tamam vtp ile vlan’ları çekelim:

vtp mode client
vtp pass cisco
*** Bu switch’i ssh ile yönetmek için IP vermemiz gerekli. MGMT vlan’ında bir IP
tanımlayalım:
int vlan 16
no sh
ip add 172.16.16.3 255.255.255.0
exit
*** Farklı vlan’lardan gelen bağlantıların geri dönebilmesi için ağ geçidi

tanımlayalım. L2 switch olduğundan aşağıdaki komut yeterli:
ip default-gateway 172.16.16.1
*** Şimdi de SSH komutlarını girelim:

1024
line vty 0 4
login local
382 temel network
transport input all

exit
ip ssh version 2
ip ssh time-out 30
enab pass cisco
*** Artık vlan’larımızda merkezden çekildiğine göre portları vlan’lara üye

yapalım:
int ran fa 0/1-10
sw mod acc
sw acc vlan 10
no sh
exit
int ran fa 0/11-20
sw mod acc
sw acc vlan 20
no sh
exit
Diğer katları da benzer şekilde konfügüre ediyoruz. Sıra ortadaki

DataCenter Switch’de:
en
conf t
*** Adını verelim:

host DataCenter
*** Soruda vlan 100 kullanılması istendiğinden önce vlan 100 oluşturalım:
vlan 100
*** Şimdi de portarı vlan 100’e üye yapalım ki birbirleriyle haberleşsinler:

int ran fa 0/1-3
sw mod acc
sw acc vlan 100
no sh
exit
*** Router’lere giden portları trunk yapmıyoruz. Çünkü zaten tek vlan var
direkt bu vlan’ı router’lere taşıyabiliriz. Bu portların bağlantılarının sunucularla
haberleşmesi için bu portları da vlan 100’e alıyoruz:
int ran gi 0/1-2
sw mod acc
sw acc vlan 100
exit
*** Bu switch’e yönetim için bir MGMT IP verelim:

int vlan 100
ip add 192.168.100.253 255.255.255.0
no sh
exit
*** Bu switch’e gelen farklı IP’lerin geri dönebilmeleri için hem diğer
network’lara ulaşabilme adına OSPF yapıyoruz hem de bu switch’i, router
olarak kullanmak için IP routing yapıyoruz:
ip routing
router ospf 100
network 192.168.100.0 0.0.0.255 area 0
*** SSH için gerekli tanımları girelim:

1024
line vty 0 4
login local
transport input all
exit
ip ssh version 2
ip ssh time-out 30
enab pass cisco
384 temel network
Şimdi de routerleri konfigüre edelim:

en
conf t
*** Önce adını değiştir.

host A-Blk-Router
*** Portları UP yapalım ve gerekenlere IP verelim:

int gi 0/0
no sh
exit
int gi 0/1
no sh
ip add 192.168.100.1 255.255.255.0
exit
*** Şimdi de Gi 0/0 interface’sine katlardan gelen vlan’ları ayırabilmek için sub
interface’ler tanımlayalım:
int gi 0/0.10
enc dot 10
ip add 192.168.10.1 255.255.255.0
no sh
exit
int gi 0/0.20
enc dot 20
ip add 192.168.20.1 255.255.255.0
no sh
exit
int gi 0/0.16
enc dot 16
ip add 172.16.16.1 255.255.255.0
no sh
exit
*** Diğer router arkasındaki network’lara ulaşabilmek için OSPF tanımlarını

girelim:
router ospf 100
network 192.168.10.0 0.0.0.255 area 0
network 192.168.20.0 0.0.0.255 area 0
network 192.168.100.0 0.0.0.255 area 0
network 172.16.16.0 0.0.0.255 area 0
*** SSH komutlarını girelim:

1024
line vty 0 4
login local
transport input all
exit
ip ssh version 2
ip ssh time-out 30
enab pass cisco
386 temel network
GÜNCEL CCNA SINAV

You have discovered that computers on the 192 168 10 0/24 network can ping
their default gateway, but they cannot connect to any resources on a remote
network Which reason for the problem is most likely true?
A. The 192.168.12 0/24 network is missing from OSPF
B. The OSPF process ID is incorrect
C. The OSPF area number is incorrect.
D. An ARP table entry is missing for 192.168.10.0.
E. A VLAN number is incorrect for 192.168.10.0.
CEVAP : A
After you apply the given configuration to R1, you notice that it failed to
enable OSPF Which action can you take to correct the problem?
A. Configure a loopback interface on R1
B. Enable IPv6 unicast routing on R1.
C. Configure an IPv4 address on interface FO/0.
D. Configure an autonomous system number on OSPF.
CEVAP : C
3. Which option describes the best way to troubleshoot and isolate a network
problem?
A. Gather the facts
B. Change one variable at a time.
C. Implement an action plan
D. Create an Action plan
CEVAP : C
388 temel network
4. While troubleshooting a connection problem on a computer, you determined

that the computer can ping a specific web server but it cannot connect to TCP
port 80 on that server. Which reason for the problem is most likely true?
A. A VLAN number is incorrect.
B. A Route is missing
C. An ARP table entry is missing.
D. An ACL is blocking the TCP port.
CEVAP : D
5. While troubleshooting a DCHP client that is behaving erratcally, you discover

that the client has been assigned the same IP address as a printer that is a
static IP address. Which option is the best way to resolve the problem?
A. Configure static route to the client.
B. Assign the client the same IP address as the router.
C. Move the client to another IP subnet
D. Move the printer to another IP subnet.
E. Reserve the printer IP address.
CEVAP : E
6. Which two options will help to solve the problem of a network that is sufering
a broadcast storm? (Choose two.)
A. a Layer 3 switch
B. a hub
C. a bridge
D. an access point
E. a router
CEVAP : A,E
7. After you configure a default route to the Internet on a router, the route is
missing from the routing table. Which option describes a possible reason for
the problem?
A. The next-hop address is unreachable.
B. The default route was configured on a passive interface.
C. Dynamic routing is disabled.
D. Cisco Discovery Protocol is disabled on the interface used to reach the next
hop.
CEVAP : A
An administrator cannot connect from R1 to R2. To troubleshoot this problem,

the administrator has entered the command shown in the exhibit. Based on
the output shown, what could be the problem?
A. The serial interface is configured for the wrong frame siie.
B. The serial interface does not have a cable atached.
C. The serial interface has the wrong type of cable atached.
D. The serialinterface has a full bufer.
E. The serial interface is configured for half duplex.
CEVAP : C
390 temel network
A TFTP server has recently been instated in the Atlanta office. The network
administrator is located in the NY office and has made a console connection
to the NY router. After establishing the connection they are unable to backup
the configuration file and iOS of the NY router to the TFTP server. What is the
cause of this problem?
A. The TFTP server has an incorrect subnet mask.
B. The TFTP server has an incorrect IP address.
C. The network administrator computer has an incorrect IP address.
D. The NY router has an incorrect subnet mask.
CEVAP : A
10.After you configure a new router to connect to a host through the

GigabitEthernet0/0 port of the router, you log in to the router and observe
that the new link is down. Which action corrects the problem?
A. Use a crossover cable between the host and R1.
B. Use a straight through cable between the host and R1.
C. Configure the host to use R1 as the default gateway.
D. Use a rollover cable between the host and R1.
CEVAP : A
391
IOT
(INTERNET OF 19
THINGS)
“Nesnelerin İnterneti” internete bağlı cihaz ya da makinelerin birbirleriyle veri

alışverişi yapabilmesi anlamına geliyor. Nesnelerin interneti; çeşitli haberleşme
protokolleri sayesinde birbirleri ile haberleşen ve birbirine bağlanarak, bilgi
paylaşarak akıllı bir ağ oluşturmuş cihazları temsil ediyor. Bu sayede günlük
hayatta kullandığımız her nesne internete çıkıyor bir MAC ve IP adresine sahip
ve birbirleri ile sürekli haberleşmeleri de gerekmiyor. Elbete bir cihaz internete
erişiyorsa belli çerçevelerde internetten de o cihaza erişebilir anlamı taşıyor. Bu
erişim yönetimsel oluyor.
392 TEMEL NETWORK
Aşağıda Cisco’nun yaptığı bir araştırma sonucu var. Bu araştırmaya göre

2020 yılında tüm dünya da yaklaşık 50 milyar IoT cihazı olması bekleniyor. Bu
gerçekten de ciddi bir rakam. Aslında IPv6’ya geçişin gerekliliği biraz da bu
kadar cihazın internete katılmasından ortaya çıkıyor.
Nesnelerin internetini 2 kategoride incelemek mümkün.
Ev kullanımları ve sanayide kullanım.
Ev Kullanımları
Evinizde elektrik sisteminizin, aydınlatmanızın, ısıtmanızın, kapı ve pencere
sistemlerinin, su sistemlerinin, garaj giriş kapısının internete bağlanabildiğini
düşünün. Böylece tatile giderken ‘Ütüyü fişte mi unuttum?’ derdiniz olmayacak,
hemen cep telefonunuzdaki uygulamadan ya da internetten evinize erişerek
durumu kontrol edip gerekirse uzaktan kapatmanız mümkün olacak
desek çok bilim kurgu filmi izliyorsunuz derlerdi ama artık bu söylediğim
herşey mümkün. Bizzat ben kendi evimde birçok sistemi akıllı hale getirip
kullanıyorum. Akıllı çalışan cihazlar arası bir otomasyon, birbiriyle ilişkili bir
olay da mümkündür. Bu tür otomasyonlar için, otomasyonu yönetecek bir
sunucu ya da merkezi bir cihaza da ihtiyaç bulunmaktadır. Apple ürünleri için
bu görevi 4. nesil Apple TV, Ipad ya da HomePod, diğer ürünlerde ise Amazon
Echo yapmaktadır. İşin yönetim tarafında Microsoft ve diğer üreticilerin de ev
cihazlarını yönetim yazılımları bulunmaktadır. Bu otomasyon sayesinde evden
çıkarken sesli olarak hoşçakal siri/alexa demeniz durumunda sistem otomatik
olarak kapı ve pencerelerin kapalı olup olmadığını kontrol edebilir, açık ışıkları,
IOT (INTERNET OF THINGS) 393
muslukları, klimaları kapatabilir... Ya da bu otomasyonlar sayesinde evinizin

kapısı açıldığında televizyonunuz otomatik çalışsın, ışık yansın diyebilirsiniz.
Evinizin ısısını, nem ve hava kalitesini uzaktan kontrol edebilir, yönetebilirsiniz.
Nesnelerin İnterneti Örnekleri

Nelerdir?
Nest: Google tarafından 2014 Ocak
ayında 3.2 milyar dolara satın alınan
Nest ile evinizin/ofisinin sıcaklığını
dışarıdan kontrol edebiliyorsunuz.
Ayrıca Nest’te duman dedektörü
de bulunuyor ve herhangi bir acil
durumda sizi uygulama üzerinden
haberdar ediyor.
Hapifork: Bir akıllı çatal olan

Hapifork, hızlı yediğinizde ya
da gün içerisinde fazla yemek
tükettiğinizde sizi uyarıyor ve
düzenli beslenmenize destek
oluyor.
394 TEMEL NETWORK
Micoach Akıllı Top: Adidas markası altında çıkan bu akıllı top ile; attığınız kaç
penaltının gol olduğunu, kaç kilometre hız ile vurduğunuzu ve hangi ayakla
kaç gol attığınız gibi bilgileri uygulama sayesinde takip edebiliyorsunuz. Ayrıca
arkadaşlarınızla karşılaştırma da yapabiliyorsunuz.
Smart Things: Akıllı evler için şu anda en fazla tercih edilen ürünlerden biri
Smart Things. Ürünü akıllı telefonunuz üzerinden desteklenen cihazlarla
entegre ederek, sabah uyandığınızda kahveniz yapılmaya başlanabilir ya da
eve geldiğinizde ışıklar veya müzik sistemi otomatikman açılabilir.
Babolat: Bir akıllı raket olan Babolat; tenisçilerin topa vuruş hızlarını, vuruş
açılarını ve hangi elle/stille vurduklarını takip ediyor. Ardından da uygulama
üzerinden istatistikleri anlık olarak kullanıcıyla buluşturabiliyor.
Edyn: Bahçeler için geliştirilmiş bir akıllı ürün olan Edyn, toprağa ne ekmeniz,
nasıl ekmeniz ve toprağı hangi aralıklarla sulamanız gerektiği konusunda
önerilerde bulunuyor.
396 TEMEL NETWORK
Netatmo: Apple ve Google ürünleri ile uyumlu çalışan bu kameranın yüz

tanıma sistemi de bulunuyor. Böylece yabancı kişiyi algılayıp, alarm üretebiliyor
ve sesli olarak ‘Kızım Merve evde mi?’ diye sorabiliyorsunuz.
Ring: Bir akıllı zil üreticisi olan Ring, Amazon tarafından 1 milyar doların
üzerinde bir fiyata satın alındı. Bu zil üzerinden, evinize kimlerin geldiğini evin
dışındayken de görebiliyorsunuz.
August: Bir akıllı kilit

üreticisi olan August
sayesinde, kapıda kalmak
kavramı ortadan kalkıyor.
Artık cep telefonu ile eve
girme vaktİ.
Maid Oven: Maid Oven;

internete bağlı, üzerinden
hazır tariflere erişilebilen
ve bu tariflerdeki yemekleri
hazırlamak için size yardım
eden, tüm hazırlama ve pişirme süreçlerini ayrıca mobil cihazlarınız üzerinden
kendi uygulamasıyla kontrol etmenize olanak tanıyan, ayrıca sesli kontrol
özelliğine de sahip bir aşçı asistanı, tam anlamıyla da bir “internet fırını”. Sürekli
güncellenen tarif arşivinde gezinip, kendi tariflerinizi oluşturabiliyor ve bunu da
kendi Maid profilinizde direkt olarak Maid fırının üzerinden paylaşabiliyorsunuz,
ayrıca tariflerini beğendiğiniz kişileri takip edebiliyorsunuz. Bu anlamda
bir sosyal ağ görevi görüyor diyebiliriz. Diğer taraftan, bu girilmiş tariflerin
içerisindeki hazırlama süreçlerini size adım adım yaptırıp sonrasında o tarife
tanımlanmış pişirme ve bekleme süreleri programlamasını da otomatik olarak
kendisi yapıyor. Oldukça çekici bir tasarıma ve başarılı bir altyapıya sahip
Maid Oven, gözlerimizin merakla aradığı yeni nesil teknolojik fırın ihtiyacımızı
fazlasıyla gideriyor. Ayrıca yaptığınız yemeklerdeki kalori hesabını da kendi
içerisinde saklayan Maid Oven ile günlük, haftalık ve aylık bazda ki kalori
tüketiminizi izleyebiliyorsunuz.
398 TEMEL NETWORK
Bluesmart: Bluesmart, kendisini dünyanın ilk akıllı valizi olarak tanımlıyor.

Indiegogo üzerinden fon toplanarak geliştirilmesine başlanan Bluesmart,
kampanyaya 50 bin dolar hedefiyle başlıyor ve 1,7 milyon dolar fona
ulaşarak gelmiş geçmiş en başarılı kitle-fonlama kampanyalarından biri
oluyor. Öncelikle çok şık bir valiz olan Bluesmart; içerisindeki dijital kilit ve
mesafe algılayıcısıyla siz yanından uzaklaştığında kendisini otomatik olarak
kilitleyebiliyor, dahili tartısı ile valizinizin ağırlığını ölçüp uçuşunuzdan önce
check-in esnasında size yardımcı oluyor, konum takibi sayesinde uçuşunuzda
valiziniz kaybolduğunda ya da çalındığında size çözüm sunmuş oluyor, dahili
şarj modülü kendi üzerindeki bataryayı kullanarak telefonunuzu 6 sefere kadar
şarj edebilmenize olanak sağlıyor. Elektronik cihazlarınız için kolay erişilen ayrı
bir bölmesi olan Bluesmart, bu sayede yine uçuş öncesi check-in esnasında sizi
kargaşadan uzak tutuyor.
Ayrıca tüm bu özellikler kendi uygulaması üzerinden mobil cihazlarınız ile

kontrol edilebiliyor. Bluesmart, tüm bu sahip olduğu özellikler ile tamamen
konforlu ve problemsiz bir seyahat imkanı sunuyor. Bunun da ötesinde, diğer
servislerle bağlantı imkanını kullanarak uçuş bileti bilgilerinize erişimi ile sizi
varacağınız şehirin hava durumu ya da saat farkı gibi konularda uyarabiliyor.
Sanayi Kullanımlarından
Örnekler
Çevre
7 küsur milyarlık nüfusu ile dünya, doğal kaynaklarının yönetimi olarak büyük
bir problem haline geliyor. Nüfus artışına bağlı çevreyi korumak ise daha
karmaşık bir hal alıyor, fakat IoT; temiz su, hava kirliliği, katı atık depolama
sahası ve orman kaybı gibi problemlere çözüm üretmek için eşsiz fırsatlar
sunuyor. Sensör tabanlı cihazlar çöp ve kanalizasyonlarda veri topluyor; aynı
şekilde şehir dışında-ormanlık alanlarda; göl ve nehir yataklarında işlevsel
durumdalar. Çevreye bağlı tehditlerin bazıları kompleks olabiliyor, fakat IoT
bunun için burada diyebiliriz. En azından sorunu teşhis edip, ölçümlemek IoT
sayesinde mümkün.
Örnek Kullanım:
Air Quality Egg adında bir cihaz ile ofis ve yaşam alanlarındaki hava kalitesini
ölçümleyebiliyorsunuz. Aynı teknolojinin geniş ölçekte kullanılarak şehrin
sakinlerine havayı ne kadar kirlettikleri öğretilebilir, daha geniş ölçekte global
bir farkındalık yaratmak da mümkün.
Güneş panelleri ile çalışan BigBelly adlı bir çöp konteynırı dolduğu zaman
temizlik görevlilerine haber gönderiyor. Konteynırın boyutunun/kapasitesinin
değiştirilmesi gibi işlemler; çöp kutularının hareketlilik seviyesini kontrol
ederek gerçekleştiriliyor.
Ülkemizden çıkma bir girişim olan Evreka bunun çok güzel bir örneği. Akıllı
şehirler konsepti altında, çöplerin daha efektif bir şekilde toplanmasını sağlıyor.
Tarım
IoT, tarımsal üretimi arttırmak için her adımın gözlemlenebildiği akıllı tarlalar
kurulmasına olanak sağlıyor. Buna ek olarak, gıda güvenliği açısından IoT’un
sunduğu veri tabanlı çözümler tüketicilere yedikleri yemeğin dahi takibini
yapabilme seçeneği sunuyor.
400 TEMEL NETWORK
Örnek Kullanım:
Waterbee adıyla geliştirilen akıllı sulama sistemi, sensörler yardımıyla su

tüketimini azaltma ve toprağın durumu hakkında bilgi verme konusunda
kolaylık sağlıyor. Sistem, topladığı veriyi analiz edip, sulama sisteminin
kurulduğu alandaki toprağın ihtiyacına göre sulama işlemini gerçekleştiriyor.
Z-Trap adlı cihaz ile çiftçiler bölgedeki böcek popülasyonunu takip edip,
ürünlerini koruyabiliyor.
Enerji
Nüfus ve talep artışına bağlı olarak, global enerji tüketiminin önümüzdeki
30 sene içerisinde %50 civarında artacağı ön görülüyor. IoT’un bu konuda da
faydalı olacağından şüpheniz olmasın. IoT, global enerji sorununa; temiz enerji
teknolojileri üreterek ve hali hazırdaki ürünlerin verimliliğini optimize ederek
katkıda bulunacak.
Örnek Kullanım:
Ev ve ofis ortamında kullanabileceğiniz termostat (Nest), aydınlatma sistemleri

(Philips Hue), kuru temizleme makineleri (Whirlool) gibi hali hazırda enerji
tüketimini optimize eden cihazlar.
Kamu Düzeni ve Güvenliği

Kamu düzeni ve güvenliği devletin en önemli sorumluluk alanlarından biri.
Nesnelerin interneti, kamu güvenliğini artırmak amacıyla devlet kurumlarına
yardımcı olabiliyor. Örneğin; ani kalp durması gibi bir rahatsızlık geçiren
birinin durumunda; müdahale yapılmadan geçen her dakika kurtulma oranını
düşürür. İster doğal afet, isterse de medikal öncelik gerektiren bir durum
olsun; birbirleri arasında çabucak bilgi transferi yapan cihazlar, acil durumlarda
yardımcı olacaktır.
Örnek Kullanım:
Köprülerde zamana bağlı olarak oluşan yapısal değişiklikleri ve buna bağlı

olarak köprünün sağlık durumunu, çeşitli sensörler yardımıyla gözlemlemek
mümkün. Aşağıdaki resimde gördüğünüz Jindo köprüsü (Kuzey Kore) üzerinde
bulunan 600‘den fazla sensör ile dünyanın tam otomatik ilk köprülerinden
biridir. Bu tarz sistemler tehlike anında, köprü mühendislerine mail ya da mesaj

da gönderebiliyor.
IoT, günümüzün en trend konularından biri ve geliştirilecek olan ürünlerin

sayısı da hiç duracak gibi değil. Günlük yaşantımızda, tarım alanında, akıllı
şehir ve ev konseptinde, binalarda, enerji tüketiminde, güvenlik ve sağlık gibi
alanlarda kullanılacağı düşünülen nesnelerin interneti kavramı; bir şekilde
şu an yaşadığımız düzende değişiklik getirecek ve zamanımızı daha verimli
kullanmamızı sağlayacak. Her ürünün internete erişilebilir olmasıyla da belki
de yeni bir çağa girilecek. Kim bilebilir?
Otomobil Sektörü
Aracınızı uzaktan çalıştırma, park etme, aracın mekanik durumunu görmek
dışında aracın bakım takibinin yazılımla kontrolü, kaza anında alınacak
aksiyonlar, çalınan aracın takip ve uzaktan kısıtlamaları gibi sayamayacağım
kadar özellik günümüzde kullanımdadır.
402 TEMEL NETWORK
Packet Tracer IoT Uygulaması

End Devices/Home altından IoT cihazlarımızı topolojimize ekleyip, hepsini
bir switch’de topluyorum. Birde cihazlar arası otomasyonu yönetmek için
topolojime sunucu ekliyorum.
Sunucuma IP verip, IoT cihazlarının IP alabilmeleri için sunucuda DHCP

yapılandırıyorum:
Sırada Services’deki IoT yapılandırması var, buradan registration server

özelliğini açalım:
404 TEMEL NETWORK
Bu özelliği açtıktan sonra artık IoT sunucu olarak yazılım üzerinden hizmet
vermeye başlıyor. Sunucu da Desktop/Web Browser’e girip sunucumuzun
IP’sini yazalım:
Açılan sayfada IoE (Internet of Everything) hesabımız olmadığından Sign up

now’a tıklıyoruz. Korkmayın UP uzun form doldurmayacağız.
Create’ye basınca hesabımızı oluşturur.

Şimdi sıra geldi cihazlarımızı bu sunucuya register etmeye. Register öncesi

cihazlar kendi isimleriyle register olmaları için adlarını değiştiriyorum:
Şimdi örneğin kameraya girip registrasyonunu yapalım, önce cihazların

interface kısmından IP aldırmalısınız:
406 TEMEL NETWORK
Sonrasında Settings kısmında IoT Server bölümünde Remote Server’i seçip

gerekli ayarları giriyoruz ve Connect diyoruz.
Başarı ile register olduysa, Home Gateway sunucumuzun yazılımda

görünecektir.
Diğer cihazlarımıza da IP aldırıp, registration’larını yapalım:
Cihazlarımızı register ettiğimize göre artık birlikte çalıştırıp otomasyon

yapabiliriz. Bunun için üstteki Conditions kısmına tıklıyoruz ve Add yapıyoruz.
Burada üstten hareket sensörünü seçiyorum. Çünkü her şey bu sensörün

hareket algılamasıyla başlayacak:
408 TEMEL NETWORK
If kısmına hareket algılama ayarlarını girdikten sonra aşağıda Then Set

kısmında ise hareket algılanınca hangi cihazın ne olacağını seçiyoruz:
Yeni cihaz aksiyonu için +Action butonuna tıklayarak, diğer cihaz aksiyonlarını
da ekledim ve altta OK dedim.
Şimdi deneyelim. Sensör de hareket oluşturmak için ALT tuşuna basılı tutarken
mouse okunu sensörün üzerinden geçiriniz.
Gördüğünüz üzere hareket algılanınca otomasyon sistemi kamera kaydını

başlattı, pencereleri açtı ki eleman oradan atlasın, sonrasında fan’ı çalıştırıp,
çay koydu. Cihazların ışıklarının yandığına dikkat ediniz.
Home Gateway sunucudaki portal’da (web browser’den, 192.168.1.1‘den login

olunca) kamera kayıtlarına da bakabilirsiniz.
410 TEMEL NETWORK
Benimle, kitapla alakalı yorumlarınız ve sorularınız için kodlab.com üzerindeki

“Yazara Sor” bölümünden iletişim sağlayabilirsiniz. Konular ile ilgili videolara
da Kodlab.TV üzerinden erişebilirsiniz.
Sağlıklı, güvenli, gülümseten, sorunsuz nice günlere...
“Eve dönerken süt almanı söylemiştim. Beni neden dinlemiyorsun sen?!”

411
412
413
414
415
416
KODLAB.
Kitabın yanında “Hediye” olarak verilen eğitim videolarını
www.kodlab.tv adresinden aşağıdaki adımları uygulayarak izleyebilirsin.
KODLAB.
1 WWW.KODLAB.TV ADRESİNE GİR
2 ÜYE OL!
3 KİTABINI SEÇEREK AKTİVASYON KODUNU GİR
AKTİVASYON KODU

Temel Network - Nodrm

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Temel Network - Nodrm

Uploaded by

Copyright:

Available Formats

I

Yayın Dağıtım Yazılım ve Eğitim

1. Baskı: Şubat 2019

Sosyal Medya Sorumlusu

tel: 0(212) 514 55 66 web: www.kodlab.com

Uygulamaları yapmak için çok kullanılan 2 simülasyon programı bulunmaktadır. Bir

Size bu güzel yolda biraz da olsa yararlı olabilirsem ne mutlu bana 

1 NETWORK KABLO VE CIHAZLAR 1

2 BİR NETWORK OLUŞTURMAK 19

Network Aygıtları Arasında Kablolama 45

5 IOS - (INTER-NETWORKING OPERATING SYSTEM) 87

Administrative Distance Değerleri 129

Non Transitive Attributes 149

7 VLAN YAPISINA GIRIŞ - VTP DOMAIN 173

8 GRE TUNNEL VE GRE MULTILINK ROUTING 207

Windows Sunucularda DHCP Oluşturma 227

10 NETWORK SECURITY 245

11 STP - PVST+ 265

12 ACL (ACCESS CONTROL LIST) 285

İstenilenlere Göre ACL’leri Tanımlayalım 295

13 NAT (NETWORK ADDRESS TRANSLATION) 301

14 FRAME RELAY 311

17 KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 359

Kablosuz Ağlarda Güvenlik 360

18 TROUBLE-SHOOTING (SORUN ÇÖZME) 375

19 IOT (INTERNET OF THINGS) 391

Cat5 Türü Kablolar

Cat6 Türü Kablolar

Cat7 Türü Kablolar

Bakır kablolar uzun metrajlı kullanılamazlar. 100 metreden daha uzun

Fiber kablolar Singlemode ve Multimode olarak iki türlüdür. Multimode

ADI OS1 OS2

Singlemode fiber kablonun çekirdek çapı, Multimode kablodan çok daha

Bu da daha uzun mesafelere veri aktarımını sağlar.

Çünkü aktarımdaki çarpışmalar azalır:

Kablo çeşidine bağlı olarak kilometredeki kayıplar ise şöyledir:

9/125 Singlemode Fiber Simplex 50/125 OM3 Multimode Fiber

Kablo çeşitlerine göre maksimum uzunluk aşağıdaki gibidir:

Bağlantı Türü Fiber Kablo Türü Maks. Uzaklık

Fiber Kablo renkleri

Fiber Patch Kablosu çeşitleri

Fiber kabloların nasıl kullanıldığına, switch’e kadar nasıl geldiğine de açıklık

Fiber Patch Panel

Fiber Fusion Cihazı Farklı Fiber Patch Kablolar

Gbic Modülün Switch’e Takılması

Unmanaged (Yönetilmez) Switch’ler

Web Managed / Smart

Web tabanlı yönetimlere örnek bir arayüz

Managed (Yönetilebilir) Switch’ler

CLI yönetilebilir bir switch’in console portu

Yönetilebilir switch’ler en azından aşağıdaki özellikleri destekler:

Yönetilebilir switch’lerin en önemli avantajlarından birisi de merkezi olarak

Stack Yapısı Bağlantı Tipi 2 Switch için stack bağlantısı

POE (Power Over Ethernet) Switches

Uzaktaki bir POE ile çalışan cihazınıza

Giriş seviyesi bir router

Kablolu yayını kablosuz yayına çevirmek için kullanılan cihazlardır. 802.11 b, c,

Access Point’ler, iç ortam

Bu sistem SoftPhone dediğimiz yazılımsal telefonları da desteklediğinden

Vıdeo Conference Systems

konuşmacıya otomatik olarak odaklanıp, uzak uçlarda merkezdeki konuşan

Utm (Unified Threat

Bu cihazlar ile ağınızı saldıralara karşı konumanın yanında aşağıdaki imkanlara