Professional Documents
Culture Documents
TEMEL
NETWORK
Sinan Balcı
ISBN 978-605-2118-31-3
Yayıncılık Sertifika No: 13206
Yayına Hazırlık
Hüseyin Üstünel
Merve Nur Şengül
Grafik Tasarım
Mustafa Said Şahin
Satış ve Pazarlama
Can Üstünel
Yavuz Şengönül
Baskı: İnkılâp Kitabevi Yayın San. Tic. A.Ş. Tel: (0212) 496 11 81
Çobançeşme Mah. Sanayi Cad. Altay Sk. No:8 Yenibosna/İSTANBUL
Sertifika No: 10614
Bu kitabın bütün yayın hakları Kodlab Yayın Dağıtım Yazılım ve Eğitim Hizmetleri
San. ve Tic. Ltd. Şti.’ne aittir. Yayınevimizin yazılı izni olmaksızın kısmen veya
tamamen alıntı yapılamaz, kopya çekilemez, çoğaltılamaz ve yayınlanamaz.
KODLAB Yayın Dağıtım Yazılım ve Eğitim Hizmetleri San. ve Tic. Ltd. Şti.
Merkezefendi Mah. Mevlana Cad. Tercüman Sit. B2 Blok K:6 D:26 Zeytinburnu / İSTANBUL
Sinan Balcı
IT dünyasına Commodore 64, Amstrad, 5 çeyrek disketlerin zamanında giren yazarımız 1993 yılında
Hacettepe Üniversitesi İstatistik, 1995 yılında da Marmara Üniversitesi Eğitim Bilimleri Pedagojik
Formasyon bölümlerini tamamladı. 6 yıl Türk Telekom’un ağ güvenliği ekibinde kıdemli uzman
/ takım lideri olarak görev yaptıkran sonra özel bir IT firmasında da Sistem Yöneticiliği ve Proje
Grubu Müdürlüğü yapmıştır. 1995 yılından günümüze IT alanında çeşitli seviyelerde eğitimler
vermiş, 2003 yılından sonra da Microsoft Ağ ve Sistem eğitimleri ve Cisco CNNA, CCNP eğitimleri
vermektedir. Yazarımız İngilizce ve Rusça bilmektedir.
IT sektörünün birçok alanında proje yapmış olan yazarımız, ağ güvenliği konusunda uzmandır.
Özel ilgi alanı günümüzün gelişen trendi IOT (Nesnelerin İnterneti) ‘dir. Aynı zamanda maceracı bir
seyyah olup, 43 ülke gezmiş ve hala da gezmektedir.
IV
V
ÖNSÖZ
Değerli arkadaşım,
Ağlarla uğraşmak zordur. Her babayiğidin harcı değildir, incelikleri vardır. Dikkat edilmezse
sorunlar büyür, büyür ve sistemi durduracak konuma gelebilir. Bu kitapta 25 yılı aşkın
tecrübelerimi sizinle olabildiğince paylaşmaya çalıştım. Şüphesiz her şey kelimelere
sığamıyor ama yine de tüm detayları olabildiğince yazıya döktüm. Talip olduğunuz,
ilgilendiğiniz ağlarla uğraşmak işini yalnızca okuyarak öğrenemezsiniz. Defalarca
uygulamasını da yapmalısınız. Kitapta adım adım anlatılan uygulamaları yazılanın aynısını
yaparak yapmak da marifet değildir. Kitaptaki örneklere yeni router’ler, switch’ler, sunucular
ekleyerek büyüterek, kendiniz kendi büyük örneklerinizi yapmalısınız.
Kesinlikle şunu söylemeliyim ki, doğru yoldasınız. Ağlarla uğraşmak zevklidir de. Elbette
karşınıza çok zor çözülen sorunlar da çıkacaktır. Bu sorunları çözmek de size ayrıcalık sağlar.
Uygulamalarda ve hayatta kesinlikle sorunları çözmeden bırakmayın, vazgeçmeyin, hırslı
olun.
TEŞ EKKÜR
Kitap ile alakalı teşekkür borçlu olduğum çok kişi var. Öncelikle kitabın yazılması
konusunda istek ve teşvikleri için Şemsettin Cankurtaran bey’e, yıllarca tüm network
projelerinde bana destek olan, tecrüberim de büyük katkı sahibi sayın Mehmet Güneş
bey’e, kitabın dizgi ve basımında yardımcı olan başta Barış Elitoğ ve tüm Kodlab ekibine,
beni sadece kitap yazımında değil tüm hayatım boyunca destekleyen, yanımda olan
eşim Melahat, kızlarım; Merve, Rümeysa ve Beyza BALCI’ya, canım annem Naciye
BALCI’ya, can dostum Ali KILIÇ’a içten teşekkürlerimi bir borç bilirim.
Sinan BALCI
İÇİNDEKİLER VII
İÇİNDEKİLER
Bus Topology 21
Ring Topology 23
Star Topology 24
Mesh Topology 26
Bir Network Yöneticisinin Bilmesi Gereken Komutlar 27
Ping 27
Extended Ping 29
ARP 29
Tracert (Traceroute) 30
3 NETWORK KATMANLARI 33
Katmanlı Yaklaşım 33
OSI Modeli 33
Katmanlar (Layer) 34
OSI Modeline Göre Network Katmanları 35
Katmanlar Arasındaki İlişki 36
Application (Uygulama) Katmanı 37
Presentation (Sunuş) Katmanı 37
Session (Oturum) Katmanı 37
Transport (Taşıma) Katmanı 38
Connection-Oriented (Bağlantı-Temelli) Protokoller 38
Network Katmanı 39
Data Link (Veri Hattı) Katmanı 39
IEEE Standartlarına Göre Data Link Katmanı 40
Data Link Katmanındaki Switch ve Bridge’ler 40
Physical (Fiziksel) Katman 41
Network İletişiminde Paketlerin Yapısı 41
Cisco’nun Üç Katmanlı Hiyerarşik Modeli 43
Core Layer 44
Distribution Layer 44
Access Layer 44
İÇİNDEKİLER IX
4 IPV4 - SUBNETTING 59
IP Sınıfları 66
LoopBack Adres 66
Apipa Adres 67
Zihinden Subnet’leme 73
VLSM (Variable Length Subnet Masking) 76
Classfull - Classless IP Adresleri 78
Broadcast, Multicast, Unicast 79
3 Way Handshake 80
Komut Hataları 92
% Incomplete command 92
% Ambiguous command 92
% Invalid input detected at ‘^’ marker 92
Translating ... 93
Temel CISCO IOS Komutları 93
Interface Komutları 98
Router’ler İçin Interface’lere IP Verme, Açıklama Girme 98
Switch’ler için VLan Interface’lere IP verme 99
Erişim Tanımlama Komutları 100
Telnet erişimi 100
SSH (Secure Shell) Erişimi 101
Console erişimi 102
Web Erişimi 103
Router Şifresini Sıfırlama /Kırma 104
Router - Switch’lerin IOS ve Konfigürasyon Yedeklerinin Alınması 104
Çok Kullanılan Komutların Özeti 111
Güncel CCNA Sınav Sorularından Örnekler 112
6 ROUTER 115
Static Routing 118
Default Route 120
Dynamic Routing 121
RIP (Routıng Information Protocol) 121
RIP Versiyon 1 Özellikleri 122
RIP Version 1 konfigürasyonu 122
RIP Versiyon 2 Özellikleri 123
RIP Version 2 Konfigurasyonu 123
Passive - Interface 124
Sorun Giderme ve Takip İçin Ripv2 Authentication 124
Rip v2 Uygulama 125
İÇİNDEKİLER XI
9 DHCP 215
DHCP Konfigürasyonları 215
L3 Switch Kullanarak VLan‘lara IP Dağıtmak 219
İÇİNDEKİLER XIII
15 IPV6 319
IPv6 Adres Türleri 321
Pure IPv6 Uygulama 324
IPv6 Static Routing 326
IPv6 Default Route 331
IPv6 ACL 331
OSPF with IPv6 (OSPFv3) 333
Güncel CCNA Sınav Sorularından Örnekler 337
16 LOGGING 343
SYSLOG 343
SNMP (Simple Network Management Protocol) 344
NETFLOW 346
NetFlow Versiyonları 346
Örnek Konfigürasyon 347
CISCO Cihazlarda Konfigürasyon Değişikliklerinin İzlenmesi 348
Güncel CCNA Sınav Sorularından Örnekler 352
NETWORK KABLO
VE CIHAZLAR
1
KABLOLAR
BAKIR KABLOLAR
Cat 5, Cat 6 ve Cat 7 Kablolar günümüzde kullanılan bakır kablo çeşitleridir.
Cat5E ve sonrası modeller Gigabit bağlantıyı desteklemektedir.
Network kablolarının hangi türü olursa olsun dizilişleri düz ve çapraz kablolar
için aşağıdaki şekildedir:
FIBER KABLOLAR
Fiber kablolar genelde uzun mesafeler için ve
daha çok hız / bant genişliği gerektiren
bağlantılar için kullanılır. Büyük ve çok katlı
yapılarda katlar arası iletişim; dağınık yapısı
olan üniversite gibi yerlerde de binalar arası
iletişim için sık kullanılır. Fiber kablolar CORE
ismi verilen saç teli kalınlığında optik kablolar
içerir. Her 2 Core bir Cat6-Cat7 kablo görevini
görür. Dolayısıyla 10 Core fiber kablo
çekildiğinde 5 adet Cat kablosu çekilmiş gibi performans alınabilir. Bu da hem
yedeklilik, hem de yüksek bant genişliği sağlar. Çünkü link Aggregation /
Etherchannel teknojisi ile bu 4-5 kablo yazılımsal birleştirilerek tek bir 5 Gbps,
4 TEMEL NETWORK
50 Gbps’lık kablo gibi de kullanılabilmektedir. Fiber kablolar 1, 10, 40, 100 Gbps
hızlarını destekler.
Simplex kablo çeşitleri tek yönlü; dublex kablo çeşitleri ise çift yönlü veri
iletişimi yapabilirler.
NETWORK KABLO VE CIHAZLAR 7
Fiber kablo kullanımlarında fiber kablodaki her bir core, switch’e girmeden
önce Fiber Pach Panel’lerde sonlandırılır. Fiber patch paneller önlerinde fiber
çıkışlar bulunan pasif (elektrik bağlantısı olmayan) yapılardır.
8 TEMEL NETWORK
SWITCHES (ANAHTARLAR)
Yönetim özellikleri ve yapılarına göre switch çeşitleri:
Yönetilmez switch
Industrial (Endüstriyel)
Ethernet Switches
Genelde dış ortamdaki kamera (mobese), Access Point’ler için kullanılır.
Aşırı sıcak ve soğuğa (-40 ile +70 Derece arası gibi) dayanıklıdırlar. Geneli
yönetilebilirdir.
NETWORK KABLO VE CIHAZLAR 13
ROUTERS
Router’ler farklı network’ler arası iletişimi düzenlemek için kullanılan
cihazlardır. Bu yüzden bir router’in her bir portu farklı IP yapısında olmalıdır.
Router’ler aynı zamanda NAT, DHCP, ACL gibi işlemleri de yapabilir.
Access Poınts
Access Point
IP Cameras
IP kameralar aldıkları görüntüyü
kayıt cihazlarına ya da işlenmek
üzere workstation’lara aktarırlar. IP
kameralar; akıllı yazılımlar ile yüz
tanıma, plaka tanıma, kuyrukta
bekleyen insanları sayma, kaybolan
/ ortama bırakılan objeleri
belirleme gibi birçok yeteneğe
sahip olabilirler. IP kameralar da
network’u kullandıklarından bu cihazlara uzaktan erişmek, görüntüyü internet
üzerinden uzaktan izlemek de mümkündür.
IP Telephones
IP telefonlar standart telefon
görüşmelerinin dışında konferans
özelliği, sesli mesaj, web
arayüzünden gelen-giden-cevapsız
aramaları takip, birden fazla hat
kullanımı gibi yeteneklere de
sahiptir. IP telefonlar network
üzerinden haberleştiklerinden bir
personelin yeri değiştiğinde yeni
yerine kablo çekmek ihtiyacı olmaz,
personelin eski telefonunu yeni
yerinde telefon ağındaki bir kabloya bağlaması yeterlidir. IP telefonların
santrallerine de IP PBX denmektedir. Bunlar da yine akıllı cihazlar (yazılımlar)
olduğundan database ile haberleşmekte, örneğin; arayan bir kişinin borcu var
ise bunu database’den sorgulayıp o kişiyi aradığı kişiden önce muhasebeye
bağlayabilecek ilginç uygulamalar yapabilmektedir. Ayrıca günümüzde Bulut
Santraller sayesinde mevcut işyerinde bir santral konumlandırmadan dağınık
yapısı olan yerlerin birbirleri ile dahiliden haberleşmeleri mümkün
olabilmektedir.
16 TEMEL NETWORK
Özellikle dağınık yapısı olan, il veya ilçelerde şubeleri olup, çok fazla seyahat
ve toplantı ihtiyacı olan yerler için idealdir. Sistemler sayesinde karşılıklı,
aynı masada oturuyormuş rahatlığında iletişim kurmak mümkündür. Sistem
NETWORK KABLO VE CIHAZLAR 17
BİR NETWORK
OLUŞTURMAK
2
Network Tanımı
Network birden fazla cihazın herhangi bir protokol ile birbiriyle haberleşmesi
sonucu oluşturdukları yapıdır. Genelde bir network’u oluşturan temel yapı taşı
switch, Access Point ve router’lerdir.
Network Hızı
Network hızını belirleyen bir kaç unsur vardır. Bunlar; kullanılan cihazın
ethernet hızı, network kablosunun türü ve switch portlarının hızıdır. 2018 yılı
itibariyle en çok kullanılan ağ hızları 100 Mbps (megabit per second • saniyede
maksimum gönderebildiği megabyte değeri) ve 1000 Mbps’dir. Bunun dışında
büyük network’larda özellikle katlar ile omurga arasında 10 Gbps (Gigabit per
second • saniyede gönderilen maks gigabyte miktarı) hızı da kullanılmaktadır.)
Aynı şekilde iki switch arası 10Gbps hız isteniyorsa, switch’lerin her ikisinin de
10Gbps portu olmalı ve bağlantı bu portlarla yapılmalı, arada kullanılan fiber
yada bakır kablo 10Gbps desteklemeli, fiber kablo için uçlarındaki SFP’lerin
SFP+ yani 10Gbps destekli olması, bakır bağlantılar için ise en az Cat6 ve
uçlarının mümkünse metal connector olması gerekmektedir.
Wireless network’ler için de durum aynıdır. İstenen hızı uçtan uca tüm cihazların
desteklemesi gerekir. Örneğin aşağıdaki şekildeki network’te siz, kablosuz
bağlantınız en hızlısı olsun istediniz ve Access point’i 802.11ac Wave2 destekli
aldınız. Bu, Access Point 6.77 Gbps hıza kadar erişebilir demektir. Ancak Access
Point’i siz switch’in 100 Mbps’lik portuna bağlarsanız ya da kullanıcı tarafındaki
bilgisayardaki wireless kart bu hızı desteklemiyorsa ya da sunucu switch’e
100Mbps’lİk bir porttan bağlanıyorsa yada kullanılan kablolar düşük kalite/tür
Cat5 kablo ise yapılan yatırımın hiçbir anlamı olmayacaktır.
BİR NETWORK OLUŞTURMAK 21
Network Topolojileri
Fiziksel Topoloji
Fiziksel topoloji ağdaki cihazların birbirine nasıl bağlandıklarını, konumlarını
gösterir. Bus, Ring, Mesh ve Star çeşitleri vardır. Şimdi bunları inceleyip,
günümüzdeki kullanımları ve sık yapılan korkunç hatalara bakalım:
Bus Topology
Bus topolojisinde, sinyal tüm istasyonları dolaşır. Her bir istasyon sinyalin
adresini kontrol eder ve bu sinyalin yol üzerinde geçtiği tüm istasyonlar bu
adresin kendileri ile ilgili olup olmamaları üzerine sinyali işlerler veya pasif
bir şekilde sinyali bırakırlar. Sinyal, istasyonların birbirlerine iletmesi şeklinde
değil, kendi başına dolaşarak yol alır.
22 TEMEL NETWORK
Rıng Topology
Günümüzde kullanılan bir
topoloji değildir. Bu topoloji
de cihazlar birbirine halka
oluşturacak şekilde bağlanır.
Cihazların arkasında T
şeklinde bir connector
bulunur, bu sayede cihaza bir
uçtan giriş, sonrasında diğer
uçtan çıkış sağlanır. Bus
topoloji gibi sonlandırılması
da gerekmez. Sağlıklı değildir.
Çünkü aradaki bir cihazın
arızalanması tüm sistemi
etkiler.
Bu topolojide yaygın olarak Twisted Pair ve Fiber Optik Kablolama tipi kullanılır.
Uygun protokol ise Token Ring’tir.
24 TEMEL NETWORK
Star Topology
Burada kat 1 ile kat 2 arasındaki bağlantı tüm network’un trafiğini taşımaktadır
ve hem yavaşlık, hem de olası bir kabloda sorun olması halinde tüm network
aksayacaktır. Size şiddetle tavsiyem; elinizdeki en kaliteli switch’i (Bunun
illa Layer 3 olması gerekmez.) omurga switch olarak belirleyip, tüm kat
switch’lerini de bu switch’e bağlamanızdır. Omurga switch ile kat switch’leri
arasında da mümkün olduğunca yüksek bir hızda bağlantı kurmanızdır. Bu tür
kat bağlantılarında da tavsiyem çok core’li zırhlı fiber kablolar kullanmanızdır.
Bağlantı hızınız her core için 1Gbps bile olsa, çok core’li kablo kullandığınızdan
birkaç bağlantıyı da birleştirip (etherchannel) daha yüksek hızlı, hem de yedekli
bağlantılar elde edebilirsiniz.
26 TEMEL NETWORK
Bu tür omurga switch kullanarak, diğer kat switch’lerini bir switch’te toplayarak
oluşturulan topolojilere Extended Star Topology de denir.
MESH TOPOLOGY
Bu topolojide ağdaki switch’lerin, diğer switch’lere birden fazla bağlantısı
vardır. Böylece olası bir bağlantı kopması ya da switch bozulması halinde
sistem diğer alternatifler üzerinden trafiği devam ettirebilir.
BİR NETWORK OLUŞTURMAK 27
Bu yapının avantajları;
• Her istasyonun kendi başına diğerleri ile uçtan uca bağlantı kurmasından
dolayı, çoklu bağlantı oluşmakta ve böylece herhangi bir bağlantının kopması
durumunda, sinyalin hedefine ulaşabilmesi için diğer bağlantıları kullanması
en önemli avantajdır.
• Bir istasyondan yayınlanan sinyal farklı hedeflere yöneldiğinde çoklu oluşan
bağlantı sayesinde kısa süre içerisinde ağdaki hedeflerine varacaktır, böylece
taşınım zamanı kısalacaktır.
Dezavantajları ise;
• Ağ üzerinde az sayıda düğümün bulunduğu durumlarda ve ortam boyutunun
küçük olması halinde ortaya çıkan bağlantı miktarının çok fazla gözükmesi ve
bu durumda ağ hızının yavaşlaması.
ping <IP>
Örnek: ping 192.168.0.2 : Hedef IP’ye ufak veri paketleri gönderir alır ve
bağlantıyı test eder.
28 TEMEL NETWORK
ping <HOSTNAME>
ping SRV108 : Hedef bilgisayara paketleri gönderip, alarak bağlantıyı test eder.
Bu aynı zamanda DNS çözümlemesi testidir.
Extended Ping
Cisco cihazların desteklediği bu tür ping’de, ping’in ayrıntıları tek tek sorulup
sonra ping başlatılır. Kullanımı için yalnızca ping yazıp Enter’leyiniz. Sorulan
ayrıntılarda değiştirmek istediğiniz olursa karşısına yazınız, aksi halde
Enter’leyip devam edebilirsiniz.
Switch#ping
Protocol [ip]:
Target IP address: 192.168.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100•byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
NOT Genelde üreticilerde komut sisteminde sizden bir değer istendiğinde istek öncesi
parantez içinde bir değer var ise enter ile geçmeniz durumunda bunu kabul etmiş
varsayılırsınız.
ARP
3 Way Handshake (3 yönlü el sıkışma)’den dolayı cihazlar haberleştiği diğer
cihazların MAC adreslerini cache’lerinde tutar ve olası aynı cihazla haberleşme
gereksiniminde switch’e bu MAC adresini gönderip, ulaşmak istediklerini
söylerler. ARP Cache Cisco cihazlar için şöyle görüntülenir:
TRACERT (TRACEROUTE)
Tracert komutu, bir hedefe ulaşırken geçilen router’leri gösterir. Böyle hedefe
giderken hangi yönlendirmelerle gidildiği tespit edilir. Bu komut aynı zamanda
sorun çözmede de kullanılır. Çok büyük bir network’d bir kullanıcı, bir hedefe
ulaşamıyorsa öncelikle kullanıcıdan hedefe doğru olan tracert çıktısı istenir.
Böylece trafiğin hangi router’de kaldığı, hangi router’de olası route eksikliği
olduğu ortaya çıkarılır. Cisco’da kullanımı traceroute yazılarak olmaktadır.
Komut yazılımı ping gibidir.
Extended traceroute:
NETWORK 3
KATMANLARI
OSI modeli üreticilerin birlikte çalışabileceği ortak bir modelleme getirdi. OSI
modeli, bir bilgisayar üzerindeki verileri, network ortamı (medya) üzerinden
diğer bilgisayar üzerindeki uygulamaya aktarılmasını tanımlar.
Katmanlı Yaklaşım
Referans modeli iletişimin kavramsal olarak açıklandığı bir plandır. İki bilgisayar
(aygıt) arasıdaki iletişim için gerekli olan işlemleri katmanlar (layers) olarak
açıklar. Katmanlı model sayesinde karmaşık network işlemleri yönetilebilir
küçük parçalara bölünür. Yalnızca bir katmanı değiştirerek, iletişimi
değiştirebilecek uygulama ve aygıt tasarımcılarının daha esnek çalışabilmesini
sağlar.
OSI Modeli
OSI (Open Systems Interconnection) modeli, ISO (International Standards
Organization) tarafından geliştirilmiştir ve iki network cihazı arasındaki
iletişimin nasıl olacağını tanımlar. İlk olarak 1978 yılında ortaya çıkarılan bu
standart 1984 yılında yeniden düzenlenerek OSI (Open System Interconnect)
34 TEMEL NETWORK
olarak referans modeli olarak yayınlanmıştır. Model yaygın olarak kabul görmüş
ve network işlemi için bir kılavuz olmuştur.
OSI Modeli herhangi bir donanım ya da network tipine özel değildir. OSI’nin
amacı network mimarilerinin ve protokollerinin bir network ürünü bileşeni gibi
kullanılmasını sağlamaktır.
Katmanlar (Layer)
OSI modelinde iletişim problemi yedi katman ile çözülmüş. İki bilgisayar
sisteminin birbiriyle iletişim kurabilmesi için önce uygulama sistemin 7.
katmanıyla konuşur. Bu katman 6. katmanla ve böylece ilerler. Ardından
iletişim network hattına oradan da diğer sistemin 1. katmanına geçer. Buradan
diğer katmanlara yükselir.
OSI modeli donanım birimleri bakımından bir ayrım gözetmez. Fiziksel katman
bağlantıyı gerçekleştirmek için gerekli her bileşenle uyum içinde çalışır. Bu
bileşenler fiziksel medyanın yanısıra hub’lar, network adaptörleri vb. gibi
bileşenlerdir.
NETWORK KATMANLARI 35
Bir OSI katmanı iletişim servisini tanımlar. Katman üzerinde iletişimin kuralları
protokoller ile düzenlenir. Bir protokol verinin iletimi sağlar.
ISO standartları, network üzerindeki iletişimi sağlarken karmaşık bir yol izler.
ISO standardı yeni katmana (alt göreve) ayrılmıştır. OSI modeli olarak bilinen
yedi katman aşağıda sıralanmıştır. Günlük hayatımızda en çok adı geçen
layer’ler; Layer 2, Layer 3, Layer 7’dir.
Veri bir katmandan diğerine iletilmeden önce paketlere bölünür. Paket bir
aygıttan diğerine veri aktarmada kullanılan bir birim veridir. Her katmanda
pakete ek bilgiler (formatlama ya da adresleme) eklenir.
Verinin iletimi üst katmandan alt katmana doğru olur. Verinin kablo ile iletimi
fiziksel katman tarafından gerçekleştirilir. Diğer bilgisayarda ise önce fiziksel
katman ile karşılanan veri üst katmanlara doğru hareket eder.
Application (Uygulama) Katmanı
Bilgisayar uygulaması ile network arasında gerçek bir arabirim sağlar. Bu
katman kullanıcıya en yakın olandır. Sadece bu katman diğer katmanlara servis
sağlamaz.
İki aygıt aralarında veri alışverişi yaparken, düzenli olarak birbirlerini kontrol
ederler. Gönderilen verinin kontrolü acknowledgment işlemiyle yapılır. Onayı
beklemeden gönderilen veri miktarına window denir. Windowing işlemi bir
aygıttan diğerine ne kadar bilgi transfer edildiğini kontrol eder.
Connectıon-Orıented
(bağlantı-temelli) Protokoller
Verilerin iletiminde akış kontrolünü, hata kontrolünü yapan protokollere
bağlantı-temelli protokoller denir. Bağlantı temelli protokollerde veri
gönderilmeden önce bağlantı tesis edilmelidir:
• Bağlantı sağlanır.
• Veri transfer edilir.
• Bağlantı sonlandırılır.
Her ne kadar bağlantı temelli protokoller daha güvenli görünseler de; bağlantı
temelli servislerde bir sorun olduğunda network durur. Bağlantısız servisler ise
bu durumda verinin iletilmesini engellemezler.
NETWORK KATMANLARI 39
Network Katmanı
Network katmanının ana görevi yönlendirme (routing)’dir. Yönlendirme
işlemi paketlerin yerel network dışında, diğer network’lara gönderilmesini
sağlar. Network katmanında iki istasyon arasında en kısa yoldan verinin iletimi
sağlanır.
Logical Link Control alt katmanı, mantıksal bir arabirimi noktası kullanarak
data-link iletişimini yönetir. Bu standartlar 802.2 ile tanımlanır. Media Access
Control alt katmanı ise network adaptörü ile doğrudan iletişim kurarak
verilerin iletilmesini sağlar.
Paketlerin Yapısı
Paketler verinin yanı sıra kontol alanları da içerirler. Bunlar iletişim ve hata ile
ilgili kontrollerdir. Bir paketin içeriğinde şunlar yer alır:
• Gönderen bilgisayarı tanımlayan kaynak adresi.
• Gönderilecek veri.
42 TEMEL NETWORK
• Gideceği adres.
• Veri iletimi için komutlar.
• Alıcı bilgisayarın paketi alması ve açması için kullanacağı bilgiler.
• Verinin ulaştığını kontrol eden hata kontrolü bilgisi.
Header bilgisi verinin iletildiğini belirten bir sinyaldir. Kaynak verinin adresini,
gideceği yerin adresi ve zamanlama bilgisi bu alanda yer alır.
Veri kısmında gidecek gerçek veri bulunur. Verinin boyutu network tipine
göre değişir. Büyüklük 512 bayt ile 4 K arasında değişir. İzleyen kısmında ise
verinin hata kontrolü yapılır. Bu işleme CRC (Cyclical Redundancy Check) denir.
Frame’nin formatı CRC (Cyclic Redundancy Check) ile kontrol edilir.
Cısco’nun Üç Katmanlı
Hiyerarşik Modeli
Cisco hiyerarşik modeli büyük ve hiyerarşik network’lari tasarlamak ve
uygulamak için geliştirilmiştir. Hiyerarşik modelde üç katman vardır:
• Core Layer
• Distribution Layer
• Access Layer
Bu yapıda her katmanın kendine ait görevleri vardır ve katmanlar mantıksal bir
ilişkiyi ifade eder.
44 TEMEL NETWORK
Core Layer
Core layer (çekirdek katmanı) hiyerarşinin tepesindedir. Amacı trafiği hızlı ve
güvenilir bir şekilde aktarmaktır. Bu katmanda bir sorun olduğunda herkes
etkilenir. Bu nedenle hata toleransını düşünmek gerekir.
Distribution Layer
Bu katman, core katmanla access katmanı arasında iletişim sağlar. Bu katmanın
ana görevi yönlendirme (routing), filtreleme, WAN erişimi ve paketlerin access
katmanına erişimini belirlemektir.
Access Layer
Bu katman kullanıcıların ağ kaynaklarına erişimini kontrol eder. Kullanıcıların
gereksinim duydukları kaynakların yerel olarak erişilebilir olması gerekir. Bu
katmanda network’un bölümlenmesi (segmentation) yapılır.
NETWORK KATMANLARI 45
Ethernet Bağlantıları
Ethernet ortamındaki temel bağlantı bileşenleri şunlardır:
Türü Açıklama
50-ohm koaksiyel. Thinnet. 185 metreye kadar. Her segmentte (network’te) 30
10Base2
aygıt.
50-ohm koaksiyel. Thicknet. 500 metreye kadar. Her segmentte (network’te)
10Base5
208 aygıt.
Category 3, 4, 5. UTP kablo. Her segment 100 metreye kadar. RJ-45
10BaseT
konnektörler kullanılır.
Category 5, 6, 7. UTP kablo. Her segment 100 metreye kadar. RJ-45
100BaseTX
konnektörler kullanılır.
100BaseFX Fiber kablo. Her segment 400 metreye kadar. ST ve SC konnektörler kullanılır.
1000BaseCX Bakır kablo (Copper shielded twisted-pair). Her segment 25 metreye kadar.
Tüm bu çeşitlerin dışında artık günümüzde bakır kablo ile 10Gbps hız da elde
edilebilmektedir. Bunun için de kablonun en az Cat6 olması gerekir.
Çapraz Bağlantı
NETWORK KATMANLARI 47
Console Bağlantıları
Birçok network cihazının yönetim için özel console
bağlantısı bulunur. Bu bağlantılar aygıta bağlanmanızı
ve yapılandırmanızı sağlar.
Console Kablosu
Hub’lar teknoloji olarak en eski, aptal cihazlar olduğundan bir hub’da aynı
anda yalnızca bir cihaz veri iletişimi yapabilir. Eğer birden fazla cihaz aynı
anda veri göndermeye çalışırsa çakışma (collision) oluşur. Hub’lar MAC
bilgisini tutmazlar, kaynaktan gelen paketi her seferinde diğer tüm portlara
gönderirler. Bu yüzden her hub, bir collision domain’ini simgeler. Birden fazla
hub’ın birbirine bağlanması da yine tek collision domain’ini oluşturur.
48 TEMEL NETWORK
Basit anlamda router’in her bir interface’si bir broadcast domain’idir. Şimdi
örneklere bakalım :
Cdp Protokolü
CDP yalnızca Cisco cihazlarda çalışan bir protokoldür. Default olarak tüm Cisco
cihazlarda açık durumdadır.
NETWORK KATMANLARI 51
Drag the correct frame and packet addresses to their place in the table.
CEVAP :
CEVAP : A
52 TEMEL NETWORK
CEVAP : A,D,F
4. Which layer in the OSI reference model is responsible for determining the
availability of the receiving program and checking to see if enough resources
exist for that communicaton?
A. transport
B. network
C. presentaton
D. session
E. Applicaton
CEVAP : E
CEVAP : A
NETWORK KATMANLARI 53
6. What does a Layer 2 switch use to decide where to forward a received frame?
A. source MAC address
B. source IP address
C. source switch port
D. destination IP address
E. destination port address
F. destination MAC address
CEVAP : F
How many broadcast domains are shown in the graphic assuming only the
default VLAN is configured on the switches?
A. one
B. two
C. six
D. Twelve
CEVAP : A
54 TEMEL NETWORK
8. Which of the following correctly describe steps in the OSI data Encapsulation
process? (Choose two)
A. The transport layer divides a data stream into segments and may add
reliability and fow control information.
B. The data link layer adds physical source and destination addresses and an
FCS to the segment.
C. Packets are created when the network layer encapsulates a frame with source
and destination host addresses and protocol-related control information.
D. Packets are created when the network layer adds Layer 3 addresses and
control information to a segment.
E. The presentaton layer translates bits into voltages for transmission across
the physical link.
CEVAP : A,D
9. A receiving host computes the checksum on a frame and determines that the
frame is damaged. The frame is then discarded. At which OSI layer did this
happen?
A. session
B. transport
C. network
D. data link
E. Physical
CEVAP : D
NETWORK KATMANLARI 55
10.DRAG DROP
Match the terms on the lef with the appropriate OSI layer on the right. (Not all
options are used.)
CEVAP:
56 TEMEL NETWORK
An administrator pings the default gateway at 10.10.10.1 and sees the output
as shown. At which OSI layer is the problem?
A. data link layer
B. applicaton layer
C. access layer
D. session layer
E. network layer
CEVAP : E
CEVAP : B
13.A receiving host computers the checksum on a frame and determines that
the frame is damaged. The frame is then discarded. At which OSI layer did this
happen?
A. session
B. transport
C. network
D. data link
E. Physical
CEVAP : D
NETWORK KATMANLARI 57
What two results would occur if the hub were to be replaced with a switch that
is configured with one Ethernet Vlan? (Choose two.)
A. The number of collision domains would remain the same.
B. The number of collision domains would decrease.
C. The number of collision domains would increase.
D. The number of broadcast domains would remain the same.
E. The number of broadcast domains would decrease.
F. The number of broadcast domains would increase.
CEVAP : C,D
15.If a router has four interfaces and each interface is connected to four switches,
how many broadcast domains are present on the router?
A. 1
B. 2
C. 4
D. 8
CEVAP : C
58 TEMEL NETWORK
59
IPV4 -
SUBNETTING
4
Local IP aralıkları:
Başlangıç Bitiş
192.168.0.0 192.168.255.255
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
Bir IPv4 adresi octet’lerden oluşur. Her octet . (nokta) ile birbirinden ayrılır. Her
Octet 0-255 arası bir değer alabilir.
Bir network’taki iki client’in birbiri ile haberleşmesi için Network ID’lerinin aynı
olması gerekmektedir. Bu her ikisi de aynı network’te demektir. Network ID ise
bir client’in IP adresi ile Subnet Mask’ının AND işlemi sonucu hesaplanır. Şimdi
gelin bu işlem nasıl yapılıyor bir örnekle görelim .
Şimdi örneğimize bakalım. Aşağıdaki iki bilgisayar IP’si birbiri ile haberleşir mi?
Client 1 Client 2
IP Adresi 172.19.19.118 172.19.19.129
Subnet Mask 255.255.255.128 255.255.255.128
62 TEMEL NETWORK
Her client için network ID’leri hesaplayalım. Bu işlemden sonra çıkan Network
ID’leri aynı ise haberleşir diyoruz. Network ID’leri hesaplamak için IP’leri 10’luk
sistemden (Decimal sistem), 2’lik (Binary sistem) sisteme çevirelim. Bunu
Windows işletim sistemli bilgisayarınızda hesap makinesinin programlayıcı
görünümünde kolayca yapabilirsiniz. Aşağıdaki resimde ilk octet 172’nin
binary’ye çevirilişi yer almaktadır:
10101100.00010011.00010011.01110110 >Client 1 IP
11111111.11111111.11111111.10000000 >Client 1 Subnet Mask
---------------------------------------------------AND işlemi
10101100.00010011.00010011.00000000 >Client 1 Network ID
172 . 19 . 19 . 0
10101100.00010011.00010011.10000001>Client 2 IP
11111111.11111111.11111111.10000000>Client 2 Subnet Mask
---------------------------------------------------AND işlemi
10101100.00010011.00010011.10000000 İkinci NETWORK ID
172 . 19 . 19 . 128
IPV4 - SUBNETTING 63
Peki birbirine çok yakın iki IP neden birbirini göremedi? Bunun sebebi genelde
kullandığımız C Class’ın Subnet Mask’ından farklı Subnet Mask kullanmamızdır.
Aslına bakarsanız bir network’un büyüklüğünü Subnet Mask ayarlar.
Subnet Mask’ta bir altın kural vardır, o da Subnet Mask’ın binary halinde
”sıfırdan sonra 1 gelmez” bir yerde sıfır geldi mi hepsinin sıfır olması lazım. Bu,
kafamıza göre rastgele bir Subnet Mask yazamayız; dünyada kullanabilecek
Subnet Mask’lar sınırlı ve belli anlamına gelmektir. Peki ağımızı nasıl
genişletebiliriz ya da daraltabiliriz? Elbette Subnet Mask ile oynayarak. Mevcut
bir Subnet Mask’taki en sağdaki 1, sıfıra dönüştüğünde network’taki client
sayısı 2’ye katlanır. Bu işlemi yapmaya devam ederseniz tekrar 2’ye katlanır ve
bu böyle devam eder. Tersi de doğrudur. Yani en sağdaki 1’in yanındaki sıfır, 1’e
dönüştüğünde network 2’ye bölünmüş olur ve bunu tekrarlarsanız bölünmeye
devam eder. Örnekle açıklayalım:
Ağımızdaki bir bilgisayarın IP’si 192.168.1.75 Subnet Maskı ise sık kullanılan
C class 255.255.255.0 olsun. Şu Subnet Mask’ı binary’e çevirelim:
11111111.11111111.11111111.00000000
Fark ettiyseniz en sondaki 1’in yanına bir tane daha 1 geldi ve 1’ler arttığından
network 2’ye bölündü. Çünkü artık sonradan gelen 1’in karşısındaki, IP’deki
değer artık önem kazandı. Artık değişebilir değil. Artık o değişirse network
ID yani network değişir, çünkü and işleminin sonucu değişir. Peki şimdi ne
oldu? Artık nur topu gibi iki subnet’imiz var. Bölünmeden önce 0-255 arası
değişebilen ve 256 IP barındıran network’umuz artık yeni Subnet Mask ile
0-127 ve 128-255’lik 2 parçaya ayrıldı.(128 IP’lik 2 bölüm) Yani bu Subnet Mask
ile 192.168.1.125 ve 192.168.1.129 ayrı dünyaların insanı haline geldi. Çünkü
birisi ilk subnet’te kalıyor, diğeri ikinci subnet’te. Bu arada subnet, bölünen
network parçalarından her birine verilen isimdir. Alt network anlamını taşır.
Özetle bizim yukarıdaki 75’le biten IP artık 127’ye kadar olan IP’ler ile (kendi
bulunduğu subnet’teki IP’ler) haberleşebilir.
Şimdi bir seviye daha network’umuzu küçültelim ve yeni bir 1 daha subnet’e
altın kurala uygun ekleyelim:
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.255.192 > 11111111.11111111.11111111.11000000
Şimdi de ilk network’umuzu 4’e bölmüş olduk. (Gelen her yeni bir 2 ye böler).
Artık bu yeni Subnet Mask ile 0-63 / 64-127 / 128-191 / 192-255 arasında olmak
üzere 4 subnet’e bölünmüş olur.. Artık bizim 75’le biten IP yalnızca 64-127 arası
IP’ler ile haberleşebilir.
Bu Subnet Mask (255.255.254.0) ile artık bizim 75’le biten IP bırakın, (192.168.1.)
ile başlayan bütün IP’lerle haberleşmeyi, (192.168.0.) ile başlayan bütün IP’ler
ile de haberleşebilmektedir.
Gelin bir seviye daha büyütüp daha iyi anlamanızı sağlayalım. Orjinal Subnet
Mask’taki 2 tane 1’i (biri) 0’a (sıfıra) dönüştürüyorum:
192.168.1.75 > 11000000.10101000.00000001.01001011
255.255.252.0 > 11111111.11111111.11111100.00000000
Artık bizim 75 ile biten IP’miz yeni Subnet Mask’ı (255.255.252.0) ile 192.168.0.0,
192.168.1.0, 192.168.2.0, 192.168.3.0 network’larının hepsiyle haberleşebilir.
IP Sınıfları
Bir IP’nin hangi sınıf IP olduğu 1. octet’inin değerine göre belirlenir.
LoopBack Adres
Bu tabloda W değerlerinde bir eksiklik dikkatinizi çekti mi? 127 yok ! Çünkü
127 ile başlayan tüm IP’lere LoopBack adres denir ve bu adres zaten mevcut
IP’li client’in kendisidir. Örneğin IP’niz 192.168.1.75 ise siz ping 127.10.10.10
‘a (127 ile başlayan herhangi bir adrese) ping attığınızda pingin çalıştığını
göreceksiniz, yani karşı IP’nin cevap verdiğini. Aslında cevap veren kendi
192.168.1.75’li IP’nizdir.
IPV4 - SUBNETTING 67
Apipa Adres
Network’unuzda bir client’in 169.254.X.X ile başlayan IP aldığını görürseniz bu
IP’yi client’iniz kendi kendine üretmiş, otomatik IP alamamış demektir. Apipa
Automatic Private, IP Address kısaltmasıdır. Apipa adresleri hiç bir zaman
çakışmazlar, client’ler gerekirse kendi apipa adreslerini diğerlerine göre tekrar
düzenler. Bu adres yapısı IPv6’da da gelişerek link Local IP address halini
almıştır.
Örnek Soru 1:
Aşağıdaki gibi bir tablo yapıp soruda verilen network’un ilk IP’sini 1.subnet
başlangıç IP’si olarak yazınız:
Şimdi yeni Subnet Mask’taki 1’ler ile 0’ların karışık olduğu octet, 4.octet
olduğundan; bu ilk IP’nin 4. octet’ine, 3. adımda bulduğumuz Host ID
değerlerini ekleyerek diğer subnet’lerin Başlangıç IP’lerini bulalım:
Peki 4.subnet’in IP’leri nasıl olacak? Dikkat ettiniz ise Bitiş IP’lerinde de,
Broadcast adreslerinde de yine tüm her yerdeki gibi 4.octet Host ID kadar
artarak aşağı inmiş. Aynı şekilde 3.subnet’in Bitiş ve Broadcast IP’lerinin
4.octet’lerine Host ID değerini ekleyerek 4.subnet’inkileri bulalım :
Gördüğünüz gibi aslında hiç bölmeden önce 0-255 arası toplam 256 IP,
kullanılabilir ise 254 IP’miz var iken subnetting sonucu, her subnet’te verdiğimiz
firelerden toplamda 248 IP’miz kalıyor. Önemli olan buradaki IP kaybımız değil,
subnetting sonucu kazandığımız performanstır.
70 TEMEL NETWORK
Örnek Soru 2:
Bu soru için n=3, buradan 23=8 subnet olacak. Soruda 5 subnet istenmiş ama
malesef network’ler 2’nin üsleri kadar (2, 4, 8, 16, 32, ...) subnet’lere bölünebilir.
Dolayısıyla oluşan 8 subnet’in 5’ini kullanırlar, kalan 3 tanesini de ilerideki
genişlemelerinde kullanabilirler.
2) Yeni Subnet Mask = Eski + n
Bu soru için YSM = 16+3 = 19 Bit. Yani yeni Subnet Mask 11111111.111111
11.11100000.00000000 olur. Bu da decimal sistemde 255.255.224.0 demektir.
3) HOST ID=2(Yeni Subnet Mask’taki 1’ler ve 0’ların karışık olduğu octet’teki sıfır sayısı.)
Örneğimize göre yeni Subnet Mask’taki 1’ler ile 0’ların karışık olduğu 3. octet
de 5 sıfır olduğuna göre Host ID= 25 = 32
4) Şimdi de oluşan subnet’lerin IP aralıklarını bulalım:
Aşağıdaki gibi bir tablo yapıp soruda verilen network’un ilk IP’sini 1. subnet
başlangıç IP’si olarak yazınız:
IPV4 - SUBNETTING 71
Sonra Host ID’yi yeni Subnet Mask’ta 1’ler ile 0’ların karışık olduğu 3. octet’e
ekleyerek diğer subnet’lerin başlangıç IP’lerini bulalım:
Sizlere yardımcı olması için Subnet Mask Referans tablosu aşağıdadır. Mask
Length kısmı IP den sonraki /24 gibi yazdığımız CIDR kısmıdır.
Bu tür sitelerde de önce mevcut durum sonra da yeni Subnet Mask sorulur,
buna göre hesaplama yapar.
Bir network’u bir sürü subnet’e böldüğümüzde bu subnet’lerin her birisi nasıl
internete çıkacaklar hiç düşündünüz mü? Çünkü artık subnet’ler birbirini
görmüyor ve her subnet’teki IP’lerin ağ geçitleri kendi subnet’inde olmak
zorundaki IP’ler erişebilsin. Bu da network’te her subnet için bir ağ geçidi
demek. Buradaki bir çözüm, bazı ufak şirketlerde kullanılan modemlerde birden
fazla IP Alias tanımlayabiliyoruz. Bu sorunun asıl çözümü router kullanmak,
router’in Lan interface’sine her subnet için ağ geçitleri ayrı ayrı tanımlamaktır.
Bu da genelde Vlan sonlandırma (Inter Vlan Routing) olarak kullanılır.
Zihinden Subnet’leme
Aşağıdaki IP’ler kaçıncı subnet’te, bulunduğu subnet’in Broadcast ve Network
ID’leri nelerdir? Kaç IP’li subnet’in içinde yer almaktadır?
Gerçekten çok kolay, gelin başka bir tane deneyelim. Başka bir IP adresini
analiz edelim:
172.16.16.73 = IP Adresi
255.255.255.240 = Subnet mask
Şimdi aradığımız IP’yi (73) içine alana kadar adım değerinin katlarını bulalım:
0
16
32
48
64
80
Bir sonraki subnet’in Network ID’si 80 ise bizimkinin broadcast’ı 79’dur. Aradaki
IP’ler de kullanılabilir IP’lerdir.
0
16
32
48
6465-78 79
80
Şimdi adım değerinin katlarını aradığımız IP’yi içene alacak kadar yazalım:
0
4
8
12
16
20
Güzel bir soru daha çözelim ve subnetting’e farklı bir açıdan bakalım:
Şimdi bir router’in her interface’si farklı bir network olmalıdır. Dolayısıyla
Subnet Mask’ı öyle bir ayarlamalıyız ki client IP ile ağ geçidi aynı network’te
kalmalı ama diğer client network’u, bu network’te olmamalı. Her iki client için
de IP ve ağ geçidini içine alan en küçük subnet, 16’lık subnet’tir. Dolayısıyla
doğru cevap /28’dir.
Şimdi 192 network ID’sine göre bir önceki network’un değerlerini bulalım:
128 129-190 191
192
Sıra geldi 28 kişiye. Bunu da içine alan 2’nin kuvveti 32’lik bir bloktur. Dolayısıyla
32’lik blokların Subnet Mask’ları:
128 - /25
64 - /26
32 - /27
Sıra geldi 5 kişiye... Bu elemanlara 8’lik bir IP bloğu ayırsak yeter de artar...
Bu arada IP bloklarını ayırırken 3 IP’nin kullanılmaz olduğunu unutmayınız.
(Network ID, Broadcast address ve router’in IP’si yani milletin ağ geçidi olan
IP). Network ID, Broadcast adresi ve Default Gateway için router’e verilecek IP...
Dolayısı ile bu kişiye 8’lik bir IP bloğu fazla değil, ancak yetiyormuş.
Bir önceki subnetting’den kaldığımız 224 IP’si.. Bu değeri Network ID’si olarak
alıp devam edelim. Bu sefer 8 ekleyeceğiz:
224 (8 ekleyelim): 232
Şimdi de bir sonraki Network ID’ye (232) bakarak 224’lü subnet’in değerlerini
bulalım:
224 225-230 231
232
Classfull -
Classless IP Adresleri
Classfull adreslerde Subnet Mask’lar, IP adresinin hangi sınıfa ait olduğuyla
direk ilgilidir. IP adreslerinin ilk octet’leri sınıflarını belirlerler ve her sınıf için
Subnet Mask önceden belirlenmiş durumdadır.
Örnek vermek gerekirse 10.x.x.x gibi bir IP adresi A sınıfı bir IP adresidir ve
Classfull olarak çalışan bir sistem de bu adresin Subnet Mask’ı her zaman
255.0.0.0 olacaktır. Routing protokoller anlatılırken detaylı değinilecek RIP
ve IGRP protokolleri Classfull protokollerdir ve Subnet Mask’ı sınıflarına göre
kendileri belirlerler.
IPV4 - SUBNETTING 79
Broadcast: Bir client, bir hedef IP’ye doğru paketi göndermeden önce bu
client’in MAC adresinin kendi MAC (ARP) tablosunda olup olmadığına bakar.
Kısa süre önce haberleştiği bir IP ise muhtemel ARP tablosunda vardır ve
switch’e bu MAC’i söyler “ben bu hedefe ulaşmaya çalışıyorum” diye. Eğer
bir client hedefe gönderdiği IP’nin MAC adresini bilmiyorsa bu sefer paketi
switch’e gönderirken aradığı MAC adresi olarak FF:FF:FF:FF:FF:FF söyler.
Switch’de böyle bir MAC adresi görünce broadcast yapacağını anlar ve paketi
aldığı port hariç bütün portlarından bu paketi gönderir. İşte bu broadcast’tır.
Ben broadcast’ı birisinin kapı numarasını bilmediğinizden girişteki tüm zillere
basmaya benzetirim. Doğru kişiyi bulursunuz ama epey hayır duası alırsınız.
Unicast: Burada ise bir kaynak, bir hedefe paket gönderir. Göndereceği
hedefin MAC ve IP bilgilerini bilir ve sadece paket hedefe gider. Herhangi bir
farklı IP rahatsız edilmez.
80 TEMEL NETWORK
3 Way Handshake
Aşağıdaki gibi bir yapımız olsun:
Kaynak bilgisayar (1) önce hedef IP’yi, kendi IP ve Subnet Mask’ıyla karşılaştırıp
kendi ağlarında olup olmadığına bakar. Eğer kendi ağında olmayan bir hedef
ise doğrudan ağ geçidine gönderir. Kendi ağında olan bir hedef IP için kendi
MAC cache (ARP tablosu) tablosuna bakar. Bu hedef IP’nin (192.168.1.3) bende
MAC adresi var mı? diye tabloyu sorgular. Daha önce bu IP ile haberleşmiş ise
ARP tablosunda MAC adresi bulunur. Eğer MAC bilgisi yok ise MAC adresi olarak
kendisi FF:FF:FF:FF:FF:FF ekleyip switch’e gönderir. (SYN) Bu paketin içinde :
Switch bu paketi Fa 0/1 portundan alır. Alır almaz önce göndereni başka soran
olursa söylerim, ileride lazım olur diyerek MAC adres tablosuna kaydeder.
Sonra bakar ki hedef Mac adresi FF:FF:FF:FF:FF:FF yine bu da hedefini bilmiyor
şaşkın der ve Fa 0/1 hariç (paketi aldığı port) tüm portlarından bu isteği
gönderir (Broadcast). Ağa bağlı başka switch’ler başka bilgisayarlar varsa, bu
istek herkese ulaşır.
CEVAP : B
2. You are working in a data center environment and are assigned the address
range 10.188.31.0/23. You are asked to develop an IP addressing plan to allow
the maximum number of subnets with as many as 30 hosts each. Which IP
address range meets these requirements?
A. 10.188.31.0/26
B. 10.188.31.0/25
C. 10.188.31.0/28
D. 10.188.31.0/27
E. 10.188.31.0/29
CEVAP : D
IPV4 - SUBNETTING 83
A new subnet with 60 hosts has been added to the network. Which subnet
address should this network use to provide enough usable addresses while
wastng the fewest addresses?
A. 192.168.1.56/26
B. 192.168.1.56/27
C. 192.168.1.64/26
D. 192.168.1.64/27
CEVAP : C
The enterprise has decided to use the network address 172.16.0.0. The network
administrator needs to design a classfull addressing scheme to accommodate
the three subnets, with 30, 40, and 50 hosts, as shown.
CEVAP : E
84 TEMEL NETWORK
A network administrator atempts to ping Host2 from Host1 and receives the
results that are shown. What is the problem?
A. The link between Host1 and Switch1 is down.
B. TCP/IP is not functioning on Host1
C. The link between Router1 and Router2 is down.
D. The default gateway on Host1 is incorrect.
E. Interface Fa0/0 on Router1 is shutdown.
F. The link between Switch1 and Router1 is down.
CEVAP : C
IPV4 - SUBNETTING 85
Which subnet mask will place all hosts on Network B in the same subnet with
the least amount of wasted addresses?
A. 255.255.255.0
B. 255.255.254.0
C. 255.255.252.0
D. 255.255.248.0
CEVAP : B
CEVAP : A
8. You are working in a data center environment and are assigned the address
range 10.188.31.0/23. You are asked to develop an IP addressing plan to allow
the maximum number of subnets with as many as 30 hosts each. Which IP
address range meets these requirements?
A. 10.188.31.0/26
B. 10.188.31.0/25
C. 10.188.31.0/28
D. 10.188.31.0/27
E. 10.188.31.0/29
CEVAP : D
86 TEMEL NETWORK
CEVAP : D
CEVAP : C
CEVAP: A
87
IOS -
(INTER-
NETWORKING
5
OPERATING
SYSTEM)
Nasıl ki bir bilgisayarı oluşturan 2 temel unsurdan birisi yazılım, birisi
de donanım ise yönetilebilir cihazlarda da yazılım ve donanım birlikte
çalışmaktadır. Genelde yazılım cihaz üzerindeki anakart ile tümleşik hafıza
barındırır. Cisco’daki diğer hafıza türleri:
Herhangi bir yönetilebilir network cihazını konfigüre etmek için öncelikle ona
console kablosu ile bağlanmalısınız. Console kablosu genelde ürün ile birlikte
verilir ve aşağıdaki gibidir:
88 TEMEL NETWORK
Kablo bağlantımızı yaptık, şimdi sıra geldi yazılım ile cihazımıza bağlanmaya.
Bu bağlantı ve konfigürasyon yazılımında da iki yazılım sık kullanılmaktadır.
• Putty (ücretsiz)
• Secure CRT (ücretli)
Switch> ya da Router>
IOS Modları
User Exec Mode (Router>)
Bu mode ilk karşımıza çıkan mode’dir. Bu mod’da kulanılabilecek komutlar çok
az ve sınırlıdır. Bu modda en çok kullanabileceğiniz komutlar ping (başka bir
cihaz ya da hedefe bağlantı kontrolü), enable (privileged moda geçiş), show
(flash, saat, MAC adresi gibi ayarları görüntülemek için)
IOS - (INTERNETWORKING OPERATING SYSTEM) 91
Global Confıguratıon
Mode (Router(confıg)#)
Bu mod cihazdaki ayarları değiştirebileceğimiz mod’dur. Bu mod’da iken
privileged mod’a komutlarını kullanmak için komutun başına do eklenir.
Örneğin: do show running-config
Interface Confıguratıon
Mode (Router(ıf-confıg)#)
Bir router’deki fiziksel ya da sub interface’leri ya da switch’ler için vlan
interface’lerde ayarlamalar yapmak için kullanılır.
92 TEMEL NETWORK
Router Confıguratıon
Mode (Router(confıg-router)#)
Router’lerde dynamic routing ayarları için kullanılır.
Lıne Confıguratıon
Mode (Router(confıg-lıne)#)
Bu mod ile telnet, ssh ve console bağlantılarının ayarlarını yapabilirsiniz.
Komut Hataları
Komutların kullanımlarına başlamadan karşılaşacağınız hataları da anlatalım:
% Incomplete command
Bu hata eksik yazılan komutlarda ortaya çıkar. Komuttaki eksikliği gidermek
için komutun emin olduğunuz kısmını yazıp ? işareti ile devamı hakkında
yardım alabilirsiniz.
% Ambıguous command
Cisco’da komut satırında uzun bir komutu kısaltmalar ile de kullanabilirsiniz.
Örneğin “show running-config” gibi bir komutu kısaca “sh run” şeklinde
yazabilirsiniz. Bazen de kısaltma kullandığınız zaman çok fazla kısaltıp
çakışmalara yol açılır. Örneğin:
Switch#con
% Ambiguous command: “con”
Translatıng ...
Bu komut ise komutun en başından itibaren anlaşılamadığını ifade eder.
Aslında yazılan ifadenin bir komut karşılığı olmayınca cihaz yazılan ifadenin
telnet yapılmak istenen bir cihazın adı olduğunu düşünür ve bu adrese
broadcast yaparak bağlanmaya çalışır. Belli bir süre bekledikten sonra komut
hata verir ve devam edebilirsiniz. Eğer komutun hata vermesini de beklemek
istemiyorsanız Ctrl+Shift+6’ya basmalısınız.
Switch#sinan
Sık sık bu hatayı alıyorsanız ve hata artık canınızı sıkmaya başladıysa Global
config mod’da:
Switch(config)#no ip domain-lookup
Yazarsanız sistem broadcast ile arama yapmaz ve hemen hata mesajı verir.
Böylece gereksiz beklemeniz gerekmez, çalışmanıza hızlı devam edebilirsiniz.
Switch#?
Exec commands:
Gördüğünüz gibi clock komutundan sonra set yazıp devam etmemizi istiyor.
Yazıp tekrar yardım alalım:
Switch#clock set ?
hh:mm:ss Current Time
Switch#sh ip int br
Switch(config)#hostname switchadı
enable secret: Enable secret şifresi, şifrenin kendisini de şifreli hale getirip
enable password yerine kullanılır.
Şimdi hem enable password hemde enable secret uygulayıp aradaki farkı «Sh
run» da görelim:
!
enable secret 5 $1$mERr$IvD6p.IDwQw9IisTv9Mdb/
enable password cisco
!
hostname Sinan
Banner motd: Gerek telnet, ssh gibi uzaktan erişim metotlarıyla, gerekse
cihaza doğrudan console kablosuyla bağlanırken bir mesaj vermek istiyorsak
kullanılır:
Bu mesaj uzun olacak ise mesajın başında ve sonunda aynı işaret olmak üzere
bir sembol belirleriz. Örneğin; @ vermek istediğimiz mesaj birkaç satırdan
oluşan uzun bir mesaj ise sistem size satırlarca uyarı yazmanıza izin verir. Ne
zaman @ işaretini görürse bilir ki mesajın sonu burası.
Switch(config)#service password-encryption
INTERFACE KOMUTLARI
Router’ler için interface’lere IP verme,
açıklama girme
Interface isimleri router’lerin modeline göre değişir. Bu yüzden bir router’ın
herhangi bir interface’sine IP vermeden, ayarlarını yapmadan önce sh run
deyip interface isimlerini öğrenmelisiniz. Çünkü bir interface’nin ayarlarını
yapmak için, o interface’nin ismini yazarak içine girmelisiniz.
Gördüğünüz gibi 3 adet gigabit interface var ve hepsi de shutdown, yani kapalı
(down), yani bu interface’lere kablo takılsa bile kablo takılı demez, iletişim
olmaz. Aynı zamanda bu interface’lerin IP’lerinin de olmadığını görüyoruz. Bir
interface’e IP vermek için Global config mod’da bu interface’nin içine girmek
gerekir. Haydi yapalım:
Router(config)#int gi 0/1
Router(config-if)#
IOS - (INTERNETWORKING OPERATING SYSTEM) 99
Switch(config)#exit
How many bits in the modulus [512] ? (Kaç bitlik kripto anahtarı
oluşturulacağı sorulur. 360-2048 arası değer girilebilir. Enter ile geçerseniz
512’yi kabul etmiş olursunuz.)
102 TEMEL NETWORK
Console erişimi
Console erişimi tanımlaması da telnet’e benzer.
Web Erişimi
Sandığınızın aksine web erişimleri çok tercih edilen bir erişim değildir. Çünkü
web arayüzü ile yapılacak çok ama çok sınırlıdır.
Öncelikle Console ya da telnet ile router’e bağlanıp router restart edilir. Router
açılırken Ctrl+Break tuşlarına basılır ve router rommon mod’a düşer. Burada
şu komut girilir:
rommon 1>confreg 0x2142
rommon 2> reset
Reset komutu sonrası cihaz yeniden başlar. Restart ettiğinde görülür ki parola
marola yok :) Fakat tüm ayarlar gitmiş gibi görünür. Öncelikle ayarları geri
getirelim. Router şifresiz açıldığında:
Artık eski ayarlarımız da gelmiş olmalı. Şimdi biz bir enable şifresi verip
konfigürasyonu kaydedebiliriz. Artık başarıyla cihaza giriş yaptığımızdan
router’in register değerini tekrar eski haline getirelim. Ayarları kaydettiğimize
göre router’i tekrar restart ediyor ve Ctrl+Break ile rommon mod’a alıyoruz,
burada şu komutu giriyoruz:
NOT: Bu işlem tüm switch ve router modelleri için geçerli değildir. Genelde
önünde düğme olan modellerde belli bir süre ile switch açılırken bu düğmeye
basılı tutarak da rommon moda girilir. Daha detaylı bilgi için switch ya da
router modelinin password reset konusunu Google’de aratmalısınız.
Bu işlem için TFTP yazılımına ihtiyacınız olacak. Bu yazılımı bir bilgisayara kurup,
o bilgisayardaki firewall’ı devre dışı bırakıp, TFTP yazılımını kurduktan sonra
yazılım üzerinde hem veri almaya, hem de veri göndermeye izin vermelisiniz.
Portable TFTP yazılımları da mevcuttur.
TFTP servisimiz açık. Buradaki default dosyaları da Remove File ile kaldırıyorum
ki kalabalık etmesinler.
108 TEMEL NETWORK
Evet artık herşey hazır. Önce switch’in running-config yedeğini TFTP’ye alalım.
Switch’e girip aşağıdaki komutları uygulayalım:
Router için de komutlar tamamen aynıdır. Şimdi de IOS yazılımının bir yedeğini
alalım. Bu işlem için önce IOS yazılımının bilgilerine ihtiyacımız var. Bu bilgileri
sh version ya da sh flash: diyerek öğrenebiliriz.
IOS - (INTERNETWORKING OPERATING SYSTEM) 109
Öncelikle ayarlarımızı geri almak için bu yeni switch’in TFTP ile haberleşmesi
lazım, bunun için de bir IP’ye ihtiyacı var. Hemen vlan1’ine bir IP verelim:
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int vlan 1
Switch(config-if)#no sh
GÜNCEL CCNA
SINAV SORULARINDAN ÖRNEKLER
1. Which command encrypts all plaintext passwords?
A. Router) service password-encryption
B. Router(config)# password-encryption
C. Router(config)# service password-encryption
D. Router) password-encryption
CEVAP : C
2. Which two commands can be used to verify a trunk link configuration status
on a given Cisco switch interface? (Choose two.)
A. show interface trunk
B. show interface interface
C. show ip interface brief
D. show interface vlan
E. show interface switchport
CEVAP : A,E
CEVAP : E
IOS - (INTERNETWORKING OPERATING SYSTEM) 113
CEVAP : B
CEVAP : A
CEVAP : B
114 TEMEL NETWORK
CEVAP : B,C
8. Which two Cisco IOS commands, used in troubleshooting, can enable debug
output to a remote location? (Choose two)
A. no logging console
B. logging host ip-address
C. terminal monitor
D. show logging | redirect fashioutput.txt
E. snmp-server enable traps syslog
CEVAP : B,C
115
ROUTER 6
Switch(config)#ip routing
komutuna ihtiyaç vardır. Şimdi gelin basit bir routing yapalım ve komutlara bir
göz atalım:
R1(config-if)#
ROUTER 117
R1(config-if)#
R1(config-if)#exit
R1(config)#
ve işlem bu kadar. Artık sağdaki client’ten soldakine ping atabiliriz. (Tabi client
bilgisayarlara da IP, Subnet Mask ve ağ geçidini tanımlamalısınız.)
118 TEMEL NETWORK
Statıc Routıng
Her router yalnızca kendisine direkt bağlı olan network’ları bilir. Bunlara
connected route denir. Örneğin Ankara router’i yalnızca kendisine bağlı
192.168.1.0 ve 10.10.10.0 network’larını bilmektedir. Yani kendisine gelen ve
hedefi bu network’lar olan paketleri yönlendirebilir. Dolayısıyla Ankara’daki
Sinan, İskilip’deki Melahat’ına ulaşmak için ping 192.168.2.2 dediğinde
Sinan’ın bilgisayarı hedef IP kendi network’unda olmadığından ping paketini
ağ geçidine yani Ankara router’ının iç bacağına gönderir. Ankara router’i,
192.168.2.0 network’unu bilemediğinden paketleri çöpe atar ve erişemez.
Ankara router’ine göremediği 192.168.2.0 network’unun İskilip router’inin
arkasında olduğunu söylememiz gerekiyor.
ROUTER 119
Artık her iki kullanıcı da birbirine ulaşabilir. Gerçek hayatta eksik routing
tanımlarından dolayı bize gelen pinglerin geri dönemediğini ya da bize kadar
ping paketinin gelip gelemediğini öğrenmek için Wireshark türü yazılımlar
kullanılır.
Örneğin:
DEFAULT ROUTE
Peki internete erişimlerde nasıl bir route kuralı yazılmalıdır? İnternet dediğimiz
o büyük network, tüm IP’leri içermektedir. Bu durumda tüm IP’ler, şu IP’nin
arkasındadır demek için şöyle bir static route yazılır:
DYNAMIC ROUTING
Gerçek dünyamızda özellikle de internette bir sürü router vardır. Bir router’in
arkasına yeni bir network eklenince, bu yeni network’a erişim için tüm diğer
router’lerde yeni network şu IP’nin arkasındadır diye static route girmek gerekir.
Bu da uygulanabilir değildir. Öyleyse aslında her router’in kendi arkasındaki
networkleri belli aralıklarla diğer router’lere anonslayacağı bir sisteme ihtiyaç
vardır. Buna dynamic routing denir. Dynamic routing protokolleri 3 sınıfta
incelenir:
Distance Vector (Rip, IGRP, BGP): Bu yöntemde router’ler bir hedefe birkaç
farklı yoldan erişebiliyorsa, en kısa yolu seçmek için hedefe giderken kaç router
geçtiklerine bakarak karar verir. Az sayıda router, geçtikleri yol en anlamlı
yoldur diye seçim yaparlar. Distance vector router’lerin birbiri ile databaselerini
paylaşmaları ile oluşan yapıdır.
Hybrid (EIGRP): Bu yöntemde bir hedefe giden en kısa yol hem geçtiği router
sayısı hem de bağlantı hızı korelasyonla hesaplanarak en kısa yol hesaplanır.
Yalnızca EIGRP bu yöntemi kullanır.
RIP
(ROUTING INFORMATION PROTOCOL)
Rip Distance Vector, bir protokoldür. Distance Vector Protocole’ler, routing
table update mantığıyla çalışırlar. Yani, belirli zaman aralıklarında sahip
oldukları network bilgilerini komşu router’lerine gönderir, aynı şekilde komşu
router’lerinden de aynı bilgileri alırlar. Bu döngünün sonunda her router,
sistemdeki bütün network’ları öğrenmiş olur ve uygun yol seçimini yaparlar.
Periyodik güncelleme sıklığı default da 30 saniyedir.
tane router geçebileceği anlamına geliyor. Bu sayı aşıldığında, yani 16. hop’a
gelince, destination unreachable (kaynak bulunamadı) hatasını verir. Bu
kısıtlama yanlış anlaşılmamalıdır. Yani bir merkeze bağlı 30 tane router’in hepsi
de Rip ile dynamic update yapsa sorun olmaz. Buradaki kısıtlama ard arda
geçilen router sayısıdır.
Rip generic bir routing protokoldür. Yalnızca Cisco’ya özgü bir protokol
değildir ve diğer üreticiler de kullanır.
Rip, 2 farklı şekilde kullanılır. Bunlar, Rip Version 1 ve RIP Version 2 şeklindedir.
Elbette versiyon 2 daha gelişmiştir ve bu tercih edilir.
Router#conf t
Router(config)#router rip
RIPv1 ayarlı bir router, RIPv2 güncellemelerini de kabul eder; fakat RIPv2
kullanan bir router, sadece RIPv2 güncellemelerini kabul eder.
Split Horizon: Bir router aldığı network bilgisini aldığı interface’den geri
göndermez. Bu distance vector protokollerde default vardır.
Router(config-router)#network 192.168.10.0
Passive - Interface
Bir interface pasif interface olarak girilirse buradan routing update’leri
gönderilmez. Özellikle router olmayan fastethernet ya da kullanıcı
network’larına doğru olan bağlantılar için kullanılır.
Ripv2 Authentication
Rip v2 konuşan router’lerin update’leri sırasında authentication sağlanabilinir.
Bunun için Global Konfigürasyon modunda “key” komutu kullanılmalıdır.
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string Sifre
Rip v2 Uygulama
Corum(config-if)#no sh
Corum(config-if)#no sh
126 TEMEL NETWORK
Corum(config-router)#exit
Ankara(config-if)#no sh
Ankara(config-if)#no sh
Ankara(config-if)#ex
Ankara(config-router)#end
(Tüm ayarlarımız bitti. Şimdi acaba her iki router de diğerinin arkasındaki
network’u öğrenmiş mi kontrol edelim.)
Ankara#sh ip route
Switch>
Switch>en
Switch#conf t
Corum-SW(config)#
Corum-SW(config-if)#no sh
Corum-SW(config-if)#
Corum-SW(config-if)#exit
Corum-SW(config)#
Corum-SW(config)#end
Corum-SW#
Writing running-config.....!!
ROUTER 129
Corum-SW#
IGRP
(Interıor Gateway Routıng Protocol)
IGRP, Rip protokolünün benzeridir ancak Rip’ten daha başarılıdır. IGRP’de
olabilecek en fazla hop değeri 255’tir ve basamak sayısı değeri sadece 15 olan
RIP’e göre farkını ortaya koymaktadır.
Bununla birlikte, yönlendirme metriği olarak kullanılan tek özellik hop sayısı
değildir; IGRP, Rip’ten farklı olarak; hat gecikmesi, bant genişliği, güvenilirlik ve
yük durumu gibi değerleri de metrik olarak kullanır.
IGRP’nin Özellikleri
IGRP, Routing Table’sini default olarak 90 saniyede bir komşu Router’lere
255.255.255.255 broadcast adresinden anonslar.
Yine default olarak 3x90 yani 270 saniye sonra hala update gelmeyen
network’larını invalid kabul eder fakat bu network bilgisini Routing
Table’sinden silmez. Ek olarak, bu network ile ilgili daha büyük metrik değerine
sahip update’leri kabul etmez.
Daha büyük metrik değerine sahip update’leri ancak Hold down Timer
süresinin sonunda kabul eder ki bu süre 280 saniyedir. Bu noktadan sonra IGRP
ile yapılandırılmış router, kaybettigi network bilgisini silmese de, daha büyük
metrik değeri ile gelebilecek update’leri kabul edecektir.
IGRP konfigurasyonu
Router>enable
Router#conf t
Router(config-router)#network 10.1.2.0
Eıgrp’nin Özellikleri
no auto-summary komutu ile classless olarak da çalışabilir.
Sınırlı güncelleme (bounded update) yapar. Routing table tamamı değil sadece
değişen kısım güncellenir.
EIGRP birbirine bağlı olarak 3 adet tablo tutar. (Neighbor Table, Topology Table,
Routing Table)
132 TEMEL NETWORK
EIGRP, harici bir paketten gelen update bilgisini Routing Table’de EX (External)
olarak belirtir.
EIGRP Konfigürasyonu
Router(config)#router eigrp 100 (Buradaki değer tüm router’lerde aynı
olmalıdır. Sistem buna göre multicast yapar.)
Router(config-router)#network 192.168.1.0 (192.168.1.0 network’unu
anonsluyoruz.)
Router(config-router)#network 192.168.2.0 (192.168.2.0 network’unu
anonsluyoruz.)
Router(config-router)#passive-interface gi 0/0 (Lan tarafına doğru
update paket gönderilmesini engelliyoruz.)
Router(config-router)#no auto-summary (Unutmadan classless de yapalım.)
134 TEMEL NETWORK
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host Corum
Corum(config)#int gi 0/1
Corum(config-if)#no sh
Corum(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Corum(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host Ankara
Ankara(config)#int gi 0/0
Ankara(config-if)#no sh
Ankara(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
Ankara(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
136 TEMEL NETWORK
Ankara(config-if)#
Ankara(config-if)#
Ankara(config-if)#desc Ankara-LAN
Ankara(config-if)#ip add 192.168.2.1 255.255.255.0
Ankara(config-if)#ex
Ankara(config)#router ei
Ankara(config)#router eigrp 100
Ankara(config-router)#no au
Ankara(config-router)#no auto-summary
Ankara(config-router)#pas
Ankara(config-router)#passive-interface gi 0/1
Ankara(config-router)#network 1.1.1.0
Ankara(config-router)#
%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 1.1.1.2
(GigabitEthernet0/0) is up: new adjacency
Ankara(config-router)#network 192.168.2.0
Ankara(config-router)#ex
Ankara(config)#end
Ankara#
%SYS-5-CONFIG_I: Configured from console by console
Ankara#
ROUTER 137
OSPF enable edilmiş router’ler, tüm portlarından OSPF hello paketi gönderirler.
Bu paketlerin içinde network bilgisi ve link hızı vardır. Belirlenen komşu
router’ler arasında sanal bir point to point bağlantı kurulur. Bu bağlantı
kurulduktan sonra LSA (Link State Advertisement) paketleri göndermeye
başlar. LSA paketlerini alan her bir router, kendi routing tablosuna bunları
yazar ve bir kopyasını da komşu router’e gönderir. Her 10 saniyede bir router
komşularına hello paketi gönderir. 4 kez yani 40 saniyede cevap alamazsa
komşunun down oldugunu düşünür. İstenirse IP ospf dead interval
komutuyla degistirilebilir. Komşu down ise tekrar yeni yolu bulup yeni
topolojiyi çıkartır. Değişiklik yoksa bile 30 dakikada bir tüm topolojiyi kontrol
eder. Her interface’yi bir area’ya atamak zorundayız.
OSPF’in Özellikleri
• Administrative distance değeri 110’dur.
• Classless routing yapabilir. İstediğiniz sınıf IP’leri istediğiniz Subnet Mask ile
rahatça kullanabilirsiniz.
• Network topolojisinde bir değişiklik olması durumunda, değişiklik olan router
tarafından diğer router’lar güncelleme için tetiklenir.
• Area kullanımı sayesinde alt ağlarda birbirleriyle haberleşme yapabilecek
router’lar rahatlıklar belirlenebilir.
• Diğer router’lar ile haberleşmelerinde paketler MD5 şifrelemesiyle güvenli
olarak iletilir.
• Network anonslamalarında WildCard mask kullanılır. Bu değerler pratik
olarak 255.255.255.25’den çıkarılarak elde edilir. Örneğin Subnet Mask’ı
255.255.255.0 olan bir network’un Wildcard Mask’ı 0.0.0.255 ya da Subnet
Mask’ı 255.255.255.252 olan bir network’un da Wildcard Mask’ı 0.0.0.3’tür.
• 10 saniyede bir güncelleme paketi gönderilir.
138 TEMEL NETWORK
Stub Area Flag: Hangi tip LSA (Link State Advertisement) mesajlarının
gönderileceği ve alınacağı bilgisini içerir.
OSPF Konfigürasyonu
Router(Config)#router ospf 100 (Bu değer güncelleme yapılacak diğer
router’lerde de aynı olmalıdır.)
Router SPF algoritması ile tüm network’un bir haritasını çıkarır. Bunun için
topladığı LSDB paketlerini kullanır. Bu tüm ağın haritası 30 dk bir kontrol edilir.
OSPF Authentication
Her router her router’le ospf güncellemeleri yapamasın, sadece bizim
belirlediğimiz router’ler birbiri ile güncellensin isteniyorsa, OSPF authentication
uygulanmalıdır. Bunun için diğer router’lere doğru bağlantı sağlayan interface
altında:
Router(config-if)#ip ospf authentication
Router(config-if)#ip ospf authentication-key sifre
Statik route yazıldığında karşı hedefin down olması durumunda statik route
otomatik olarak kaldırılmaz. Router hala hedef network’a ulaşmak isteyen
paketleri down olan IP’ye doğru yönlendirmeye devam eder.
Corum(config-if)#
Corum(config-if)#
Corum(config-if)#ex
Corum(config-router)#exit
Corum(config)#
Router>
Ankara(config-if)#
Ankara(config-if)#
Ankara(config-if)#exit
Ankara(config-router)#end
Ankara#
Ankara#
Ankara için de ayarlarımız bitti. Kontrol edelim bakalım, Çorum iç ağını OSPF
ile öğrenmiş mi?
Corum-SW(config-if)#no sh
Corum-SW(config-if)#
Corum-SW(config-if)#exit
Corum-SW(config)#end
Corum-SW#
Writing running-config.....!!
Corum-SW#
146 TEMEL NETWORK
BGP’nin özellikleri
• BGP, IP adreslerinin özetlenebileceği CIDR, “Classless Inter-Domain Routing”i
destekler.
• BGP iletişim için TCP 179. portu kullanır.
• 60 saniyede bir 19 byte uzunluğunda bir paket, TCP 179. Port kullanılarak
gönderilir.
• BGP, TCP kullandığından dolayı diğer yönlendirme protokollerindeki gibi
doğrulama işlemi yapılmaz.
• Güncelleme paketlerinde sadece değişen rotalar gönderilir.
• Bağlantınının güvenliğinin sağlanması için MD5 (Message Digest algorithm)
ile erişimin yetkilendirmesi sağlanılır.
• BGP, otonom sistemin içinde veya dışında çalışmasına göre ikiye ayrılır.
IBGP
(Interior Border Gateway Protocol)
Aynı otonom sistem içinde bulunan yönlendiricilerin birbirleriyle komşuluk
kurarabilmesi için IGBP, Interior Border Gateway Protocol kullanılır. Bu
protokol kullanılarak komşudan öğrenilen ağ bilgisi yönlendici tablosuna
“administrative distance” değeri 200 olacak şekilde eklenir.
BGP TABLOLARI
BGP’nin kullandığı 3 adet tablo vardır:
Neighbor (Komşu) Tablosu
Yönlendiricinin komşuluk kurduğu cihazların bulunduğu tablodur.
BGP Tablosu
Diğer cihazlardan alınan güncelleme bilgilerinin bulunduğu tablodur.
IP Yönlendirme Tablosu
BGP tablosunda bulunan en iyi rotalar bu tabloda bulunur.
BGP öznitelikleri
Well Known Attributes: Bütün BGP güncelleme mesajlarında bulunur.
Next Hop: Hedefe giderken, gidilecek olan bir sonraki yönlendiriciyi belirtir.
External(e): Dış Sınır Geçit Protokolü ile belirlenir. “e” harfi ile tanımlanır.
Transitive Attributes
Aggregator: Otonom sistem içerisindeki rota özetlemesini yapan
yönlendiriciyi tanımlar.
Router>en
Router#conf t
Router(config)#host R2
R2(config)#int gi 0/0
R2(config-if)#no sh
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#int gi 0/1
R2(config-if)#no sh
R2(config-if)#ip add 1.1.1.2 255.255.255.252
R2(config-if)#ex
ROUTER 151
Yukarıdaki topolojide soldaki kısım Rip ile sağdaki kısım, OSPF ile dynamic
routing yapmaktadır. Böyle bir durumda soldaki Rip protokolünün OSPF
üzerine, sağdaki OSPF protokolünün de Rip üzerine redistribute edilmesi bir
nevi çevrilmesi gerekmektedir. Şimdi bunu nasıl yapacağımıza bakalım.
Öncelikle temel yapılandırmaları yapıp bir uçtan bir uca erişimin olup
olmadığına bakalım.
R1(config-if)#no sh
R1(config-if)#ip add 172.17.17.2 255.255.255.0
R1(config)#exit
R1(config)#router rip
R1(config-router)#ver 2
R1(config-router)#no auto
R1(config-router)#net 172.17.17.0
R1(config-router)#net 192.168.1.0
R1(config-router)#exit
R0(config-router)#ver 2
R0(config-router)#no auto
R0(config-router)#net 172.17.17.0
R0(config-router)#red ospf 100 met 2
R0(config-router)#exit
R0(config)#router ospf 100
R0(config-router)#net 172.16.16.0 0.0.0.255 area 0
R0(config-router)#red rip subn
R0(config-router)#exit
R1 (config)#int f 1/1
R1 (config-if)#no sh
R1 (config-if)#ip add 3.3.3.1 255.255.255.0
R1 (config-if)#exit
Şimdi yedeklilik için bir track tanımlıyoruz. Buradaki track sayesinde, router
bir hedef IP’yi periyodik pingleyecek ve ulaşamaz ise track ile yazılan route
kaldırılacak ve daha büyük distance değerli diğer route devreye girecektir.
R1 (config-ip-sla)# fre 3 (Her 3 sn’de bir karşı taraf ayakta mı diye bakacak.)
R1 (config-ip-sla)# exit
Böylece sistemi devreye aldık. Şimdi sıra default route’leri girmekte. Üstteki
bağlantı ayakta ise üsttekini kullan, değilse alttaki bağlantıyı kullan diyelim:
R1# sh track 10
156 TEMEL NETWORK
HSRP’de router’ler kendi aralarında bir sanal ağ geçidi oluşturur ve hangi router
aktif ise o router, bu sanal ağ geçidinin MAC adresi olarak kendi MAC adresini
yayınlayarak trafiği üzerine alır. Şimdi gelin bu protokolün nasıl çalıştığını bir
örnekle görelim:
(Burada biz R1’e birincil router’sin demiş olduk. Çünkü normalde öncelik
numarası varsayılan olarak 100’dür. Bu değerden daha büyük değerler
verildiğinde önceliği artırılmış olur.)
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 1 state Speak -> Standby
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 1 state Standby ->
Active
R1(config-if)#standby 1 preempt
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
158 TEMEL NETWORK
Router(config)#host Bim1
Bim1(config)#int gi 0/1
Bim1(config-if)#no sh
Bim1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Bim1(config-if)#
Bim1(config-if)#
Bim1(config-if)#ip add 192.168.0.253 255.255.255.0
Bim1(config-if)#standby 10 ip 192.168.0.254
Bim1(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/1 Grp 10 state Speak ->
Standby
Bim1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host Bim2
Bim2(config-if)#int gi 0/2
Bim2(config-if)#no sh
Bim2(config-if)#
Bim2(config-if)#ip add 192.168.0.252 255.255.255.0
Bim2(config-if)#standby 10 ip 192.168.0.254
Bim2(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/2 Grp 10 state Speak ->
Standby
Bim2(config-if)#int gi 0/1
Bim2(config-if)#no sh
Bim2(config-if)#ip add 200.200.200.5 255.255.255.252
Bim2(config-if)#ex
Bim2(config)#router rip
Bim2(config-router)#ver 2
Bim2(config-router)#net 192.168.0.0
Bim2(config-router)#net 200.200.200.4
Bim2(config-router)#
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host Wan
Wan(config)#int gi 0/2
Wan(config-if)#no sh
Wan(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/2, changed state to up
Wan(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
Wan(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
Wan(config-if)#
Wan(config-if)#ip add 200.200.200.6 255.255.255.252
Wan(config-if)#
Wan(config-if)#ex
Wan(config)#router rip
Wan(config-router)#ver 2
Wan(config-router)#net 192.168.1.0
Wan(config-router)#net 200.200.200.0
Wan(config-router)#net 200.200.200.4
Wan(config-router)#exit
Wan(config)#
Route Summarization
With EIGRP
Buradaki örneğimizde R2, R3’e doğru 4 ayrı network’u EIGRP ile
anonslamaktadır. Network’lar birbirine yakın olduğundan bu network’ları
sadeleştirip her seferde router’lerin 4 adet değil de 1 özet routing update
yapması router’lerin yükünü azaltacaktır.
R3(config)#end
R3#
R3#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B
- BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Ve bu kadar. Şimdi diğer router’e gidip yeni yaptığımız özet anonsu alıp
almadığına bakalım:
R3#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B
- BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Güncel Ccna
Sınav Sorularından Örnekler
1. Drag the Cisco default administrative distance to the appropriate Routing
protocol or route. (Not all options are used.)
CEVAP :
2. DRAG DROP
Routing has been configured on the local router with these commands:
Local(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
Local(config)# ip route 10.1.0.0 255.255.255.0 192.168.2.2
Local(config)# ip route 10.1.0.0 255.255.0.0 192.168.3.3
Drag each destination IP address on the left to its correct next hop address on
the right.
166 TEMEL NETWORK
CEVAP :
CEVAP : C
ROUTER 167
CEVAP : A,C,E
CEVAP : C
6. What OSPF command, when configured, will include all interfaces into area 0?
A. network 0.0.0.0 255.255.255.255 area 0
B. network 0.0.0.0 0.0.0.0 area 0
C. network 255.255.255.255 0.0.0.0 area 0
D. network all-interfaces area 0
CEVAP : A
7. Which commands are required to properly configure a router to run OSPF and
to add network 192.168.16.0/24 to OSPF area 0? (Choose two.)
A. Router(config)# router ospf 0
B. Router(config)# router ospf 1
C. Router(config)# router ospf area 0
D. Router(config-router)# network 192.168.16.0 0.0.0.255 0
E. Router(config-router)# network 192.168.16.0 0.0.0.255 area 0
F. Router(config-router)# network 192.168.16.0 255.255.255.0 area 0
CEVAP : B,E
168 TEMEL NETWORK
8. What command sequence will configure a router to run OSPF and add network
10.1.1.0 /24 to area 0?
A. router ospf area 0
network 10.1.1.0 255.255.255.0 area 0
B. router ospf
network 10.1.1.0 0.0.0.255
C. router ospf 1
network 10.1.1.0 0.0.0.255 area 0
D. router ospf area 0
network 10.1.1.0 0.0.0.255 area 0
E. router ospf
network 10.1.1.0 255.255.255.0 area 0
F. router ospf 1
network 10.1.1.0 0.0.0.255
CEVAP : C
9. What are two benefits of using a single OSPF area network design? (Choose
two.)
A. It is less CPU intensive for routers in the single area.
B. It reduces the types of LSAs that are generated.
C. It removes the need for virtual links.
D. It increases LSA response times.
E. It reduces the number of required OSPF neighbor adjacencies
CEVAP : B,C
10.Which command can you enter to verify that a BGP connection to a remote
device is established?
A. show ip bgp summary
B. show ip community-list
C. show ip bgp paths
D. show ip route
CEVAP : A
ROUTER 169
11. Which routing protocol has the smallest default administrative distance?
A. IBGP
B. OSPF
C. IS-IS
D. EIGRP
E. RIP
CEVAP : D
12. Which two components are used to identify a neighbor in a BGP configuration?
(Choose two.)
A. autonomous system number
B. version number
C. router ID
D. subnet mask
E. IP address
CEVAP : A,E
13.If you change the weight and distance parameters on a device with an
established bgp neighbor, which additonal task must you perform to allow
two devices to contnue exchanging routes ?
A. Change the weight and distance setngs on the other device to match
B. reset the gateway interface
C. reset the BGP connection s on the device
D. Clear the IP routers on the device
CEVAP : A
170 TEMEL NETWORK
14.A router has learned three possible routes that could be used to reach a
destination network. One route is from EIGRP and has a composite metric of
20514560. Another route is from OSPF with a metric of 782. The last is from
RIPv2 and has a metric of 4. Which route or routes will the router install in the
routing table?
A. the OSPF route
B. the EIGRP route
C. the RIPv2 route
D. all three routes
E. the OSPF and RIPv2 routes
CEVAP : B
The company uses EIGRP as the routing protocol. What path will packets take
from a host on the 192.168.10.192/26 network to a host on the LAN atached to
router R1?
A. The path of the packets will be R3 to R2 to R1.
B. The path of the packets will be R3 to R1 to R2.
C. The path of the packets will be both R3 to R2 to R1 AND R3 to R1.
D. The path of the packets will be R3 to R1.
CEVAP : D
ROUTER 171
CEVAP : D
CEVAP : D,F
172 TEMEL NETWORK
CEVAP : C
173
VLAN YAPISINA
GIRIŞ - 7
VTP DOMAIN
Bu aşamadan sonra artık bir vlan’daki bilgisayarların IP’si ne olursa olsun diğer
vlan’a ulaşması mümkün olamayacaktır. Eğer diğer vlan’lara da ulaşmasını
istersek o zaman vlan’ları L3 bir switch ya da router’de sonlandırıp, IP verip
vlan’lar arası geçişleri kontrol edebiliriz.
Şimdi olayı bir boyut ileriye taşıyalım ve daha karmaşık bir yerdeki vlan yapısını
kuralım. Çok katlı bir yerde her katta farklı bölümlerin görev yaptığını ve bu
bölümlerin birbirine erişimlerinin kontrol altında tutulduğu bir yapıyı kuralım.
176 TEMEL NETWORK
Çok sayıda switch’in olduğu ve her switch’te bir sürü vlan’ın olduğu bir ağda,
switch’lerde tek tek tüm vlan’ları oluşturmak ciddi zaman alacaktır. Bu yüzden
merkezi bir switch’i VTP server switch olarak belirleyip, diğer switch’lerin bu
switch’den tüm vlan’ları otomatik olarak çekmesini sağlayabiliriz.
Sonrasında ilgili switch’in VTP modu’na karar veriyoruz. Tüm switch’ler default
da, server mod’da gelirler. Server mode üzerindeki vlan’ları client mod’da olan
switch’lere aktarır.
Switch(config)#vtp mode server
Switch(config)#vlan 3
Switch(config-vlan)#name server
Switch(config)#vlan 99
Switch(config-vlan)#name management
Şimdi vlan’lara IP verelim. Vlan’ları sanki birer sanal port, sanal interface gibi
düşünüp aynı fastethernet portlara verdiğimiz gibi her vlan’a IP verelim.
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
>>>>> Genelde karışmasın düzenli olsun diye her vlandaki IP yapısı o
vlanın ismine göre düzenlenir.
Switch(config-if)#interface vlan 3
Switch(config-if)#ip address 192.168.3.1 255.255.255.0
Switch(config-if)#interface vlan 99
Switch(config-if)#ip address 192.168.99.1 255.255.255.0
Switch(config-if)#description bu vlan yonetim icindir.
>>>>> İstersek burada olduğu gibi her vlan interface’ine bir
açıklama da girebiliriz.
sistemodasi(config)#interface fa 0/2
sistemodasi(config-if)#switchport trunk encapsulation dot1q
sistemodasi(config-if)#switchport mode trunk
kat-2(config)#interface fa 0/1
kat-2(config-if)#switchport mode trunk
Eğer önüne gelen switch takıp bizim sistemimize entegre olmasın ulaşamasın
diyorsak o zaman VTP domain’ine şifre vermeli ve bunu tüm VTP switch’lerde
yapmalıyız:
#vtp password Ankara2013
VLAN YAPISINA GIRIŞ - VTP DOMAIN 179
Evet artık sıra geldi meyveleri toplamaya, önce vlan’larımız gelmiş mi bir
kontrol edelim:
Switch(config)#do sh vl
kat-1(config)#interface fa 0/11
kat-1(config-if)#switchport access vlan 3
kat-1(config-if)#switchport mode access
kat-1(config)#interface fa 0/2
kat-1(config-if)#switchport access vlan 2
kat-1(config-if)#switchport mode access
kat-2(config)#interface fa 0/11
kat-2(config-if)#switchport access vlan 3
kat-2(config-if)#switchport mode access
Desirable modunda aktif olarak 30 saniyede bir DTP paketi gönderilir. Auto
ise pasif bir moddur ve bu mod etkinken sadece karşı cihazdan gelen DTP
paketlerine cevap verilir. Trunk ve Access modu ise ağ yöneticisinin portun
manuel olarak Trunk ya da non-Trunk (Access) olarak belirlemesine olanak
sağlar. Aşağıdaki tabloda hangi karşılıklı mod yapılandırmalarının başarılı bir
DTP işlemini gerçekleştireceği gösterilmiştir.
182 TEMEL NETWORK
DTP; VTP (VLAN Trunking Protocol) ile karıştırılmamalıdır. Çünkü VTP trunk
olarak birbirine bağlanmış ve aynı VTP domaininde bulunan iki switch’in
VLAN bilgisini paylaşmasını sağlamaya yönelik olarak geliştirilmiştir. DTP ise
iki switch’in birbirine bağlanan portlarının paket trafiğinin analizi sonucu
otomatik trunk yapılmasını belirleyen protokoldür. Ancak dinamik trunk
belirlenmesi için işlemin yapılacağı karşılıklı interface’ler aynı VTP domainin de
bulunmalıdır.
DTP UYGULAMASI
en
conf t
184 TEMEL NETWORK
host SW2
vlan 10
vlan 20
int ran fa 0/1-10
sw mod acc
sw acc vlan 10
exit
int ran fa 0/11-20
sw mod acc
sw acc vlan 20
exit
Evet SW1 tarafı tamam. Şimdi diyeceksiniz ki SW2 tarafını da trunk yapmalıyız.
Hayır! Karşı taraftaki DTP ayarı sayesinde karşı taraf ayarlarını otomatik olarak
yapacaktır. Bilgisayarlara da IP verip denediğinizde karşılıklı ping atabildiğini
görürsünüz.
NOT Hangi porttan önce router’de vlan’ları oluşturup router de sonlandırma işini
yapalım. Router’e vlan’lar hangi porta geliyor ise bu portun altına sanal interface’ler
oluşturuyoruz.
186 TEMEL NETWORK
Burada dikkat edilecek en önemli konu router’de bir sürü vlan’ın geldiği
trunk porta IP vermiyoruz. Yalnızca o interface’yi UP yapıyoruz. Sonrasında
ise bu interface’nin altına her vlan için bir sanal (sub) interface oluşturuyoruz.
Örneğin vlan10 için:
# int fa 0/0.10
#encapsulation dot1Q 10
#ip add 192.168.10.1 255.255.255.0
#no sh
interface fa 0/2
switchport trunk encapsulation dot1q
switchport mode trunk
exit
!Vlan’ları oluşturalım.
vlan 2
name bilgisayarlar
vlan 3
name notebooklar
Etherchannel
Etherchannel iki ya da daha fazla switch arasında, iki ya da daha fazla kablo
ile bağlantı sağlandığında switch’in iki ya da daha fazla kabloyu tek kablo gibi
kullanmasını sağlayan protokoldür. Diğer üreticiler EtherChannel’a LAG (Link
Aggregation) da der. Windows server’lerde ise Nic Teaming işlemi benzer bir
görevi yerine getirip, sunucunun ethernet portlarını birleştirerek daha yüksek
bantgenişlikli bir erişim sağlar.
Etherchannel iki protokol ile yapılır. Bunlardan birincisi Cisco protokolü olan
PAgP (Port Aggregation Protokol) ikincisi ise LACP (Link Aggregation Control
Protokol) IEEE 802.3ad olan standart protokolüdür. PAgP iki mode de çalışır,
Desirable ve Auto.
Auto mode de ise uzaktaki bir switch PAgP ile etherchannel oluşturmak için
istek gönderdiği zaman bağlantıyı kurar.
LACP çalışma mantığı port priorty değeri en düşük olan portlar etherchannel’e
katılır, bunu yapmak için lacp port-priority komutu ile standartta 32768 olan
değeri düşürmek gerekir.
Etherchannel Algoritmaları
kat1Switch(config)#port-channel load-balance ?
dst-ip Dst IP Addr
dst-mac Dst Mac Addr
src-dst-ip Src XOR Dst IP Addr
src-dst-mac Src XOR Dst Mac Addr
src-ip Src IP Addr
src-mac Src Mac Addr
Etherchannel komutları
Öncelikle load balance yöntemi belirlenir:
Kat1Switch(config)#port-channel load-balance src-dst-ip
değer olarak System priority değeri 0 ile 65,535 arasında olabilir, default olarak
32,768’dir. Eğer switch’ler de bu değer ayarlanmazsa MAC adreslerine bakılarak
hangisinin rolleri belirleme işini yapacağı belirlenir. En düşük MAC degerine
sahip olan seçilecektir.
192 TEMEL NETWORK
Şekildeki gibi bir ağda SW2’de STP etkin olduğundan ve LOOP’u engellemek
için bağlantılardan birisi aktif değildir. Biz iki switch arasındaki 2 kabloyu tek
bir access mode de çalışan kablo gibi konfigüre edelim. Normalde iki switch
arası bağlantı hızı 1Gbps iken işlem sonrası 2Gbps olacak ve olası kablolardan
birisinin kopması durumunda diğeri trafiği aksatmadan devam ettirecektir.
Switch>en
Switch#conf t
SW1(config-if-range)#
VLAN YAPISINA GIRIŞ - VTP DOMAIN 193
SW2(config-if-range)#
İşlemler sonrası iki switch arası bağlantı yedekli bir şekilde devreye girecektir:
194 TEMEL NETWORK
Switch>en
Switch#conf t
SW1(config-if-range)#
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host SW2
SW2(config)#interface port-channel 1
SW2(config-if)#sw tr enc do
SW2(config-if)#sw mod tr
SW2(config-if)#exit
SW2(config)#int ran fa 0/2-4
SW2(config-if-range)#sw tr enc do
SW2(config-if-range)#sw mod tr
SW2(config-if-range)#channel-group 1 mode on
SW2(config-if-range)#
SW2(config-vlan)#ex
SW2(config)#
SW2(config)#int fa 0/1
SW2(config-if)#sw mod acc
SW2(config-if)#sw acc vlan 10
SW2(config-if)#exit
şimdi de soldaki bilgisayara 192.168.10.1, diğerine 192.168.10.2
Ip’lerini verip soldan sağa ping atalım:
CDP
(Cisco Discovery Protocol)
CDP, Cisco cihazların birbirleri tanımak için gönderdikleri paketlerdir. Bir çok
cihazda default olarak 60sn’de bir bu paket gönderilir. Paketin içeriğinde
operating system version, hostname, CDP paketinin gönderildiği portun IP’si,
Cisco cihaz tipi ve modeli, duplex ayarları, VTP domain, native vlan gibi bilgiler
bulunur.
#Show cdp neighbors komutuyla da cihazımıza komşu olan ve cdp açık olup
onlardan cdp mesajı aldığımız cihazların listesini görürüz:
Local interface bizim cihazdan bu cihaza giden port, Port ID ise karşı cihaza
girdiği porttur. Capability’de tespit edilen cihazın switch mi router mı olduğu,
holdtime dae ise bu cihazdan en son cdp paketi alındığında başlayan 180
sn’den geriye kalan süre vardır.
Switch#sh cdp neighbors detail
Version:
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version
12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
---------------------------
198 TEMEL NETWORK
Version:
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version
12.2(25)FX, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
advertisement version: 2
Duplex: full
CEVAP : A,D,E
What commands must be configured on the 2950 switch and the router to
allow communicaton between host 1 and host 2? (Choose two.)
A. Router(config)# interface fastethernet 0/0
Router(config-if )# ip address 192.168.1.1 255.255.255.0
Router(config-if )# no shut down
B. Router(config)# interface fastethernet 0/0
Router(config-if )# no shut down
200 TEMEL NETWORK
CEVAP : B,E
VLAN YAPISINA GIRIŞ - VTP DOMAIN 201
All switch ports are assigned to the correct VLANs, but none of the hosts
connected to SwitchA can communicate with hosts in the same VLAN
connected to SwitchB. Based on the output shown, what is the most likely
problem?
A. The access link needs to be configured in multiple VLANs.
B. The link between the switches is configured in the wrong VLAN.
C. The link between the switches needs to be configured as a trunk.
D. VTP is not configured to carry VLAN information between the switches.
E. Switch IP addresses must be configured in order for traffic to be forwarded
between the switches.
CEVAP : C
202 TEMEL NETWORK
CEVAP : C
VLAN YAPISINA GIRIŞ - VTP DOMAIN 203
5. Which three elements must be used when you configure a router interface for
VLAN trunking? (Choose three.)
A. one physical interface for each subinterface
B. one IP network or subnetwork for each subinterface
C. a management domain for each subinterface
D. subinterface Encapsulation identifers that match VLAN tags
E. one subinterface per VLAN
F. subinterface numbering that matches VLAN tags
CEVAP : B,D,E
CEVAP : A,C
CEVAP : A
204 TEMEL NETWORK
CEVAP : A
9. Which command can you enter to view the ports that are assigned to Vlan 20?
A. Switch#show vlan id 20
B. Switch#show ip interface brief
C. Switch#show interface vlan 20
D. Switch#show ip interface vlan 20
CEVAP : A
10. Which command sequence can you enter to create VLAN 20 and assign it to an
interface on a switch?
A. Switch(config)#vlan 20
Switch(config)#Interface gig x/y
Switch(config-if )#switchport access vlan 20
B. Switch(config)#Interface gig x/y
Switch(config-if )#vlan 20
Switch(config-vlan))switchport access vlan 20
C. Switch(config)#vlan 20
Switch(config)#Interface vlan 20
Switch(config-if )#switchport trunk native vlan 20
VLAN YAPISINA GIRIŞ - VTP DOMAIN 205
D. Switch(config)#vlan 20
Switch(config)#Interface vlan 20
Switch(config-if )#switchport access vlan 20
E. Switch(config)#vlan 20
Switch(config)#Interface vlan 20
Switch(config-if )#switchport trunk allowed vlan 20
CEVAP : A
CEVAP : B
12.While you were troubleshooting a connection issue, a ping from one Vlan to
another Vlan on the same switch failed. Which command verifes that IP routing
is enabled on interfaces and the local Vlans are up?
A. show ip interface brief
B. show ip nat statistics
C. show ip statistics
D. show ip route
CEVAP : A
CEVAP : C
206 TEMEL NETWORK
CEVAP : D
CEVAP : D
207
GRE TUNNEL VE
GRE MULTILINK
8
ROUTING
GRE Tunnel
Aşağıdaki şekilde gibi arada internet de olan 2 router arasında dynamic routing
protokolünden birisini çalıştırmak istediğimizde arada internet olduğundan
dolayı router’ler birbirlerine dynamic routing paketlerini ulaştıramayacaklardır.
GRE tunnel vpn benzeri bir sanal tünel oluşturup, tıpkı connected interface
gibi uzak router’i bir interface olarak bağlamaya yarar. Böylece arada internet
bile olsa statik ya da dynamic routing yapmak mümkün olur.
Öncelikle wan ve lan interface’lerine IP’ler verelim. Lan interface olarak test için
loopback interface tanımlayalım:
Ankara(config)#int gi 0/0
Ankara(config-if)#no sh
Ankara(config-if)#ip add 1.1.1.1 255.255.255.0
Ankara(config-if)#ex
Ankara(config)#int lo 1 (loopback interface sanal bir
interface’dir. Sanki bir bağlantı varmış gibi davranır çünkü
interface down ise router dynamic routing de bu networkü
kullanmaz)
Ankara(config-if)#no sh
208 TEMEL NETWORK
Malatya(config)#int gi 0/0
Malatya(config-if)#no sh
Malatya(config-if)#ip add 1.1.1.2 255.255.255.0
Malatya(config-if)#ex
Malatya(config)#int lo 1
Malatya(config-if)#no sh
Malatya(config-if)#ip add 192.168.2.1 255.255.255.0
Malatya(config-if)#ex
Şimdi de her iki lokasyon için GRE tunnel tanımlamalarını yapalım. Tünelin
her iki ucuna IP verip, tünelin başlangıç ve bitişini wan interface IP’lerine
yönlendiriyoruz:
Ankara(config)#int tunnel 0
Ankara(config-if)#ip add 10.0.0.1 255.255.255.0 (tünelin bu ucuna IP
veriyoruz)
Ankara(config-if)#tunnel source gi 0/0 (tünel gi 0/0 interface’e
bağlı olacak)
Ankara(config-if)#tunnel destination 1.1.1.2 (Tünelin diğer ucuna da
IP verelim )
Ankara(config-if)#tunnel mode gre ip
Malatya(config)#int tun 0
Malatya(config-if)#ip add 10.0.0.2 255.255.255.0
Malatya(config-if)#tunnel source gi 0/0
Malatya(config-if)#tunnel destination 1.1.1.1
Malatya(config-if)#tun mo gre ip
Şimdi de her iki lokasyon için EIGRP tanımlarını yapalım. Burada 1.1.1.0 /24
network’unu anonslamadığımıza dikkatinizi çekiyorum.
Ankara#sh ip int bri
Ankara#ping 10.0.0.2
Ankara(config)#router eigrp 1
Ankara(config-router)#no auto-summary
Ankara(config-router)#network 10.0.0.0 0.0.0.255
Ankara(config-router)#network 192.168.1.0 0.0.0.255
GRE TUNNEL VE GRE MULTILINK ROUTING 209
Malatya(config)#router eigrp 1
Malatya(config-router)#no auto-summary
Malatya(config-router)#network 10.0.0.0 0.0.0.255
Malatya(config-router)#network 192.168.2.0 0.0.0.255
Malatya(config-router)#ex
Malatya#sh ip route
Malatya#ping 192.168.1.1
Corum(config)#int gi 0/0
Corum(config-if)#no sh
Corum(config-if)#ip add 1.1.1.2 255.255.255.0
Corum(config-if)#ex
Corum(config)#int lo 1
Corum(config-if)#no sh
Corum(config-if)#ip add 10.19.0.1 255.255.255.0
Corum(config-if)#ex
Corum(config)#int tun 0
Corum(config-if)#ip add 172.16.0.1 255.255.255.0
Corum(config-if)#tunnel source gi 0/0
210 TEMEL NETWORK
Ankara(config)#int gi 0/0
Ankara(config-if)#no sh
Ankara(config-if)#ip add 1.1.1.1 255.255.255.0
Ankara(config-if)#int gi 0/1
Ankara(config-if)#no sh
Ankara(config-if)#ip add 2.2.2.1 255.255.255.0
Ankara(config-if)#exi
Ankara(config)#int loopback 1
Ankara(config-if)#ip add 10.6.0.1 255.255.255.0
Ankara(config-if)#ex
Malatya(config)#int gi 0/1
Malatya(config-if)#no sh
Malatya(config-if)#ip add 2.2.2.2 255.255.255.0
Malatya(config-if)#int loop 1
Malatya(config-if)#no sh
Malatya(config-if)#ip add 10.44.0.1 255.255.255.0
Malatya(config-if)#exit
Malatya(config)#int tun 0
Malatya(config-if)#ip add 172.16.0.2 255.255.255.0
Malatya(config-if)#tun so gi 0/1
Malatya(config-if)#tun de 1.1.1.2
Malatya(config-if)#tun mod gre ip
Malatya(config-if)#ex
Görüyoruz ki malesef gre tunnel DOWN. Bunun sebebi ise biz tunnel
mode’leri tanımlarken girdiğimiz tunnel destination adreslerine router’lerin
ulaşamaması.
GRE TUNNEL VE GRE MULTILINK ROUTING 211
En pratik olarak Çorum’un, Malatya’yı görmesi için her iki router’e de default
route olarak Ankara’yı girelim:
Malatya(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1
Corum(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1
Artık bir sonraki adıma geçip bu iki router arası oluşturduğumuz görünmez
direkt link sayesinde dynamic routing’lerimizi de tanımlayabiliriz. Bunun
öncesinde GRE tunnel IP’lerinin birbirini pinglediğini kontrol etmek akıllıca
olur.
Corum(config)#router eigrp 1
Corum(config-router)#no aut
Corum(config-router)#netw 10.19.0.0
Corum(config-router)#netw 172.16.0.0
Corum(config-router)#ex
Malatya(config)#router eigrp 1
Malatya(config-router)#no aut
Malatya(config-router)#netw 10.44.0.0
Malatya(config-router)#netw 172.16.0.0
Malatya(config-router)#ex
212 TEMEL NETWORK
CEVAP :
Create a logical tunnel interface
Specify the carrier protocol
Specify the passenger protocol
Specify the source and destination address for the tunnel endpoints.
CEVAP : B, E
214 TEMEL NETWORK
3. After you configure a GRE tunnel between two networks, the tunnel comes up
normally, but workstations on each side of the tunnel cannot communicate.
Which reason for the problem is most likely true?
A. The tunnel source address is incorrect.
B. The tunnel destination address is incorrect.
C. The routebetween the networks is undefined.
D. The IP MTU is incorrect.
E. The distance configuration is missing.
CEVAP : D
CEVAP : B
215
DHCP 9
DHCP Konfigürasyonları
Öncelikle Packet Tracer’deki kullanımları görmek için minik bir örnek ile
başlayalım. Aşağıdaki gibi bir sistem oluşturalım ve DHCP, DNS, HTTP
servislerinin sunucuda nasıl çalıştığını ve ayarlarını görelim.
216 TEMEL NETWORK
Şimdi DNS servisine bakalım. DNS’de üstte çözümlenecek ismi, altta ise bu isim
sorgulandığında cevap verilecek IP’yi girdiğimiz çok basit bir yapı var. Hemen
kendi adımızı DNS ekleyip bir web sitesi yapalım:
L3 Swıtch Kullanarak
Vlan‘lara IP Dağıtmak
Şimdi de aşağıdaki gibi bir yapı oluşturarak 2 vlan’a switch üzerinden IP
dağıtalım:
Evet şimdi de bir bakalım olmuş mu? Haydi bir bilgisayar ve bir notebook’a
otomatik IP aldıralım:
Önce bilgisayara;
Router(config)#interface fa 0/1.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#ip helper 192.168.1.2
Router(config-subif)#exit
Router(config)#interface fa 0/1.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
Router(config-subif)#ip helper 192.168.1.2
Router(config-subif)#no sh
Router(config-subif)#exit
Router(config)#interface fa 0/1.30
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#ip address 192.168.30.1 255.255.255.0
Router(config-subif)#ip helper 192.168.1.2
224 TEMEL NETWORK
Router(config-subif)#no sh
Router(config-subif)#exit
Şimdi de en keyifli adıma geldik haydi test edelim bakalım ilgili vlan’lar, ilgili
pool’dan doğru IP’leri alabilecekler mi?
226 TEMEL NETWORK
Windows Sunucularda
DHCP Oluşturma
Her ne kadar ağ cihazlarının DHCP özellikleri olsa da genelde logların kaydı
için Windows DHCP sunucu tercih edilir. DHCP sunucuyu çok yoran, ciddi
kaynak tüketen bir uygulama değildir. Gelin şimdi adım adım Windows sunucu
üzerinde nasıl DHCP kurduğumuzu ve vlan’lara nasıl IP dağıtıldığına bir
bakalım:
228 TEMEL NETWORK
Burada Ipv4 ve IPv6 kısımlarında yeşil tık görmelisiniz. Her şey yolunda ise IPv4
üzerinde sağ tıklayarak New Scope sekmesine tıklıyoruz.
234 TEMEL NETWORK
Dağıtılacak IP aralığını giriyoruz ve Next diyoruz. (Her zaman başta 5-10 IP gibi
bir aralığı ayırıp başlayın.)
Dağıtılmayacak IP’ler var ise buraya girebiliriz, benim olmadığı için Next deyip
devam ediyorum:
236 TEMEL NETWORK
IP kiralama süresini burada ayarlıyoruz; kablolu ağlar için 8 gün, kablosuz ağlar
için 8 saat tavsiye edilir.
Sistemde WINS sunucu var ise bunun da IP’sini ekleyip Next diyebiliriz .
CEVAP : D
CEVAP : A,B
3. Which two tasks does the Dynamic Host Configuration Protocol perform?
(Choose two.)
A. Set the IP gateway to be used by the network.
B. Perform host discovery used DHCPDISCOVER message.
C. Configure IP address parameters from DHCP server to a host.
D. Provide an easy management of layer 3 devices.
240 TEMEL NETWORK
CEVAP : C,F
4. What are the two minimum required components of a DHCP binding? (Choose
two.)
A. a DHCP pool
B. an exclusion list
C. a hardware address
D. an IP address
E. an ip-helper statement
CEVAP : C,D
5. Which command can you enter to display duplicate IP addresses that the
DHCP server assigns?
A. show ip dhcp conflict 10.0.2.12
B. show ip dhcp database 10.0.2.12
C. show ip dhcp server statistics
D. show ip dhcp binding 10.0.2.12
CEVAP : A
CEVAP : A
DHCP 241
CEVAP : B
CEVAP : A
9. Which command can you enter to determine the addresses that have been
assigned
on a DHCP Server?
A. Show ip DHCP database.
B. Show ip DHCP pool.
C. Show ip DHCP binding.
D. Show ip DHCP server statistic.
CEVAP : C
DHCP ?
A. on the switch trunk interface.
B. on the router closest to the client.
C. on the router closest to the server.
D. on every router along the path.
CEVAP : B
242 TEMEL NETWORK
CEVAP : C
12.You have configured the host computers on a campus LAN to receive their
DHCP addresses from the local router to be able to browse their corporate site.
Which statement about the network environment is true?
A. It supports a DNS server for use by DHCP clients.
B. Two host computers may be assigned the same IP address.
C. The DNS server mustbe configured manually on each host.
D. The domain name must be configured locally on each host computer.
CEVAP : A
CEVAP : D
DHCP 243
CEVAP : D
CEVAP : C
244 TEMEL NETWORK
245
NETWORK
SECURITY
10
Internal Segmentatıon
Fırewall Uygulaması
Büyük network’ların olmazsa olmaz bir parçası da vlan’lardır. Vlan’lar olunca
elbette bir router’e de ihtiyacımız var ve gerek vlan’ların birbiri ile haberleşmesi
için, gerekse vlan’ların sunucularla haberleşmesi ve internete erişmesi için de
router’de tanımlar yapmak gerekir. Eğer ağımızda güvenliğe önem veriyor ve
vlan’lar arası trafiği kontrol için router de ACL (Access Control List) uyguluyorsak
bu sefer de router’in aşırı yoğunlaştığını gözlemleyebilirsiniz ve buna rağmen
router’ler yalnızca port tabanlı koruma yapabilirler. Yani bir router ile şu
vlan’dan bu vlan’a sadece şu portlar açık olsun diyebilirsiniz. Gelişmiş güvenlik
kontrolü yapamazsınız zaten router’lerin görevleri de güvenlik değildir. Yüksek
güvenlik için hem routing yapabilecek, hem de vlan’lar arası trafiği tüm
yönleriyle tarayabilecek güçlü cihazlara ihtiyaç vardır.
Artık switch’e bağlıyız. Vlan’ları oluşturup, portları vlan’lara üye yapıp, UTM
cihazına bağlanacağımız Gi 0/1 portunu trunk yapalım:
% Please answer ‘yes’ or ‘no’.
Would you like to enter the initial configuration dialog? [yes/no]:
no
Switch>
Switch>en
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#exit
Switch(config)#
Switch(config)#int ran fa 0/1-10
Switch(config-if-range)#sw mod acc
Switch(config-if-range)#sw acc vlan 10
Switch(config-if-range)#ex
Switch(config)#int ran fa 0/11-20
Switch(config-if-range)#sw mod acc
248 TEMEL NETWORK
Switch’den trunk olarak gelen bağlantı UTM’nin DMZ portuna bağlı. Dolayısıyla
tıpkı Cisco router’lerdeki gibi trunk ile gelen vlan’ları sub interface olarak
sonlandırmalıyız:
Burada bir isim verip, interface kısmından DMZ’yi seçelim ki bu portun altına
sub interface’leri oluşturalım. Vlan ID kısmına, vlan numarasını yazıyoruz ve
interface’ye bir IP verip, DHCP’yi açalım:
Cihazlarda ayrıca DHCP option-82 adında bir özellik varsayılan olarak aktiftir.
Bu özellik sayesinde untrusted portlardan gelen DHCP isteklerinin switch
tarafından değerlendirilmesini sağlayabiliriz. Switch böyle bir durumda
option-82 alanına kendi MAC adres ve switchport bilgisini ekleyerek paketi
gönderir. Böylece istek güvenilen bir DHCP sunucusuna ulaştırılır. Sunucu,
DHCP option-82 özelliğini desteklemelidir. Sunucu geri cevap dönerken
pakette kendisine gelen option-82 bilgisini de bulundurur. Böylece cevabı
alan switch kendi option-82 bilgisi ile bu bilgiyi karşılaştırarak doğru son
kullanıcının DHCP isteğine cevap döndürebilmiş olur. Özelliği etkinleştirmek
veya kapatmak için aşağıdaki komut işletilir:
Switch(config)#[no] ip dhcp snooping information option
Port Securıty
Port Security; yetkisiz, bilmediğimiz makinelerin ağımıza dahil olup bizleri
olumsuz etkilemesini engellemek için switch’lerin her zaman o porta bağlı
olacak MAC adreslerini (dolayısıyla personelimizin cihazını) öğrenmesini
sağlayıp tanımsız makineler geldiğinde o portu kapatmak için alınan güçlü
bir önlemdir. Günümüzde iş yerlerinde herkesin sabit masası, bilgisayarı vardır
ve herkes her gün aynı masada aynı cihazı kullanır. Dolayısıyla çalışanların
cihazlarının switch’de bağlandıkları port hep aynıdır. İşte bu düzen switch’de
tanımlanıp, farklı bir cihazın ağımıza erişmesi engellenebilir.
NETWORK SECURITY 255
Aşağıdaki gibi bir ağımız olsun ve biz switch’de port security yapmak isteyelim.
Switch başka bir bilgisayarın takılıp takılmadığını, takılı olan bilgisayarın MAC
adresini hafızasında tutarak anlayabilir. Ve switch port-security’de birden fazla
MAC adresini tek port için hafızasında tutabilir.
Switch(config-if-range)#switchport port-security max 1
256 TEMEL NETWORK
(Biz burada sadece bir adet MAC adresini aklında tutmasını söylüyoruz.)
!
Switch(config-if-range)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
!
2.yol’da yani Sticky komutu ile o porta takılı olan bilgisayarın ilk network
işleminde MAC adresinin o porta atanmasını söyleyebiliriz. Ben 2.yolu seçtim:
Switch(config-if-range)#switchport port-security mac-address sticky
Burada ise farklı bir MAC adresi ile bu porta bağlanan olursa switch’in ne
yapacağını belirtiyoruz:
Switch(config-if-range)#switchport port-security violation ?
PROTECT = Düşük seviye korumadır. Kural Dışı MAC’lara izin vermez o kadar.
RESTRICT = Orta seviye korumadır. Kural dışılara izin vermez ve ayrıca bunu
admine bildirir.
Shutdown seçersek farklı bir MAC adresi ile porta bağlanıldığında o portu
kapatacaktır. Geri açılması için ağ yöneticisinin switch’e erişerek o portu
shutdown etmesi, sonra tekrar No Shutdown yapması gerekecektir.
NETWORK SECURITY 257
Restrict‘i seçersek farklı bir MAC adresi ile ağa bağlanıldığında o MAC
adresindeki bilgisayarın ağ üzerinde hiçbir işlem yapamamasını sağlarız.
Tekrar MAC adresi tanımlanmış olan bilgisayarı ağa eklersek sorunsuz şekilde
iletişime geçecektir.
Last source kısmında o portu son kullanan cihazın MAC adresini görebiliriz.
Bir port, port security’den dolayı kapatılmış ise orada err-disabled açıklaması
görünür:
Switch#show interfaces fa0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
NETWORK SECURITY 261
Güncel CCNA
Sınav Sorularından Örnekler
1. Which two options are benefits of dhcp snooping ?
A. it prevents dhcp reservations
B. it simplifes the process of adding DHCP Servers to the network
C. it prevents the deployment of rogue DHCP Servers
D. it prevents static reservations
E. it Tracks the location of hosts in the network
CEVAP : C,E
CEVAP : A
CEVAP : C
4. Which feature can validate address requests and filter out invalid messages?
A. IP Source Guard
B. port security
C. DHCP snooping
D. dynamic ARP inspection
CEVAP : C
262 TEMEL NETWORK
CEVAP : C
6. Which port security mode can assist with troubleshooting by keeping count of
violatons?
A. access.
B. protect.
C. restrict.
D. shutdown.
CEVAP : C
7. Which port security violaton mode allows traffic from valid mac address to
pass but block traffic from invalid mac address?
A. protect
B. shutdown
C. shutdown vlan
D. Restrict
CEVAP : A
CEVAP : A
NETWORK SECURITY 263
CEVAP : C
CEVAP : C,D
11.Which two commands correctly verify whether port security has been
configured on port FastEthernet 0/12 on a switch? (Choose two.)
A. SW1#show port-secure interface FastEthernet 0/12
B. SW1#show switchport port-secure interface FastEthernet 0/12
C. SW1#show running-config
D. SW1#show port-security interface FastEthernet 0/12
E. SW1#show switchport port-security interface FastEthernet 0/12
CEVAP : C,D
264 TEMEL NETWORK
CEVAP : E
265
STP - PVST+ 11
STP
LAYER 2 SWITCHING
Layer 2 switching teknolojisi donanıma dayalıdır. Bu nedenle host üzerindeki
MAC adresini kullanarak network’u filtreler. Switch’lerde filter tablolarını
oluşturmak için ASIC (Application Specific Integrated Circuits) yöntemini
kullanırlar. Cisco switch’lerde default olarak enable durumdadır.
Adres öğrenme işlemi her paketin MAC adresinin, bir MAC veritabanına
tutulmasıyla sağlanır. Yönlendirme işlemi ise alınan paketin hedef adresinin
266 TEMEL NETWORK
bulunmasını sağlar. Döngü önleme özelliği ise, switch’ler arasında birden çok
bağlantının olduğu durumlarda fazlalık (redundancy) oluşursa, bu özellik
döngüyü önler. Döngü önlemede STP (Spanning Tree Protocol) kullanılır.
Üsteki bir şekildeki bir yapıda soldaki pc sağdakine ulaşmak için aynı
network’te olduğundan Arp request yapar. SW2 bu paketi aldığında hedefin
STP - PVST+ 267
Root Bridge seçimini tamamladık, şimdi ‘Switch’lerde Root Portlar nasıl seçilir?
‘ bundan bahsedelim.
Root Portlar her switch için 1 tane olabilir ve Root Bridge’ye olan yakınlığına
göre bir port, Root Port olur. Burada yakınlıktan kastettiğim cost degeridir.
Cost degeri 2 switch arasındaki hattın hızıyla orantılı olup sabit değerlerle
ifade edilir.
IEEE’nin çok kullanılan bant genişlikleri için yayınladığı cost değerleri aşağıdaki
tablodaki gibidir:
COST DEĞERLERİ
4 Mbps 250
10 Mbps 100
16 Mbps 62
45 Mbps 39
100 Mbps 19
155 Mbps 14
1 Gbps 4
10 Gbps 2
Root bridge’te cost’u en düşük olan port, root port olacaktır. Switch root
bridge’ye 2 yoldan erişiyor ve cost’ları eşit olduğu bir durumda ise; switch’in
port ID’sine bakılır. Port numarası küçük olan port (Örnek; Fastethernet 0/1
port numarası Fastethernet 0/2 den küçüktür.), Root Port olacaktır. Bir bridge
üzerinde yalnızca bir tane Root Port olabilir.
STP - PVST+ 269
Şimdiye kadar Root Bridge seçimini ve Root Port seçimlerini öğrendik. Şimdi
önemli bir konu olan ağda loop engellemek için gerektiğinde hangi portun
kapatılacağının belirlenmesine (designated port) değinelim. Designated port
seçimine de geçmeden önce bir kavramı açıklamakta yarar görürüyorum. 2
switch arasındaki yola segment adını veriyoruz. Designated port seçimi
yaparken, her segment için yalnızca bir tane designated port olacağını
unutmamalıyız. Ayrıca Root Bridge’nin tüm portları Designated Port
durumundadır ve forwarding state olmalıdır. Designated port bir switch için
birden fazla olabilir. (Root Port yalnızca 1 tane olabilir.)
Şekilde en üstteki switch Root Bridge olacağından ve daha önce belirttiğim gibi
tüm portları Designated olacağıdan Segment 1 ve Segment 2 için Designated
Port’larımızı belirlemiş olduk. Bir segmentte yalnızca 1 tane Designated Port
olacagını biliyoruz.
1- Blocking Mode
Switch bu mod’dayken port kapalı olarak düşünebiliriz. (Switch’de loop
engellenir.) Ancak unutmamalıyiz ki bu mod’da switch her 2 sn aralıklarla hello
paketlerini alacaktır ve eğer 20 sn hello paketi alamazsa bir sonraki mod olan
listening moduna geçecektir.
STP - PVST+ 271
2- Listening Mode
Listening modunda switch bu moddan sonraki adımlara geçip geçemeyeceğine
karar verir, learning ve forwarding mod’larına geçebilir veya Blocking duruma
geri dönebilir. Bu mod içerisinde 15 sn bulunur ve devam ederse bir sonraki
mod olan Learning moduna geçecektir.
3- Learning Mode
Learning modunda switch dinleme yapar diyebiliriz (iletişim olmaz) ve MAC
address table’sini oluşturur bu mod’da da 15 sn kaldıktan sonra Forwarding
moduna geçecektir.
4- Forwarding Mode
Forwarding mod’unda switch artık diger switch’lerle haberleşme halindedir.
(Frame alımı ve gönderimi yapılır.) Forwarding modu için söyleyeceğimiz
kritik bir not Root Bridge’nin bütün portları her zaman forwarding durumda
olacaktır, yani Root Bridge’nin hiç bir portu STP tarafından kapatılmaz.
Network’umuz da vlan’lar olabilir ve biz her vlan için ayrı bir Root Bridge
atayabiliriz. Bu durum switch’lerde PVST (Per Vlan Spanning-Tree) olarak ifade
edilir ve global konfigürasyon modunda:
Switch(config)#spanning-tree mode pvst
Ayrıca;
Switch(config)#spanning-tree vlanid root secondary
S1(config)#int gi 0/2
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config)#vlan 5
S1(config-vlan)#ex
S1(config)#do sh vl
S1#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
274 TEMEL NETWORK
VLAN0005
Spanning tree enabled protocol ieee
Root ID Priority 28677
Address 000C.CF01.2579
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bu ayarlardan sonra baktık ki her iki vlan da paşalığını ilan etmiş. Diğerinin
ayarlarını yapmadığımız için böyle oldu.
STP - PVST+ 275
Şimdi ikinci switch ayarlarını da yapalım bakalım diğer vlan için de paşalığını
sürdürebilecek mi?
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S2
S2(config)#int gi 0/1
S2(config-if)#sw
S2(config-if)#switchport tr
S2(config-if)#switchport trunk en
S2(config-if)#switchport trunk encapsulation d
S2(config-if)#switchport trunk encapsulation dot1q
S2(config-if)#sw
S2(config-if)#switchport mod
S2(config-if)#switchport mode tr
S2(config-if)#switchport mode trunk
S2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1,
changed state to down
S2(config-if)#ex
S2(config)#int gi 0/2
S2(config-if)#sw
S2(config-if)#switchport mod
S2(config-if)#switchport tr
S2(config-if)#switchport trunk en
S2(config-if)#switchport trunk encapsulation d
S2(config-if)#switchport trunk encapsulation dot1q
S2(config-if)#sw
S2(config-if)#switchport mo
S2(config-if)#switchport mode tr
S2(config-if)#switchport mode trunk
S2(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2,
changed state to down
276 TEMEL NETWORK
S2#sh sp
S2#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 000C.CF01.2579
Cost 8
Port 26(GigabitEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
STP - PVST+ 277
S2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
S2(config)#vlan 5
S2(config-vlan)#ex
S2(config)#end
S2#
%SYS-5-CONFIG_I: Configured from console by console
S2#
S2#
S2#sh sp
S2#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 000C.CF01.2579
Cost 8
Port 26(GigabitEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
VLAN0005
Spanning tree enabled protocol ieee
Root ID Priority 24581
Address 0001.42A7.4C3C
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Based on the information given, which switch will be elected root bridge and
why?
A. Switch A, because it has the lowest MAC address
B. Switch A, because it is the most centrally located switch
C. Switch B, because it has the highest MAC address
D. Switch C, because it is the most centrally located switch
E. Switch C, because it has the lowest priority
F. Switch D, because it has the highest priority
CEVAP : E
2. Three switches are connected to one another via trunk ports. Assuming the
default switch configuration, which switch is elected as the root bridge for the
spanning-tree instance of VLAN 1?
A. the switch with the highest MAC address
B. the switch with the lowest MAC address
C. the switch with the highest IP address
D. the switch with the lowest IP address
CEVAP : B
280 TEMEL NETWORK
CEVAP : D
CEVAP : B
CEVAP : C
CEVAP : B
STP - PVST+ 281
CEVAP : C
8. Which two of these statements regarding RSTP are correct? (Choose two.)
A. RSTP cannot operate with PVST+.
B. RSTP Defines new port roles.
C. RSTP Defines no new port states.
D. RSTP is a proprietary implementation of IEEE 802.1D STP.
E. RSTP is compatble with the original IEEE 802.1D STP.
CEVAP : B,E
9. Which two switch states are valid for 802.1w? (Choose two.)
A. listening
B. backup
C. disabled
D. learning
E. Discarding
CEVAP : D,E
CEVAP : D
282 TEMEL NETWORK
CEVAP : D
12.In which STP state does MAC address learning take place on a PortFast-enabled
port?
A. learning
B. listening
C. discarding
D. Forwarding
CEVAP : A
13.Which two protocols are used by bridges and/or swithes to prevent loops in a
layer 2 network? (Choose two.)
A. 802.1d
B. VTP
C. 802.1q
D. STP
E. SAP
CEVAP : A,D
14. Which switch would STP choose to become the root bridge in the selection
process?
A. 32768h 11-22-33-44-55-66
B. 32768h 22-33-44-55-66-77
C. 32769h 11-22-33-44-55-65
D. 32769h 22-33-44-55-66-78
CEVAP : A
STP - PVST+ 283
Which three ports will be STP designated ports if all the links are operatng at
the same bandwidth? (Choose three.)
A. Switch A - Fa0/0
B. Switch A - Fa0/1
C. Switch B - Fa0/0
D. Switch B - Fa0/1
E. Switch C - Fa0/0
F. Switch C - Fa0/1
CEVAP : B,C,D
284 TEMEL NETWORK
285
ACL (ACCESS
CONTROL LIST)
12
Access List’ler router üzerinden geçen trafiğin port bazlı kontrol edilmesini
sağlar. Bu koruma günümüzdeki şirketlerin kullandığı UTM, firewall’lar gibi üst
düzey bir kontrol (deep packet inspection) sağlayamaz. Bunun yanında ACL
işlemi router’i ciddi yoran bir işlemdir. Çünkü artık router gelen her paketin
ACL kurallarına uygun olup olmadığını kontrol de etmeye başlar. ACL’ler router
üzerinden iç ağ, dış ağ ve DMZ alanlarından gelen paketleri engelleyen veya
izin veren listelerdir.
internal: İç ağ.
Adım 1: İlk izin listesi ifadesindeki eşleme parametreleri, gelen paket ile
karşılaştırılır.
Adım 3: İkinci adımda eşleme olmazsa, bir ve ikinci adımlar bir sonraki izin
listesi ifadesi için tekrarlanır.
ACL (ACCESS CONTROL LIST) 287
Adım 4 İzin listesi içindeki hiçbir ifade ile eşleme olmazsa, deny (engelleme)
eylemi gerçekleştirilir.
Permit (izin ver) terimi Cisco IOS yazılımında, paketin geçişine izin verileceğini
belirtmek için kullanılır.
Her ACL listesinin sonunda gizli bir “deny all traffic” yani “tüm trafiği
engelle” ifadesi bulunur. Bundan dolayı bir paket izin listenizdeki yazılan
kurallar ile eşleşmezse, bloklanır.
Erişim kuralı paketin yönüne göre inbound veya outbound olarak tanımlanır.
Genelde paketin gidiş yönünde engellenmesi için in kulllanılır.
Uygulama
1. Adım:
Router>enable
Router#configure terminal
2. Adım:
R1(config)#access-list 50 deny 192.168.1.2 0.0.0.255
NOT ACL kurallarının uygulamasında kural yazılarak izin verilmeyen, yazmayı unuttuğumuz
tüm trafik engellenir. Bu yüzden öncelikle yasaklamalar yapılıp, sonrasında permit ile
geri kalan trafiğe izin verilmesi anlamlı olur.
Örnek 2:
R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 12 deny 192.168.1.5 0.0.0.255
R1(config)#access-list 12 permit any
R1(config)#int s0/0
R1(config-if)#ip access-group 50 in
Kullanımı:
access-list [100-199] [permit/deny] [protocol] [kaynak] [hedef]
[port]
Örnek 1:
access-list 105 permit ip any 192.168.1.5 0.0.0.0
Örnek 2:
access-list 107 deny tcp host 172.16.1.55 host 192.168.1.1 eq 80
Örnek 3:
Örnek 4:
http, ftp, telnet, pop3, smtp, https, dns protokollerini 172.16.1.15 için açın.
Diğer portlar kapatılacak.
(En alttaki gizli yasakdan dolayı izin vermediğimiz tüm portlar engellenmiştir.)
Router(config)#line vty 0 15
Router(config-line)#access-class 101 in
Router(config-line)#transport input telnet
Router(config-line)#exit
Router(config)#
-------------------------------------------------------------------
Router1(config)#access-list 155 deny udp any any gt 1023
Açıklaması: Yapılan tüm telnet bağlantı isteklerini loglar ve telnet’e izin verir.
ACL Kullanımında
Önemli Uyarılar
Tüm ACL çeşitlerinde vlan’ların, router’de sub-interface olarak sonlanması
halinde ACL’ler bu sub interface’lerin içinde tanımlanmalıdır. Unutmayın;
trafiği, o trafiğin geçtiği interface’de kontrol edebilirsiniz.
Ağınızda ACL uygulanan bir router arkasında DHCP sunucu var ise
uyguladığınız tüm ACL kurallarının en başına DHCP paketlerine izin vermek
için şu kuralı ekleyin:
permit udp any eq bootpc any eq bootps
Aynı router üzerinde kullanılan Named ACL isimleri benzersiz olmalıdır. Farklı
router’lerde aynı isimler kullanılabilir.
no access-list 102: 102 numaralı extended ACL’i kaldırır.
no ip access-group 102: Belirlenen interfaceden 102 numaralı ACL’i kaldırır.
show ip access-lists: Tüm ACL‘leri görüntüler.
show ip interfaces e0: e0 interface’sindeki ACL’leri görüntüler.
Acl Uygulama
ACL (ACCESS CONTROL LIST) 295
İstenilenlere göre
ACL’leri Tanımlayalım
ip access-list extended PERSONEL
permit tcp any host 192.168.0.2 eq www (web sunucuya herkes erişsin)
permit udp any host 192.168.0.2 eq domain (dns sunucuya herkes
erişsin)
permit ip any host 192.168.0.3 (DHCP bilgisayarına herkes erişsin)
deny ip any host 192.168.0.4 (TFTP ye kimse erişemesin. Admin kuralı
üstte olduğundan o erişiyor merak etmeyin)
permit icmp any any (Herkese ping izni)
permit ip any any (geri kalan paketlere izin verelim, dhcp de dahil)
ip access-list extended MISAFIR
permit ip any host 192.168.0.3 (DHCP bilgisayarına herkes erişsin)
permit udp any host 192.168.0.2 eq domain (dns sunucuya herkes
erişsin)
deny ip any host 192.168.0.4 (TFTP ye kimse erişemesin.)
deny ip any host 192.168.0.2 (Localdeki WEB sunucuya erişemesinler)
permit ip any host 172.16.16.2 (Ağ geçidine internet erişimi için
izin)
permit tcp any host 0.0.0.0 eq www (http bağlantılarına izin)
permit tcp any host 0.0.0.0 eq 443 (https bağlantılarına izin)
permit udp any eq bootpc any eq bootps (dhcp den IP alabilmeleri
için izin)
Güncel CCNA
Sınav Sorularından Örnekler
1. On which options are standard access lists based?
A. destination address and wildcard mask
B. destination address and subnet mask
C. source address and subnet mask
D. source address and wildcard mask
CEVAP : D
CEVAP : D
ACL (ACCESS CONTROL LIST) 297
An atempt to deny web access to a subnet blocks all traffic from the subnet.
Which interface command immediately removes the effect of ACL 102?
A. no ip access-class 102 in
B. no ip access-class 102 out
C. no ip access-group 102 in
D. no ip access-group 102 out
E. no ip access-list 102 in
CEVAP : D
CEVAP : D
298 TEMEL NETWORK
CEVAP : B
CEVAP : A,C
CEVAP : A
ACL (ACCESS CONTROL LIST) 299
CEVAP : D
CEVAP : D
300 TEMEL NETWORK
301
NAT (NETWORK
ADDRESS 13
TRANSLATION)
NAT bir network içerisinde kullanılan bir IP adresinin başka bir network
içerisinde bilinen başka bir IP adresine çevirilmesidir.
Simple NAT
En çok kullanılan NAT türüdür. Local’deki IP lerin router’ın dış interface’indeki IP
ile değiştirilerek çıkışlarını sağlar. Bir örnek uygulama ile uygulanışını görelim:
(Tüm nat çeşitlerinde ilk adım iç ve dış interface’lerin belirlenmesidir. İç, lokal
interface’ler değişecek IP lerin geldiği yönü, dış interface ise natlanacak,
natlamada kullanılacak dış IP yi göstermesi için belirlenir)
interface GigabitEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
interface Serial0/3/0
ip address 192.168.1.1 255.255.255.0
ip nat outside
NAT (NETWORK ADDRESS TRANSLATION) 303
Şimdi soldaki bir client’dan sağdaki sunucuya doğru -t li bir ping başlatıp, nat
tablosuna bir bakalım. Router da o andaki NAT işlemlerini:
router# sh ip nat translation
Komutuyla görebiliriz.
Bu tabloda:
Outside local address: Bu adres aslında dış ağdaki ulaştığımız hedef cihaza ait.
Outside global address: Dış ağda (WAN) erişmek istediğimiz cihazın Public IP
adresi.
304 TEMEL NETWORK
Çıktıyı inceleyelim:
Pro Inside global Inside local Outside local Outside global
193.254.258.30 192.168.1.2 --- ---
193.254.258.31 192.168.1.3 --- ---
193.254.258.32 192.168.1.4 --- ---
Aynı topolojide Dynamic NAT yapacak olursak; ISP’nin bize belirli bir aralıkta
IP adresi verdiğini düşünelim ve public IP’lerimizin rastgele bir IP ile internete
erişmesi istensin. 193.254.258.0/24 IP bloğu bize atanmış olsun ve lokal PC
sayısını 100 olsun. Static IP ile tek tek NAT yapmak çok uğraştıracağından bu
bir IP havuzundan rastgele IP ler ile NAT metodunu kullanabiliriz.
Güncel CCNA
Sınav Sorularından Örnekler
1. What are two benefits of using NAT? (Choose two.)
A. NAT facilitates end-to-end communicaton when IPsec is enabled.
B. NAT eliminates the need to re-address all hosts that require external access.
C. NAT conserves addresses through host MAC-level multiplexing.
D. Dynamic NAT facilitates connections from the outside of the network.
E. NAT accelerates the routing process because no modifcations are made on
the packets.
F. NAT protects network security because private networks are not advertised.
CEVAP : B,F
CEVAP : A
CEVAP : A
308 TEMEL NETWORK
4. Which two types of NAT addresses are used in a Cisco NAT device? (Choose
two.)
A. inside local
B. inside global
C. inside private
D. outside private
E. external global
F. external local
CEVAP : A,B
5. What is the danger of the permit any entry in a NAT access list?
A. It can lead to overloaded resources on the router.
B. It can cause too many addresses to be assigned to the same interface.
C. It can disable the overload command.
D. It prevents the correct translation of IP addresses on the inside network.
CEVAP : A
CEVAP : C
NAT (NETWORK ADDRESS TRANSLATION) 309
7. Which command can you enter to display the hits counter for NAT traffic?
A. show ip nat statistics
B. debug ip nat
C. show ip debug nat
D. clear ip nat statistics
CEVAP : A
8. Which NAT function can map multiple inside addresses to a single outside
address?
A. PAT
B. SFTP
C. RARP
D. ARP
E. TFTP
CEVAP : A
CEVAP: A
310 TEMEL NETWORK
311
FRAME RELAY 14
Soldaki router’de:
int se 0/3/0
encapsulation frame-relay (encapsulation metodu olarak frame-relay
seçildi)
frame-relay interface-dlci 102 (DLCI numarası giriliyor. Bunu ISP
ler verir)
312 TEMEL NETWORK
Sağdaki router’de:
int se 0/3/0
encapsulation frame-relay
frame-relay interface-dlci 103
frame-relay lmi-type cisco
ip add 172.16.16.2 255.255.255.0
no sh
int gi 0/0
ip add 192.168.3.1 255.255.255.0
no sh
router rip
version 2
network 192.168.3.0
network 172.16.16.0
FRAME RELAY 313
Güncel CCNA
Sınav Sorularından Örnekler
1. Refer to the exhibit :
CEVAP : C
2. Drag the Frame Relay acronym on the lef to match its defniton on the right.
(Not all acronyms are used.)
316 TEMEL NETWORK
CEVAP :
CEVAP : C
CEVAP : E
CEVAP : A
318 TEMEL NETWORK
319
IPv6 15
IPv6 adreslemesi 16’şar bitlik 8 adres bloğundan meydana gelen toplam 128
bitlik X:X:X:X:X:X:X:X biçiminde bir adresleme türüdür. 8 adres bloğundan
her biri 4 adet hexadecimal (4 bitlik) değerden meydana gelir. 128 bitlik IPv6
adreslemesi bize toplamda 2128, yani yaklaşık olarak 3,4 x 1038 (340 undesillion)
adres sağlamaktadır. Bu sayı da dünya da kişi başına yaklaşık olarak 5x1028
adres düştüğü anlamına gelmektedir.
320 TEMEL NETWORK
Multicast Adres: Multicast adresler birden fazla arayüzü (interface), bir grubu
tanımlayan IPv6 adreslerdir. Multicast adres tanımlı bir paket, bu adresin
tanımlı olduğu birden fazla arayüze yönlendirilir. Bir arayüz (interface) birden
fazla multicast adresine üye olabilir. Multicast adresler, FF ile başlayan 8 bit’in
ardından; 0 veya 1 değerlerinden birini alabilen 4 bit’lik flag değeri; 1,2,3,4,5,8
veya E değerlerini alabilen 4 bit’lik scope değerinden ve geri kalan 112
bit’i istendiği gibi atanabilen adres değeri biçiminde belirlenirler. Scope
değeri, interface scope için 1, link-local scope için 2, subnet-local scope (bir
subnete ait tüm linkler) için 3, admin-local scope için 4, site scope için 5,
organizasyonal scope (birden fazla site) için 8 ve global scope için E’dir.
Bu bağlamda FF02::1 adresi bir linke bağlı tüm node’leri, FF02::2 adresi bir
linke bağlı tüm router’leri, FF02::9 adresi bir linke bağlı tüm RIP router’leri,
FF02::1:FFXX:XXXX adresi IPv6 ARP mesajını, FF05::101 bir site bağlı tüm NTP
sunucularını hedef alan multicast adreslerdir.
322 TEMEL NETWORK
IPv6 adresi 8 (Hextet) parçadan oluşur ve arada : (iki nokta) yer alır. Her hextet’te
0-9 arası rakamlar ve a,b,c,d,e,f harfleri olabilir. IPv6 adresinde tüm hextet’lerin
dolu olması gerekmez. Yani 2011::1 şeklinde de bir IP olabilir. Bu 2011 ile 1
arasındaki tüm hextet’ler sıfır anlamına gelir.
A single interface may be assigned multiple IPv6 addresses of any type (unicast, anycast,
multicast)
IPV6 323
Router>en
Router#conf t
Router(config)#hostname RA
RA(config)#ipv6 unicast-routing
RA(config)#ipv6 router rip uno
RA(config-rtr)#int gi 0/0
RA(config-if)#ipv6 enable
RA(config-if)#ipv6 rip uno enable
RA(config-if)#ipv6 address 1111:1111:1111:1111::/64 eui-64
RA(config-if)#int se 0/3/0
RA(config-if)#no sh
RA(config-if)#int gi 0/0
RA(config-if)#no sh
RA(config-if)#int se 0/3/0
RA(config-if)#no sh
RA(config-if)#ipv6 enable
RA(config-if)#ipv6 rip uno enable
RA(config-if)#ipv6 address 2222:2222:2222:2222::/64 eui-64
IPV6 325
Router>en
Router#conf t
Router(config)#hostname RB
RB(config)#ipv6 unicast-routing
RB(config)#ipv6 router rip uno
RB(config-rtr)#int gi 0/0
RB(config-if)#no sh
RB(config-if)#ipv6 enable
RB(config-if)#ipv6 rip ?
RB(config-if)#ipv6 rip uno enable
RB(config-if)#ipv6 address 3333:3333:3333:3333::/64 eui-64
RB(config-if)#int se 0/3/0
RB(config-if)#no sh
RB(config-if)#clock rate 64000
RB(config-if)#ipv6 enable
RB(config-if)#ipv6 rip uno enable
RB(config-if)#ipv6 address 2222:2222:2222:2222::/64 eui-64
RB(config-if)#no sh
RB(config-if)#int se 0/3/1
RB(config-if)#ipv6 enable
RB(config-if)#ipv6 rip uno enable
RB(config-if)#ipv6 address 4444:4444:4444:4444::/64 eui-64
RB(config-if)#no sh
RB(config-if)#ex
Router>en
Router#conf t
Router(config)#hostname RC
RC(config)#ipv6 unicast-routing
RC(config)#ipv6 router rip uno
RC(config-rtr)#int gi 0/0
RC(config-if)#no sh
RC(config-if)#ipv6 enable
326 TEMEL NETWORK
Router(config-if)#no sh
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address 2018::/64 eui-64
Router(config-if)#end
Şimdi de test zamanı. Önce sağdaki ping atacağımız hedef notebook’un IPv6
adresine bakalım. Bu adreste FE80’den sonrasını kopyalayarak en soldaki
notebook’un ping ekranında el ile 2019 yazıp devamına yapıştırıp ping atalım:
C:\>ping 2019::201:42FF:FE7A:BE97
Evet sorunsuz.
IPV6 331
IPv6 ACL
IPv6 Access List, uygulama olarak IPv4’teki access list’lere benzer. IPv6’da
numeric olarak access list kullanımı yoktur, yalnızca named ACL kullanılır.
Kullanım mantığı aynı olmakla birlikte yalnızca komutlarda değişiklikler vardır:
ip access-group > ipv6 traffic-filter
Şimdi değişiklikleri iki örnekte görelim. Önce soldaki router’e sadece belli bir
notebook’un telnet yapabilmesi için bir kısıtlama uygulayalım.
R1 (config)# ipv6 access-list TELNET
R1 (config-ipv6-acl)#permit tcp host 2019::206:2AFF:FED6:B14D any eq
23
R1 (config-ipv6-acl)#exit
R1 (config)#line vty 0 15
R1 (config-line)#ipv6 access-class TELNET in
R1 (config-line)#exit
IP’leri ayarladıktan sonra önce her iki tarafın birbirine ulaşabildiklerini test
edin. Herşey yolunda ise IPv6 ACL kısıtlamalarına geçebiliriz.
R1(config-if)#exit
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router ospf 1
R1(config-rtr)#router-id 1.1.1.1
R1(config-rtr)#int gi 0/1
R1(config-if)#ipv6 ospf 1 area 0
R1(config-if)#int se 0/0/0
R1(config-if)#ipv6 ospf 1 area 0
R1(config-if)#int se 0/0/1
R1(config-if)#ipv6 ospf 1 area 0
R1(config-if)#
Sıra router2’de:
Router>en
Router#conf t
Router(config)#Host R2
R2(config)#ipv6 unicast-routing
R2(config)#int gi 0/1
R2(config-if)#no sh
R2(config-if)#ipv6 address 2015:2016:2017:20::1/64
R2(config-if)#int se 0/0/0
R2(config-if)#no sh
R2(config-if)#ipv6 address 2015:2016:2017:1::2/64
R2(config-if)#int se 0/0/1
R2(config-if)#no sh
R2(config-if)#ipv6 address 2015:2016:2017:2::1/64
R2(config-if)#exit
R2(config)#ipv6 router ospf 1
R2(config-rtr)#router-id 2.2.2.2
R2(config-rtr)#exit
R2(config)#int gi 0/1
R2(config-if)#ipv6 ospf 1 area 0
R2(config-if)#int se 0/0/0
R2(config-if)#ipv6 ospf 1 area 0
R2(config-if)#int se 0/0/1
R2(config-if)#ipv6 ospf 1 area 0
IPV6 335
Sıra router3’te:
Router>en
Router#conf t
Router(config)#host R3
R3(config)#int se 0/0/1
R3(config-if)#no sh
R3(config-if)#ipv6 address 2015:2016:2017:3::2/64
R3(config-if)#int se 0/0/0
R3(config-if)#no sh
R3(config-if)#ipv6 address 2015:2016:2017:2::2/64
R3(config-if)#int gi 0/1
R3(config-if)#no sh
R3(config-if)#ipv6 address 2015:2016:2017:30::1/64
R3(config-if)#exit
R3(config)#ipv6 unicast-routing
R3(config)#ipv6 router ospf 1
R3(config-rtr)#router-id 3.3.3.3
R3(config-rtr)#exit
R3(config)#
R3(config)#int gi 0/1
R3(config-if)#ipv6 ospf 1 area 0
R3(config-if)#int se 0/0/0
R3(config-if)#ipv6 ospf 1 area 0
R3(config-if)#int se 0/0/1
R3(config-if)#ipv6 ospf 1 area 0
R3(config-if)#exit
R3(config)#
01:06:00: %OSPFv3-5-ADJCHG: Process 1, Nbr 1.1.1.1 on Serial0/0/1
from LOADING to FULL, Loading Done
Evet şimdi de sıra client’lerin IP’lerine geldi. Client’lere isterseniz IPv6 auto
config ile isterseniz manuel olarak network’a uygun bir IP verdiğinizde
client’lerin birbirini pingleyebildiğini göreceksiniz.
336 TEMEL NETWORK
Kontrolümüzü de yapalım:
IPV6 337
CEVAP : A
CEVAP : B,C,E
CEVAP : C
338 TEMEL NETWORK
CEVAP : B
CEVAP : A,C
CEVAP : B,C
IPV6 339
CEVAP : D
CEVAP : A,D
9. The network administrator has been asked to give reasons for moving from
IPv4 to IPv6. What are two valid reasons for adopting IPv6 over IPv4? (Choose
two.)
A. no broadcast
B. change of source address in the IPv6 header
C. change of destination address in the IPv6 header
D. Telnet access does not require a password
E. autoconfiguration
F. NAT
CEVAP : A,E
340 TEMEL NETWORK
CEVAP : D
11.What are three approaches that are used when migratng from an IPv4
addressing scheme to an IPv6 scheme. (Choose three.)
A. enable dual-stack routing
B. configure IPv6 directly
C. configure IPv4 tunnels between IPv6 islands
D. use proxying and translation to translate IPv6 packets into IPv4 packets
E. statically map IPv4 addresses to IPv6 addresses
F. use DHCPv6 to map IPv4 addresses to IPv6 addresses
CEVAP : A,C,D
12. Which three are characteristics of an IPv6 anycast address? (Choose three.)
A. one-to-many communicaton model
B. one-to-nearest communicaton model
C. any-to-many communicaton model
D. a unique IPv6 address for each device in the group
E. the same address for multiple devices in the group
F. delivery of packets to the group interface that is closest to the sending
device
CEVAP : B,E,F
IPV6 341
CEVAP : D
14.Which command can you use to manually assign a static IPv6 address to a
router interface?
A. ipv6 autoconfig 2001:db8:2222:7272::72/64
B. ipv6 address 2001:db8:2222:7272::72/64
C. ipv6 address PREFIX_1 ::1/64
D. ipv6 autoconfig
CEVAP : B
342 TEMEL NETWORK
343
LOGGING 16
SYSLOG
Syslog genel olarak kullanılan bir log formatıdır. Birçok üretici syslog destekler.
Syslog kayıtları virgülle ayrılmış olarak ham veriler içerir. Bu verileri düzenlemek
ve anlamlı hale getirmek için birçok program vardır.
Komutları:
Router(config)#logging 192.168.1.3 (PT da logging host 192.168.1.3)
Router(config)#logging trap 4 (ya da PT da 4 yerine debugging)
SNMP v2c: Basit ve toplu bilgi mesajları gönderebilir. Güvenlik yine yoktur.
Kontroller için:
show snmp
show snmp comminity
346 TEMEL NETWORK
NETFLOW
Cisco cihazları kullandığınız bir ağda, cihazların oluşturduğu netflow datalarını
(ağ akışı) bir yerlerde tutmanız ve trafik analizi, trafik gözlemlemesi yapmanız
gerekebilir. Bunun için aşağıdaki komutları kullanabilirsiniz.
#ip flow-export destination ipaddress port
#ip flow-export source interface
#ip flow-export version number
Bu komutlar sayesinde oluşan flow datalarını, bir IP adresine belirli bir porttan
gönderiyorsunuz. Ayrıca bu IP adresi ve portla erişim kurulacak interface’yi
belirliyorsunuz. Gönderilen flow datalarından, netflow server tarafından
anlaşılır bir istatistik oluşturması için uyumlu versiyonu belirtiyorsunuz.
NetFlow Versiyonları
Versiyon AÇIKLAMA
v1 İlk uygulamalarda kullanılan kısıtlı versiyon. Yalnızca IPv4 destekler.
v2 Cisco kendi içinde kullandı, yayınlanmadı.
v3 Cisco kendi içinde kullandı, yayınlanmadı.
v4 Cisco kendi içinde kullandı, yayınlanmadı.
v5 En çok kullanılan versiyonu fakat hala yalnızca IPv4 desteği var.
v6 Cisco tarafından desteklenmeyen versiyon.
v7 Yalnızca Cisco Catalyst, switch’ler tarafından desteklenen kısıtlı versiyon
v8 V5 benzeri fakat bir kaç farklı form desteği de var.
2009 yılında kullanıma başlandı, ve birçok router tarafından kullanılıyor.
v9
IPv6, MPLS ve BGP destekleri de var.
v10 IPFIX tanımları için kullanılıyor.
LOGGING 347
Örnek Konfigürasyon
SinanHOCA-ROuter (config)# interface GigabitEthernet 0/1
SinanHOCA-ROuter (config-if)#ip flow ingress
SinanHOCA-ROuter (config-if)#ip flow egress
SinanHOCA-ROuter (config-if)#exit
SinanHOCA-ROuter (config)#ip flow-export destination 192.168.1.3
2055
SinanHOCA-ROuter (config)#ip flow-export version 5
Kontrol için:
SinanHOCA-ROuter #sh ip cache flow
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
Cısco Cihazlarda
Konfigürasyon Değişikliklerinin
İzlenmesi
Sorumlu olduğunuz ve yönettiğiniz network’un sınırları genişledikçe herhangi
bir cihazda yapılan bir konfigürasyon değişikliğinin network’ta beklenmedik
problemlerin ortaya çıkma olasılığını yükselttiğini söyleyebiliriz. Bunun yanında
bu yapılan konfigürasyon değişikliğini de siz yapmadıysanız yandınız. Problem
yetmiyormuş gibi bir de “Yapılan değişiklik nedir? Kim yaptı bu değişiklikleri?”
sorularının cevabını aramak çıktı! Eğer network yöneticileri kişisel kullanıcı
adları ile cihazlara login oluyorsa o kişiye ulaşıp, yaptığı değişikliği öğrendikten
sonra problemin nedenini yorumlamak mümkün olacaktır ama bu da genelde
düşündüğünüz gibi hızlıca olmaz.
Cisco, IOS Configuration Change Notification and Logging özelliği ile yapılan
konfigürasyon değişikliklerine yol açan komutları, kimin ne zaman yürüttüğü
bilgisini loglayabiliyor. Default’da bu özellik kapalı durumdadır. Devreye
alındığında cihaz kendi üzerinde yürütülen son 100 konfigürasyon komutu
için belirttiğimiz bilgileri logluyor. İstenirse bu logların syslog’a iletilmesi de
sağlanıp harici bir syslog sunucusunda değişiklikleri saklamak mümkün ki
bence yapılması gereken de bu olmalıdır. Bu özelliğin desteklenebilmesi için
cihazınızın 12.3(4)T, 12.2(25)S, 12.2(27)SBC, 12.2(33)SRA, 12.2(33)SXH, 12.2(33)
SB IOS’lar ve sonrasındaki versiyonlarından platformuna uygun bir tanesine
sahip olması gerekiyor.
Yaygın olarak kullanılan cihazlara göz atacak olursak, 2950 serisi için yazının
yazıldığı tarihteki son IOS versiyonu 12.1(22)EA13 dolayısı ile bu özellik
desteklenmiyor. Fakat iyi haber, son 4-5 yıl içinde IOS upgrade yapılan
router’lerin ve tüm 2960 serisi switchlerin bu özelliği desteklemesidir.
LOGGING 349
Varsayılan ayarları ile devreye aldık. “show archive log config all” komutu
ile tüm loglanan komutları görüntülemek mümkün. Tüm komutların dışında
belli bir kullanıcının girdiği komutları da görüntüleyebiliyorsunuz.
SinanHoca#show archive log config all
idx sess user@line Logged command
1 1 SinanHoca@vty1 | logging enable
SinanHoca(config)#end
SinanHoca#show archive log config all
idx sess user@line Logged command
1 1 SinanHoca@vty1 | logging enable
2 2 SinanHoca@vty1 |username admin1 secret sifre111
3 2 SinanHoca@vty1 |username admin2 secret sifre222
4 3 SinanHoca@vty1 |archive
5 3 SinanHoca@vty1 | log config
6 3 SinanHoca@vty1 | hidekeys
7 4 SinanHoca@vty1 |username admin3 secret *****
Bu arada isterseniz aşağıya toparladığım özet log komutlarını da bir yere yazıp
kopyala yapıştır yapabilirsiniz.
conf t
archive
log config
logging enable
logging size 250
notify syslog
hidekeys
352 TEMEL NETWORK
CEVAP : B,C
CEVAP : D
3. Which two statements about syslog logging are true? (Choose two.)
A. Messages are stored external to the device.
B. The size of the log file is dependent on the resources of the device.
C. Syslog logging is disabled by default.
D. Messages can be erased when the device reboots.
E. Messages are stored in the internal memory of the device.
CEVAP : A,D
LOGGING 353
4. If you configure syslog messages without specifying the logging trap level,
which log messages will the router send?
A. error conditons only
B. warning and error conditons only
C. normal but signifcant conditons only
D. all levels except debugging
E. informational messages only
CEVAP : E
5. Which three statements about Syslog utilization are true? (Choose three.)
A. Utilizating Syslog improves network performance.
B. The Syslog server automatically notfes the network administrator of network
problems.
C. A Syslog server provides the storage space necessary to store log files
without using router disk space.
D. There are more Syslog messages available within Cisco IOS than there are
comparable SNMP trap messages.
E. Enabling Syslog on a router automatically enables NTP for accurate time
stamping.
F. A Syslog server helps in aggregaton of logs and alerts.
CEVAP : C,D,F
CEVAP : B,D,F
354 TEMEL NETWORK
CEVAP : D
CEVAP : B
CEVAP : C
LOGGING 355
10.What are three components that comprise the SNMP framework? (Choose
three.)
A. MIB
B. agent
C. set
D. AES
E. supervisor
F. Manager
CEVAP : A,B,F
CEVAP : A,B,D
12. What are the Popular destinations for syslog messages to be saved? (Choose
three)
A. Flash
B. The logging bufer .RAM
C. The console terminal
D. Other terminals
E. Syslog server
CEVAP : B,C,E
356 TEMEL NETWORK
13.Which two commands can you enter to verify that a configured NetFlow data
export is operational? (Choose two.)
A. show ip fow export
B. show ip cache fow
C. ip fow ingress
D. ip fow egress
E. interface ethernet 0/0
F. ip fow-export destination
CEVAP : A,B
14. What are three reasons to collect Netlow data on a company network? (Choose
three.)
A. To identify applicatons causing congeston.
B. To authoriie user network access.
C. To report and alert link up / down instances.
D. To diagnose slow network performance, bandwidth hogs, and bandwidth
utliiaton.
E. To detect suboptmal routing in the network.
F. To confirm the appropriate amount of bandwidth that has been allocated to
each Class of Service.
CEVAP : A,D,F
15. What command visualizes the general NetFlow data on the command line?
A. show ip fow export
B. show ip fow top-talkers
C. show ip cache fow
D. show mls sampling
E. show mls netlow ip
CEVAP : C
LOGGING 357
CEVAP : A,C,D
CEVAP : B
CEVAP : B
CEVAP : D
358 TEMEL NETWORK
20.Which command can you enter on a switch to determine the current SNMP
security model ?
A. Show snmp pending
B. show snmp group
C. snmp server contact
D. show snmp engineID
CEVAP : B
359
KABLOSUZ
AĞLAR (WLAN,
17
WIRELESS LAN)
Bundan 10-15 yıl önce kablosuz ağlar ihtiyaçtan öte, lüks bir istekti. Günümüzde
artan mobil cihazlar ile artık ağların vazgeçilmez bir parçası haline gelmiştir.
Yine yıllar önce kablosuz ağların temel iki sorunu vardı. Güvensiz olmaları ve
bağlantı hızlarının düşük olması. Günümüzde ise en az kablolu ağlar kadar
güvenli ve hızlı hale gelmişlerdir. Şüphesiz kablosuz ağlar için %100’lük bir
güvenlikten bahsedilemez fakat güzel bir planlama ve konfigürasyon ile bu
seviyeye yakın güvenlikte elde edilebilir.
Şimdi gelelim daha önemli konuya; kaç tane Access Point kullanmalıyım
ve nerelere koymalıyım? Bunun için keşif yapmanız şarttır. Kablosuz ağ
kullanacağınız bina inşaat halinde bile olsa elinize kullanmayı düşündüğünüz
Access Point (AP)’lerden birisini alın ve inşaat elektriğini kullanarak cihazı
çalıştırın. Bilgisayarınıza ise NetStumbler türü wi-fi analyzer programlarından
bir tane yükleyin. Sonra bilgisayarınız ile o katı gezer, erişimin %40’ın altına
düştüğü bölgelere bir tane daha AP koymayı düşünebilirsiniz. Binanın
tümünde kullandığınız AP’leri bir ortak POE switch’de toplamanızı da tavsiye
ederim.
2- Misafir erişimi olacak mı? Bu, konu edilecek, büyütülecek bir konu mu?
Personel erişiyorsa, şifreyi söylerler ise gelen misafirler de aynı ağdan
internete erişebilir diye çok basit mantıkla düşünenleriniz olabilir. Bu konu
tahmin ettiğinizden daha önemli bir konudur. Günümüzde saldırıların
%70’den fazlası iç ağdan, ele geçirilen personel üzerinden yapılmaktadır. Bir
yeri hacklemenin en zor kısmı, orayı koruyan firewall’ları aşıp, dışarıdan içeri
girebilmektir. Sonrası çocuk oyuncağıdır. İşte siz bilmeden bir misafirin mobil
cihazına bu internet erişimini verdiğiniz de onu ağınıza dahil etmiş olursunuz
ve artık o yalnızca internete değil, tüm çalışanlarınıza, bir personeliniz gibi
sunucularınıza erişebilir olur. Yani hacklemenin en zor kısmı olan dışarıdan
içeri girmeyi başarmış olur. Bu yüzden kesinlikle kablolu ya da kablosuz misafir
bağlantılarını sunucu ve personel networkünden izole etmeniz gerekir.
Bir diğer konu da ülkemizle ilgili bir zorunluluk olan internet erişimlerinin
kaydının (5651 sayılı yasa) tutulmasıdır. Bu yasa uyarınca gerek personel
gerekse misafir gibi kendi çalışanımız olmayanların erişim trafikleri imzalanarak
(hash’i alınarak) saklanmalıdır. Bu yüzden de misafir erişimlerinde hotspot
da kullanmanızı tavsiye ederim. Böylece misafirler erişim öncesi portal’e
yönlendirilir, erişim formunu doldururlar ve sonrasında cep telefonlarına gelen
şifre ile login olup, erişim sağlarlar.
3- Kablosuz erişimde farklı segmentler olacak ise bunun için gelişmiş Access
Point’ler de kullanmanız gerekecektir. Per SSID per vlan özelliği olan Access
Point’ler ile tek bir cihazdan birden çok SSID (kablosuz ağ yayın adı) yayınlayıp
bunları da farklı vlan’lara atamanız mümkün olur.
KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 365
Noktadan Noktaya
Kablosuz Erişimler
İlk konularımızda da bahsettiğim üzere uzun mesafeli kablo kullanımı tavsiye
edilmez. 100m hatta 75m’den sonra bakır kabloların verimliliği düşer ya
da hiç veri iletemez hale gelir. Uzun mesafeli erişimlerde ilk akla gelen fiber
kablo kullanılmasıdır bu da şehir hayatında birçok izin ve inanılmaz maliyetler
gerektirebilir. Kablosuz noktadan noktaya erişimlerde 100 km’ye kadar
kablosuz olarak veri aktarmak (atlamasız) mümkün olabilmektedir. Bu tür bir
aktarım için tek şart iki cihazın kuş uçuşu birbirini görmesi, yani arada bina,
dağ, tepe olmamasıdır. Arada engel olması durumunda da bu engelin tepesine
aktarıcı cihaz konulup bağlantı devam ettirebilir. Günümüzden (2019) 5-10 yıl
önce bu tür noktadan noktaya bağlantılar hava koşullarından etkileniyorken
günümüzde bu alanda daha başarılı ürünler sayesinde hava şartları da sorun
olmaktan çıkmıştır.
Wireless Controller
Çok sayıda Access Point’iniz olunca bunları yönetmek de zorlaşır. Örneğin
50 Access Point’lik bir kablosuz ağda bir SSID’nin şifresini değiştirmek ağ
yöneticisi için kabus olur. Bu tür büyük yapılarda controller ile merkezi yönetim
yapılabilir. Contoller donanımsal ya da yazılımsal olabilir. Controller ile uzaktan
yapabileceğiniz yeni SSID tanımlama, şifre değiştirme, ağ yoğunluğu görme
hatta AP’lerin firmware yazılımlarını güncelleme dahil bir çok işlemi kolayca
yapabilirsiniz.
Packet Tracer
Wireless Uygulaması
Aşağıdaki şekildeki gibi bir ağımız olsun. Bu ağda kablosuz erişimleri de
tanımlayalım.
KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 367
Kablosuz ağ portu olan Port1’e solda tıklayıp, sağ tarafta gerekli ayarları
girelim:
Tabletin IP ayarlarına girip kontrol ettiğimizde ise AP’nin bağlı olduğu port
vlan10’a üye olduğundan 10’lu bir IP aldığını da görebilirsiniz:
Yönetici ayarları:
Misafir ayarları:
KABLOSUZ AĞLAR (WLAN, WIRELESS LAN) 373
Kablosuz ağlar ile ilgili son olarak yukarıdaki menüde dikkatimi çeken Rogue
AP Detection özelliğini de anlatayım. Bu ilginç bir güvenlik uygulamasıdır.
Nasıl biz personel diye bir ağın tanımını yapıp, bu ağın kablosuz yayınına
başladıysak, kötü niyetli birisi de kendi Access Point’inde aynı isimle bir
yayın başlatabilir ve personelimizin yanlışlıkla bu ağa bağlanmasıyla onların
trafiklerini kendi üzerinden geçirerek (man in the middle) şifrelerini kolayca
ele geçirebilir. İşte bunu engellemek için Rogue AP Detection özelliğini açıp,
yapılandırırsak bu tür bizim yayınladığımız SSID’lerin aynısı yayınlandığında
Access Point’imiz bunları tespit eder ve alarm üretip, geliş modellerinde
onların yayınını da aynı özelliklerde yayın yaparak bastırır, personelin bu tür
sahte yayınlara bağlanmasını engeller.
374 TEMEL NETWORK
CEVAP : A,B,C
2. Which two statements about wireless LAN controllers are true? (Choose two.)
A. They can simplify the management and deployment of wireless LANs.
B. They rely on external frewalls for WLAN security.
C. They are best suited to smaller wireless networks.
D. They must be configured through a GUI over HTTP or HTTPS.
E. They can manage mobility policies at a systemwide level.
CEVAP : A,E
3. Which device allows users to connect to the network using a single or double
radio?
A. access point
B. switch
C. wireless controller
D. Firewall
CEVAP : A
375
TROUBLE-
SHOOTING 18
(SORUN ÇÖZME)
Switch ve omurgaya giden bağlantı sağlam ama erişimler yok? Yine önce IP
almışlar mı kontrolü yapılır. IP almışlar ise B blok router yönlendirmeleri, IP
alamamışlar ise DHCP’deki scope, router’in o vlan ile ilgili sub-interface’sindeki
IP helper kontrol edilir.
Kat switch’i, router’e ping atamıyorsa öncelikle MGMT IP’si, ağ geçidi, vlan’ın
UP olup olmadığı kontrol edilir. Bunlar uygun olduğu halde ping atmıyorsa kat
switch’i - omurga - router arası kabloyu fare kemirmiştir.
Bu olay CCNA ve CCNP sınavlarında çok fazla çıkan bir olaydır. Bir interface bu
şekilde down olduysa tek sebebi port security’dir. Bu portta violation olarak
shutdown seçilerek port security yapılmış ve tehdit algılandığından dolayı
port, shut edilmiştir. Çözümü için o interface içerisinde önce tekrar shutdown
edilmeli sonra no shutdown yapılmalıdır.
TROUBLESHOOTING (SORUN ÇÖZME) 379
no sh
exit
*** vtp ayarlarını girelim. Böylece kat switch’leri vlan’ları buradan çekebilsin:
vtp domain cisco
vtp mode server
vtp pass cisco
*** Bu switch’i yönetebilmek için bir IP si olması gerek. Yönetim vlan’ında bir IP
verelim:
int vlan 18
no sh
ip add 172.18.18.2 255.255.255.0
exit
*** Farklı vlan’lardan bu switch’e yönetim için gelen trafiğin geri dönebilmesi
için bu switch’e default gateway tanımlıyoruz:
ip routing
ip route 0.0.0.0 0.0.0.0 172.18.18.1
*** Bu switch’i ssh ile yönetmek için IP vermemiz gerekli. MGMT vlan’ında bir IP
tanımlayalım:
int vlan 16
no sh
ip add 172.16.16.3 255.255.255.0
exit
*** Soruda vlan 100 kullanılması istendiğinden önce vlan 100 oluşturalım:
vlan 100
*** Router’lere giden portları trunk yapmıyoruz. Çünkü zaten tek vlan var
direkt bu vlan’ı router’lere taşıyabiliriz. Bu portların bağlantılarının sunucularla
haberleşmesi için bu portları da vlan 100’e alıyoruz:
int ran gi 0/1-2
sw mod acc
sw acc vlan 100
exit
*** Bu switch’e gelen farklı IP’lerin geri dönebilmeleri için hem diğer
network’lara ulaşabilme adına OSPF yapıyoruz hem de bu switch’i, router
olarak kullanmak için IP routing yapıyoruz:
ip routing
router ospf 100
network 192.168.100.0 0.0.0.255 area 0
*** Şimdi de Gi 0/0 interface’sine katlardan gelen vlan’ları ayırabilmek için sub
interface’ler tanımlayalım:
int gi 0/0.10
enc dot 10
ip add 192.168.10.1 255.255.255.0
no sh
exit
int gi 0/0.20
enc dot 20
ip add 192.168.20.1 255.255.255.0
no sh
exit
int gi 0/0.16
enc dot 16
ip add 172.16.16.1 255.255.255.0
no sh
exit
TROUBLESHOOTING (SORUN ÇÖZME) 385
You have discovered that computers on the 192 168 10 0/24 network can ping
their default gateway, but they cannot connect to any resources on a remote
network Which reason for the problem is most likely true?
A. The 192.168.12 0/24 network is missing from OSPF
B. The OSPF process ID is incorrect
C. The OSPF area number is incorrect.
D. An ARP table entry is missing for 192.168.10.0.
E. A VLAN number is incorrect for 192.168.10.0.
CEVAP : A
TROUBLESHOOTING (SORUN ÇÖZME) 387
After you apply the given configuration to R1, you notice that it failed to
enable OSPF Which action can you take to correct the problem?
A. Configure a loopback interface on R1
B. Enable IPv6 unicast routing on R1.
C. Configure an IPv4 address on interface FO/0.
D. Configure an autonomous system number on OSPF.
CEVAP : C
3. Which option describes the best way to troubleshoot and isolate a network
problem?
A. Gather the facts
B. Change one variable at a time.
C. Implement an action plan
D. Create an Action plan
CEVAP : C
388 temel network
CEVAP : D
CEVAP : E
6. Which two options will help to solve the problem of a network that is sufering
a broadcast storm? (Choose two.)
A. a Layer 3 switch
B. a hub
C. a bridge
D. an access point
E. a router
CEVAP : A,E
TROUBLESHOOTING (SORUN ÇÖZME) 389
7. After you configure a default route to the Internet on a router, the route is
missing from the routing table. Which option describes a possible reason for
the problem?
A. The next-hop address is unreachable.
B. The default route was configured on a passive interface.
C. Dynamic routing is disabled.
D. Cisco Discovery Protocol is disabled on the interface used to reach the next
hop.
CEVAP : A
CEVAP : C
390 temel network
A TFTP server has recently been instated in the Atlanta office. The network
administrator is located in the NY office and has made a console connection
to the NY router. After establishing the connection they are unable to backup
the configuration file and iOS of the NY router to the TFTP server. What is the
cause of this problem?
A. The TFTP server has an incorrect subnet mask.
B. The TFTP server has an incorrect IP address.
C. The network administrator computer has an incorrect IP address.
D. The NY router has an incorrect subnet mask.
CEVAP : A
CEVAP : A
391
IOT
(INTERNET OF 19
THINGS)
Ev Kullanımları
Evinizde elektrik sisteminizin, aydınlatmanızın, ısıtmanızın, kapı ve pencere
sistemlerinin, su sistemlerinin, garaj giriş kapısının internete bağlanabildiğini
düşünün. Böylece tatile giderken ‘Ütüyü fişte mi unuttum?’ derdiniz olmayacak,
hemen cep telefonunuzdaki uygulamadan ya da internetten evinize erişerek
durumu kontrol edip gerekirse uzaktan kapatmanız mümkün olacak
desek çok bilim kurgu filmi izliyorsunuz derlerdi ama artık bu söylediğim
herşey mümkün. Bizzat ben kendi evimde birçok sistemi akıllı hale getirip
kullanıyorum. Akıllı çalışan cihazlar arası bir otomasyon, birbiriyle ilişkili bir
olay da mümkündür. Bu tür otomasyonlar için, otomasyonu yönetecek bir
sunucu ya da merkezi bir cihaza da ihtiyaç bulunmaktadır. Apple ürünleri için
bu görevi 4. nesil Apple TV, Ipad ya da HomePod, diğer ürünlerde ise Amazon
Echo yapmaktadır. İşin yönetim tarafında Microsoft ve diğer üreticilerin de ev
cihazlarını yönetim yazılımları bulunmaktadır. Bu otomasyon sayesinde evden
çıkarken sesli olarak hoşçakal siri/alexa demeniz durumunda sistem otomatik
olarak kapı ve pencerelerin kapalı olup olmadığını kontrol edebilir, açık ışıkları,
IOT (INTERNET OF THINGS) 393
Micoach Akıllı Top: Adidas markası altında çıkan bu akıllı top ile; attığınız kaç
penaltının gol olduğunu, kaç kilometre hız ile vurduğunuzu ve hangi ayakla
kaç gol attığınız gibi bilgileri uygulama sayesinde takip edebiliyorsunuz. Ayrıca
arkadaşlarınızla karşılaştırma da yapabiliyorsunuz.
Smart Things: Akıllı evler için şu anda en fazla tercih edilen ürünlerden biri
Smart Things. Ürünü akıllı telefonunuz üzerinden desteklenen cihazlarla
entegre ederek, sabah uyandığınızda kahveniz yapılmaya başlanabilir ya da
eve geldiğinizde ışıklar veya müzik sistemi otomatikman açılabilir.
IOT (INTERNET OF THINGS) 395
Babolat: Bir akıllı raket olan Babolat; tenisçilerin topa vuruş hızlarını, vuruş
açılarını ve hangi elle/stille vurduklarını takip ediyor. Ardından da uygulama
üzerinden istatistikleri anlık olarak kullanıcıyla buluşturabiliyor.
Edyn: Bahçeler için geliştirilmiş bir akıllı ürün olan Edyn, toprağa ne ekmeniz,
nasıl ekmeniz ve toprağı hangi aralıklarla sulamanız gerektiği konusunda
önerilerde bulunuyor.
396 TEMEL NETWORK
Ring: Bir akıllı zil üreticisi olan Ring, Amazon tarafından 1 milyar doların
üzerinde bir fiyata satın alındı. Bu zil üzerinden, evinize kimlerin geldiğini evin
dışındayken de görebiliyorsunuz.
IOT (INTERNET OF THINGS) 397
Sanayi Kullanımlarından
Örnekler
Çevre
7 küsur milyarlık nüfusu ile dünya, doğal kaynaklarının yönetimi olarak büyük
bir problem haline geliyor. Nüfus artışına bağlı çevreyi korumak ise daha
karmaşık bir hal alıyor, fakat IoT; temiz su, hava kirliliği, katı atık depolama
sahası ve orman kaybı gibi problemlere çözüm üretmek için eşsiz fırsatlar
sunuyor. Sensör tabanlı cihazlar çöp ve kanalizasyonlarda veri topluyor; aynı
şekilde şehir dışında-ormanlık alanlarda; göl ve nehir yataklarında işlevsel
durumdalar. Çevreye bağlı tehditlerin bazıları kompleks olabiliyor, fakat IoT
bunun için burada diyebiliriz. En azından sorunu teşhis edip, ölçümlemek IoT
sayesinde mümkün.
Örnek Kullanım:
Air Quality Egg adında bir cihaz ile ofis ve yaşam alanlarındaki hava kalitesini
ölçümleyebiliyorsunuz. Aynı teknolojinin geniş ölçekte kullanılarak şehrin
sakinlerine havayı ne kadar kirlettikleri öğretilebilir, daha geniş ölçekte global
bir farkındalık yaratmak da mümkün.
Güneş panelleri ile çalışan BigBelly adlı bir çöp konteynırı dolduğu zaman
temizlik görevlilerine haber gönderiyor. Konteynırın boyutunun/kapasitesinin
değiştirilmesi gibi işlemler; çöp kutularının hareketlilik seviyesini kontrol
ederek gerçekleştiriliyor.
Ülkemizden çıkma bir girişim olan Evreka bunun çok güzel bir örneği. Akıllı
şehirler konsepti altında, çöplerin daha efektif bir şekilde toplanmasını sağlıyor.
Tarım
IoT, tarımsal üretimi arttırmak için her adımın gözlemlenebildiği akıllı tarlalar
kurulmasına olanak sağlıyor. Buna ek olarak, gıda güvenliği açısından IoT’un
sunduğu veri tabanlı çözümler tüketicilere yedikleri yemeğin dahi takibini
yapabilme seçeneği sunuyor.
400 TEMEL NETWORK
Örnek Kullanım:
Z-Trap adlı cihaz ile çiftçiler bölgedeki böcek popülasyonunu takip edip,
ürünlerini koruyabiliyor.
Enerji
Nüfus ve talep artışına bağlı olarak, global enerji tüketiminin önümüzdeki
30 sene içerisinde %50 civarında artacağı ön görülüyor. IoT’un bu konuda da
faydalı olacağından şüpheniz olmasın. IoT, global enerji sorununa; temiz enerji
teknolojileri üreterek ve hali hazırdaki ürünlerin verimliliğini optimize ederek
katkıda bulunacak.
Örnek Kullanım:
Örnek Kullanım:
Otomobil Sektörü
Aracınızı uzaktan çalıştırma, park etme, aracın mekanik durumunu görmek
dışında aracın bakım takibinin yazılımla kontrolü, kaza anında alınacak
aksiyonlar, çalınan aracın takip ve uzaktan kısıtlamaları gibi sayamayacağım
kadar özellik günümüzde kullanımdadır.
402 TEMEL NETWORK
Bu özelliği açtıktan sonra artık IoT sunucu olarak yazılım üzerinden hizmet
vermeye başlıyor. Sunucu da Desktop/Web Browser’e girip sunucumuzun
IP’sini yazalım:
Yeni cihaz aksiyonu için +Action butonuna tıklayarak, diğer cihaz aksiyonlarını
da ekledim ve altta OK dedim.
Şimdi deneyelim. Sensör de hareket oluşturmak için ALT tuşuna basılı tutarken
mouse okunu sensörün üzerinden geçiriniz.
IOT (INTERNET OF THINGS) 409
KODLAB.
Kitabın yanında “Hediye” olarak verilen eğitim videolarını
www.kodlab.tv adresinden aşağıdaki adımları uygulayarak izleyebilirsin.
KODLAB.
1 WWW.KODLAB.TV ADRESİNE GİR
2 ÜYE OL!
AKTİVASYON KODU