Cisco Temel Switch Konfigürasyonu

Switchler bilgisayar haberleşmesi için önemli cihazlardan biridir. Bu yazımda sadece Cisco switchler üzerine odaklanacağız. Cisco switchleri kullanabilmek için “Cisco Packet Tracer” uygulamasını kullanacağız. Uygulama hakkında daha fazla bilgi almak için aşağıdaki bağlantıyı ziyaret edebilirsiniz.

Cisco Packet Tracer : https://www.netacad.com/courses/packet-tracer

Switchler ile ilgili ilk konfigürasyon “konsol veya rollover” kablo denilen kablo ile yapılmaktadır. Bu kablonun bir ucu “DB-9 veya RS232” girişli diğer ucu da “RJ-45” girişlidir. DB-9 lu konnektör bilgisayara takılır. RJ-45 konnektör ise yönetilebilir switchlerin arkasında bulunan “Console” portuna takılır.

Not-1: Günümüzdeki bilgisayarlarda “DB-9” girişi bulunmadığı için aşağıdaki görseldeki gibi dönüştürücüler kullanılmaktadır.

Not-2: Ayrıca günümüzde “USB” kablolama teknolojilerinin gelişmesiyle artık “Rollover-Kablo” tiplerinde de USB’ler kullanılabilmektedir. Aşağıdaki model “DB-9” yerine “USB” tercih edilen “Rollover veya Konsol” kablosu modelidir. Günümüzde her iki kablo da kullanılmaktadır. İkisini de tanımakta fayda var.

Konsol kablosunu doğru bir şekilde taktıktan sonra bize arayüz sağlayacak bir uygulama kullanmamız gerekmektedir. Bu uygulamalara örnek olarak “Tera Term”,”Putty”,”Secure CRT” verilebilir. Günümüzde en çok tercih edilenlerden biri de “Putty” programıdır. Çok tercih edilmesinin sebebi ücretsiz olması ve kullanımının kolaylığıdır. Putty aracı hakkında daha fazla bilgi almak ve kurulum dosyasını indirmek için aşağıdaki bağlantıyı kullanabilirsiniz.

Putty –> https://www.chiark.greenend.org.uk/~sgtatham/putty/

Putty programının genel arayüzü yukarıdaki görseldeki gibidir. Switch ile bağlantı için “Serial” bağlantı tipi seçilmeli ardından “Open” diyerek komut arayüzüne erişim sağlayabiliriz.

Yukarıda anlatılan süreç sadece gerçek switchler kullanılarak yapılacak olan ilk bağlantı sürecidir. Konu içeriğinde Cisco Packet Tracer uygulamasını kullanacağımız için her şey sanal olacaktır.

Cisco Packet Tracer üzerinde yukarıdaki süreci gerçekleştirmek için öncelikle çalışma ortamımıza bir bilgisayar bir de 2960 switch alalım. Ardından bu cihazları Console kablosu kullanarak bağlantıyı sağlayalım.

Ardından “Laptop” üzerinden “Desktop” bölümüne girelim ve açılan ekrandan “Terminal” programını açalım.

Daha sonra açılan ekrandan belirtilen butona basalım.

Bu işlemleri yaptıktan sonra “Switch” in CLI ( Command Line Interface ) ekranına erişmiş olacağız.

Switch konfigürasyon işlemlerine başlamadan önce bilmemiz gereken bazı temel kavramlar bulunuyor. İlk önce bunların ne olduğuna kısaca bakalım.

Shell(Kabuk) : Kullanıcıların bilgisayarlardan belirli görevleri istemesine olanak tanıyan kullanıcı arabirimi. Bu istekler CLI ( Command Line Interface ) veya GUI ( Graphical User Interface ) arabirimleri aracılığıyla yapılabilir.

Kernel ( Çekirdek ) : Bilgisayarların donanımı ve yazılımı arasında iletişim kurar ve donanım kaynaklarının yazılım gereksinimlerini karşılamak için nasıl kullanıldığını yönetir.

Hardware ( Donanım ) : Altta yatan elektronik de dahil olmak üzere bilgisayarların fiziksel parçası, örneğin ekran kartı, ram, anakart, ağ kartı v.b cihazlar donanım olarak söylenebilir.

Cisco cihazların işletim sistemi IOS dur. İşletim sistemi adını Apple şirketinin iOS ile karıştırmamalıyız. IOS işletim sisteminin tam adı Interworking Operating System dir.

Windows gibi işletim sistemleri GUI ile yönetilir. Swith ve router gibi cihazlar da genel olarak CLI ekranından yani bir terminal ekranından yönetilir. Yine de günümüzdeki yönetilebilir ağ cihazlarının ek olarak WEB arayüzünden de yönetimi yapılabilmektedir.

Switch’ler de farklı kullanıcı modları bulunmaktadır. Bunlar;

User EXEC Mod:

• Yalnızca sınırlı sayıda temel izleme komutuna erişim sağlar.
• “>” sembolü ile biten CLI komut istemi ( prompt ) ile tanımlanır.

Switch cihazına ilk bağlandığımızda “USER EXEC Mod” da başlamaktadır.

Bu modda kullanabileceğimiz komutları görmek için “?” komutunu çalıştırabiliriz.

Ayrıca bu komutlar altında da kullanabileceğimiz parametreler bulunmaktadır. Örneğin “show” komutuna bakalım.

Bu şekilde buradaki komutlardan yararlanabiliriz. Ancak bu mod konfigürasyon için yeterli bir mod değildir.

Privileged EXEC Mod ( Enable Mod ) :

• Tüm komutlara ve özelliklere erişim sağlar.
• “#” sembolü ile biten CLI komut istemi ( prompt ) ile tanımlanır.
• Bu moda geçmek için “enable” veya kısaca “en” yazarak geçebiliriz.

Bu mod yönetici modu gibidir. Çünkü bu moddan konfigürasyon moduna geçiş yapabiliriz. Bu yüzden bu moda geçmeden önce parola konulması önerilir.

Bu modda kullanabileceğimiz komutları görebilmek için “?” komutunu çalıştırabiliriz. Görüldüğü üzere bu mod daha güçlü olduğu için kullanabileceğimiz daha fazla komut var.

Yine bu komutların altında farklı parametreler de kullanabiliriz. Bu moddan konfigürasyon yapacağımız moda geçebiliriz.

Configuration Mode:

Bu modda kendi içinde üçe ayrılmaktadır.

• Global Configuration Mode: Aygıttaki yapılandırma seçeneklerine erişmek için kullanılır. Bu modda prompt ( config ) olarak değiştirilecektir.
• Line Configuration Mode: Konsol, SSH, Telnet veya AUX erişimini yapılandırmak için kullanılır. Bu modda prompt ( config-line ) olarak değiştirilecektir.
• Interface Configuration Mode: Anahtar bağlantı noktası veya yönlendirici arabirimini yapılandırmak için kullanılır. Bu modda prompt ( config-if ) olarak değiştirilecektir.

Konfigürasyon modda switch ile ilgili bütün ayarları yapabiliriz. Bu moda geçiş yapmak için “configure terminal” veya “conf t” komutunu çalıştırabiliriz. Modu değiştirdiğimizde aşağıdaki gibi ilk olarak “Global Configuration Mode” durumuna geçiş yaparız.

Bu modda çalıştırabileceğimiz komutları görmek için “?” komutunu çalıştırabiliriz.

Yine bu komutların altında farklı parametreler de çalıştırabiliriz.

CLI ekranında hata çıktılarını okumak çok önemlidir. Örneğin bir komutu yanlış yazdığımızı varsayalım. Cisco bize hata ile ilgili bilgiler verecektir. Örneğin aşağıdaki çıktıyı inceleyebiliriz.

Yanlış veya olmayan bir komut çalıştırdığımızda böyle bir çıktı alacağız ve yaklaşık bu sorgu 1 dakika boyunca sürecektir. Bir dakika boyunca terminale erişim sağlayamayacağız. Bu süreci sonlandırmak için “SHİFT + CTRL + 6” kombinasyonlarına aynı anda basarak süreci sonlandırabiliriz.

Ayrıca bu DNS sorgusunu kapatmak için aşağıdaki komutu çalıştırabiliriz.

Switch(config)# no ip domain-lookup

Şimdi bir konfigürasyon yapalım. Örneğin cihazın saatini değiştirelim. Anlık saatin durumunu görmek için aşağıdaki komutu çalıştırabiliriz.

Switch# show clock

Görüldüğü üzere tarih ve saat bilgilerimiz tamamen yanlış durumda şimdi de saati doğru bir şekilde konfigürasyonunu yapalım.

Saat bilgilerini değiştirmek için aşağıdaki komutu çalıştırabiliriz.

Switch# clock set 08:10:50 29 August 2023

Bu şekilde saati değiştirebiliriz. Komutu çalıştırdıktan sonra saati tekrar “show” komutuyla kontrol edelim.

Saat değişti ama bu bir konfigürasyon değildir çünkü cihazımızı yeniden başlattığımızda saatimiz kaydedilmeyecektir. Hemen kontrol edelim. Cihazı yeniden başlatmak için aşağıdaki komutu çalıştırabiliriz.

Switch# reload

Cihazımız yeniden başladıktan sonra tekrar saati kontrol edelim. “show” komutuyla tekrardan kontrol ettiğimizde saatin eski haline döndüğünü kontrol edebiliriz.

Görüldüğü üzere saatimizi değiştirsek bile cihazı yeniden başlattığımızda veya cihazın elektriği kesildiği durumlarda saat bilgisi tekrardan eski haline dönecektir. Saat ile ilgili durumlar bu şekilde yapılmaz. Router ve switch gibi network cihazları NTP ( Network Time Protocol ) denilen sunuculardan öğrenirler. Kısaca network cihazlarının saat bilgisi az önce yaptığımız gibi elle yapılmaz.

Konfigürasyon sayılabilecek işlemlerden birisi cihazın adını değiştirmektir. Bunu yapmak için “Global Configuration” moduna geçmemiz gerekir. Cihazın adını değiştirmek için aşağıdaki komutu kullanabiliriz.

Switch(config)# hostname HuseyinPala

Yukarıdaki komutta “HuseyinPala” yazan bölüm cihazın yeni adı olacaktır. Cihazların adını değiştirmek çok önemlidir. Ad değişikliği genelde cihazın bulunduğu konum gibi değerleri belirtmektedir. Örneğin aşağıdaki komutta cihazın adı “MF-1” olarak belirtilmiştir, bu bir kısaltmadır, açılımı “Mühendislik Fakültesi-1” şeklindedir. Buradan yola çıkarak bu cihazın Mühendislik Fakültesinde bulunan ilk switch olduğunu varsayabiliriz. Bu isimler genelde bulunduğu konum veya hangi departmanda yer aldığı gibi değerlere göre şekillenmektedir.

HuseyinPala(config)# hostname MF-1

Eğer isim değişikliğini default ayarlarına çevirmek istersek “no” komutunu ekleyebiliriz. Bu özellik çoğu değişikliği geri getirmek için kullanılabilmektedir.

MF-1(config)# no hostname MF-1

Bu şekilde yazdığımız taktirde cihazımızın default adı olan “Switch” olacaktır.

NOT-3 : Ağ cihazlarında bilinçsiz komut çalıştırmak cihaza erişimimizi kaybetmemize neden olabilir. Bu sebeple bilinçsiz komut çalıştırmamalıyız. Her zaman komutu çalıştırmadan önce olabilecek sorunları öngörmeliyiz.

Ağ cihazlarının güvenliğini sağlamak için parola verilir. Cihazlara ilk giriş anında ve Priviledge Moda geçerken parola vermemiz gerekmektedir.

Cihaza 3 farklı giriş yöntemi vardır. Bunlardan birincisi kablo ile giriş, bunlardan ikincisi SSH protokolü kullanılarak yapılan giriş, bunlardan üçüncüsü ve en güvensiz olanı Telnet Protokolü ile yapılan giriştir.

Ancak cihaza sadece parola vermek de yetmiyor. Ayrıca kullanıcı adı da tanımlamamız gerekiyor. Bu sayede cihazdan içeri kim girdi ve hangi komutları çalıştırdı gibi süreçleri takip edebilmemiz kolaylaşıyor.

Cihazda kullanıcı ve parola oluşturmak için yapmamız gereken işlemler aşağıdaki gibidir.

Öncelikle konfigürasyon moduna giriş yapıyoruz.

Switch(config)# username huseyin password cisco

Cihazda bu şekilde birden fazla kullanıcı yaratabiliriz. Kullanıcılarımızı yarattıktan sonra yapmamız gereken oluşturduğumuz kullanıcıların kendi hesaplarıyla login olmasını sağlayalım.

Öncelikle konsol kablosu için kullanıcı girişi yapalım. Ardından SSH ve Telnet protokolleri için bu işlemi gerçekleştirelim.

Konsol Kablosu Girişinde Sadece Parola Tanımlama:

Switch(config)# line console 0

Switch(config-line)# password cisco

Girişte kullanıcı adı sorulmasını istemiyorsak bu yöntemi kullanacağız. Ardından “login” yazarak yaptığımız konfigürasyonun cihaza girişte etkin olmasını sağlıyoruz.

Switch(config-line)# login

Konsol Kablosu Girişinde Kullanıcı Adı ve Parola ile Giriş:

Switch(config-line)# login local

NOT-4: Mod düşmek için “exit” yazabiliriz. Eğer konfigürasyon moddan direkt olarak priviledge exec moda düşmek istiyorsak “end” komutunu çalıştırabiliriz.

NOT-5: Konfigürasyon modunda “show” komutunu kullanamayız. Eğer show komutunu kullanmak istiyorsak “do show” şeklinde kullanabiliriz. “do” komutu ayrıca farklı komutları Konfigürasyon modunda kullanmamızı da sağlamaktadır. Örneğin “do write” yazdığımızda konfigürasyon modda yaptığımız değişiklikleri kaydedebiliriz.

Şimdi de SSH ve Telnet için kullanıcı adı ve parola girişi tanımlayalım. Aşağıdaki adımları takip ederek SSH ve Telnet için kullanıcı adı ve parola tanımlayabiliriz.

Switch(config)# line vty 0 15

VTY = Virtual Terminal demektir Bu değer cihaza uzaktan maksimum bağlanabilecek kişi sayısını belirtir. Bu değeri değiştirebiliriz. Örneğin “0 4” olarak belirtirsek bu cihaza yalnızca 5 kişi uzaktan erişim yapabilir.

Switch(config-line)# login local
or
Switch(config-line)# password cisco
Switch(config-line)# login

Konsol kablosunda olduğu gibi burada da iki farklı durumda giriş tanımlayabiliriz. İlk yazılan komutta local kullanıcı veritabanından yani tanımladığımız kullanıcı ve onun parolasıyla giriş isteyecektir.

Diğer yöntem de ise sadece parola bilgisini soracaktır. Kullanıcı adı bilgisi sorulmayacaktır.

Kullanıcı adını ve parolayı tanımladığıma göre sisteme konsol kablosuyla giriş yapalım ardından kullanıcı adı ve parolasını girerek sisteme giriş yapalım.

Kullanıcı adı ve parolayı doğru girdikten sonra CLI ekranına giriş yapabiliriz.

Konsol kablosu, SSH ve Telnet girişi için kullanıcı adı ve parolayı tanımladık ancak bu yeterli değil ayrıca Priviledge Exec modu için de parola tanımlamamız gerekiyor.

Priviledge Exec moda geçişte parola tanımlamak çok önemlidir çünkü bu moda bir şekilde ulaşan kullanıcı konfigürasyon moda da geçiş yaparak switch ile ilgili değişiklikler yapabilecek hale gelmektedir. Bu moda geçişte parola tanımlamak için aşağıdaki komutu çalıştırabiliriz.

HuseyinP(config)# enable secret cisco

Parola ile ilgili işlemlerimizi de tamamlamış olduk. Şimdi de cihaz açılışında kullanıcıya banner gösterelim.

Banner tanımlamamızın amacı kullanıcı sisteme giriş yaparken karşısına uyarı niteliğinde bir yazı göstermektir. Kurumsal ağlarda cihazlara genel olarak uyarı niteliğinde bir mesaj yazılır. Örneğin ” Cihaza Yetkisiz Giriş Yapmayın” gibi bir mesaj yazılır.

Banner tanımlamak için konfigürasyon moda girelim. Ardından aşağıdaki komutu çalıştıralım.

HuseyinP(config)# banner motd >

Komutu çalıştırdıktan sonra bir işaret belirliyoruz. Bu örnekte “>” işaretini belirttik. Bunu belirlememizin sebebi mesajımızı bitirdikten sonra, “>” işaretini giriyoruz ve banner dan çıkmayı sağlıyoruz. Aşağıdaki görsele bakarak süreci daha iyi anlayabiliriz.

Şimdi de cihazı tekrar başlatalım ve giriş ekranında kontrol edelim.

Switch cihazında herhangi bir komut çalıştırılmadığı durumlarda belli bir süre sonra başlangıç durumuna düşürebiliriz. Bunun için aşağıdaki komutu çalıştırabiliriz.

HuseyinP(config-line)# exec-timeout 5

Yukarıdaki örnekte eğer 5 dakika boyunca switch üzerinde hiçbir komut çalıştırılmazsa, cihaz başlangıç moduna dönüş yapacaktır. Başlangıç durumunda eğer bir kullanıcı adı parola varsa tekrar girmek durumunda olacaktır. Bu da güvenlik açısından önemlidir. Bu değeri saniye cinsinden de belirtebiliriz.

HuseyinP(config-line)# exec-timeout 0 30

Bu örnekte cihazın başlangıca dönüş süresi 30 saniyedir.

Switch cihazlarına uzaktan erişim için ( Telnet, SSH ) cihaza IP adresi vermemiz gerekiyor. Bir IP adresi ve bir subnet maskesi SVI ( Switch Virtual Interface ) üzerinde yapılandırılır. Switch cihazına IP adresi vermek ve uzaktan SSH protokolü ile erişmek için aşağıdaki komutları kullanabiliriz.

Switch# configure terminal
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.1.10 255.255.255.0
Switch(config-if)# no shutdown

Yukarıdaki komutlarla anahtara IP adresini verdik. Şimdi de SSH ve Telnet konfigürasyonunu yapalım.

Switch# configure terminal
Switch(config)# hostname huseyinpala
huseyinpala(config)# ip domain-name huseyinpala.site
huseyinpala(config)# crypto key generate rsa general-keys modulus 4096
huseyinpala(config)# line vty 0 4
huseyinpala(config-line)# transport input all
huseyinpala(config-line)# login local

Artık cihaza SSH protokolü ile uzaktan bağlantı yapabiliriz. Telnet protokolü 23. portta çalışan ve kullanılması önerilmeyen güvenli olmayan bir protokoldür. Bu yüzden olabildiğince tüm bağlantılarımızı SSH ile yapmalıyız.

Son olarak da yaptığımız konfigürasyonu kayıt edelim. Kayıt için kullanabileceğimiz iki farklı komutumuz bulunuyor.

huseyinpala# write
huseyinpala# copy running-config startup-config

İki komutun da işlevi aynıdır. Tek farkı aşağıdaki komut eski cihazlarda da çalışabilirken “write” komutu sadece yeni nesil cihazlarda çalışabilmektedir. Kısaca karşınıza çok eski nesil bir Cisco switch gelirse “write” komutu geçerli olmayacaktır.

Yaptığımız konfigürasyon switchlerde “flash” denilen, switchin “Hardiski” olarak düşünebileceğimiz bölümde “config.text” dosyasında tutulmaktadır. Bu dosyayı görüntülemek için aşağıdaki komutu kullanabiliriz.

huseyinpala# dir flash:

Eğer “config.text” dosyasını silersek Switch üzerinde yaptığımız tüm konfigürasyonlar silinecektir. Bu dosyayı silmek için aşağıdaki komutu çalıştırabiliriz.

huseyinpala# delete flash:config.text
Delete filename [config.text]?
Delete flash:/config.text? [confirm]

Konfigürasyon dosyasını bilinçsiz bir şekilde silmek tehlikeli bir durumdur, bu sebeple sistem dosyayı silmeden önce iki defa bizi uyarır.

Daha fazla bilgisayar ağları içeriği için takipte kalın…

Önyargıları parçalamak, atomu parçalamaktan daha zordur

Albert Einstein