Bu yazı da ağ yöneticisi olmak isteyen veya ağlara ilgi duyan kişiler için switchlerin konfigürasyonları hakkında bilgiler içermektedir.
Switchler vazgeçilmezdir ve yönetimi oldukça kolaydır. Sırayla anahtar kelimeler üzerinden anlatım sağlanacaktır.
1-Description: Anahtarlarda “description” (açıklama) özelliği, bir ağ cihazının belirli bir portu veya arayüzü hakkında ek bilgi sağlar. Bu özellik, ağ yöneticilerinin hangi cihazların hangi portlarını kullandığını, hangi cihazlara bağlandığını ve hangi amaçla kullanıldığını anlamalarına yardımcı olur. Ağ yöneticilerine ağlarını daha iyi yönetmeleri ve daha iyi anlamaları için ek bir yöntem sağlar.
2-Hostname: Ağdaki cihazların tanımlanmasına ve yönetimine yardımcı olan bir özelliktir. Hostname, ağdaki switchlerin benzersiz bir adlandırmasıdır ve ağ yöneticileri tarafından yönetilir. Bu sayede, ağdaki herhangi bir cihazın belirli bir switch’e bağlı olup olmadığını tespit etmek veya sorunları hızlı bir şekilde tanımlamak daha kolay hale gelir.
3-Anahtar Şifre Kriptografisi: Anahtarlarda kullanılan şifrelerin güvenliğini sağlamak için kullanılır. Şifre kriptografisi, şifrelerin düz metin halinde saklanmasını önleyerek, şifrelerin çalınması veya kötü amaçlı kullanımını önlemeye yardımcı olur. Kullanılan şifre kriptografisi, genellikle MD5 veya SHA-1 gibi kriptografik hash fonksiyonları kullanılarak gerçekleştirilir. Bu hash fonksiyonları, şifrelerin bir özetini oluşturarak, şifrelerin kolayca anlaşılmasını veya çözülmesini engeller. Ağ güvenliği için önemli bir unsurdur.
Şifrelerin güvenliği sağlanmadığında, kötü niyetli kişiler ağa kolayca erişebilir ve ağa zarar verebilir. Bu nedenle, anahtarlarda kullanılan şifrelerin güvenliği sağlanarak, ağ güvenliği arttırılabilir.
4-IP DHCP Snooping: Anahtarlarda DHCP hizmeti sağlayan sunucuların yanlış yapılandırılmış veya kötü amaçlı istemciler tarafından kullanılmasını engellemek için kullanılan bir güvenlik mekanizmasıdır.
Bu özellik, anahtarlarda DHCP paketlerini dinleyen ve DHCP sunucusu yanıtlarının doğruluğunu doğrulayan bir mekanizma kullanarak, ağdaki her DHCP işlemi için kayıtlar tutar. Bu sayede, DHCP sunucularının ve istemcilerin doğru IP adresleri almasını sağlar ve potansiyel saldırıları önler. DHCP istemcileri için atanan IP adresleri ile MAC adresleri arasındaki bağlantıyı da takip eder. Bu sayede, bir DHCP istemcisi farklı bir MAC adresi kullanarak ağa yeniden bağlanmaya çalışırsa, DHCP sunucusundan yanıt alamayacağı için ağa erişimi engellenir. DHCP sunucusu ve istemcileri arasındaki iletişimde güvenilirliği artırır ve DHCP tabanlı saldırıları önler.
5-VLAN: Ağ trafiğini yönetmek ve ağdaki cihazları mantıksal olarak gruplandırmak için kullanılır. VLAN, aynı fiziksel ağda birbirleriyle iletişim kurması gereken ancak farklı güvenlik gereksinimleri olan cihazları ayrı ayrı izole ederek ağ güvenliğini arttırır.
Örneğin, bir ofis binasında çalışanlar ve misafirler farklı VLAN’larda olabilir. Bu şekilde, çalışanlar ve misafirler birbirlerinden izole edilerek, birinin ağına zarar verme riski diğerine yayılmaz. Ayrıca, farklı departmanlara veya projelere ayrılan VLAN’lar, ağ trafiği yoğunluğunu azaltır ve ağ performansını arttırır. Anahtarlarda VLAN’lar, ayrı bir ağ segmenti olarak çalışır. Bu nedenle, VLAN’larda iletişim kurmak için farklı IP adres aralıkları kullanılır. VLAN’lar ayrıca, ağdaki cihazların fiziksel konumlarına veya cihazın kullanım amacına göre de gruplandırılabilir.
6-Switchport Mode: Cisco anahtarında bir portun hangi modda çalışacağını belirlemek için kullanılan bir komuttur. Bu komut, portun hangi ağ cihazlarına bağlanabileceğini ve hangi özelliklerin kullanılabileceğini belirler.
Anahtar modu iki temel modda çalışabilir:
- Access mode: Bu mod, portun bir son kullanıcı cihazı gibi davranacağı anlamına gelir. Port sadece bir VLAN’a bağlanabilir ve herhangi bir trunking işlemi gerçekleştirilmez. Bu moddaki portlar, yalnızca bir VLAN’a erişim sağlar ve trafiği yalnızca o VLAN’da iletebilir.
- Trunk mode: Bu mod, portun birden fazla VLAN trafiğini taşıyabileceği anlamına gelir. Bu modda, port birden fazla VLAN’a bağlanabilir ve VLAN trafiği 802.1Q VLAN etiketleri kullanarak taşınır.
7-Switchport port-security: Cisco ağ anahtarında bir portun güvenliğini sağlamak için kullanılan bir özelliktir. Bu özellik, ağa bağlanan cihazların MAC adreslerini izleyerek, belirtilen sayıda cihazın o porta bağlanmasına izin verir. Bu sayede, ağa izinsiz erişim engellenerek ağ güvenliği artırılır.
Bu özellik, bir ağ anahtarındaki portlar için aşağıdaki işlevleri sağlar:
- Öğrenme modu: Ağ anahtarı, belirli bir porttaki cihazların MAC adreslerini öğrenir ve porttaki cihaz sayısını takip eder.
- Sınırlandırma modu: Ağ anahtarı, belirli bir porta bağlanabilecek maksimum cihaz sayısını belirler.
- Kapatma modu: Ağ anahtarı, belirli bir porta bağlanabilecek herhangi bir cihazı engeller ve portu kapatır. Bu özellik, ağ yöneticilerinin belirli portlardaki ağ cihazlarını kontrol etmelerine olanak tanır ve ağa izinsiz erişimi önleyerek ağ güvenliğini artırır.
8-Spanning Tree Portfast: Ağ anahtarlarında kullanılan bir Cisco özelliğidir. Bu özellik, ağa bağlanan cihazların hızlı bir şekilde aktif hale gelmesine olanak tanır. Normalde, bir portun aktif hale gelmesi için bir süre beklenmesi gerekir çünkü ağ anahtarları, portun kullandığı kabloyu taramak ve herhangi bir döngüyü önlemek için Spanning Tree Protocol’ü (STP) çalıştırmak için birkaç saniye gerektirir.
PortFast, bu bekleme süresini atlayarak bir portun hızlı bir şekilde aktif hale gelmesini sağlar. Bu özellik, özellikle ağ anahtarlarının bağlı olduğu cihazların hızlı bir şekilde ağa bağlanması gerektiği durumlarda faydalıdır. Örneğin, bir VoIP telefonunun bağlandığı bir portta PortFast kullanılırsa, telefonun hızlı bir şekilde ağa bağlanması ve IP adresi alması sağlanır. Aynı şekilde, bir ağa bağlanan bir bilgisayarın hızlı bir şekilde ağa erişmesi gerektiği durumlarda da PortFast kullanılabilir.
9-Spanning-tree Bpduguard Enable: Ağ yöneticilerinin ağlarında yanlış yapılandırılmış veya kötü niyetli cihazların oluşturabileceği olası sorunları önlemek için kullanılan bir Cisco özelliğidir. Bu özellik, ağdaki tüm portlar için uygulanabilir ve bu portlara bağlanan cihazların STP mesajlarının gönderilmesini engeller.
BPDU Guard, bir portta herhangi bir STP mesajı algılandığında, portu kapatır ve bu durumda ağ yöneticileri sorunu gidermek için manuel müdahale yapmak zorunda kalırlar. Bu, ağda bir döngü oluştuğunda veya ağın doğru çalışması için gereken STP hiyerarşisi bozulduğunda, ağın kesintiye uğramasını önler.
10-No LLDP Receive: Cisco ağ cihazlarında Link Layer Discovery Protocol (LLDP) özelliğinin devre dışı bırakılmasını sağlar.
LLDP, ağdaki cihazların birbirleri hakkında bilgi alışverişinde bulunmasına olanak tanıyan bir protokoldür. LLDP, ağda hangi cihazların bağlı olduğunu, bu cihazların nasıl yapılandırıldığını, ağ topolojisi hakkında bilgi verir ve diğer cihazlarla yapılan bağlantılar hakkında bilgi sağlar. Bu sayede ağ yöneticileri, ağdaki cihazları daha iyi yönetebilirler.
11-Shutdown: Bir anahtar portunun devre dışı bırakılmasıdır. Genellikle bir sorun varsa veya güvenlik amaçlı isteniyorsa port içine girip uygulanır. Bakım gereken durumlarda da shutdown komutu kullanılabilir.
12-No Cdp Enable: Cisco ağ cihazının Cisco Discovery Protocol (CDP) özelliğinin devre dışı bırakılmasını sağlar.
CDP, ağdaki cihazların birbirleri hakkında bilgi alışverişinde bulunmasına olanak tanıyan bir protokoldür. CDP, bir cihazın bağlı olduğu portun ID’si, ağdaki diğer cihazların IP adresleri, sistem tanımlayıcıları ve diğer bilgiler gibi ağ topolojisi hakkında bilgi sağlar. Bu sayede ağ yöneticileri, ağdaki cihazları daha iyi yönetebilirler.
13-Banner Motd: Anahtar yapılandırma bölümüne giriş yapıldığında verilen, genellikle bilgilendirme veya uyarma yapan açık mesajlı iletişim bölümüdür. Genelde sadece yetkililer gibi uyarı mesajları barındırır.
Daha detaylı bilgiler için ingilizce kaynaklara bakmayı unutmayın.
Yazar: Asrın Haktan Şahin