Cisco Cihazlar Bant Genişliği

Cenker Çetin tarafından 12 Ağustos 2010 tarihinde gönderildi

Cisco cihazlarda bant genişliği yönetimi Traffic Shaping (Trafik Şekilleme) ve Traffic Policing(Trafik Sınırlandırılması) şeklinde iki farklı metot ile gerçekleştirilebilmektedir. Bu iki metodun da avantaj ve dezavantajları ve buna bağlı olarak da farklı kullanım yerleri bulunmaktadır.

1.1 Traffic Shaping (Trafik Şekilleme)

Traffic Shaping tekniğinde belirlenen limiti aşan trafik yönlendiricin tampon belliğinde tutulur ve akışın sürekli aynı bant genişliğinde kalması sağlanacak şekilde bant genişliğinin akışına izin verilir. Bu şekilde sürekli aynı bant genişliği tüketimi sağlanıp paket kaybının az olması sağlanmaktadır.

Şekil 1: Traffic Shaping [1]

Ancak verinin tampon bellekte beklemesinden dolayı verinin hedefe ulaşmasında gecikme oluşmaktadır. Yaygın olarak Frame-Relay, ATM gibi birbirinden farklı hızlar ile bağlantı sağlanabilen WAN linklerinde kullanılmaktadır. Yerel alan ağlarında pek tercih edilen bir bant genişliği yönetim sistemi değildir.

1.2 Traffic Policing(Trafik Sınırlandırılması)

“Traffic Policing” metodunda belirlenen bant genişliği miktarının üstündeki trafik ya çöpe atılır (drop) ya da bu trafiğin IP başlığında bulunan ToS kısmındaki paket önceliğini belirleyen sayı değerleri değiştirilir.

Şekil 2 : Traffic Policing [1]

Bu sayede düşük öncelikli olarak belirlenmiş bu trafik çıkış yönlendiricisi tarafından bir bant genişliği yönetimi amaçlı bir işleme tabi tutulabilir. Bu teknikte tampon bellek kullanılmadığı için paket kaybı daha fazladır ancak gecikme ve hafıza ihtiyacı daha azdır.

Cisco cihazlarda genel olarak iki farklı “Police” tekniği vardır.

1-     Aggregate Policing: VLAN veya fiziksel arayüze uygulanabilen bir tekniktir.  Bu teknikte o arayüze bağlı kullanıcılar için bir üst sınır belirlenebilir. Bütün kullanıcılar yerine erişim kontrol listeleri(ACL) kullanılarak o arayüzdeki bazı kaynak IP’lere veya bazı hedef IP’lere ulaşmak için kullanılabilecek bant genişliği aralığı belirlenebilir.

2-     Microflow Policing: Bu teknikte bir arayüzden geçen bütün trafiğe değil de o arayüzden akan tek bir trafik akışına (flow) bant genişliği sınırlaması uygulanabilir. Microflow olarak adlandırılan bu teknikteki flow ibaresi kaynak IP, hedef IP, 4.katman protokolu, kaynak ve hedef port numarası gibi önceden referans alınmak üzere konfigurasyonda belirlenmiş parametrelere göre ayrılabilen trafiği tanımlar.

Aggregate policer arayüzlere giriş ve çıkış yönünde uygulanabilir ancak microflow policer sadece giriş yönünde uygulanabilir.

Kaynak: ITU yayınları

VN:F [1.9.3_1094]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.3_1094]
Rating: +2 (from 2 votes)
kategorisine gönderildi | , , , , ile etiketlendi | Yorumlar Kapalı

Açık kaynak kodlu router (Quagga)

Cenker Çetin tarafından 09 Ağustos 2010 tarihinde gönderildi

Özgür yazılımlar gerek açık kaynak kodlu olması gerekse güvenlik açısından kolay geliştirilebilir olması ve ayrıca tabiki adından dolayı ücretsiz olması, onlara olan ilginin artmasını ve kısa sürede adının duyulmasını sağlamıştır. 400-500 mbit’lik Kampüs networklerde dahi bu tür yazılımların uygulanabilir olması,popularitesini daha da arttırarak yaygınlaşmasına neden olmuştur.Bununla beraber bu açık kaynak kod piyasasının network ayağında, router pazarında bulunan farklı marka ve modellerin yanında, açık kaynak kodlu yazılımlara duyulan ilgilinin artması ve bu yazılımların kullanıma özel yazılmış sürümlerinin üretilmeye başlamasıyla, yönlendirme sistemlerinde de UNİX tabanlı sistemler ön plana çıkmıştır.

Bunlardan biri olan “Quagga” açık kaynak kodlu hizmet veren bir yönlendirme protokolüdür. Ayrıca bu uygulama OSPF,IS-IS, BGP ve RIPgibi temel routing protokollerini desteklemektedir. Quagga, gerek uygulama ortamında gerekse laboratuvar ortamında GNU lisansıyla istenildigi kadar ve istenilen yönlerde router eklemeye olanak tanır.

Gelelim bu yazılımın kurulumuna:
Bahsettiğim yazılım açık kaynak kodlu bir uygulama olduğu için kurulumunda diğer linux paketlerinden farklı bir aşamaya gerek duyulmamaktadır. Fakat yine de kurulumun yeterince açıklayıcı olması için -standart linux paketlerinde olduğu gibi- birkaç farklı şeklinde anlatmaya çalışacağım.

Birinci yol;
Stable bir quagga yazılımı kurabilmek için, öncelikle “wget” komutuyla quagga’nın stable çalışan sürümü linux makinaya indirilir. (yazılımın şuanki güncel stable versiyonu 0.99.16 sürümüdür) Daha sonra indirilen paket “tar zxvf quagga-0.99.16.tar.gz” komutuyla sıkıştırılımış dosya halinden çıkartılır. Çıkartılan bu dosyaların bulunduğu dizine gidilerek standart bir linux paket kurulumunda olduğu gibi sırasıyla;
cd quagga-0.99.16
./configure
make
make install
Komutlarıyla önce derlenir daha sonra en son yazılan make install komutuyla dosyalar çalışır hale getirilir.
Bu aşamalardan önce eğer sisteminiz pakedin kuruluma hazır değilse; update edilebilen Linux işletim sistemine geçerli bir gcc compiler yüklenir ardından, bulunan C derleyici kütüphanesi en son güncelleştirmesi geçerli “yum update” komutlarıyla yapılmalıdır.

İkinci Yol:
yum search quagga” komutuyla update edilebilen Linux işletim sistemi, güncelleştirme depolarından var olan quagga yazılımının sürümlerini arar.(eğer istenilen quagga hakkında daha ayrıntılı bilgi elde etmek istenirse “yum info quagga” komutuyla yazılımın daha detaylı bilgilerine erişilebilir.) En son olarak ise “ yum install quagga” komutu ile depoda bulunan quagga sürümü bilgisayara indirilerek yüklenmeye başlanır. Yüklenen yazılım standart yazılım yüklenmesi gibi  “/etc/quagga “ dizinini oluşturarak içine gerekli  *.conf uzantılı (çoğu sample.conf) uzantılı dosyalarını oluşturur.(Yapılandırma kısmında gerektiği zaman bu örnek dosyalardan da yardım alınabilir.) Ayrıca linux sistemlerin bilindik yardım arayüzü olan MANsayfaları da istenilen *.conf dosyasının, * kısmı yerindeki kelime man sayfasına sorularak gerekli ve ayrıntılı yapılandırma komutlarına ve kullanım şekillerine ulaşılabilir.

Paketimiz kurulduktan sonra ” vim /etc/services” komutuyla elde edilen çıktıda;
zebrasrv      2600/tcp            # zebra service
zebra            2601/tcp            # zebra vty
ripd               2602/tcp            # RIPd vty
ripngd          2603/tcp            # RIPngd vty
ospfd            2604/tcp            # OSPFd vty
bgpd             2605/tcp            # BGPd vty
ospf6d         2606/tcp            # OSPF6d vty
ospfapi        2607/tcp            # ospfapi
isisd              2608/tcp            # ISISd vty
Quagga paketinin kurularak işletim sisteminin ilgili yerlerde farklı port numaralarıyla servislerini oluşturduğu görülebilir.
Kurulum kısmını bitirdikten sonra artık kurulan servislerin amacına uygun olarak çalışması için doğru şekilde yapılandırılması gerekmektedir.Bu yüzden öncelikle kurduğumuz paketin içinden çıkan ve servislerin çalışması için temel ayarların bulunduğu /etc/quagga/ dizinin altında bulunan “zebra.conf” dosyası yapılandırılır. Bu yapılandırmada standart bir network cihazını telnet’e açmak için şifre, ip adresi gibi temel bilgilerin yapılandırma(zebra) dosyasına girilmesi gerekir. Önemli bir aytıntı olarak ise; Unix sistemleri yönetenlerin çokça aşina olduğu; eğer bir servis konfigurasyon dosyasında bir değişiklik yapıldıysa mutlaka yapılanan servis yeniden başlatılmalıdır, aksi takdirde sistem yapılan değişiklikleri algılayamayacaktır.

Önümüzdeki yazılarda, Quagga yazılımı kullanılarak yapılan örnek bir routing topolojisi üzerinde gerekli konfigürasyonlarını ve temel routing kontrol komutlarıyla Quagga’mızın gerçek bir router gibi çalıştığını beraber göreceğiz.

VN:F [1.9.3_1094]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.3_1094]
Rating: +2 (from 2 votes)
Open Source kategorisine gönderildi | , , , , , , , , , ile etiketlendi | Yorumlar Kapalı

Port Based Web Authentication

Cenker Çetin tarafından 08 Ağustos 2010 tarihinde gönderildi

802.1x authentication’un un olmadığı sistemlerde port bazlı kimlik doğrulama yöntemi ile güvenliği sağlamak için “web authentication” kullanılabilmektedir. Bu IOS bazlı firewall’ı etkin olarak kullanabilmek için yerel bir kullanıcı veritabanı yaratılabileceği gibi harici bir RADIUS veya TACAS+ sunucusu da kullanılabilmektedir. Aşağıdaki gösterilen uygulamada Cisco Secure ACS üzerine çalışan bir RADIUS sunucusu kullanmıştır.

Adım 1: aaa new-model
Switch’in 802.1x kimlik doğrulamayı sağlaması için AAA’ nın enable edilmesi gerekmektedir. AAA global configuration modunda “aaa new-model” komutu ile enable edilebilir.
Not: “aaa new model” komutunu girdikten sonra yapılması gerek tüm güvenlik yapılandırmaları tamamen bitirilmelidir. Yoksa bir sonraki sefer cihaza console yapılamayabilir.

Adım 2: aaa authentication dot1x default
Bu komut ile 802.1x authentication methodu belirtilir. Buradaki “default” parametresi authenticationun varsayılan parametrelerle gerçekleştiğini belirtir.

Adım 3: dot1x system-auth-control
Komutu ile 802.1x authentication enable edilir.

Adım 4: radius server host ip auth-port 1645 acct-port 1646
Kimlik kontrolü yapılacak external server ‘ın ip adresi ve bu server üzerinde belirlenecek authentication ve accounting portları belirlenir.
Not: Authentication portu defaultta 1645, accounting portu ise 1646’dır.

Adım 5: radius-server key key1
Cisco Acs üzerinde belirlenecek AAA bölümünün switch ile doğrulamasını sağlayacak “key” belirlenir.

Adım 6: interface fastEthernet 0/1
switchport mode access
dot1x port-control auto
Port Based Authentication uygulanacak port belirlenerek, interface access moda alınır ve daha sonra “dot1x port-control auto” komutu ile 802.1x authenticationu ilgili interfacenin altında etkinleştirilir.

Adım 7: radius-server attribute 8 include-in-access-req
Komutuyla kimlik doğrulama sunucusuna ulaşacak verinin türü attribute değerleri yazılarak belirlenir. Buradaki “attribute 8” değeri frame’in ip katmanında ulaşacağını belirtmektedir.

Adım 8: radius-server vsa send authentication
Belirlenen attribute değerini doğrulamak için radius server ile gerekli authenticationu sağlayan komuttur.

Adım 9: ip device tracking
Radius server’a ulaşan ip takibini sağlayan komuttur.

Adım 10: ip admission name kural1 proxy http
Uygulanacak web authentication kuralları belirlenir.

Adım 11: interface fastEthernet 0/1
ip access-group policy1 in
ip admission kural1
İlgili interfacenin altına girerek yaratılan policy gereken yönde uygulanır.

Adım 12: fallback profile fallback1
ip access-group default-policy in
ip admission kural1
İstemcinin web authentication ile doğrulanması için gerekli olan profil tanımlanır. Bu profil içine istenen kurallar ve policyler atanır.

Adım 13: authentication fallback fallback1
İstemci bilgisayarı 802.1x authentication’unu desteklemedi takdirde web authentication yapılıp kimlik doğrulamanın gerçekleştirileceğini belirtir.

Güvenli günler..

VN:F [1.9.3_1094]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.3_1094]
Rating: +2 (from 2 votes)
Güvenlik kategorisine gönderildi | , , , , , , ile etiketlendi | Yorumlar Kapalı