ağları birbirinden yalıtmanın en kolay yöntemi vlan bazlı bir yapı oluşturmaktır. huawei switchlerde port bazlı vlan yapılandırma örneğini ensp üzerinde yapalım.
A ve B binasında farklı birimlere ait bilgisayarlarımız olduğunu ve aynı birim tarafından kullanılan pclerin sadece kendileri ile haberleşeceği bir yapı oluşturalım.
iki birim için
Y : 192.168.100.0/24 Z : 192.168.200.0/24
şeklinde subnet belirleyelim. yukarıdaki ağ yapısında pc1 ile pc3 ün pc2 ile pc4 ün birbiri ile haberleşmesi için izlenecek adımlar temel olarak
belirlenen subnetlere uygun olarak pc ağ yapılandırması yapılmalı. ve subnetler için bir vlan belirlenerek switchler üzerinde bu vlanlar aktif edilmeli
pc lerin çalışacağı portlara uygun vlanlar atanmalı
iki switch arasındaki link aktif edilerek tüm vlanları geçirecek şekilde yapılandırmalı
ağ yapısını ensp üzerinde oluşturduktan sonra pcleri ensp de yapılandıralım.
sıre switchler üzerinde vlanları aktif etmeye geldi
vlan batch 100 200
pclerin bağlı olduğu portları access / tagsiz olarak ayarlayarak uygun vlanları girelim
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
interface GigabitEthernet0/0/2
port link-type access
port default vlan 200
her iki switch arasındaki bağlantının olduğu portları trunk olarak ayarlayalım ve 100, 200 vlanlarının geçişlerine izin verelim.
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 200
artık ağ yapımız aktif oldu. sıra kontrole geldi.
<switch_a>display mac-address
<switch_a>
pcler üzerinde bir trafik başlatmadığımız için görüldüğü üzere switch üzerinde mac adresi göremiyoruz. şimdi pc1 den pc3 e ping atalım.
PC>ping 192.168.100.2
Ping 192.168.100.2: 32 data bytes, Press Ctrl_C to break
From 192.168.100.2: bytes=32 seq=1 ttl=128 time=93 ms
From 192.168.100.2: bytes=32 seq=2 ttl=128 time=125 ms
yapılandırmamız sorunsuz şekilde çalıştı ve pc1 den pc3 e ping atabildik. switch_a üzerinde mac adreslerini inceleyelim
<switch_a>display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9890-6bfa 100 - - GE0/0/1 dynamic 0/-
5489-987f-4c7f 100 - - GE0/0/3 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2
<switch_a>
pc1in bağlı olduğu 0/0/1 portunda ve link olarak kullandığımız 0/0/3 portunda 100 vlanı için pc1 ve pc3 mac adreslerini görüyoruz. şimdi de pc2 den pc4 e ping atalım ve 200 vlanı için konfigürasyonu test edelim.
PC>ping 192.168.200.2
Ping 192.168.200.2: 32 data bytes, Press Ctrl_C to break
From 192.168.200.2: bytes=32 seq=1 ttl=128 time=78 ms
From 192.168.200.2: bytes=32 seq=2 ttl=128 time=79 ms
testimiz başarılı şekilde gerçekleşti. switch_a üzerinden tekrardan mac – vlan kontrolü yaptığımızda
<switch_a>display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9890-6bfa 100 - - GE0/0/1 dynamic 0/-
5489-9843-7a0c 200 - - GE0/0/2 dynamic 0/-
5489-987f-4c7f 100 - - GE0/0/3 dynamic 0/-
5489-98c1-683c 200 - - GE0/0/3 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 4
0/0/1 , 0/0/2 portunda pc1 ve pc2 nin 0/0/3 portunda ise pc3 ve pc4 ün mac adreslerini görüyoruz. bu durum her şeyin yolunda olduğunun göstergelerinden bir tanesidir.
switch a ve b nin konfigürasyonu aşağıdaki gibidir.
#
sysname switch_a
#
vlan batch 100 200
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 200
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 200
#
sysname switch_b
#
vlan batch 100 200
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 200
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 200
şimdide vlan bazlı kontrolleri nasıl yapacağımız bakalım. display vlan ile tüm vlanları görebiliriz.
[switch_a]display vlan
The total number of vlans is : 3
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
1 common UT:GE0/0/3(U) GE0/0/4(D) GE0/0/5(D) GE0/0/6(D)
GE0/0/7(D) GE0/0/8(D) GE0/0/9(D) GE0/0/10(D)
GE0/0/11(D) GE0/0/12(D) GE0/0/13(D) GE0/0/14(D)
GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D)
GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D)
GE0/0/23(D) GE0/0/24(D)
100 common UT:GE0/0/1(U)
TG:GE0/0/3(U)
200 common UT:GE0/0/2(U)
TG:GE0/0/3(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
1 enable default enable disable VLAN 0001
100 enable default enable disable VLAN 0100
200 enable default enable disable VLAN 0200
belirli vlan için sorgulama yaparsak
[switch_a]display vlan 100
--------------------------------------------------------------------------------
U: Up; D: Down; TG: Tagged; UT: Untagged;
MP: Vlan-mapping; ST: Vlan-stacking;
#: ProtocolTransparent-vlan; *: Management-vlan;
--------------------------------------------------------------------------------
VID Type Ports
--------------------------------------------------------------------------------
100 common UT:GE0/0/1(U)
TG:GE0/0/3(U)
VID Status Property MAC-LRN Statistics Description
--------------------------------------------------------------------------------
100 enable default enable disable VLAN 0100
mac adress sayısı çok fazla ve belirli bir vlan için bakmak istiyorsak
[switch_a]display mac-address vlan 100
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9890-6bfa 100 - - GE0/0/1 dynamic 0/-
5489-987f-4c7f 100 - - GE0/0/3 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2
on yıl önce huawei yönlendiriler için fabrika çıkışı kullanıcı adı şifresini huawei yönlendiricilerin fabrika çıkış şifresi adresinde yayınlamışım. o zamanlar bu bilgi her yerde yer almıyordu. o tarihten bu güne kadar huawei o kadar fazla ağ ekipmanı ve bu ekipmanlar için yazılım ürettiki hangisine ne kullanıcı adı şifresi verdiklerini kendileri de karıştırmaya başladı sanırım 🙂
örnekteki yönlendirici de 1 tane lpuf kartı ve 2 tane pic kartı olduğu görülmektedir. 1. pic 2 tane 10G arayüze sahip bir kartıdır.. bu arayüzler adında anlaşılabileceği üzere lan/wan modunda kullanılabilir.
huaweide lan modu öntanımlı konfigüasyon olarak gelmektedir.
örnek olması için şimdi 1/0/0 arayüzünün modunu değiştirelim.
[fcicek-route-GigabitEthernet1/0/0]display this
interface GigabitEthernet1/0/0
undo shutdown
eth-trunk 1
undo dcn
[fcicek-route-GigabitEthernet1/0/0]set transfer-mode ?
lan LAN interface
wan WAN interface
[fcicek-route-GigabitEthernet1/0/0]set transfer-mode wan
Error: Has configurations or the undo-shutdown state port, please clear them first.
yukarıda başarısız mod değişikliği teşebbüsünden görüleceği üzere arayüz altında konfigürasyon olmaması ve portun kapalı olması gerekmektedir. arayüz altındaki konfigürasyonu kaldırıp wan moduna alalım. mod değişikliği için “set transfer-mode ” komut dizilimini kullanıyoruz.
[fcicek-route-GigabitEthernet1/0/0]set transfer-mode wan
Info: Switch wan mode is succeed.
[fcicek-route-GigabitEthernet1/0/0]display this
interface GigabitEthernet1/0/0
set transfer-mode wan
shutdown
undo dcn
şüphelendiğimiz protokolleri/servisleri daha yakından incelemek istersek, arp için
[fc-route]display cpu-defend car protocol arp statistics
Slot : 3
Application switch : Close
Default Action : Drop
--------------------------------------------
IPV4 ARP packet
Protocol switch: N/A
Packet information:
Passed packet(s) : 10766537
Dropped packet(s) : 0
Configuration information:
Configured CIR : 448 kbps Actual CIR in NP : 448 kbps
Configured CBS : 60000 bytes Actual CBS in NP : 60000 bytes
Priority : The protocol has several CAR which have different priority.You can query the information by CAR
Min-packet-length : NA
CIR Configuration Type: Default
History information:
Last drop:
Start time: -
End time: -
Last drop rate(pps): -
Total dropped packet(s): -
Peak rate:
Time: 2018-11-13 17:04:28
Peak rate(pps): 1
slot 1 deki bgp protokü için ise
[fc-route] display cpu-defend car protocol bgp statistics slot 1
Slot :1
Application switch :Open
Default Action :Min-to-cp
-----------------------------------------------
BGP Packet
Protocol switch :Close
Packet information :
Passed packet(s) :0
Dropped packet(s) :0
Peak drop rate : 1075395 pps 2014-07-08 19:49:47
Last drop rate : 1008235 pps 2014-07-08 19:51:47
Configuration information :
Configured CIR: 512 kbps Actual CIR in NP: 100 kbps
Configured CBS: 9000000 bytes Actual CBS in NP: 9000000 bytes
Priority: BE
Min-packet-length: 128 bytes
cpu-depend ile genel olarak arayüz, donanım ve protokol bazlı özelleştirebilir olarak paket analizi yapılmasını sağlar.
çıktılarda temel olarak anormal seviyedeki paket durumu irdelenmelidir. örnek olarak aktif olmayan bir servis için doğru şekilde yapılandırma yoksa bu protokol/servis için oluşturulan paketler drop edilecektir. bu durum ise protokol veya servis için bir saldırı göstergesi olabilir. paketlerin drop edilmesi işlerin kısmen yolunda olduğunu gösterebilir ancak bu drop işlemi içinde sistem kaynağı tüketilmektedir. doğru şekilde yapılandırılma yoksa bu şekilde bir saldırı ile aşırı sistem tüketimi vb farklı sorunlar ortaya çıkacaktır. bu hizmet kalitesini etkileyebilecek ve farklı güvenlik problemlerine neden olabilecektir.
cpu-depend in en temel çıktısı aşagıdaki gibi olacaktır.
küçük bir ağınız varsa ve topolojiniz aşağıdakine benzer şekilde bus veya star şeklindeyse merkezi noktalardaki routerlarda “proxy arp” aktif ederek ilave protokollerle uğraşmadan ağınızda aynı subnet içinde yer alan uç cihazlarınızı birbiri ile haberleştirebilir siniz.
burada dikkat edilecek nokta arp tablolarını şişirmemek ve subnet planlamasını sağlıklı yapabilmekte.
routerlar üzerine interfaceler için gerekli konfigürasyonu yapalım. RouterB de A ve C routerlarına bakan interfacelerde arp-proxy aktif ediyoruz.
[RouterA]
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.0.0
[RouterB]
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
arp-proxy enable
interface GigabitEthernet0/0/1
ip address 10.1.2.2 255.255.255.0
arp-proxy enable
[RouterC]
interface GigabitEthernet0/0/1
ip address 10.1.2.1 255.255.0.0
şsimdi kontrolleri yapalım.
[RouterB]display arp
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.1 5489-98fa-4abd I - GE0/0/0
10.1.2.2 5489-98fa-4abe I - GE0/0/1
------------------------------------------------------------------------------
Total:2 Dynamic:0 Static:0 Interface:2
sadece kendi interfacelerini görüyoruz. uçtan uca ping testi yapalım
[RouterC]ping 10.1.1.2
PING 10.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=254 time=170 ms
Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=254 time=40 ms
Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=254 time=30 ms
Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=254 time=10 ms
Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=254 time=80 ms
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/66/170 ms
C routerindan A routerinin interfacesine erişebiliyoruz. amacımıza ulaşmış olduk. C üzerinde arp tablosuna bakalım
[RouterC]display arp
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.2.1 5489-9813-644d I - GE0/0/1
10.1.1.2 5489-98fa-4abe 20 D-0 GE0/0/1
10.1.2.2 5489-98fa-4abe 20 D-0 GE0/0/1
------------------------------------------------------------------------------
Total:3 Dynamic:2 Static:0 Interface:1
B routerindaki duruma eş zamanlı olarak bakalım. tüm interfaceler B routeri üzerinde yer almakta.
[RouterB]display arp
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
10.1.1.1 5489-98fa-4abd I - GE0/0/0
10.1.1.2 5489-98e7-7a78 20 D-0 GE0/0/0
10.1.2.2 5489-98fa-4abe I - GE0/0/1
10.1.2.1 5489-9813-644d 20 D-0 GE0/0/1
------------------------------------------------------------------------------
Total:4 Dynamic:2 Static:0 Interface:2
huawei network ekipmanlarıda cihaz desteğine göre bir servisin veya arayüz altında in trafiğini gözlemleyebilmek için istenilen servis veya arayüz altında bunu aktif etmeniz gerekmektedir. aynı durum vsi (Virtual Switching Instance) içinde geçerli. vsi servisi altında traffic-statistics enable ile aktif etmemiz gerekmektedir.
[huawei_ne40-vsi-vsi_ornegi]d th
#
vsi vsi_ornegi static
pwsignal ldp
vsi-id 101
peer 10.10.100.1 upe
peer 10.10.100.5 upe
traffic-statistics enable
mtu 1504
encapsulation ethernet
vsi servisinin durumu kontrol edelim.
[huawei_ne40]display vsi name vsi_ornegi
Vsi Mem PW Mac Encap Mtu Vsi
Name Disc Type Learn Type Value State
--------------------------------------------------------------------------
vsi_ornegi static ldp unqualify ethernet 1504 up
servis up görülmektedir. şimdi vsi üzerinde trafiği kontrol edelim
[huawei_ne40]display traffic-statistics vsi vsi_ornegi
vsi-name: vsi_ornegi
Peer-address: 10.10.100.1
Negotiation-vc-id: 101
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 packets/sec
Input: 0 bytes, 0 packets
Output: 4893 bytes, 55 packets
vsi-name: vsi_ornegi
Peer-address: 10.10.100.5
Negotiation-vc-id: 101
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 packets/sec
Input: 1238799734 bytes, 854304 packets
Output: 13312287 bytes, 169831 packets
çıktıda vsi üzerindeki trafik görülmektedir. hangi uzak uç noktaya ne kadarlık bir trafik mevcut bunu görmek istiyorsak peer parametresi ise uzak uç adresi yazılmalıdır.
[huawei_ne40]display traffic-statistics vsi vsi_ornegi peer 10.10.100.1
vsi-name: vsi_ornegi
Peer-address: 10.10.100.1
Statistics last cleared: never
Last 300 seconds input rate : 0 bytes/sec, 0 packets/sec
Last 300 seconds output rate: 26 bytes/sec, 0 packets/sec
Input: 0 bytes, 0 packets
Output: 20740 bytes, 230 packets
bu örneğimizde esas trafik 10.10.100.5 a doğru olduğu görülmektedir.
[huawei_ne40]display traffic-statistics vsi vsi_ornegi peer 10.10.100.5
vsi-name: vsi_ornegi
Peer-address: 10.10.100.5
Statistics last cleared: never
Last 300 seconds input rate : 4512758 bytes/sec, 3125 packets/sec
Last 300 seconds output rate: 56240 bytes/sec, 658 packets/sec
Input: 3240729914 bytes, 2239660 packets
Output: 37656954 bytes, 458398 packets
bir çok network ekipmanında gerekli önlemler alınmazsa devrelerin flap etmesi, interfacelerin looplanması gibi durumlar networkte istenmeyen sonuçlara neden olabilmektedir. huawei cihazlarda eğer destekliyor ise flap eden interface ler konusunda bilgi alınabilir.. aşağıda farklı cihazlardaki sorgulama ve çıktılar görülmektedir.
display mac-address flapping record
S : start time
E : end time
(Q) : quit vlan
(D) : error down
------------------------------------------------------------------------------
Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum
-------------------------------------------------------------------------------
S:2011-08-31 17:22:36 300 0000-0000-0007 Eth-Trunk1 Eth-Trunk2 81
E:2011-08-31 17:22:44
-------------------------------------------------------------------------------
Total items on slot 2: 1
display mac-flapping information
----------------------chassis 1 slot 2 mac-flapping information-----------------
MAC Address VLAN Current Port Source Port Last Time Time(s)
0000-0001-002c 1 GE1/2/0/25 GE1/2/0/20 2012-07-20 13:40:52 20
0000-0001-002d 1 GE1/2/0/25 GE1/2/0/20 2012-07-20 13:40:52 17
--- 2 mac-flapping record(s) found ---
display mac-address flapping record
Info: The mac-address flapping record does not exist.
huawei yönlendiriciler de kartlar sistem çalışırken çıkarıp – takılmayı teoride desteklese de olası riskleri minimize etmek adına kartları slotlara takıp çıkarmadan önce slotlardaki enerji açıp kapamak faydalı olacaktır. bunun için power komutunu kullanılabilir.
